Ondrej Holzman OS X Yosemite ve iOS 8'de sunulan yeni özellikler, kullanıcılara birden fazla cihazın kullanımını kolaylaştıran pek çok kullanışlı özellik getirse de, aynı zamanda güvenlik tehdidi de oluşturabiliyor. Örneğin, bir iPhone'dan bir Mac'e kısa mesaj iletmek, çeşitli hizmetlerde oturum açarken iki adımlı doğrulamayı çok kolay bir şekilde atlar.
Apple'ın bilgisayarları en son işletim sistemlerindeki mobil cihazlara bağladığı Süreklilik işlevleri seti, özellikle iPhone'ları ve iPad'leri Mac'lere bağlamak için kullandıkları ağlar ve teknikler açısından oldukça ilgi çekicidir. Süreklilik, Mac'ten arama yapma, AirDrop yoluyla dosya gönderme veya hızlı bir şekilde bir erişim noktası oluşturma yeteneğini içerir; ancak şimdi bilgisayarlara düzenli SMS iletmeye odaklanacağız.
Bu nispeten göze çarpmayan ancak çok kullanışlı işlev, en kötü durumda, saldırganın seçilen hizmetlere giriş yaparken ikinci doğrulama aşaması için veri elde etmesine olanak tanıyan bir güvenlik açığına dönüşebilir. Burada, bankaların yanı sıra birçok internet hizmeti tarafından halihazırda tanıtılan ve yalnızca klasik ve tek bir şifreyle korunan bir hesaba sahip olmanızdan çok daha güvenli olan sözde iki aşamalı girişten bahsediyoruz.
İki aşamalı doğrulama farklı şekillerde gerçekleşebilir, ancak çevrimiçi bankacılık ve diğer internet hizmetleri hakkında konuştuğumuzda, çoğunlukla telefon numaranıza bir doğrulama kodunun gönderilmesiyle karşılaşırız ve daha sonra normal şifrenizi girmenin yanında girmeniz gerekir. Bu nedenle, birisi şifrenizi (veya şifrenizi veya sertifikanızı içeren bilgisayarınızı) ele geçirirse, örneğin internet bankacılığına giriş yapmak için genellikle cep telefonunuza ihtiyaç duyacaktır; burada doğrulamanın ikinci aşaması için şifreyi içeren bir SMS gelecektir. .
Ancak tüm kısa mesajlarınızı iPhone'unuzdan Mac'inize ilettiğinizde ve bir saldırgan Mac'inizi ele geçirdiğinde, artık iPhone'unuza ihtiyaçları kalmaz. Klasik SMS mesajlarını iletmek için iPhone ve Mac arasında doğrudan bir bağlantıya gerek yoktur; aynı Wi-Fi ağında olmaları gerekmez, Bluetooth gibi Wi-Fi'nin açık olmasına bile gerek yoktur. ve gereken tek şey her iki cihazı da internete bağlamak. Resmi olarak mesajların iletilmesi olarak adlandırılan SMS Aktarma hizmeti, iMessage protokolü aracılığıyla iletişim kurar.
Uygulamada, mesaj size normal bir SMS olarak gelmesine rağmen, Apple onu bir iMessage olarak işler ve İnternet üzerinden Mac'e aktarır (SMS Aktarımının ortaya çıkmasından önce iMessage ile bu şekilde çalışıyordu). yeşil bir baloncukla gösterilen bir SMS olarak görüntüler. iPhone ve Mac'in her biri farklı bir şehirde olabilir, yalnızca her iki cihazın da İnternet bağlantısına ihtiyacı vardır.
Ayrıca SMS Aktarımının Wi-Fi veya Bluetooth üzerinden çalışmadığına dair kanıtı şu şekilde de alabilirsiniz: iPhone'unuzda uçak modunu etkinleştirin ve İnternet'e bağlı bir Mac'te SMS yazıp gönderin. Ardından Mac'in İnternet bağlantısını kesin ve tersine iPhone'u ona bağlayın (mobil internet yeterlidir). SMS, iki cihazın birbiriyle hiçbir zaman doğrudan iletişim kurmamasına rağmen gönderilir; her şey iMessage protokolü tarafından sağlanır.
Bu nedenle mesaj iletmeyi kullanırken iki faktörlü kimlik doğrulamanın güvenliğinin tehlikeye girdiğini akılda tutmak gerekir. Bilgisayarınızın çalınması durumunda mesajlaşmayı hemen devre dışı bırakmak, hesaplarınızın ele geçirilmesi olasılığını önlemenin en hızlı ve en kolay yoludur.
Doğrulama kodunu telefonun ekranından yeniden yazmanız gerekmediğinde, yalnızca Mac'teki Mesajlar'dan kopyaladığınızda İnternet bankacılığına girmek daha kullanışlıdır, ancak bu durumda güvenlik çok daha önemlidir ve SMS Aktarımı nedeniyle büyük ölçüde eksiktir. . Bu soruna bir çözüm, örneğin, SMS kodları genellikle aynı numaralardan geldiğinden, belirli numaraların Mac'te iletilmemesi olasılığı olabilir.
Son paragrafta belirtildiği gibi, kodu kopyalama yeteneği çok daha kullanışlı ve daha iyidir.
Ayrıca - eğer birisi MacBook'umu çalarsa, ilk yaptığım şey onu engellemek ve iPhone'daki tüm "iletme" ve Süreklilik özelliklerini kapatmaktır - bu yüzden Ayarlar / Mesajlar'da da bu seçenek var. :)
Peki birisi onu sana bağlarsa sen de onu durdurur musun?
Çalınan cihazı hemen engellemek varken neden iki adımlı yetkilendirme kullanasınız ki?
İki adımlı doğrulama üçüncü taraf bir hizmettir, bu yüzden en azından bankalar söz konusu olduğunda onu kullanmamam veya görmezden gelmem pek mümkün değil. Ve Mac'imi Bul aracılığıyla Mac'imi engelliyor veya siliyorum. Her şeyin arkasında şeytanı görmüyorsam, SMS iletmenin faydaları daha ağır basar.
Hırsızlık kimsenin umurunda değil, tam disk şifreleme bunu çözüyor. Peki saldırıya uğramış bir bilgisayarla ne yapacaksınız? Muhtemelen hiçbir şey, bunu bilmeyeceksin.
Tabii ki avantajlar geçerli, kimse şeytanı görmüyor ve kullanıcı her zaman güvenliği dans eden bir domuzla takas ediyor.
Bu arada bankaların sizi sırf eğlence olsun diye SMS göndermeye zorladığı izlenimine mi sahipsiniz?
Eğer biri endişeleniyorsa o zaman kullanmayın. Bundan son derece memnunum
Ve 2FA ile ilgili endişeleri olmayanlar onu kullanmıyor bile çünkü ne yaptıklarını bilmedikleri açık.
Ve Macbook'ta belirli bir numarayı nasıl hariç tutabilirim ve iPhone'da nasıl bırakabilirim? Cevap için teşekkürler
AFAIK en iyi seçenek "Ayarlar'daki Mesajlar altında (iPhone'unuzdan) Kısa Mesaj İletme özelliğini kapatmaktır."
Yanılmıyorsam, iletilmesi gerekenleri beyaz listeye almak ya da iletilmemesini kara listeye almak mümkün değil.
Peki cep telefonunu çalmak Mac'i çalmaktan daha kolay değil mi? Evet, mobil cihazlar için olduğu kadar MAC için de bir şifreniz olabilir. Uzman değilim, ancak şifreyi bilmiyorsam Mac'e ulaşmak muhtemelen kolay olmayacaktır (verileri okumayı değil, SMS aktarımının başlaması için oturum açmayı kastediyorum).
Ayrıca, ilk aşamanın ana aşama olduğu çifte güvenlikten bahsettiğimizi unutmayın - onurlandırmak için şifreyi girmek ve şifreyi MAC'te veya içindeki bir metin belgesinde yazılı değilse, o zaman bankaya erişim yok (ve şifre olarak 1111'i kullanmıyorsunuz :-))
Yani, bir Mac'i çalmak, Mac'in gerçek fiyatı nedeniyle muhtemelen size en büyük zararı verecektir.
2FA, birincil Mac veya IP hırsızlığını çözmez. Çözüm, saldırganın Mac'in ve başka bir şeyin kontrolünü ele geçirmesi gerektiğidir. Artık Mac ona yetiyor. Coz, 2FA'nın tüm faydalarını reddediyor.
(Tavsiye "Mac'teki saldırgan yalnızca tarayıcıyı kontrol eder" varyantına karşı koruma sağlamaktır; bu muhtemelen tamamen kontrol edilen bir durum değildir.)
Mac'in tamamen güvenli olduğunu düşünüyorsanız (haha), 2FA ile uğraşmanıza gerek yok. Değilse, 2FA size sürücü gibi artırılmış güvenlik sağlamayı bıraktı.
Ve bir kez daha, çok canlı bir şekilde, talihsiz koşullar nedeniyle tehlikeli olan "nicnebezpecneho.cz" web sitesine giriyorsunuz. Bu oldukça kolay bir şekilde başınıza gelebilir; hemen porno sitelerine gitmenize gerek yoktur, birisinin ziyaret ettiğiniz blogun güvenliğini sağlamaması ve yorumlara temizlenmemiş javascript eklenmesine izin vermesi yeterlidir. Bu sayfada tarayıcınıza yönelik uzaktan bir istismar var (bu yine de başınıza gelebilir, çok sıra dışı bir durum değil). Ya da sosyal mühendisliğe kapılın...
...birkaç saat sonra bankadan para göndermeye gidersiniz (gmail, github'a giriş yaparsınız...). Bunu yaparken, oturum açma verilerini zaten güvenliği ihlal edilmiş olan bilgisayara girersiniz (veya bu şifreleriniz kayıtlıysa bunu yapmanıza bile gerek yoktur) ve SMS'deki kodu bir kez kopyalayıp yapıştırırsınız.
..ve geceleri bilgisayarınız bankaya (gmail...) kendiliğinden giriş yapıyor, şifre zaten kötü amaçlı yazılım içeren biri tarafından kaydedilmiş. Cep telefonunuza onay SMS'i gelmeyecektir, ancak... güvenliği ihlal edilmiş bilgisayara.
2FA tam olarak bu senaryoları çözdü. Ta ki Apple onu kırana kadar.
2FA'nın kendimi 2 şeyle kanıtlamam gerektiği anlamına geldiğini düşündüm, örneğin:
- şifre
– SMS kabul eden bir telefonla
SMS'i telefona Mac'e iletmek, alternatif olarak Mac'i (veya eşleştirdiğim daha fazla Mac ve iPad'i) de ekler, ancak yine de 2FA'dır. Ya da değil?
Tekrar ediyorum; normal şartlarda 2FA, "Mac'im hacklendi ve benim bundan haberim yok" gibi durumları çözüyor. Çünkü o zaman Mac'in servis şifrenizi bildiğini (zaten kaydettiğinizi veya serviste bir sonraki oturum açışınızda onu dinleyeceğinizi) varsayabilirsiniz. Ve artık onun da SMS'i bilmesini bekleyebilirsiniz (ya da istediği zaman isteyebilir ve alacaktır).
İki faktörlü kimlik doğrulama sunan çoğu hizmet (Facebook, Dropbox, Google, Microsoft,…), bir uygulama kullanılarak tek seferlik şifrelerin oluşturulmasına izin verir (Google Authenticator kullanıyorum). Uygulama, kayıtlı hizmetler için sürekli olarak süre sınırlı kodlar üretir. Kod hemen kopyalanabilir ve oturum açmak için kullanılabilir. SMS'in gelmesini beklemenize gerek yok ve eğer Mac'e iletilirse makalede anlatılan sorunu çözebilirsiniz.
Güvenliği ihlal edilmiş Mac'lerde oturum açarken SMS mesajları var...
Bunu istemekten çekinmeyin. Uygulamayı kullanarak tek seferlik kod oluşturarak iki aşamalı doğrulamayı açtıysam, verilen hizmet herhangi bir SMS göndermiyor.
Eğer bir şeyler değişmediyse, birçok servis telefonu istedi ve SMS'i varsayılan seçenek olarak bıraktı. Yani hacklenen bilgisayarınız geri döndü.
Çok sayıda banka varken başka seçenek yok, sadece bir SMS ve hepsi bu.
Bunu çok net anlamıyorum. Birisi Mac'imi çalarsa SMS'i kapatırım, Mac'i uzaktan silerim ve bankadaki şifreyi değiştiririm. Ya da sorun ne?
Bunu bu makaleyi okumadan önce yapar mıydınız?
Kesinlikle, kesinlikle otomatik olarak.
Ancak iki aşamalı kimlik doğrulama, saldırganın iki doğrulamaya ihtiyaç duymasıyla ilgilidir: ŞİFRE VE SMS. Bu, birisinin eşleştirilmiş Mac'imi almasından korkarsam şifreyi orada saklamayacağım ve birisi tarayıcımı hacklerse iMessage'a giremeyeceği anlamına geliyor.
Tarayıcınızdan çıkmayacağına dair güvenceyi nereden alıyorsunuz? Pwn4Fun ve Pwn2Own'un mevcut sonuçlarına göre Safari için en az iki sıfır gün var gibi görünüyor:
"Pwn4Fun'da Google, Apple Safari'nin Hesap Makinesi'ni Mac OS X'te root olarak başlatmasına karşı çok etkileyici bir saldırı gerçekleştirdi"
"Keen Team'den Liang Chen tarafından:
Apple Safari'ye karşı, sanal alan atlamayla birlikte yığın taşması, kodun çalıştırılmasına neden oluyor."
Yeşil zemin üzerine ince beyaz harfler; özel bir okulun öğrencisi bile bundan daha iyi öneremezdi...
Bunu durdurmanın yollarından biri kod oluşturmayı bir donanım kilidi aracılığıyla değiştirmektir (örneğin bu: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) güvenlidir ve daha yüksek güvenlik sağlar, KB'nin de benzer bir şey yapması gerekir - bir kişinin internet bankacılığına bağlanamayacağı bir USB diske yüklenen bir sertifika, ayrıca bazen telefona tek seferlik bir şifre gönderilir, vb. ... Pek çok olasılık var, ancak herkesin kendine göre bir seçeneği var. Güvenliğin onun için önemli olup olmadığına karar vermesi gerekiyor (şifresi var mı yok mu? vb.)
Unicredit'in harika bir özelliği var. Akıllı anahtar hiçbir zaman klasik SMS ile gelmiyor ancak mobil uygulamada tek kullanımlık şifre oluşturuyorum.
Şu ana kadar mümkün olan mm'lik kısa videoyu neden birdenbire gönderemediğim konusunda tavsiyeye ihtiyacım var? Basitçe video ekleme seçeneği yok, yanıt vermiyor, mesaja eklemiyor
děkuji