Casa Vigilant de seguretat Mdm és terrible: quan les solucions de seguretat perjudiquen la seguretat

Mdm és terrible: quan les solucions de seguretat perjudiquen la seguretat

Vídeo: This is what it's like to go undercover in North Korea | Suki Kim (De novembre 2024)

Vídeo: This is what it's like to go undercover in North Korea | Suki Kim (De novembre 2024)
Anonim

Molt per l’argument de Blackberry, a la majoria de la gent no li interessa portar un telèfon de treball inquiet i el divertit telèfon intel·ligent que van escollir ells mateixos. És per això que les grans empreses han invertit molt en la gestió de dispositius mòbils (MDM). Però, quina seguretat tenen aquestes eines de seguretat? Una recent demostració del Barret Negre va tenir respostes sorprenents.

Per a aquells que no són grans empreses, MDM permet que els directors d’informàtica corporativa tinguin algun nivell de control sobre els telèfons personals dels empleats, amb el seu consentiment, per descomptat. MDM pot, per exemple, cercar espai per a dades confidencials i instal·lar aplicacions corporatives especials. És una eina crítica de seguretat, però Stephen Breen i Chris Camejo de NTT Com Security creuen que hauríem de fer algunes preguntes molt dures sobre la seguretat que és realment.

Què hi ha en risc

Els presentadors van dir que hi ha ara 180 milions de dispositius propis que utilitzen MDM ara mateix i que es preveu que creixi fins a 390 milions el 2015. Camejo va dir que cap al 80 per cent de les empreses preveuen tirar endavant una solució MDM. empleats. La majoria d’ells per accedir al correu electrònic corporatiu.

A través de les seves proves de penetració, la parella va descobrir una infinitat de vulnerabilitats. La majoria d'ells eren molt bàsics, com ignorar l'autenticació, enviar fitxes d'inici de sessió sense xifrat (i en alguns casos, configurar aquestes fitxes perquè no caduquin mai) i fins i tot configurar l'escenari per a atacs més complexos.

Amb poc esforç, va concloure l'equip, un atacant podria obtenir informació personal o fins i tot utilitzar el servidor MDM per eixugar telèfons innocents. Probablement el pitjor atac possible que van descobrir va ser imitar la identitat d’un telèfon legítim al dispositiu de l’atacant. El telèfon de l’atacant ara podria accedir a tot allò legítim que es pot: correu electrònic, unitats compartides, documents, etc.

Compondre el problema és que molts venedors diferents han comès tots els mateixos errors o similars. Així, els probelmes són endèmics de diferents proveïdors. Curiosament, la major part de la presentació es va centrar en iOS, perquè Apple estableix uns requisits estrictes per als desenvolupadors de MDM. Segons Breen, l'enfocament d'Apple sembla sonat.

Seguretat insegura

Els presentadors van concloure la seva xerrada amb alguns consells sorprenents per al públic. El més important era que les empreses haurien de pensar molt, amb molta cura el que despleguen a la seva xarxa. Potser, van suggerir, enviant MDM tots junts.

"Tot augmenta la superfície d'atac", va dir Camejo. Pot semblar descoratjat, però si es roba el telèfon d’un empatjat, els lladres només tenen accés a la informació d’aquest empleat. Però MDM permet molt més danys. "Un servidor MDM vlnerable és més dolent que un dispositiu mòbil sense MDM."

També va portar a les empreses MDM per fer tasques, el que va descriure, com a seguretat mitjançant l'obscuritat. Va dir Camejo, els problemes que van trobar, no van ser difícils de descobrir. Això implica que les persones simplement no busquen vulnerabilitats, probablement a causa de l’alt cost que comporta l’obtenció de programari MDM.

Per descomptat, no és la primera vegada que veiem MDM utilitzat per al mal. No feia temps que Skycure va utilitzar un anomenat atac de perfil maliciós per controlar el meu iPhone. Aquesta és una solució que pot ser pitjor que el problema que vol solucionar.

Mdm és terrible: quan les solucions de seguretat perjudiquen la seguretat