Видео: [Lesson 17] Mobile Device Management - Jamf 100 Course (Ноември 2024)
За голямо удоволствие на Blackberry, повечето хора не се интересуват от носенето на жилав работен телефон, заедно със забавния смарт телефон, който сами са избрали. Ето защо големите компании инвестираха много в управлението на мобилни устройства (MDM). Но колко сигурни са тези инструменти за сигурност? Скорошна демонстрация на Black Hat имаше изненадващи отговори.
За тези, които не са в големи компании, MDM позволява на корпоративните ИТ директори да имат някакво ниво на контрол върху личните телефони на служителите - с тяхното съгласие, разбира се. MDM може например да секвестира място за поверителни данни и да инсталира специални корпоративни приложения. Това е критичен инструмент за сигурност, но Стивън Брийн и Крис Камеджо от NTT Com Security смятат, че трябва да задаваме някои много тежки въпроси за това колко е сигурно в действителност.
Какво е в риск
Презентаторите казаха, че има 180 милиона устройства за собствено използване, използващи MDM в момента, и тази цифра се очаква да нарасне до 390 милиона до 2015 г. Камеджо заяви, че над 80 процента от компаниите планират да внедрят MDM решение на своите служителите. Повечето от тях имат достъп до корпоративен имейл.
Чрез тестовете си за проникване двойката откри безброй уязвимости. Повечето от тях бяха много основни, като игнориране на автентификацията, изпращане на маркери за вход без криптиране (а в някои случаи и конфигуриране на тези символи, които никога не изтичат) и дори създаване на сцена за по-сложни атаки.
С малко усилия, заключи екипът, нападател може да получи лична информация или дори да използва MDM сървъра, за да изтрие невинни телефони. Вероятно най-лошата възможна атака, която откриха, беше имитирането на законна идентичност на телефона на устройството на нападателя. Телефонът на нападателя вече може да има достъп до всичко, което законният човек може: имейл, споделени устройства, документи и т.н.
Проблемът се състои в това, че много различни доставчици са направили едни и същи или подобни грешки. По този начин, probelms са ендемични за различни доставчици. Интересно е, че по-голямата част от презентацията беше насочена към iOS, тъй като Apple задава строги изисквания, които MDM разработчиците да следват. Според Breen, подходът на Apple изглежда звучен.
Несигурна сигурност
Присъстващите завършиха разговора си с някои изненадващи съвети за публиката. Най-важното е, че компаниите трябва да мислят много, много внимателно за това, което внедряват в своята мрежа. Може би, предположиха те, като се отказаха от MDM всички заедно.
"Всичко увеличава атакуващата повърхност", каза Камеджо. Може да ви звучи безсърдечно, но ако телефонът на един емполией бъде откраднат, крадците имат достъп само до информацията на този служител. Но MDM позволява много повече щети. „Уязвим MDM сървър е по-лош от мобилно устройство без MDM.“
Той също така заведе компаниите на MDM да изпълни задачата за това, което той описа, като сигурността чрез неизвестност. Проблемите, които намериха, каза Камеджо, не бяха трудни за откриване. Това означава, че хората просто не търсят уязвимости, вероятно поради високата цена, свързана с получаването на MDM софтуер.
Разбира се, това не е първият път, когато виждаме MDM, използван за зло. Не много отдавна Skycure използва така наречената атака на злонамерен профил, за да поеме контрола върху моя iPhone. Това е едно решение, което може да е по-лошо от проблема, който цели да реши.