Lar Securitywatch Mdm é terrível: quando as soluções de segurança prejudicam a segurança

Mdm é terrível: quando as soluções de segurança prejudicam a segurança

Vídeo: Políticas de segurança pública | Políticas públicas em debate (Novembro 2024)

Vídeo: Políticas de segurança pública | Políticas públicas em debate (Novembro 2024)
Anonim

Para desgosto do Blackberry, a maioria das pessoas não está interessada em carregar um telefone comercial pesado, juntamente com o telefone inteligente que eles escolheram. É por isso que as grandes empresas investiram pesadamente no gerenciamento de dispositivos móveis (MDM). Mas quão seguras são essas ferramentas de segurança? Uma recente demonstração do Black Hat teve respostas surpreendentes.

Para quem não está nas grandes empresas, o MDM permite que os diretores corporativos de TI tenham algum nível de controle sobre os telefones pessoais dos funcionários - com o consentimento deles, é claro. O MDM pode, por exemplo, seqüestrar espaço para dados confidenciais e instalar aplicativos corporativos especiais. É uma ferramenta de segurança crítica, mas Stephen Breen e Chris Camejo, da NTT Com Security, pensam que deveríamos estar fazendo algumas perguntas muito difíceis sobre o quão seguro é realmente.

O que está em risco

Os apresentadores disseram que existem 180 milhões de dispositivos de uso pessoal usando MDM no momento, e esse número deve crescer para 390 milhões em 2015. Camejo disse que mais de 80% das empresas planejam implantar uma solução MDM para seus produtos. funcionários. A maioria deles acessa o email corporativo.

Através do teste de penetração, os dois descobriram uma infinidade de vulnerabilidades. A maioria deles era muito básica, como ignorar a autenticação, enviar tokens de login sem criptografia (e, em alguns casos, configurar esses tokens para nunca expirarem) e até preparar o cenário para ataques mais complexos.

Com pouco esforço, concluiu a equipe, um invasor pode obter informações pessoais ou até mesmo usar o servidor MDM para limpar telefones inocentes. Provavelmente, o pior ataque possível que eles descobriram foi imitar a identidade de um telefone legítimo no dispositivo de um invasor. O telefone do invasor agora pode acessar tudo o que é legítimo: email, unidades compartilhadas, documentos etc.

Para agravar o problema, muitos fornecedores diferentes cometeram erros iguais ou semelhantes. Assim, os problemas são endêmicos em diferentes provedores. Curiosamente, a maior parte da apresentação se concentrou no iOS porque a Apple estabelece requisitos rigorosos para os desenvolvedores de MDM seguirem. Segundo a Breen, a abordagem da Apple parece sólida.

Segurança insegura

Os apresentadores concluíram a palestra com alguns conselhos surpreendentes para o público. O principal era que as empresas deveriam pensar com muito cuidado no que implantam em sua rede. Eles sugeriram que talvez abandonassem o MDM todos juntos.

"Tudo aumenta a superfície de ataque", disse Camejo. Pode parecer insensível, mas se o telefone de um funcionário for roubado, os ladrões só terão acesso às informações desse funcionário. Mas o MDM permite muito mais danos. "Um servidor MDM vlnerável é mais ruim que um dispositivo móvel sem MDM."

Ele também considerou as empresas de MDM o que ele descreveu como segurança através da obscuridade. Os problemas que eles encontraram, disse Camejo, não foram difíceis de descobrir. Isso implica que as pessoas simplesmente não estão procurando vulnerabilidades, provavelmente devido ao alto custo envolvido na obtenção do software MDM.

Obviamente, essa não é a primeira vez que vimos o MDM usado para o mal. Não faz muito tempo que o Skycure usou o chamado ataque de perfil malicioso para controlar o meu iPhone. Essa é uma solução que pode ser pior do que o problema que pretende solucionar.

Mdm é terrível: quando as soluções de segurança prejudicam a segurança