Ondrej Holzman Megjithëse veçoritë e reja të prezantuara në OS X Yosemite dhe iOS 8 sjellin shumë veçori të dobishme për përdoruesit që thjeshtojnë përdorimin e pajisjeve të shumta, ato gjithashtu mund të përbëjnë një kërcënim sigurie. Për shembull, përcjellja e mesazheve me tekst nga një iPhone në një Mac shumë lehtë anashkalon verifikimin me dy hapa kur hyni në shërbime të ndryshme.
Seti i funksioneve Continuity, brenda të cilit Apple lidh kompjuterët me pajisjet mobile në sistemet më të fundit operative, është shumë interesant, veçanërisht përsa i përket rrjeteve dhe teknikave që përdorin për të lidhur iPhone dhe iPad me Mac. Vazhdimësia përfshin aftësinë për të bërë telefonata nga një Mac, për të dërguar skedarë përmes AirDrop ose për të krijuar shpejt një pikë hot, por tani do të fokusohemi në përcjelljen e SMS-ve të rregullta te kompjuterët.
Ky funksion relativisht i padukshëm, por shumë i dobishëm, në rastin më të keq, mund të kthehet në një vrimë sigurie që lejon një sulmues të marrë të dhëna për fazën e dytë të verifikimit kur hyn në shërbimet e zgjedhura. Këtu po flasim për të ashtuquajturin login dyfazor, i cili veç bankave tashmë po prezantohet nga shumë shërbime interneti dhe është shumë më i sigurt se sa nëse keni një llogari të mbrojtur vetëm me një fjalëkalim klasik dhe të vetëm.
Verifikimi dyfazor mund të bëhet në mënyra të ndryshme, por kur flasim për banking online dhe shërbime të tjera të internetit, më së shpeshti hasim dërgimin e një kodi verifikimi në numrin tuaj të telefonit, të cilin më pas duhet ta vendosni pranë futjes së fjalëkalimit tuaj të rregullt. Prandaj, nëse dikush ka në dorë fjalëkalimin tuaj (ose kompjuterin duke përfshirë fjalëkalimin ose certifikatën), zakonisht do t'i duhet telefoni juaj celular, për shembull, për t'u identifikuar në internet banking, ku do të arrijë një SMS me fjalëkalimin për fazën e dytë të verifikimit. .
Por në momentin që të gjitha mesazhet tuaja me tekst të përcillen nga iPhone në Mac dhe një sulmues merr përsipër Macin tuaj, ata nuk kanë më nevojë për iPhone tuaj. Për të përcjellë mesazhet klasike SMS, nuk nevojitet asnjë lidhje e drejtpërdrejtë midis iPhone dhe Mac - ato nuk duhet të jenë në të njëjtin rrjet Wi-Fi, Wi-Fi nuk duhet as të jetë i ndezur, ashtu si Bluetooth. dhe gjithçka që nevojitet është të lidhni të dyja pajisjet me internetin. Shërbimi SMS Relay, siç quhet zyrtarisht përcjellja e mesazheve, komunikon nëpërmjet protokollit iMessage.
Në praktikë, mënyra se si funksionon është se megjithëse mesazhi ju vjen si një SMS normal, Apple e përpunon atë si një iMessage dhe e transferon atë përmes Internetit në Mac (kështu funksiononte me iMessage përpara ardhjes së SMS Relay) , ku e shfaq atë si një SMS, e cila tregohet nga një flluskë jeshile. iPhone dhe Mac mund të jenë secili në një qytet të ndryshëm, vetëm të dyja pajisjet kanë nevojë për një lidhje interneti.
Ju gjithashtu mund të merrni prova se SMS Relay nuk funksionon përmes Wi-Fi ose Bluetooth në mënyrën e mëposhtme: aktivizoni modalitetin e aeroplanit në iPhone tuaj dhe shkruani dhe dërgoni një SMS në një Mac të lidhur në internet. Pastaj shkëputni Mac nga Interneti dhe, anasjelltas, lidhni iPhone me të (mjafton interneti celular). SMS dërgohet edhe pse të dy pajisjet nuk kanë komunikuar kurrë drejtpërdrejt me njëra-tjetrën - gjithçka sigurohet nga protokolli iMessage.
Kështu, kur përdorni përcjelljen e mesazhit, është e nevojshme të kihet parasysh se siguria e vërtetimit me dy faktorë është e rrezikuar. Në rast se kompjuteri juaj vidhet, çaktivizimi i menjëhershëm i mesazheve është mënyra më e shpejtë dhe më e lehtë për të parandaluar hakimin e mundshëm të llogarive tuaja.
Futja e bankingut në internet është më e përshtatshme nëse nuk duhet të rishkruani kodin e verifikimit nga ekrani i telefonit, por thjesht kopjoni atë nga Messages në Mac, por siguria është shumë më e rëndësishme në këtë rast, e cila mungon shumë për shkak të transmetimit të SMS-ve. . Një zgjidhje për këtë problem mund të jetë, për shembull, mundësia për të përjashtuar numra të caktuar nga përcjellja në Mac, pasi kodet SMS zakonisht vijnë nga të njëjtët numra.
Siç u përmend në paragrafin e fundit - aftësia për të kopjuar kodin është shumë më e përshtatshme dhe më e mirë.
Përveç kësaj - nëse dikush më vjedh MacBook-in, gjëja e parë që bëj është ta bllokoj atë dhe të çaktivizoj të gjitha "forwarding" dhe Continuity në iPhone - kjo është arsyeja pse ekziston edhe ky opsion te Settings / Messages. :)
Dhe nëse dikush ju lidh atë, a e ndaloni edhe ju atë?
Dhe pse të keni autorizim me dy hapa kur mund ta bllokoni pajisjen e vjedhur menjëherë, a?
Verifikimi me dy hapa është një shërbim i palës së tretë, kështu që vështirë se mund ta përdor ose ta injoroj, të paktën në rastin e bankave. Dhe unë bllokoj ose fshij Mac-in tim nëpërmjet Find my Mac. Përfitimet e dërgimit të SMS janë më të mëdha nëse nuk shoh djallin pas çdo gjëje.
Askush nuk kujdeset për vjedhjen, kriptimi i plotë i diskut e zgjidh këtë. Por çfarë do të bëni me një kompjuter të hakuar? Ndoshta asgjë, ju nuk do të dini për të.
Epo, sigurisht, përparësitë mbizotërojnë, askush nuk e sheh djallin dhe përdoruesi gjithmonë e shkëmben sigurinë për një derr që kërcejnë.
Meqë ra fjala, a keni përshtypjen se bankat po ju detyrojnë të dërgoni SMS vetëm për qejf?
nëse dikush është i shqetësuar, atëherë mos e përdorni. Unë jam jashtëzakonisht i kënaqur me të
Dhe ata që nuk kanë shqetësime në kombinim me 2FA as nuk e përdorin atë, sepse ata padyshim nuk e dinë se çfarë po bëjnë.
Dhe si mund të përjashtoj një numër specifik në Macbook dhe ta lë atë në iPhone? Faleminderit per pergjigjen
Opsioni më i mirë i AFAIK është "fikni përcjelljen e mesazheve me tekst nën Mesazhet në Cilësimet (nga iPhone juaj)."
Nëse nuk gabohem, nuk është e mundur të vihet në listën e bardhë ato që duhet të përcillen, as në listën e zezë çfarë jo.
Epo, a nuk është më e lehtë të vjedhësh një celular sesa një Mac? Po, mund të keni një fjalëkalim për celularin, por edhe për MAC. Unë nuk jam ekspert, por ndoshta nuk është e lehtë të shkosh në Mac nëse nuk e di fjalëkalimin (nuk dua të lexoj të dhënat, por të identifikohem në mënyrë që të fillojë transmetimi i SMS-ve).
Gjithashtu, mos harroni se po flasim për siguri të dyfishtë, ku faza e parë është kryesore - futja e fjalëkalimit për nder dhe nëse nuk e keni të shkruar në MAC ose në ndonjë dokument tekst brenda, atëherë ekziston nuk ka akses në bankë (dhe nuk përdorni 1111 si fjalëkalim :-))
Pra, vjedhja e një mac ndoshta do t'ju shkaktojë dëmin më të madh për shkak të çmimit të vërtetë të mac.
2FA nuk zgjidh vjedhjen kryesore të Mac ose IP. Zgjidhja është se sulmuesi duhet të marrë kontrollin e Mac dhe diçka tjetër. Mac-i i mjafton tani. Coz mohon të gjitha përfitimet e 2FA.
(Këshilla është të mbroheni kundër variantit "sulmuesi në Mac kontrollon vetëm shfletuesin", i cili ndoshta nuk është një situatë plotësisht e kontrolluar.)
Thjesht nëse e konsideroni Mac-in të jetë plotësisht i sigurt (haha), atëherë nuk keni pse të merreni me 2FA. Dhe nëse jo, atëherë 2FA ndaloi t'ju sjellë atë siguri të shtuar, si p.sh.
Dhe një herë tjetër, shumë qartë - ju shkoni në faqen e internetit "nicnebezpecneho.cz", e cila është e rrezikshme për shkak të një sërë rrethanash fatkeqe. Kjo mund t'ju ndodhë shumë lehtë - nuk keni pse të shkoni menjëherë në faqet pornografike, mjafton që dikush të mos sigurojë blogun që po vizitoni dhe të lërë javascript të pastruar të futet në komente. Ekziston një shfrytëzim i largët për shfletuesin tuaj në atë faqe (kjo mund t'ju ndodhë akoma, asgjë shumë e pazakontë). Ose kapuni pas inxhinierisë sociale...
...pas disa orësh shkoni të dërgoni para nga banka (hyni në gmail, github...). Duke vepruar kështu, ju futni të dhënat e hyrjes në kompjuterin tashmë të komprometuar (ose nuk duhet ta bëni këtë nëse i keni të ruajtura këto fjalëkalime) dhe kopjoni dhe ngjisni kodin nga SMS një herë.
..dhe natën, kompjuteri juaj hyn në bankë (gmail...) vetë, fjalëkalimi tashmë është ruajtur nga dikush me malware. Nuk do të merrni SMS konfirmimi në celularin tuaj, por... në atë kompjuter të komprometuar.
2FA zgjidhi pikërisht këta skenarë. Derisa Apple e prishi atë.
Mendova se 2FA do të thotë që unë duhet të provoj veten me 2 gjëra, për shembull:
– fjalëkalimi
– me një telefon që pranon SMS
Epo, përcjellja e SMS në Mac në telefon shton gjithashtu Mac (ose më shumë Mac dhe iPad që kam çiftuar) si një alternativë, por është ende 2FA. Ose jo?
Edhe një herë - në rrethana normale, 2FA zgjidh situata të tilla si "Mac-i im është hakuar dhe nuk di për të". Sepse atëherë mund të supozoni se Mac-i e di fjalëkalimin tuaj për shërbimin (që ju tashmë e keni të ruajtur ose do ta dëgjoni herën tjetër që të hyni në shërbim). Dhe tani mund të prisni që ai të dijë edhe SMS (ose mund ta kërkojë në çdo kohë dhe do ta marrë).
Shumica e shërbimeve që ofrojnë vërtetim me dy faktorë (Facebook, Dropbox, Google, Microsoft, …) lejojnë që fjalëkalimet e njëhershme të gjenerohen duke përdorur një aplikacion (Unë përdor Google Authenticator). Aplikacioni gjeneron vazhdimisht kode me kohë të kufizuar për shërbimet e regjistruara. Kodi mund të kopjohet menjëherë dhe të përdoret për të hyrë. Nuk është e nevojshme të prisni që SMS të arrijë dhe, nëse ato përcillen në Mac, zgjidhni problemin e përshkruar në artikull.
Mac-ët e komprometuar kanë mesazhe SMS kur identifikohen...
Mos ngurroni ta kërkoni atë. Nëse kam aktivizuar verifikimin dyfazor me gjenerimin e një kodi një herë duke përdorur aplikacionin, atëherë shërbimi i dhënë nuk dërgon asnjë SMS.
Nëse diçka nuk ka ndryshuar, shumë shërbime kërkuan telefonin dhe e lanë SMS si opsionin e paracaktuar. Pra, kompjuteri juaj i hakuar është kthyer.
Me një numër të madh bankash, nuk ka zgjidhje, vetëm një SMS dhe kaq.
Nuk e kuptoj shumë qartë këtë. Nëse dikush më vjedh Mac-in, unë çaktivizoj SMS-të, fshij Mac-in nga distanca dhe ndryshoj fjalëkalimin në bankë. Apo cila është kapja?
A do ta bënit këtë përpara se të lexoni këtë artikull?
Absolutisht, absolutisht automatikisht.
Por vërtetimi dyfazor ka të bëjë me faktin se sulmuesi ka nevojë për dy konfirmime: PASSWORD DHE SMS. Kjo do të thotë që nëse kam frikë se dikush do të marrë Mac-in tim të çiftuar, unë nuk e ruaj fjalëkalimin atje dhe nëse dikush hakon shfletuesin tim, ata nuk do të hyjnë në iMessage.
Ku e merrni sigurinë se nuk do të shpërthejë nga shfletuesi juaj? Sipas rezultateve aktuale të Pwn4Fun dhe Pwn2Own, duket se ka të paktën dy ditë zero për Safari:
"Në Pwn4Fun, Google dha një shfrytëzim shumë mbresëlënës kundër Apple Safari duke lëshuar Calculator si rrënjë në Mac OS X"
"Nga Liang Chen i Ekipit të Keen:
Kundër Apple Safari, një tejmbushje grumbulli së bashku me një anashkalim të sandbox, duke rezultuar në ekzekutimin e kodit."
Shkronja e hollë e bardhë në një sfond të gjelbër - as një nxënës i një shkolle speciale nuk mund ta sugjeronte më mirë ...
Një nga mënyrat për ta ndaluar këtë është zëvendësimi i gjenerimit të kodit nëpërmjet një dongle (për shembull: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) është i sigurt dhe mundëson siguri më të lartë, KB gjithashtu duhet të bëjë diçka të ngjashme - një certifikatë e ngarkuar në një disk USB, pa të cilën një person nuk mund të lidhet me Internet banking, plus ndonjëherë një fjalëkalim një herë dërgohet në telefon, etj. ... Ka shumë mundësi, por secili ka të vetin, ajo duhet të vendosë nëse siguria është e rëndësishme për të (nëse ka një fjalëkalim apo jo? etj.)
Unicredit ka një gjë të madhe. Çelësi inteligjent nuk është kurrë një SMS klasik, por unë gjeneroj një fjalëkalim një herë në aplikacionin celular.
Kam nevojë për këshilla se pse papritmas nuk mund të dërgoj një video të shkurtër mm, e cila ishte e mundur deri më tani? Nuk ka asnjë mundësi për të futur thjesht një video, ajo nuk përgjigjet, nuk e fut atë në mesazh
Děkuji