וִידֵאוֹ: Boston Scientific e MdM contra a doença de Chagas: 1.ª Campanha de implantes em pacientes. Subt. (נוֹבֶמבֶּר 2024)
למרבה המצער של בלקברי, רוב האנשים לא מעוניינים לשאת טלפון עבודה מעוצב יחד עם הטלפון החכם המהנה שבחרו בעצמם. לכן חברות גדולות השקיעו רבות בניהול מכשירים ניידים (MDM). אך כמה מאובטחים כלי האבטחה הללו? להפגנה האחרונה של הכובע השחור היו תשובות מפתיעות.
לאלה שאינם חברות גדולות, MDM מאפשרת למנהלי IT בארגונים רמת שליטה מסוימת בטלפונים האישיים של העובדים - כמובן בהסכמתם. MDM יכול, למשל, לבצע שטח סיקסטרים לנתונים חסויים ולהתקין אפליקציות ארגוניות מיוחדות. זה כלי אבטחה קריטי, אבל סטיבן בריין וכריס קמג'ו מ- NTT Com Security חושבים שעלינו לשאול כמה שאלות קשות עד כמה הוא באמת מאובטח.
מה בסיכון
המגישים אמרו שיש כרגע 180 מיליון מכשירים מביאים משלך המשתמשים ב- MDM, והנתון הזה צפוי לגדול ל -390 מילון עד 2015. קמג'ו אמר כי למעלה מ -80 אחוז מהחברות מתכננות לפרוס פיתרון MDM לייצורן עובדים. רובם ניגשים לדוא"ל ארגוני.
באמצעות בדיקות החדירה שלהם, הזוג גילה מספר רב של פגיעויות. רובם היו בסיסיים ביותר, כגון התעלמות מאימות, שליחת אסימוני כניסה ללא הצפנה (ובמקרים מסוימים, הגדרת האסימונים הללו שלא יפוגו לעולם), ואפילו הגדרת השלב להתקפות מורכבות יותר.
עם מעט מאמץ, סיכם הצוות, התוקף יכול היה לקבל מידע אישי או אפילו להשתמש בשרת MDM כדי למחוק טלפונים תמימים. ככל הנראה, התקיפה הגרועה ביותר שגילו הייתה חיקוי זהות טלפון לגיטימית במכשיר התוקף. הטלפון של התוקף יכול כעת לגשת לכל מה שניתן לגיטימי: דוא"ל, כוננים משותפים, מסמכים וכו '.
המרכיב את הבעיה הוא שספקים רבים ושונים עשו את אותם הטעויות או טעויות דומות. לפיכך, הסיכויים הם אנדמיים בקרב ספקים שונים. מעניין שמרבית המצגת התמקדה ב- iOS מכיוון שאפל מציבה דרישות מחמירות למפתחי MDM לעקוב אחריה. על פי הבריין, הגישה של אפל נראית צלולה.
אבטחה לא בטוחה
המגישים סיכמו את שיחתם בעצות מפתיעות לקהל. בראש ובראשונה, חברות צריכות לחשוב היטב מאוד על מה שהן מפרסמות ברשת שלהן. אולי, הם הציעו, על ידי עזיבת MDM כולם יחד.
"הכל מגדיל את פני ההתקפה", אמר קמחו. זה אולי נשמע חסר לב, אבל אם הטלפון של אחד המפעלים נגנב, לגנבים יש גישה רק למידע של אותו עובד. אבל MDM מאפשר נזק הרבה יותר. "שרת MDM בעל פגיעות גרוע יותר ממכשיר נייד ללא MDM."
הוא גם לקח חברות MDM לבצע את מה שתאר כביטחון באמצעות אפלוליות. הבעיות שהם מצאו, אמר קמג'ו, לא היו קשים לגלות. פירוש הדבר שאנשים פשוט לא מחפשים פגיעויות, כנראה בגלל העלות הגבוהה הכרוכה בהשגת תוכנת MDM.
כמובן שזו לא הפעם הראשונה שראינו את MDM משמש לרע. לא מזמן Skycure השתמשה בהתקפת פרופיל זדונית כביכול כדי להשתלט על האייפון שלי. זהו פיתרון אחד שעשוי להיות גרוע יותר מהבעיה שהוא שואף לפתור.