Ондрей Холцман OS X Yosemite және iOS 8 жүйесінде енгізілген жаңа мүмкіндіктер пайдаланушыларға көптеген құрылғыларды пайдалануды жеңілдететін көптеген пайдалы мүмкіндіктерді әкелсе де, олар қауіпсіздікке қауіп төндіруі мүмкін. Мысалы, iPhone-дан Mac жүйесіне мәтіндік хабарларды қайта жіберу әртүрлі қызметтерге кіру кезінде екі сатылы растауды оңай айналып өтеді.
Apple соңғы операциялық жүйелердегі компьютерлерді мобильді құрылғылармен қосатын Үздіксіздік функцияларының жиынтығы, әсіресе iPhone және iPad құрылғыларын Mac компьютерлеріне қосу үшін пайдаланатын желілер мен әдістер тұрғысынан өте қызықты. Үздіксіздік Mac компьютерінен қоңырау шалу, AirDrop арқылы файлдарды жіберу немесе жылдам хотспот жасау мүмкіндігін қамтиды, бірақ енді біз компьютерлерге тұрақты SMS жіберуге назар аударамыз.
Бұл салыстырмалы түрде байқалмайтын, бірақ өте пайдалы функция, ең нашар жағдайда, таңдалған қызметтерге кіру кезінде шабуылдаушыға екінші тексеру кезеңі үшін деректерді алуға мүмкіндік беретін қауіпсіздік саңылауына айналуы мүмкін. Бұл жерде біз екі фазалы логин деп аталатын туралы айтып отырмыз, ол банктерден басқа көптеген интернет-қызметтермен ендіріліп жатыр және сізде тек классикалық және жалғыз парольмен қорғалған есептік жазбаңыз болса, әлдеқайда қауіпсіз.
Екі кезеңді растау әртүрлі жолдармен жүзеге асуы мүмкін, бірақ біз онлайн-банкинг және басқа интернет қызметтері туралы сөйлескенде, біз көбінесе телефон нөміріңізге растау кодын жіберуді кездестіреміз, содан кейін оны әдеттегі құпия сөзді енгізудің жанына енгізу керек. Сондықтан, егер біреу сіздің құпия сөзіңізді (немесе компьютерді қоса алғанда, парольді немесе сертификатты) ұстап алса, олар әдетте ұялы телефоныңызды қажет етеді, мысалы, интернет-банкингке кіру үшін, тексерудің екінші кезеңіне арналған пароль бар SMS келеді. .
Бірақ сіздің барлық мәтіндік хабарларыңыз iPhone-дан Mac-ке жіберілген кезде және шабуылдаушы Mac-ті басып алған кезде, оларға iPhone-ды қажет етпейді. Классикалық SMS хабарламаларын қайта жіберу үшін iPhone және Mac арасында тікелей қосылым қажет емес - олар бір Wi-Fi желісінде болуы міндетті емес, Wi-Fi қосулы болуы да қажет емес, Bluetooth сияқты, және екі құрылғыны интернетке қосу ғана қажет. SMS Relay қызметі, хабарламаларды қайта жіберу ресми деп аталатындықтан, iMessage протоколы арқылы байланысады.
Іс жүзінде оның жұмыс істеу тәсілі мынада: хабарлама сізге кәдімгі SMS ретінде келгенімен, Apple оны iMessage ретінде өңдейді және Интернет арқылы Mac жүйесіне жібереді (осылайша ол SMS Relay пайда болғанға дейін iMessage-пен жұмыс істеді) , онда ол жасыл көпіршікпен көрсетілген SMS ретінде көрсетеді. iPhone және Mac құрылғыларының әрқайсысы басқа қалада болуы мүмкін, тек екі құрылғыға да интернет қосылымы қажет.
Сондай-ақ SMS релесі Wi-Fi немесе Bluetooth арқылы жұмыс істемейтінін келесі жолмен алуға болады: iPhone телефонында ұшақ режимін іске қосыңыз және Интернетке қосылған Mac компьютерінде SMS жазып, жіберіңіз. Содан кейін Mac компьютерін Интернеттен ажыратып, керісінше iPhone-ды оған қосыңыз (мобильді интернет жеткілікті). SMS екі құрылғы бір-бірімен ешқашан тікелей байланыспаса да жіберіледі - барлығы iMessage протоколымен қамтамасыз етіледі.
Осылайша, хабарламаларды қайта жіберуді пайдалану кезінде екі факторлы аутентификацияның қауіпсіздігі бұзылатынын есте ұстау қажет. Компьютеріңіз ұрланған жағдайда, хабар алмасуды дереу өшіру - тіркелгілеріңізді бұзудың алдын алудың ең жылдам және оңай жолы.
Телефон дисплейінен растау кодын қайта жазудың қажеті болмаса, оны Mac жүйесіндегі Messages қолданбасынан көшіру қажет болса, Интернет-банкингке кіру ыңғайлырақ, бірақ бұл жағдайда қауіпсіздік әлдеқайда маңызды, бұл SMS релейіне байланысты айтарлықтай жетіспейді. . Бұл мәселенің шешімі, мысалы, нақты нөмірлерді Mac жүйесінде қайта жіберуден алып тастау мүмкіндігі болуы мүмкін, себебі SMS кодтары әдетте бірдей нөмірлерден келеді.
Соңғы абзацта айтылғандай - кодты көшіру мүмкіндігі әлдеқайда ыңғайлы және жақсы.
Сонымен қатар, егер біреу менің MacBook-ті ұрласа, мен бірінші кезекте оны блоктаймын және iPhone-дағы барлық «қайта жіберуді» және үздіксіздікті өшіремін - сондықтан Параметрлер/Хабарлар бөлімінде де бұл опция бар. :)
Ал егер біреу оны сізге байлап алса, сіз де оны тоқтатасыз ба?
Ұрланған құрылғыны бірден бұғаттауға болатын кезде неге екі сатылы авторизация керек, иә?
Екі сатылы растау - бұл үшінші тарап қызметі, сондықтан мен оны пайдаланбаймын немесе оны елемеймін, кем дегенде банктер жағдайында. Мен Mac жүйесін табу арқылы Mac жүйесін блоктаймын немесе жоямын. Әр нәрсенің артында шайтанды көрмесем, SMS жіберудің пайдасы басымырақ.
Ұрлыққа ешкім мән бермейді, оны толық дискілік шифрлау шешеді. Бірақ сіз бұзылған компьютермен не істейсіз? Бәлкім, ештеңе жоқ, сіз бұл туралы білмейсіз.
Әрине, артықшылықтар басым, ешкім шайтанды көрмейді және пайдаланушы әрқашан би шошқасының қауіпсіздігін сатады.
Айтпақшы, банктер сізді ермек үшін SMS жіберуге мәжбүрлеп жатқандай әсер қалдырасыз ба?
егер біреу алаңдаса, оны қолданбаңыз. Мен оған өте ризамын
Ал 2FA-мен бірге алаңдамайтындар оны қолданбайды, өйткені олар не істеп жатқанын білмейтіні анық.
Macbook-та нақты нөмірді қалай алып тастап, оны iPhone-да қалдырамын? Жауап үшін рахмет
AFAIK ең жақсы нұсқа - «Параметрлердегі Хабарлар астындағы мәтіндік хабарларды қайта жіберуді өшіру (iPhone құрылғысынан).
Қателеспесем, жөнелту керек нәрсені ақ тізімге қою мүмкін емес, не жіберілмейтінін қара тізімге енгізу мүмкін емес.
Ал, ұялы телефонды ұрлау Mac-қа қарағанда оңай емес пе? Иә, сізде ұялы телефон үшін құпия сөз болуы мүмкін, бірақ MAC үшін де. Мен сарапшы емеспін, бірақ құпия сөзді білмесем, Mac жүйесіне кіру оңай емес шығар (мен деректерді оқуды емес, SMS релесін іске қосу үшін жүйеге кіруді айтқым келеді).
Сондай-ақ, біз қос қауіпсіздік туралы айтып жатқанымызды ұмытпаңыз, мұнда бірінші кезең негізгі болып табылады - құрметтеу үшін парольді енгізу және егер сізде MAC-де немесе ішіндегі кейбір мәтіндік құжатта жазылмаған болса, онда бар. банкке кіру мүмкін емес (және сіз 1111-ді құпия сөз ретінде пайдаланбайсыз :-))
Осылайша, Mac компьютерін ұрлау Mac компьютерінің шынайы бағасына байланысты сізге үлкен зиян келтіруі мүмкін.
2FA негізгі Mac немесе IP ұрлығын шешпейді. Шешім - шабуылдаушы Mac жүйесін және басқа нәрсені басқаруы керек. Оған Mac қазір жеткілікті. Coz 2FA-ның барлық артықшылықтарын жоққа шығарады.
(Кеңес «Mac жүйесіндегі шабуылдаушы тек браузерді басқарады» нұсқасынан қорғау болып табылады, бұл толығымен басқарылатын жағдай емес.)
Егер сіз Mac-ті толығымен қауіпсіз деп санасаңыз (хаха), онда 2FA-мен айналысудың қажеті жоқ. Әйтпесе, 2FA сізге driv сияқты қауіпсіздікті қамтамасыз етуді тоқтатты.
Және тағы бір рет, өте айқын - сіз «nicnebezpecneho.cz» веб-сайтына кіресіз, бұл сәтсіз жағдайларға байланысты қауіпті. Бұл сізге оңай болуы мүмкін - бірден порно сайттарға кірудің қажеті жоқ, біреу сіз кіретін блогты қорғамауы және түсініктемелерге тазартылмаған JavaScript енгізуіне мүмкіндік беруі жеткілікті. Бұл бетте браузеріңіз үшін қашықтағы эксплуатация бар (бұл сізде әлі де болуы мүмкін, өте ерекше ештеңе жоқ). Немесе әлеуметтік инженериямен айналысыңыз ...
...бірнеше сағаттан кейін сіз банктен ақша жіберуге барасыз (сіз gmail, github... жүйесіне кіресіз). Осылайша, сіз әлдеқашан бұзылған компьютерге кіру деректерін енгізесіз (немесе бұл құпия сөздер сақталған болса, мұны істеудің қажеті жоқ) және SMS-тен кодты бір рет көшіріп, қойыңыз.
..және түнде сіздің компьютеріңіз банкке (gmail...) өздігінен кіреді, құпия сөзді зиянды бағдарлама бар біреу сақтап қойған. Сіз ұялы телефоныңызға растау SMS-хабарламасын алмайсыз, бірақ... сол бұзылған компьютерге.
2FA дәл осы сценарийлерді шешті. Apple оны бұзғанға дейін.
Мен 2FA өзімді екі нәрсемен дәлелдеуім керек дегенді білдіреді деп ойладым, мысалы:
– пароль
– SMS қабылдайтын телефонмен
SMS-ті Mac жүйесіне телефонға қайта жіберу балама ретінде Mac (немесе мен жұптаған бірнеше Mac және iPad) қосады, бірақ ол әлі де 2FA. Әлде жоқ па?
Тағы бір рет - қалыпты жағдайда, 2FA «менің Mac компьютерім бұзылды және мен бұл туралы білмеймін» сияқты жағдайларды шешеді. Өйткені, содан кейін Mac жүйесі қызметке арналған құпия сөзді біледі деп болжауға болады (сізде оны сақтаған немесе келесі рет қызметке кірген кезде тыңдайсыз). Енді сіз оның SMS білетінін күтуге болады (немесе ол оны кез келген уақытта сұрай алады және оны алады).
Екі факторлы аутентификацияны ұсынатын көптеген қызметтер (Facebook, Dropbox, Google, Microsoft, …) қолданба арқылы бір реттік құпия сөздерді жасауға мүмкіндік береді (мен Google Authenticator пайдаланамын). Қолданба тұрақты түрде тіркелген қызметтер үшін шектеулі уақыт кодтарын жасайды. Кодты бірден көшіріп, жүйеге кіру үшін пайдалануға болады. SMS келгенше күтудің қажеті жоқ және олар Mac жүйесіне жіберілсе, мақалада сипатталған мәселені шешіңіз.
Жүйеге кіру кезінде бұзылған Mac құрылғыларында SMS хабарламалары болады...
Мұны сұрауға қымсынбаңыз. Егер мен қолданбаны пайдаланып бір реттік кодты генерациялау арқылы екі фазалы тексеруді қосқан болсам, онда бұл қызмет SMS жібермейді.
Егер бірдеңе өзгермесе, көптеген қызметтер телефонды алғысы келді және SMS-ті әдепкі опция ретінде қалдырды. Сонымен, бұзылған компьютеріңіз қайта оралды.
Банктер саны көп болғандықтан, таңдау жоқ, тек SMS және болды.
Мен мұны өте анық түсінбеймін. Егер біреу менің Mac компьютерімді ұрласа, мен SMS өшіремін, Mac компьютерін қашықтан сүртемін және банкте құпия сөзді өзгертемін. Немесе не қадағалады?
Осы мақаланы оқымас бұрын мұны істейсіз бе?
Абсолютті, мүлдем автоматты түрде.
Бірақ екі фазалық аутентификация шабуылдаушыға екі растауды қажет ететіндігі туралы: ҚҰПИЯ СӨЗ ЖӘНЕ SMS. Бұл менің жұптастырылған Mac компьютерімді біреу алып қояды деп қорқатын болсам, онда құпия сөзді сақтамаймын, ал егер біреу менің браузерімді бұзса, олар iMessage қолданбасына кірмейді.
Браузеріңізден шығып кетпейтініне қайдан кепілдік аласыз? Pwn4Fun және Pwn2Own ағымдағы нәтижелеріне сәйкес, Safari үшін кемінде екі нөлдік күн бар сияқты:
«Pwn4Fun ойынында Google Apple Safari қолданбасын Mac OS X жүйесінде түбірлік ретінде Калькуляторды іске қосуға қарсы өте әсерлі эксплойт жасады»
«Кин командасының Лианг Чен:
Apple Safari-ге қарсы, құмсалғышты айналып өтумен бірге үйме толып, нәтижесінде код орындалады."
Жасыл фонда жіңішке ақ әріп – тіпті арнайы мектептің оқушысы да мұны жақсы ұсына алмас еді...
Мұны тоқтатудың бір жолы - кодты генерациялау кілті арқылы ауыстыру (мысалы, бұл: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) бұл қауіпсіз және ол жоғарырақ қауіпсіздікті қамтамасыз етеді, КБ-ге де осындай әрекет қажет - USB дискісіне жүктелген сертификат, онсыз адам Интернет-банкингке қосыла алмайды, сонымен қатар кейде телефонға бір реттік құпия сөз жіберіледі және т.б. ... Көптеген мүмкіндіктер бар, бірақ әркімнің өз мүмкіндігі бар, ол қауіпсіздіктің ол үшін маңызды екенін шешуі керек (құпия сөз бар ма, жоқ па? т.б.)
Unicredite керемет нәрсе бар. Смарт кілт ешқашан классикалық SMS емес, бірақ мен мобильді қосымшада бір реттік құпия сөзді жасаймын.
Маған кенеттен мм қысқа бейнені неге жібере алмайтыным туралы кеңес керек, осы уақытқа дейін мүмкін болды? Бейнені жай ғана кірістіру опциясы жоқ, ол жауап бермейді, оны хабарламаға енгізбейді
Рахмет