Video: ПРЯМОТОК НА ВАЗ 2109(STINGER) SUBARU нервно курит в сторонке (Oktober 2024)
Mye til Blackberrys uhygge, de fleste er ikke interessert i å ta med seg en stodgy arbeidstelefon sammen med den morsomme smarte telefonen de plukket ut selv. Derfor har store selskaper investert mye i styring av mobilenheter (MDM). Men hvor sikre er disse sikkerhetsverktøyene? En fersk demonstrasjon av Black Hat hadde overraskende svar.
For de som ikke er i store selskaper, lar MDM bedrifts-IT-direktører ha et visst nivå av kontroll over ansattes personlige telefoner - med deres samtykke, selvfølgelig. MDM kan for eksempel sequester plass for konfidensiell data og installere spesielle bedriftsapper. Det er et kritisk sikkerhetsverktøy, men Stephen Breen og Chris Camejo fra NTT Com Security mener vi burde stille noen veldig harde spørsmål om hvor sikker det virkelig er.
Hva er i faresonen
Presentatene sa at det er 180 millioner bringe dine egne enheter som bruker MDM akkurat nå, og det tallet forventes å vokse til 390 millon innen 2015. Camejo sa at oppover 80 prosent av selskapene planlegger å rulle ut en MDM-løsning til deres ansatte. De fleste av dem får tilgang til bedriftens e-post.
Gjennom deres penetrasjonstesting oppdaget paret et mylder av sårbarheter. De fleste av dem var veldig grunnleggende, for eksempel å ignorere autentisering, sende innloggingsporetter uten kryptering (og i noen tilfeller konfigurere disse kodene til aldri å utløpe), og til og med sette scenen for mer komplekse angrep.
Med liten innsats, konkluderte teamet, kunne en angriper innhente personlig informasjon eller til og med bruke MDM-serveren til å tørke uskyldige telefoner. Sannsynligvis det verste mulige angrepet de oppdaget, var å etterligne en legitim telefons identitet på en angriperes enhet. Angriperens telefon kunne nå få tilgang til alt det legitime man kan: e-post, delte stasjoner, dokumenter osv.
Å sammensette problemet er at mange forskjellige leverandører alle har gjort de samme, eller lignende feil. Dermed er probelmene endemiske på tvers av forskjellige tilbydere. Interessant nok fokuserte hoveddelen av presentasjonen på iOS fordi Apple stiller strenge krav til MDM-utviklere å følge. I følge Breen fremstår Apples tilnærming som lyd.
Usikker sikkerhet
Presentatørene avsluttet foredraget sitt med noen overraskende råd for publikum. Fremst var at selskaper skulle tenke veldig, veldig nøye på hva de distribuerer i nettverket sitt. Kanskje, foreslo de, ved å forgi MDM alle sammen.
"Alt øker angrepsoverflaten, " sa Camejo. Det høres kanskje hjerteløst ut, men hvis en myndighetsperson blir stjålet, har tyvene bare tilgang til den ansattes informasjon. Men MDM gir rom for mye mer skade. "En vlnerbar MDM-server er mer dårlig enn en mobilenhet uten MDM."
Han tok også MDM-selskaper til oppgaven for, det han beskrev, som sikkerhet gjennom uklarhet. Problemene de fant, sa Camejo, var ikke vanskelige å oppdage. Det innebærer at folk rett og slett ikke er ute etter sårbarheter, sannsynligvis på grunn av de høye kostnadene som er forbundet med å skaffe MDM-programvare.
Selvfølgelig er dette ikke første gang vi har sett MDM brukt til det onde. Det var ikke lenge siden at Skycure brukte et såkalt ondsinnet profilangrep for å ta kontroll over iPhone-en min. Dette er en løsning som kan være verre enn problemet den har som mål å løse.
