Video: Реклама подобрана на основе следующей информации: (Tháng mười một 2024)
Phần lớn sự khó chịu của Blackberry, hầu hết mọi người không quan tâm đến việc mang theo một chiếc điện thoại công sở cứng nhắc cùng với chiếc điện thoại thông minh thú vị mà họ tự chọn ra. Đó là lý do tại sao các công ty lớn đã đầu tư rất nhiều vào quản lý thiết bị di động (MDM). Nhưng làm thế nào an toàn là những công cụ bảo mật? Một cuộc biểu tình gần đây của Mũ Đen đã có câu trả lời đáng ngạc nhiên.
Đối với những người không ở các công ty lớn, MDM cho phép các giám đốc CNTT của công ty có một số mức độ kiểm soát đối với điện thoại cá nhân của nhân viên - tất nhiên là có sự đồng ý của họ. MDM có thể, ví dụ, không gian tuần tự cho dữ liệu bí mật và cài đặt các ứng dụng đặc biệt của công ty. Đây là một công cụ bảo mật quan trọng, nhưng Stephen Breen và Chris Camejo từ NTT Com Security nghĩ rằng chúng ta nên hỏi một số câu hỏi rất khó về mức độ an toàn thực sự của nó.
Có nguy cơ gì
Những người thuyết trình nói rằng có 180 triệu thiết bị mang theo của bạn sử dụng MDM ngay bây giờ và con số đó dự kiến sẽ tăng lên mức 390 triệu vào năm 2015. Camejo nói rằng có tới 80% các công ty dự định tung ra giải pháp MDM cho họ nhân viên. Hầu hết trong số họ để truy cập email công ty.
Thông qua thử nghiệm thâm nhập của họ, cặp đôi đã phát hiện ra vô số lỗ hổng. Hầu hết trong số chúng rất cơ bản, chẳng hạn như bỏ qua xác thực, gửi mã thông báo đăng nhập mà không cần mã hóa (và trong một số trường hợp, định cấu hình các mã thông báo đó để không bao giờ hết hạn) và thậm chí đặt giai đoạn cho các cuộc tấn công phức tạp hơn.
Với ít nỗ lực, nhóm nghiên cứu kết luận, kẻ tấn công có thể lấy thông tin cá nhân hoặc thậm chí sử dụng máy chủ MDM để xóa sạch những chiếc điện thoại vô tội. Có khả năng cuộc tấn công tồi tệ nhất mà họ phát hiện ra là bắt chước một danh tính hợp pháp trên thiết bị của kẻ tấn công. Giờ đây, điện thoại của kẻ tấn công có thể truy cập mọi thứ mà người hợp pháp có thể: email, ổ đĩa chung, tài liệu, v.v.
Vấn đề đặt ra là nhiều nhà cung cấp khác nhau đều mắc lỗi tương tự hoặc tương tự. Do đó, các probelms là đặc hữu của các nhà cung cấp khác nhau. Điều thú vị là phần lớn bài thuyết trình tập trung vào iOS vì Apple đặt ra các yêu cầu nghiêm ngặt để các nhà phát triển MDM tuân theo. Theo Breen, cách tiếp cận của Apple xuất hiện âm thanh.
Bảo mật không an toàn
Những người thuyết trình kết thúc cuộc nói chuyện của họ với một số lời khuyên đáng ngạc nhiên cho khán giả. Điều quan trọng nhất là các công ty nên suy nghĩ rất, rất cẩn thận về những gì họ triển khai trên mạng của họ. Có lẽ, họ đề nghị, bằng cách gửi MDM tất cả cùng nhau.
"Mọi thứ làm tăng bề mặt tấn công, " Camejo nói. Nghe có vẻ vô tâm, nhưng nếu điện thoại của một người bị đánh cắp, kẻ trộm chỉ có quyền truy cập vào thông tin của nhân viên đó. Nhưng MDM cho phép thiệt hại nhiều hơn. "Máy chủ MDM vlnerable tệ hơn thiết bị di động không có MDM."
Ông cũng đã đưa các công ty MDM vào nhiệm vụ, những gì ông mô tả, là bảo mật thông qua che khuất. Những vấn đề họ tìm thấy, Camejo nói, không khó để khám phá. Điều đó ngụ ý rằng mọi người chỉ đơn giản là không tìm kiếm các lỗ hổng, có thể là do chi phí cao liên quan đến việc có được phần mềm MDM.
Tất nhiên, đây không phải là lần đầu tiên chúng ta thấy MDM được sử dụng cho mục đích xấu. Cách đây không lâu, Skycure đã sử dụng một cuộc tấn công hồ sơ độc hại được gọi là để kiểm soát iPhone của tôi. Đây là một giải pháp có thể tồi tệ hơn vấn đề mà nó nhắm đến để giải quyết.