Video: Реклама подобрана на основе следующей информации: (Listopad 2024)
Většina Blackgrinova mrzutosti nemá většinu lidí zájem o nošení statického pracovního telefonu spolu se zábavným chytrým telefonem, který si vybrali sami. Proto velké společnosti investovaly značné prostředky do správy mobilních zařízení (MDM). Jak bezpečné jsou však tyto bezpečnostní nástroje? Nedávná demonstrace Black Hat měla překvapivé odpovědi.
Pro ty, kteří nejsou ve velkých společnostech, umožňuje MDM podnikovým IT ředitelům určitou úroveň kontroly nad osobními telefony zaměstnanců - samozřejmě s jejich souhlasem. MDM může například sekvestrovat prostor pro důvěrná data a instalovat speciální podnikové aplikace. Je to kritický bezpečnostní nástroj, ale Stephen Breen a Chris Camejo z NTT Com Security si myslí, že bychom měli klást několik velmi tvrdých otázek o tom, jak je to opravdu bezpečné.
Co je v nebezpečí
Moderátoři uvedli, že v současné době je k dispozici 180 milionů zařízení, která používají MDM, a očekává se, že do roku 2015 tento počet poroste na 390 millonů. Camejo uvedl, že 80% společností plánuje zavést řešení MDM pro své zaměstnanci. Většina z nich má přístup k podnikovým e-mailům.
Prostřednictvím jejich penetračního testování pár objevil nesčetné množství zranitelných míst. Většina z nich byla velmi základní, jako je ignorování autentizace, odesílání přihlašovacích tokenů bez šifrování (av některých případech tyto tokeny konfigurovat tak, aby nikdy nevypršela), a dokonce i nastavení fáze pro složitější útoky.
Tým s malým úsilím dospěl k závěru, že útočník mohl získat osobní informace nebo dokonce použít server MDM k vymazání nevinných telefonů. Pravděpodobně nejhorším možným útokem, který objevili, bylo napodobení legitimní identity telefonu na zařízení útočníka. Telefon útočníka by nyní mohl přistupovat ke všemu, co dokáže: e-mail, sdílené disky, dokumenty atd.
Problém je v tom, že mnoho různých prodejců udělalo stejné nebo podobné chyby. Probelmy jsou tedy endemické u různých poskytovatelů. Zajímavé je, že většina prezentace byla zaměřena na iOS, protože Apple stanoví přísné požadavky, které vývojáři MDM budou následovat. Podle Breen, Apple přístup se zdá zvuk.
Nezabezpečená bezpečnost
Přednášející ukončili svůj rozhovor několika překvapivými radami pro publikum. Především to bylo, že společnosti by měly velmi, velmi pečlivě přemýšlet o tom, co nasazují ve své síti. Možná, oni navrhli, tím, že opustí MDM všichni spolu.
"Všechno zvyšuje povrch útoku, " řekl Camejo. Může to znít bezcitně, ale v případě odcizení telefonu jednoho empolyee mají zloději přístup pouze k informacím tohoto zaměstnance. MDM však umožňuje mnohem větší poškození. "Vlnerable MDM server je špatnější než mobilní zařízení bez MDM."
Společnosti MDM také vzal úkol, co popsal, jako bezpečnost skrze nejasnost. Problémy, které našli, řekl Camejo, nebylo těžké odhalit. To znamená, že lidé jednoduše nehledají zranitelnosti, pravděpodobně kvůli vysokým nákladům na získání softwaru MDM.
Samozřejmě to není poprvé, co jsme viděli MDM používané pro zlo. Není to tak dávno, co Skycure použil takzvaný škodlivý profil k převzetí kontroly nad mým iPhone. Toto je jedno řešení, které může být horší než problém, jehož cílem je vyřešit.
