Ondrej Holzman Ancu s'è e novi funziunalità introdutte in OS X Yosemite è iOS 8 portanu assai funzioni utili à l'utilizatori chì simplificanu l'usu di parechje dispositi, ponu ancu esse una minaccia per a sicurità. Per esempiu, trasmetta missaghji testu da un iPhone à un Mac assai facirmenti bypasses verification dui-passu quandu firmà in diversi servizii.
L'inseme di funzioni di Continuità, in quale Apple cunnetta l'urdinatori cù i dispositi mobili in l'ultimi sistemi operativi, hè assai interessante, soprattuttu in quantu à e rete è tecniche chì utilizanu per cunnette iPhones è iPads à Mac. A continuità include l'abilità di fà chjamate da un Mac, mandà fugliali via AirDrop, o creà rapidamente un hotspot, ma avà ci concentreremu nantu à invià SMS regulare à l'urdinatori.
Questa funzione relativamente inconspicuous, ma assai utile, pò, in u peghju casu, trasfurmà in un foru di sicurità chì permette à un attaccu di ottene dati per a seconda fase di verificazione quandu accede à i servizii selezziunati. Parlemu quì di u chjamatu login in dui fasi, chì, in più di i banche, hè digià implementatu da parechji servizii di Internet è hè assai più sicuru ch'è s'ellu avete un contu prutettu solu da una password classica è unica.
A verificazione in dui fasi pò esse realizatu in diverse manere, ma quandu parlemu di a banca in linea è di altri servizii di Internet, a maiò spessu scontru l'inviu di un codice di verificazione à u vostru numeru di telefunu, chì avete da entre dopu à inserisce a vostra password regulare. Dunque, se qualchissia piglia a vostra password (o l'urdinatore cumpresa a password o un certificatu), generalmente avè bisognu di u vostru telefunu mobile, per esempiu, per accede à Internet banking, induve un SMS cù a password per a seconda fase di verificazione ghjunghjerà. .
Ma u mumentu chì avete tutti i vostri missaghji di testu trasmessi da u vostru iPhone à u vostru Mac è un attaccu piglia u vostru Mac, ùn anu più bisognu di u vostru iPhone. Per rinvià i missaghji SMS classici, ùn hè micca bisognu di cunnessione diretta trà iPhone è Mac - ùn anu micca bisognu di esse in a listessa rete Wi-Fi, u Wi-Fi ùn deve ancu esse attivatu, cum'è Bluetooth, è tuttu ciò chì hè necessariu hè di cunnette i dui dispositi à Internet. U serviziu SMS Relay, cum'è l'invio di i missaghji hè ufficialmente chjamatu, cumunicà via u protocolu iMessage.
In pratica, u modu di travagliu hè chì, ancu s'è u missaghju ghjunghje à voi cum'è un SMS normale, Apple u processa cum'è un iMessage è u trasferisce nantu à Internet à u Mac (questu hè cumu hà travagliatu cù iMessage prima di l'avventu di SMS Relay) , induve si mostra cum'è un SMS, chì hè indicatu da una bolla verde. iPhone è Mac ponu esse in una cità sfarente, solu i dui dispositi necessitanu una cunnessione Internet.
Pudete ancu ottene una prova chì SMS Relay ùn funziona micca in Wi-Fi o Bluetooth in a manera seguente: attivate u modalità aereo in u vostru iPhone è scrivite è mandate un SMS in un Mac cunnessu à Internet. Allora disconnect u Mac da Internet è, à u cuntrariu, cunnette l'iPhone à questu (internet mobile hè abbastanza). U SMS hè mandatu ancu s'è i dui dispusitivi ùn anu mai cumunicatu direttamente cù l'altri - tuttu hè assicuratu da u protocolu iMessage.
Cusì, quandu si usa l'invio di missaghju, hè necessariu di mantene in mente chì a sicurità di l'autentificazione à dui fattori hè cumprumessa. In l'eventu chì u vostru urdinatore hè arrubatu, disattivà a messageria immediatamente hè u modu più veloce è più faciule per impedisce u putenziale pirate di i vostri cunti.
Ingressu in Internet banking hè più còmuda quandu ùn avete micca bisognu di riscrive u codice di verificazione da u display di u telefuninu, ma solu copià da Messages in Mac, ma a sicurità hè assai più impurtante in questu casu, chì manca assai per via di SMS Relay. . Una suluzione à stu prublema puderia esse, per esempiu, a pussibilità di escludiri numeri specifichi da a trasmissioni in Mac, postu chì i codici SMS sò generalmente da i stessi numeri.
Comu dissi in l 'ultimu paràgrafu - a capacità di cupià u codice hè assai più còmuda è megliu.
In più - se qualcunu robba u mo MacBook, a prima cosa chì facciu hè bluccà è disattivà tutte l'"inviazioni" è a Continuità in l'iPhone - hè per quessa chì ci hè ancu questa opzione in Settings / Messages. :)
È s'è qualcunu l'attacca à voi, ferma ancu voi ?
E perchè avè l'autorizazione in dui passi quandu pudete bluccà immediatamente u dispusitivu arrubatu, eh?
A verificazione in dui passi hè un serviziu di terzu, perchè ùn possu micca aduprà o ignorà, almenu in u casu di i banche. È bluccà o sguassà u mo Mac via Find my Mac. I beneficii di l'invio di SMS superanu se ùn vecu micca u diavulu daretu à tuttu.
Nimu ùn importa di u furtu, a criptografia di discu sanu risolve questu. Ma chì fate cù un computer pirate? Probabilmente nunda, ùn sapete micca.
Ebbè, sicuru, i vantaghji prevalenu, nimu vede u diavulu è l'utilizatore sempre scambia a sicurità per un porcu di ballu.
Per via, avete l'impressione chì i banche vi furzà à mandà SMS solu per piacè ?
se qualchissia hè preoccupatu allora ùn l'utilizate micca. Sò assai cuntentu cun ellu
E quelli chì ùn anu micca preoccupazioni in cumminazione cù 2FA ùn anu mancu aduprà, perchè ovviamente ùn sanu micca ciò chì facenu.
E cumu escluderaghju un numeru specificu in u Macbook è lasciallu in l'iPhone? Grazie per a risposta
AFAIK a megliu opzione hè "disattivate l'inviu di missaghji di testu sottu Missaghji in Settings (da u vostru iPhone)."
Se ùn sò micca sbagliatu, ùn hè micca pussibule di whitelist ciò chì deve esse trasmessu, nè blacklist what not.
Ebbè, ùn hè micca più faciule per arrubà un telefuninu chè un Mac ? Iè, pudete avè una password per u telefuninu, ma ancu per MAC. Ùn sò micca un espertu, ma hè prubabilmente micca faciule d'arrivà à u Mac s'ellu ùn cunnosci micca a password (ùn vogliu micca dì à leghje i dati, ma à login in modu chì u relé SMS principia).
Inoltre, ùn vi scurdate chì avemu parlatu di doppia sicurezza, induve a prima fase hè a principale - entre in a password per onore è s'ellu ùn l'avete micca scrittu annantu à u MAC o in qualchì documentu di testu in l'internu, allora ci hè. senza accessu à u bancu (è ùn utilizate micca 1111 cum'è password :-))
Cusì, arrubbari un mac vi prubbabbirmenti causari lu cchiù granni dannu a causa di u veru prezzu di u mac.
2FA ùn risolve micca u furtu primariu di Mac o IP. A suluzione hè chì l'attaccante hà da ottene u cuntrollu di u Mac è qualcosa altru. U Mac hè abbastanza per ellu avà. Coz nega tutti i benefici di 2FA.
(U cunsigliu hè di prutezzione di a variante "attaccante in Mac cuntrola solu u navigatore", chì probabilmente ùn hè micca una situazione cumpletamente cuntrullata).
Hè solu chì si cunsiderà chì Mac hè totalmente sicuru (haha), allora ùn avete micca affruntà cù 2FA. È s'ellu ùn hè micca, allora 2FA hà cessatu di portà quella sicurezza aumentata, cum'è driv.
È una volta più, assai vividly - andate à u situ web "nicnebezpecneho.cz", chì hè periculosu per una sfurtunata serie di circustanze. Questu pò accade à voi abbastanza facilmente - ùn avete micca bisognu à andà à i siti web porno subitu, hè abbastanza per qualcunu per ùn assicurà micca u blog chì visitate è lascià inserisce javascript micca sanitizatu in i cumenti. Ci hè un sfruttamentu remotu per u vostru navigatore in quella pagina (questu pò ancu succede à voi, nunda assai inusual). O lasciate intrappulà in l'ingegneria suciale ...
... dopu à uni pochi d'ore andate à mandà soldi da u bancu (si accede à gmail, github...). Fendu cusì, inserite i dati di login in l'urdinatore digià cumprumissu (o ùn avete mancu bisognu di fà quessa s'ellu avete queste password salvate) è copià è incollà u codice da l'SMS una volta.
..è di notte, u vostru urdinatore logs in u bancu (gmail...) da ellu stessu, a password hè digià stata salvata da qualchissia cù malware. Ùn riceverete micca un SMS di cunferma in u vostru telefuninu, ma ... in quellu computer cumprumissu.
2FA risolve esattamente questi scenarii. Finu à Apple hà ruttu.
Pensu chì 2FA significa chì aghju da pruvà à mè da 2 cose, per esempiu:
- codice
- cù un telefonu chì accetta SMS
Ebbè, trasmette SMS à Mac à u telefunu aghjunghje ancu u Mac (o più Mac è iPad chì aghju accoppiatu) cum'è alternativa, ma hè sempre 2FA. O micca ?
Una volta - in circustanze nurmali, 2FA risolve situazioni cum'è "u mo Mac hè piratatu è ùn sò micca sapè". Perchè allora pudete assume chì u Mac cunnosci a vostra password per u serviziu (chì l'avete digià salvatu o l'ascolterà a prossima volta chì accede à u serviziu). È avà pudete aspittà chì ellu cunnosce ancu SMS (o pò dumandà in ogni mumentu è riceverà).
A maiò parte di i servizii chì offrenu l'autentificazione à dui fattori (Facebook, Dropbox, Google, Microsoft, ...) permettenu di creà password una volta cù una app (aghju utilizatu Google Authenticator). L'applicazione genera constantemente codici limitati in u tempu per i servizii registrati. U codice pò esse copiatu immediatamente è utilizatu per login. Ùn ci vole micca aspittà chì l'SMS arrivà è, s'ellu sò trasmessi à u Mac, risolve u prublema discritta in l'articulu.
I Mac cumprumessi anu messagi SMS quandu si accede ...
Sentite liberu di dumandà questu. Se aghju attivatu a verificazione in dui fasi cù a generazione di un codice una volta cù l'applicazione, u serviziu datu ùn manda micca SMS.
Se qualcosa ùn hè micca cambiatu, assai servizii vulianu u telefunu è lascianu SMS cum'è l'opzione predeterminata. Allora u vostru urdinatore pirate hè tornatu.
Cù un gran numaru di banche, ùn ci hè micca scelta, solu un SMS è basta.
Ùn capiscu micca questu assai chjaramente. Se qualchissia ruba u mo Mac, aghju disattivu SMS, sguassate remotamente u Mac è cambia a password à u bancu. O chì hè a cattura?
Fate cusì prima di leghje stu articulu?
Assolutamente, assolutamente automaticamente.
Ma l'autentificazione in dui fasi hè di u fattu chì l'attaccu hà bisognu di duie cunferma: PASSWORD E SMS. Questu significa chì s'ellu aghju paura chì qualchissia pigliarà u mo Mac accoppiatu, ùn aghju micca guardatu a password, è se qualchissia pirate u mo navigatore, ùn entrerà micca in iMessage.
Induve uttene l'assicurazione chì ùn esce micca da u vostru navigatore? Sicondu i risultati attuali di Pwn4Fun è Pwn2Own, pare chì ci sò almenu dui ghjorni zero per Safari:
"In Pwn4Fun, Google hà fattu un sfruttamentu assai impressiunanti contr'à Apple Safari chì lanciava Calculator cum'è root in Mac OS X"
"Da Liang Chen di Keen Team:
Contr'à Apple Safari, un overflow di cumunu cù un bypass di sandbox, risultatu in l'esecuzione di codice ".
Lettere bianche sottili nantu à un fondo verde - mancu un allievu di una scola speciale puderia avè suggeritu megliu ...
Unu di i modi per piantà questu hè di rimpiazzà a generazione di codice via un dongle (per esempiu questu: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) hè sicuru è permette una sicurità più altu, KB hà ancu bisognu di fà qualcosa di simile - un certificatu caricatu à un discu USB, senza chì una persona ùn pò micca cunnette à Internet banking, più qualchì volta una password unica hè mandata à u telefunu, etc. ... Ci hè parechje pussibulità, ma ognunu hà u so propiu hà da decide s'ellu hè impurtante per ella a sicurità (s'ellu hà una password o micca ? etc.)
Unicredit hà una grande cosa. A chjave intelligente ùn hè mai un SMS classicu, ma generu una password unica in l'applicazione mobile.
Aghju bisognu di cunsiglii per quessa ch'e di colpu ùn possu micca mandà un video breve mm, chì era pussibule finu à avà? Ùn ci hè micca opzione per inserisce simpricimenti un video, ùn risponde micca, ùn l'inserisce micca in u messagiu
Grazie