Ондрей Холцман Хэдийгээр OS X Yosemite болон iOS 8-д нэвтрүүлсэн шинэ боломжууд нь олон төхөөрөмжийн хэрэглээг хялбаршуулдаг олон ашигтай функцуудыг хэрэглэгчдэд авчирдаг ч аюулгүй байдалд заналхийлж болзошгүй юм. Жишээлбэл, iPhone-оос Mac руу мессеж дамжуулах нь янз бүрийн үйлчилгээнд нэвтрэх үед хоёр шаттай баталгаажуулалтыг давж гардаг.
Apple-ийн хамгийн сүүлийн үеийн үйлдлийн системүүдтэй компьютеруудыг хөдөлгөөнт төхөөрөмжтэй холбодог Тасралтгүй байдлын багц функцууд нь ялангуяа iPhone болон iPad-уудыг Mac компьютерт холбоход ашигладаг сүлжээ, арга техникийн хувьд маш сонирхолтой юм. Тасралтгүй байдал нь Mac-аас дуудлага хийх, AirDrop-ээр файл илгээх эсвэл халуун цэг үүсгэх чадварыг багтаасан боловч одоо бид компьютер руу ердийн SMS дамжуулахад анхаарлаа хандуулах болно.
Харьцангуй үл анзаарагдам, гэхдээ маш хэрэгтэй функц нь хамгийн муу тохиолдолд халдагчид сонгосон үйлчилгээнд нэвтрэх үед хоёр дахь шатны баталгаажуулалтын өгөгдлийг олж авах боломжийг олгодог хамгаалалтын цоорхой болж хувирдаг. Бид энд банкуудаас гадна олон интернетийн үйлчилгээнүүд аль хэдийн нэвтрүүлсэн хоёр үе шаттай нэвтрэлтийн тухай ярьж байгаа бөгөөд зөвхөн сонгодог, нэг нууц үгээр хамгаалагдсан данстай байснаас хамаагүй илүү аюулгүй юм.
Хоёр үе шаттай баталгаажуулалтыг янз бүрийн аргаар хийж болно, гэхдээ бид онлайн банк болон бусад интернет үйлчилгээний талаар ярихад ихэвчлэн таны утасны дугаар руу баталгаажуулах код илгээдэг тул та ердийн нууц үгээ оруулахын хажууд оруулах хэрэгтэй. Тиймээс, хэрэв хэн нэгэн таны нууц үгийг (эсвэл компьютер, нууц үг, гэрчилгээ гэх мэт) олж авбал тэдэнд ихэвчлэн таны гар утас хэрэгтэй болно, жишээлбэл, интернет банкинд нэвтрэхэд хоёр дахь шатны баталгаажуулалтын нууц үг бүхий SMS ирэх болно. .
Гэхдээ таны бүх мессежийг iPhone-оос Mac руугаа дамжуулж, халдагчид таны Mac-ыг эзлэн авах тэр мөчид тэдэнд таны iPhone хэрэггүй болно. Сонгодог SMS мессежийг дамжуулахын тулд iPhone болон Mac хооронд шууд холболт хийх шаардлагагүй - тэд нэг Wi-Fi сүлжээнд байх шаардлагагүй, Wi-Fi-г асаах шаардлагагүй, Bluetooth шиг. бөгөөд шаардлагатай бүх зүйл бол хоёр төхөөрөмжийг интернетэд холбох явдал юм. SMS Relay үйлчилгээ нь мессеж дамжуулахыг албан ёсоор нэрлэдэг тул iMessage протоколоор холбогддог.
Бодит байдал дээр энэ мессеж танд ердийн SMS хэлбэрээр ирсэн боловч Apple үүнийг iMessage хэлбэрээр боловсруулж, интернетээр Mac руу шилжүүлдэг (SMS Relay гарч ирэхээс өмнө iMessage-тэй ингэж ажилладаг байсан) , үүнийг SMS хэлбэрээр харуулах бөгөөд үүнийг ногоон бөмбөлөгөөр тэмдэглэнэ. iPhone болон Mac нь өөр хотод байж болох бөгөөд зөвхөн хоёр төхөөрөмжид интернет холболт шаардлагатай.
Та SMS Relay нь Wi-Fi эсвэл Bluetooth-ээр ажиллахгүй гэдгийг дараах байдлаар нотлох боломжтой: iPhone дээрээ онгоцны горимыг идэвхжүүлж, интернетэд холбогдсон Mac дээр SMS бичиж, илгээнэ үү. Дараа нь Mac-ыг интернетээс салгаад, эсрэгээр нь iPhone-г холбоно уу (мобайл интернет хангалттай). Хоёр төхөөрөмж хоорондоо шууд холбогдож байгаагүй ч гэсэн SMS илгээгддэг - бүх зүйл iMessage протоколоор хангагдсан байдаг.
Тиймээс мессеж дамжуулахыг ашиглахдаа хоёр хүчин зүйлийн баталгаажуулалтын аюулгүй байдал алдагддаг гэдгийг санах хэрэгтэй. Таны компьютер хулгайлагдсан тохиолдолд мессежийг шууд идэвхгүй болгох нь таны бүртгэлийг хакердахаас сэргийлэх хамгийн хурдан бөгөөд хялбар арга юм.
Утасны дэлгэцэн дээрх баталгаажуулах кодыг дахин бичих шаардлагагүй, харин Mac дээрх Messages-ээс хуулж авахад интернет банкинд нэвтрэх нь илүү тохиромжтой, гэхдээ энэ тохиолдолд аюулгүй байдал нь илүү чухал бөгөөд SMS Relay-ийн улмаас маш их дутагдалтай байдаг. . Жишээлбэл, SMS кодууд нь ижил дугаараас ирдэг тул Mac дээр тодорхой дугаарыг дамжуулахаас хасах боломжтой байж болох юм.
Сүүлийн догол мөрөнд дурдсанчлан - кодыг хуулах чадвар нь илүү тохиромжтой, илүү сайн байдаг.
Нэмж дурдахад, хэрэв хэн нэгэн миний MacBook-г хулгайлсан бол миний хийх хамгийн эхний зүйл бол үүнийг хааж, iPhone дээрх "дамжуулах" болон тасралтгүй байдлыг унтраах явдал юм - тиймээс Тохиргоо / Мессеж хэсэгт ийм сонголт байдаг. :)
Хэрэв хэн нэгэн танд үүнийг залгавал та үүнийг бас зогсоох уу?
Хулгайлагдсан төхөөрөмжийг шууд хааж чадаж байхад яагаад хоёр шатлалт зөвшөөрөлтэй байгаа юм бэ?
Хоёр шаттай баталгаажуулалт нь гуравдагч этгээдийн үйлчилгээ тул би үүнийг ашиглахгүй эсвэл үл тоомсорлож чадахгүй, ядаж банкуудын хувьд. Мөн би Find My Mac-ээр дамжуулан Mac-аа блоклох эсвэл устгадаг. Хэрвээ би бүх зүйлийн ард чөтгөрийг олж харахгүй бол SMS дамжуулахын ашиг тус илүү их байдаг.
Хэн ч хулгайд санаа тавьдаггүй, бүрэн дискний шифрлэлт үүнийг шийддэг. Харин та хакердсан компьютерийг яах гэж байна вэ? Магадгүй юу ч биш, та энэ талаар мэдэхгүй байх болно.
Мэдээжийн хэрэг давуу тал нь давамгайлж, хэн ч чөтгөрийг хардаггүй бөгөөд хэрэглэгч дандаа аюулгүй байдлыг бүжиглэж буй гахайгаар арилждаг.
Энэ дашрамд хэлэхэд банкууд зүгээр л зугаагаа гаргахын тулд SMS илгээх гэж тулгаж байгаа мэт сэтгэгдэл төрж байна уу?
Хэрэв хэн нэгэн санаа зовж байгаа бол бүү ашигла. Би үүнд туйлын сэтгэл хангалуун байна
2FA-тай хослуулан санаа зовох зүйлгүй хүмүүс үүнийг ашигладаггүй, учир нь тэд юу хийж байгаагаа мэдэхгүй байгаа нь ойлгомжтой.
Би Macbook дээрх тодорхой дугаарыг хэрхэн хасч, iPhone дээр үлдээх вэ? Хариу илгээсэнд баярлалаа
AFAIK-ийн хамгийн сайн сонголт бол "Тохиргоо дотроос (iPhone-оосоо) Мессеж доторх мессеж дамжуулахыг унтраах" юм.
Хэрэв би андуураагүй бол дамжуулах ёстой зүйлийг цагаан жагсаалтад оруулах, болохгүй зүйлийг хар жагсаалтад оруулах боломжгүй.
За, гар утас хулгайлах нь Mac-аас амархан биш гэж үү? Тийм ээ, та гар утсанд зориулсан нууц үгтэй байж болно, гэхдээ MAC-д ч гэсэн. Би мэргэжилтэн биш, гэхдээ нууц үгээ мэдэхгүй бол Mac-д нэвтрэх нь тийм ч хялбар биш байж магадгүй юм (би өгөгдлийг унших гэсэнгүй, харин SMS дамжуулалтыг эхлүүлэхийн тулд нэвтрэх гэсэн юм).
Түүнчлэн, бид давхар хамгаалалтын тухай ярьж байгааг мартаж болохгүй, үүнд эхний үе шат нь нууц үгээ оруулах, хэрэв MAC эсвэл дотор нь ямар нэгэн текст баримт бичигт бичээгүй бол нууц үг орно. банк руу нэвтрэх эрхгүй (мөн та 1111-ийг нууц үг болгон ашигладаггүй :-))
Тиймээс, mac хулгайлах нь Mac-ийн жинхэнэ үнээс шалтгаалан танд хамгийн их хохирол учруулах болно.
2FA нь үндсэн Mac эсвэл IP хулгайг шийддэггүй. Үүний шийдэл нь халдагчид Mac болон өөр зүйлийг хянах ёстой. Mac одоо түүнд хангалттай. Coz 2FA-ийн бүх ашиг тусыг үгүйсгэдэг.
(Зөвлөмж нь "Mac дээрх халдагч зөвхөн хөтөчийг удирддаг" хувилбараас хамгаалах явдал бөгөөд энэ нь бүрэн хянагддаггүй нөхцөл байдал байж магадгүй юм.)
Хэрэв та Mac-ыг бүрэн аюулгүй гэж үзвэл (хаха) 2FA-тай харьцах шаардлагагүй болно. Хэрэв тийм биш бол 2FA танд driv гэх мэт аюулгүй байдлыг нэмэгдүүлэхээ больсон.
Дахин нэг удаа, маш тодоор - та "nicnebezpecneho.cz" вэб сайт руу орж, харамсалтай нөхцөл байдлын улмаас аюултай. Энэ нь танд маш амархан тохиолдож болно - та порно сайт руу шууд орох шаардлагагүй, хэн нэгэн таны зочилж буй блогийг хамгаалахгүй байх, сэтгэгдэлд ариутгагдаагүй javascript оруулахад хангалттай. Энэ хуудсан дээр таны хөтөчийг алсаас ашиглах ажиллагаа байна (энэ нь танд тохиолдож магадгүй, ер бусын зүйл байхгүй). Эсвэл нийгмийн инженерчлэлд автаад...
...хэдхэн цагийн дараа та банкнаас мөнгө явуулахаар очно (та gmail, github руу нэвтэрнэ...). Ингэхдээ та аль хэдийн эвдэрсэн компьютерт нэвтрэх мэдээллээ оруулаад (эсвэл танд эдгээр нууц үг хадгалагдсан бол үүнийг хийх шаардлагагүй) SMS-ийн кодыг нэг удаа хуулж буулгана уу.
..мөн шөнө таны компьютер банк руу (gmail...) өөрөө нэвтэрдэг, нууц үгийг хортой програмтай хүн аль хэдийн хадгалсан байна. Таны гар утсанд баталгаажуулах SMS ирэхгүй, гэхдээ... тэр эвдэрсэн компьютерт.
2FA яг эдгээр хувилбаруудыг шийдсэн. Apple үүнийг эвдэх хүртэл.
2FA гэдэг нь 2 зүйлээр өөрийгөө батлах ёстой гэсэн үг гэж би бодсон, жишээ нь:
- нууц үг
– SMS хүлээн авдаг утастай
Mac руу утас руу SMS дамжуулах нь Mac (эсвэл миний хослуулсан Mac болон iPad)-ийг өөр хувилбар болгон нэмдэг ч энэ нь 2FA хэвээр байна. Эсвэл биш?
Дахин нэг удаа - ердийн нөхцөлд 2FA нь "миний Mac-ыг хакердсан, би энэ талаар мэдэхгүй" гэх мэт нөхцөл байдлыг шийддэг. Учир нь та Mac таны үйлчилгээний нууц үгийг мэддэг (та үүнийг аль хэдийн хадгалсан эсвэл дараагийн удаа үйлчилгээнд нэвтрэх үед үүнийг сонсох болно) гэж үзэж болно. Одоо та тэр SMS мэддэг байх болно гэж найдаж болно (эсвэл тэр хүссэн үедээ асууж болно, тэр үүнийг хүлээн авах болно).
Хоёр хүчин зүйлийн баталгаажуулалтыг санал болгодог ихэнх үйлчилгээ (Facebook, Dropbox, Google, Microsoft, ...) нь програм ашиглан нэг удаагийн нууц үг үүсгэх боломжийг олгодог (би Google Authenticator ашигладаг). Аппликешн нь бүртгэлтэй үйлчилгээнүүдийн хувьд хязгаарлагдмал хугацаатай кодыг байнга үүсгэдэг. Кодыг шууд хуулж аваад нэвтэрч ороход ашиглаж болно. Та SMS ирэхийг хүлээх шаардлагагүй бөгөөд хэрэв тэдгээрийг Mac руу шилжүүлсэн бол нийтлэлд дурдсан асуудлыг шийдээрэй.
Эвдэрсэн Mac-ууд нэвтэрч ороход SMS мессежтэй байна...
Үүнийг асууж болно. Хэрэв би програмыг ашиглан нэг удаагийн код үүсгэх хоёр үе шаттай баталгаажуулалтыг асаасан бол тухайн үйлчилгээ ямар ч SMS илгээдэггүй.
Хэрэв ямар нэг зүйл өөрчлөгдөөгүй бол олон үйлчилгээнүүд утсаа авахыг хүсч, SMS-г үндсэн сонголт болгон үлдээсэн. Тэгэхээр таны хакердсан компьютер буцаж ирлээ.
Олон тооны банктай бол сонголт байхгүй, зүгээр л SMS, тэгээд л болоо.
Би үүнийг маш тодорхой ойлгохгүй байна. Хэрэв хэн нэгэн миний Mac-г хулгайлсан бол би SMS-г унтрааж, Mac-ыг алсаас арчиж, банкинд нууц үгээ солино. Эсвэл юу барих вэ?
Та энэ нийтлэлийг уншихаасаа өмнө үүнийг хийх үү?
Үнэхээр, туйлын автоматаар.
Гэхдээ хоёр үе шаттай нэвтрэлт танилт нь халдагчид НУУЦ ҮГ ба SMS гэсэн хоёр баталгаажуулалт хэрэгтэй гэсэн үг юм. Энэ нь хэрэв би хэн нэгэн миний хосолсон Mac-ыг авах вий гэж айж байгаа бол нууц үгээ тэнд хадгалахгүй, хэрэв хэн нэгэн миний хөтчийг эвдвэл iMessage руу орохгүй гэсэн үг.
Энэ нь таны хөтөчөөс гарахгүй гэсэн баталгааг хаанаас авах вэ? Pwn4Fun болон Pwn2Own-ийн одоогийн үр дүнгээс харахад Safari-д дор хаяж хоёр тэг өдөр байгаа бололтой:
"Pwn4Fun дээр Google Apple Safari-г Mac OS X дээр үндэс болгон Тооны машиныг ажиллуулахын эсрэг маш гайхалтай алдаа гаргасан"
"Keen Team-ийн Лиан Чен:
Apple Safari-ийн эсрэг хамгаалагдсан хязгаарлагдмал орчныг тойрч гарах овоо халих нь кодыг гүйцэтгэхэд хүргэдэг."
Ногоон дэвсгэр дээр нимгэн цагаан үсэг - Тусгай сургуулийн сурагч ч гэсэн үүнийг илүү сайн санал болгож чадахгүй байсан ...
Үүнийг зогсоох нэг арга бол код үүсгэгчийг dongle-ээр солих явдал юм (жишээ нь: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) энэ нь аюулгүй бөгөөд илүү өндөр хамгаалалттай, KB нь үүнтэй төстэй зүйлийг хийх шаардлагатай байдаг - USB дискэнд байршуулсан гэрчилгээ, үүнгүйгээр хүн интернет банкинд холбогдох боломжгүй, заримдаа утас руу нэг удаагийн нууц үг илгээдэг гэх мэт. ... Олон боломж бий, гэхдээ хүн бүр өөрийн гэсэн байдаг, тэр аюулгүй байдал нь түүнд чухал эсэхийг шийдэх ёстой (нууц үгтэй эсэх, үгүй юу? гэх мэт).
Unicredit бол гайхалтай зүйлтэй. Ухаалаг түлхүүр нь сонгодог SMS-ээр хэзээ ч ирдэггүй, гэхдээ би гар утасны програм дээр нэг удаагийн нууц үг үүсгэдэг.
Би яагаад гэнэт одоог хүртэл боломжтой байсан мм-ийн богино видеог илгээж чадахгүй байгаа талаар зөвлөгөө хэрэгтэй байна уу? Зүгээр л видео оруулах сонголт байхгүй, энэ нь хариу өгөхгүй, мессеж рүү оруулахгүй
Баярлалаа