Ondrej Holzman Iako nove značajke predstavljene u OS X Yosemite i iOS 8 korisnicima donose puno korisnih značajki koje pojednostavljuju korištenje više uređaja, one također mogu predstavljati sigurnosnu prijetnju. Na primjer, prosljeđivanje tekstualnih poruka s iPhonea na Mac vrlo jednostavno zaobilazi verifikaciju u dva koraka prilikom prijave na razne servise.
Skup Continuity funkcija, unutar kojih Apple povezuje računala s mobilnim uređajima u najnovijim operativnim sustavima, vrlo je zanimljiv, posebice u pogledu mreža i tehnika koje koriste za povezivanje iPhonea i iPada s Macovima. Kontinuitet uključuje mogućnost upućivanja poziva s Maca, slanja datoteka putem AirDropa ili brzog stvaranja žarišne točke, no sada ćemo se usredotočiti na prosljeđivanje običnih SMS-ova na računala.
Ova relativno neupadljiva, ali vrlo korisna funkcija može se u najgorem slučaju pretvoriti u sigurnosnu rupu koja napadaču omogućuje dobivanje podataka za drugu fazu verifikacije prilikom prijave na odabrane servise. Ovdje je riječ o takozvanoj dvofaznoj prijavi koju, osim banaka, već uvode mnogi internetski servisi i puno je sigurnija nego ako imate račun zaštićen samo klasičnom i jednom lozinkom.
Dvofazna provjera može se odvijati na različite načine, ali kada govorimo o online bankarstvu i drugim internetskim uslugama, najčešće se susrećemo sa slanjem verifikacijskog koda na vaš telefonski broj, koji zatim morate unijeti pored svoje obične lozinke. Dakle, ako se netko dokopa vaše lozinke (ili računala s lozinkom ili certifikatom), u pravilu će mu trebati vaš mobitel, primjerice, za prijavu u internet bankarstvo, gdje će mu stići SMS s lozinkom za drugu fazu verifikacije .
Ali onog trenutka kada sve svoje tekstualne poruke proslijedite s iPhonea na Mac i napadač preuzme vaš Mac, više im ne treba vaš iPhone. Za prosljeđivanje klasičnih SMS poruka nije potrebna izravna veza između iPhonea i Maca – ne moraju biti na istoj Wi-Fi mreži, Wi-Fi ne mora biti ni uključen, baš kao ni Bluetooth, i sve što je potrebno je spojiti oba uređaja na internet. Usluga SMS Relay, kako se službeno zove prosljeđivanje poruka, komunicira putem iMessage protokola.
U praksi, to funkcionira tako da, iako vam poruka stigne kao običan SMS, Apple je obrađuje kao iMessage i prenosi preko interneta na Mac (ovako je funkcionirao s iMessageom prije pojave SMS Relay-a) , gdje ga prikazuje kao SMS, što je označeno zelenim oblačićem . iPhone i Mac mogu biti svaki u drugom gradu, ali oba uređaja trebaju internetsku vezu.
Također možete dobiti dokaz da SMS Relay ne radi preko Wi-Fi ili Bluetooth veze na sljedeći način: aktivirajte način rada u zrakoplovu na svom iPhoneu te napišite i pošaljite SMS na Macu spojenom na internet. Zatim odspojite Mac s interneta i, obrnuto, spojite iPhone na njega (mobilni internet je dovoljan). SMS se šalje iako dva uređaja nikada nisu međusobno izravno komunicirala – sve osigurava iMessage protokol.
Dakle, kod korištenja prosljeđivanja poruka potrebno je imati na umu da je sigurnost dvofaktorske autentifikacije ugrožena. U slučaju da vam ukradu računalo, trenutno onemogućavanje slanja poruka je najbrži i najlakši način da spriječite potencijalno hakiranje vaših računa.
Ulazak u internetsko bankarstvo praktičniji je ako ne morate prepisivati kontrolni kod sa zaslona telefona, već ga samo kopirate iz Messagesa na Macu, ali je u ovom slučaju puno važnija sigurnost, koje uvelike nedostaje zbog SMS Relaya . Rješenje ovog problema mogla bi biti, na primjer, mogućnost isključivanja određenih brojeva iz prosljeđivanja na Macu, budući da SMS kodovi obično dolaze s istih brojeva.
Kao što je spomenuto u zadnjem odlomku - mogućnost kopiranja koda mnogo je praktičnija i bolja.
Osim toga - ako mi netko ukrade MacBook, prvo ga blokiram i isključim sva "forwardinga" i Continuity na iPhoneu - zato postoji i ova opcija u Settings / Messages. :)
A ako vam ga netko zakači, zaustavljate li ga i vi?
I čemu autorizacija u dva koraka kada možete odmah blokirati ukradeni uređaj, ha?
Provjera u dva koraka je usluga treće strane, pa je teško mogu ne koristiti ili ignorirati, barem u slučaju banaka. A ja blokiram ili brišem svoj Mac putem Find my Mac. Dobrobiti SMS prosljeđivanja su veće ako ne vidim vraga iza svega.
Nitko ne mari za krađu, potpuna enkripcija diska to rješava. Ali što ćete učiniti s hakiranim računalom? Vjerojatno ništa, nećete znati za to.
Pa, naravno, prednosti prevladavaju, nitko ne vidi vraga i korisnik uvijek mijenja sigurnost za rasplesanu svinju.
Inače, imate li dojam da vas banke tjeraju da šaljete SMS-ove samo iz zabave?
ako je netko zabrinut neka ga ne koristi. Iznimno sam zadovoljan njime
A oni koji nemaju brige u kombinaciji s 2FA niti ne koriste, jer očito ne znaju što rade.
I kako da isključim određeni broj na Macbooku i ostavim ga na iPhoneu? Hvala na odgovoru
AFAIK najbolja opcija je "isključite prosljeđivanje tekstualnih poruka u Porukama u postavkama (s vašeg iPhonea)."
Ako se ne varam, nije moguće staviti na bijelu listu ono što treba proslijediti, niti staviti na crnu listu ono što ne treba.
Pa, zar nije lakše ukrasti mobitel nego Mac? Da, možete imati lozinku za mobitel, ali i za MAC. Nisam stručnjak, ali vjerojatno nije lako doći do Maca ako ne znam lozinku (ne mislim čitati podatke, nego se ulogirati pa da krene SMS relej).
Također, ne zaboravite da govorimo o dvostrukoj sigurnosti, gdje je prva faza glavna - unos lozinke koju treba poštovati i ako je nemate napisanu na MAC-u ili u nekom tekstualnom dokumentu unutra, onda postoji nemate pristup banci (i ne koristite 1111 kao lozinku :-))
Dakle, krađa maca vjerojatno će vam nanijeti najveću štetu zbog prave cijene maca.
2FA ne rješava primarnu Mac ili IP krađu. Rješenje je da napadač mora preuzeti kontrolu nad Macom i nečim drugim. Mac mu je sad dovoljan. Coz negira sve prednosti 2FA.
(Savjet je da se zaštitite od varijante "napadač na Macu kontrolira samo preglednik", što vjerojatno nije potpuno kontrolirana situacija.)
Samo, ako Mac smatrate potpuno sigurnim (haha), onda se ne morate baviti 2FA. A ako ne, onda vam 2FA prestaje donositi tu povećanu sigurnost, poput driv-a.
I još jednom, vrlo slikovito - odlazite na web stranicu "nicnebezpecneho.cz", koja je nesretnim spletom okolnosti opasna. To vam se vrlo lako može dogoditi - ne morate odmah ići na porno stranice, dovoljno je da netko ne osigura blog koji posjećujete i da u komentare ubacuje nesanirani javascript. Na toj stranici postoji udaljeni exploit za vaš preglednik (to vam se još uvijek može dogoditi, ništa neobično). Ili biti uhvaćen u društveni inženjering...
...nakon par sati idete slati novac iz banke (ulogirate se na gmail, github...). Pritom unesete podatke za prijavu u već kompromitirano računalo (ili to čak i ne morate učiniti ako imate spremljene te lozinke) te jednom kopirate i zalijepite kod iz SMS-a.
..a noću ti se računalo samo uloguje u banku (gmail...), šifru je već spremio netko sa malwareom. Nećete dobiti potvrdni SMS na svoj mobilni telefon, ali... u to kompromitirano računalo.
2FA je riješio upravo ove scenarije. Sve dok ga Apple nije slomio.
Mislio sam da 2FA znači da se moram dokazati sa 2 stvari, na primjer:
- lozinka
– s telefonom koji prihvaća SMS
Pa, prosljeđivanje SMS-a na Mac na telefon također dodaje Mac (ili više Mac-ova i iPad-a koje sam upario) kao alternativu, ali to je još uvijek 2FA. Ili ne?
Još jednom - u normalnim okolnostima, 2FA rješava situacije poput "moj Mac je hakiran, a ja ne znam za to". Jer tada možete pretpostaviti da Mac zna vašu lozinku za uslugu (da je već imate spremljenu ili ćete je poslušati sljedeći put kad se prijavite na uslugu). I sada možete očekivati da će znati i SMS (ili ga može zatražiti bilo kada i dobit će ga).
Većina servisa koji nude dvofaktorsku autentifikaciju (Facebook, Dropbox, Google, Microsoft, …) dopuštaju generiranje jednokratnih lozinki pomoću aplikacije (ja koristim Google Authenticator). Aplikacija stalno generira vremenski ograničene kodove za registrirane usluge. Kod se može odmah kopirati i koristiti za prijavu. Ne morate čekati da SMS stigne i, ako se proslijedi na Mac, riješite problem opisan u članku.
Kompromitirani macovi imaju SMS poruke prilikom prijave...
Slobodno to tražite. Ako sam putem aplikacije uključio dvofaznu provjeru s generiranjem jednokratnog koda, tada navedena usluga ne šalje nikakav SMS.
Ako se nešto nije promijenilo, dosta je servisa htjelo telefon i ostavilo SMS kao zadanu opciju. Dakle, vaše hakirano računalo se vratilo.
Kod velikog broja banaka nema izbora, samo SMS i to je to.
Ne razumijem ovo baš jasno. Ako mi netko ukrade Mac, isključim SMS, daljinski obrišem Mac i promijenim lozinku u banci. Ili u čemu je caka?
Biste li to učinili prije čitanja ovog članka?
Apsolutno, apsolutno automatski.
Ali kod dvofazne autentifikacije radi se o činjenici da napadač treba dvije potvrde: LOZINKU I SMS. To znači da ako se bojim da će netko uzeti moj upareni Mac, ne pohranjujem lozinku tamo, a ako mi netko hakira preglednik, neće ući u iMessage.
Odakle vam jamstvo da neće izbiti iz vašeg preglednika? Prema trenutnim rezultatima Pwn4Fun i Pwn2Own, izgleda da postoje najmanje dva nula dana za Safari:
"Na Pwn4Fun, Google je isporučio vrlo impresivan exploit protiv Apple Safarija pokrenuvši Calculator kao root na Mac OS X"
"Liang Chen iz Keen Teama:
Protiv Apple Safarija, prelijevanje hrpe zajedno sa zaobilaženjem sandboxa, što je rezultiralo izvršavanjem koda."
Tanka bijela slova na zelenoj podlozi - ni učenik specijalne škole ne bi bolje predložio...
Jedan od načina da se to zaustavi je zamjena generiranja koda putem ključa (na primjer ovo: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) sigurno je i omogućuje veću sigurnost, KB također treba napraviti nešto slično - certifikat uploadati na USB disk bez kojeg se osoba ne može spojiti na internet bankarstvo, plus ponekad se šalje jednokratna lozinka na telefon itd. ... Postoji mnogo mogućnosti, ali svatko ima svoju ona mora odlučiti je li joj važna sigurnost (ima li lozinku ili ne? itd.)
Unicredit ima super stvar. Pametni ključ nikada nije klasičan SMS, već generiram jednokratnu lozinku u mobilnoj aplikaciji.
Trebam savjet zašto odjednom ne mogu poslati mm kratki video, što je do sada bilo moguće? Nema opcije da jednostavno ubaci video, ne odgovara, ne ubacuje ga u poruku
Hvala