Mdm жахливий: коли рішення безпеки шкодять безпеці

На презирство Blackberry, більшість людей не зацікавлені в тому, щоб носити спокусливий робочий телефон разом із веселим смартфоном, який вони самі вибрали. Ось чому великі компанії вкладають значні кошти в управління мобільними пристроями (MDM). Але наскільки безпечні ці засоби безпеки? Нещодавна демонстрація Чорного капелюху отримала дивовижні відповіді.

Для тих, хто не в великих компаніях, MDM дозволяє корпоративним ІТ-директорам мати певний рівень контролю над персональними телефонами працівників - звичайно, за їх згодою. MDM може, наприклад, розширити простір для конфіденційних даних та встановити спеціальні корпоративні програми. Це важливий інструмент безпеки, але Стівен Брін та Кріс Камеджо з NTT Com Security вважають, що нам слід задавати дуже важкі запитання про те, наскільки це справді безпечно.

Що ризикує

Ведучі сказали, що зараз 180 мільйонів пристроїв, які використовують MDM, які використовують MDM зараз, і ця цифра, як очікується, зросте до 390 мільйонів до 2015 року. Кемеджо заявив, що понад 80 відсотків компаній планують впровадити рішення MDM для своїх службовців. Більшість із них мають доступ до корпоративного електронного листа.

Через тестування на проникнення пара виявила безліч вразливих місць. Більшість з них були дуже елементарними, такими як ігнорування автентифікації, надсилання жетонів входу без шифрування (а в деяких випадках і конфігурація цих маркерів, щоб ніколи не закінчувався термін дії), і навіть встановлення сцени для більш складних атак.

Команда зробила невеликі зусилля, зловмисник міг отримати особисту інформацію або навіть використовувати сервер MDM, щоб витерти невинних телефонів. Ймовірно, найгіршою можливою атакою, яку вони виявили, було наслідування законної ідентичності телефону на пристрої зловмисника. На телефон зловмисника тепер можна було отримати доступ до всього законного: електронної пошти, спільних дисків, документів тощо.

Проблема полягає в тому, що багато різних продавців допустили однакові чи подібні помилки. Таким чином, проблеми є ендемічними для різних постачальників. Цікаво, що основна частина презентації була зосереджена на iOS, оскільки Apple встановлює суворі вимоги до розробників MDM. За словами Бріна, підхід Apple виглядає звуковим.

Небезпечна безпека

Присутні завершили свою розмову деякими дивовижними порадами для присутніх. Найголовніше було те, що компанії повинні думати дуже і дуже ретельно про те, що вони розгортають у своїй мережі. Можливо, вони запропонували, відмовившись від MDM всіх разом.

"Все збільшує поверхню атаки", - сказав Камеджо. Це може здатися бездушним, але якщо вкрадений телефон одного співробітника, злодії мають доступ лише до інформації цього працівника. Але MDM дозволяє значно більше шкоди. "Вразливий сервер MDM - це більше погано, ніж мобільний пристрій без MDM."

Він також взяв на себе компанії, що керують MDM, для вирішення того, що він описав, як безпеки через неясність. За словами Камеджо, проблеми, які вони знайшли, виявити не складно. Це означає, що люди просто не шукають вразливості, можливо, через високу вартість, пов'язану з отриманням програмного забезпечення MDM.

Звичайно, це не перший раз, коли ми бачили, як MDM використовується для зла. Не так давно Skycure застосував так звану шкідливу атаку профілю, щоб взяти під контроль мій iPhone. Це одне рішення, яке може бути гіршим, ніж проблема, яку він має на меті вирішити.