Video: Реклама подобрана на основе следующей информации: (Lokakuu 2024)
Blackberryin kurinalaisuudesta huolimatta useimmat ihmiset eivät ole kiinnostuneita kannettavasta työpuhelimesta mukanaan otetun hauskan älypuhelimen mukana. Siksi suuret yritykset ovat investoineet paljon mobiililaitteiden hallintaan (MDM). Mutta kuinka turvallisia nämä turvallisuustyökalut ovat? Äskettäisessä Black Hat -esittelyssä oli yllättäviä vastauksia.
Niille, jotka eivät ole suuryrityksissä, MDM antaa yritysten IT-johtajille mahdollisuuden hallita työntekijöiden henkilöpuhelimia jonkin verran - tietysti heidän suostumuksellaan. MDM voi esimerkiksi kerätä tilaa luottamuksellisille tiedoille ja asentaa erityisiä yrityssovelluksia. Se on kriittinen tietoturvatyökalu, mutta NTT Com Securityn Stephen Breen ja Chris Camejo ajattelevat, että meidän pitäisi kysyä erittäin kovia kysymyksiä siitä, kuinka turvallinen se todella on.
Mikä on vaarassa
Toimittajat kertoivat, että MDM: ää käyttää tällä hetkellä 180 miljoonaa omaa laitetta. Tämän luvun odotetaan kasvavan 390 miljoonaan miljoonaan vuoteen 2015 mennessä. Camejo kertoi, että yli 80 prosenttia yrityksistä suunnittelee ottavansa MDM-ratkaisun käyttöön työntekijät. Suurin osa heistä käyttää yritysten sähköpostia.
Pariskunta havaitsi tunkeutumattomuuden testaamalla lukemattomia haavoittuvuuksia. Suurin osa niistä oli hyvin yksinkertaisia, kuten todentamisen laiminlyöminen, kirjautumistunnusten lähettäminen ilman salausta (ja joissain tapauksissa niiden määrittäminen niin, että ne eivät koskaan vanhene) ja jopa vaiheiden asettaminen monimutkaisemmille hyökkäyksille.
Ryhmä päätteli pienellä vaivalla, että hyökkääjä voi hankkia henkilökohtaisia tietoja tai jopa käyttää MDM-palvelinta viattomien puhelimien pyyhkimiseen. Niiden todennäköisesti pahin mahdollinen hyökkäys oli laillisen puhelimen henkilöllisyyden jäljittely hyökkääjän laitteella. Hyökkääjän puhelin voi nyt käyttää kaikkea mitä laillinen voi: sähköpostia, jaettuja asemia, asiakirjoja jne.
Ongelman lisääminen on se, että monet eri myyjät ovat kaikki tehneet samoja tai samanlaisia virheitä. Näin ollen koetimet ovat endeemisiä eri toimittajien välillä. Mielenkiintoista, että suurin osa esityksestä keskittyi iOS: iin, koska Apple asettaa tiukat vaatimukset MDM-kehittäjille. Breenin mukaan Applen lähestymistapa näyttää hyvältä.
Turvaton tietoturva
Esittelijät päättivät keskustelunsa yllättävillä neuvoilla yleisölle. Tärkeintä oli, että yritysten tulisi miettiä erittäin huolellisesti sitä, mitä ne käyttävät verkossaan. Ehkä he ehdottivat luopumista MDM: stä kaikesta yhdessä.
"Kaikki lisää hyökkäyspinta-alaa", Camejo sanoi. Se voi kuulostaa sydämettömältä, mutta jos yhden työntekijän puhelin varastetaan, varkailla on pääsy vain työntekijän tietoihin. Mutta MDM sallii paljon enemmän vaurioita. "Helppokäyttöinen MDM-palvelin on huonompi kuin mobiililaite, jolla ei ole MDM: tä."
Hän vei myös MDM-yhtiöt tehtäväksi, jota hän kuvasi, turvallisuudeksi hämärtymisen kautta. Camejo sanoi, että heidän löytämiään ongelmia ei ollut vaikea löytää. Tämä tarkoittaa, että ihmiset yksinkertaisesti eivät etsi haavoittuvuuksia, luultavasti MDM-ohjelmistojen hankkimisesta aiheutuvien kalliiden kustannusten vuoksi.
Tietenkään, tämä ei ole ensimmäinen kerta, kun olemme nähneet MDM: n käyvän pahoin. Ei kauan sitten, että Skycure käytti ns. Haitallista profiilia-hyökkäystä hallitakseen iPhone -sovellustani. Tämä on yksi ratkaisu, joka voi olla huonompi kuin ongelma, jonka sillä pyritään ratkaisemaan.
