Video: William Steffe - Glory Glory Hallelujah (Nobyembre 2024)
Karamihan sa tsinelas ng Blackberry, ang karamihan sa mga tao ay hindi interesado na magdala ng isang stodgy na telepono ng trabaho kasama ang nakakatuwang matalinong telepono na pinili nila ang kanilang sarili. Iyon ang dahilan kung bakit ang mga malalaking kumpanya ay namuhunan nang malaki sa pamamahala ng aparatong mobile (MDM). Ngunit paano ligtas ang mga kasangkapan sa seguridad? Ang isang kamakailang demonstrasyon ng Black Hat ay may nakakagulat na mga sagot.
Para sa mga hindi sa mga malalaking kumpanya, pinapayagan ng MDM ang mga direktor ng IT ng IT ay may ilang antas ng kontrol sa mga empleyado ng personal na telepono - kasama ang kanilang pahintulot, siyempre. Ang MDM ay maaaring, halimbawa, puwang ng sequester para sa kumpidensyal na data at mai-install ang mga espesyal na corporate apps. Ito ay isang kritikal na tool sa seguridad, ngunit iniisip nina Stephen Breen at Chris Camejo mula sa NTT Com Security na dapat nating tanungin ang ilang mga napakahirap na katanungan tungkol sa kung paano ito ligtas.
Ano ang nasa Panganib
Sinabi ng mga nagtatanghal na mayroong 180 milyong mga nagdadala ng iyong sariling aparato gamit ang MDM ngayon, at ang figure na ito ay inaasahang lalago sa 390 millon ng 2015. Sinabi ni Camejo na paitaas ng 80 porsyento ng mga kumpanya ang nagpaplano sa pag-roll ng isang solusyon sa MDM sa kanilang empleyado. Karamihan sa kanila ay mai-access ang email sa corporate.
Sa pamamagitan ng kanilang pagtagos sa pagsubok, natuklasan ng pares ang isang napakaraming kahinaan. Karamihan sa mga ito ay napaka-pangunahing, tulad ng hindi papansin ang pagpapatunay, pagpapadala ng mga token sa pag-login nang walang pag-encrypt (at sa ilang mga kaso, na-configure ang mga token na hindi kailanman mawawala), at kahit na ang pagtatakda ng entablado para sa mas kumplikadong pag-atake.
Sa pamamagitan ng kaunting pagsisikap, natapos ng koponan, ang isang umaatake ay maaaring makakuha ng personal na impormasyon o kahit na gamitin ang MDM server upang punasan ang mga inosenteng telepono. Marahil ang pinakamasamang posibleng pag-atake na natuklasan nila ay ang paggaya sa isang lehitimong pagkakakilanlan ng telepono sa aparato ng isang nagsasalakay. Maaaring ma-access ngayon ng telepono ang umaatake sa lahat ng maaari ng isang tao: email, ibinahagi na drive, dokumento, atbp.
Ang pagsasama-sama ng problema ay maraming iba't ibang mga nagtitinda ang lahat ay pareho, o magkaparehong pagkakamali. Kaya, ang mga probelms ay endemik sa iba't ibang mga tagapagkaloob. Kapansin-pansin ang karamihan sa pagtatanghal na nakatuon sa iOS dahil ang Apple ay nagtatakda ng mahigpit na mga kinakailangan para sundin ang mga developer ng MDM. Ayon sa Breen, ang pamamaraan ng Apple ay lumilitaw na tunog.
Seguridad ng Seguridad
Tinapos ng mga nagtatanghal ang kanilang pahayag sa ilang nakakagulat na payo para sa madla. Pangunahin na ang mga kumpanya ay dapat na mag-isip nang mabuti, maingat tungkol sa kung ano ang ipinagtatalaga nila sa kanilang network. Marahil, iminungkahi nila, sa pamamagitan ng paglipat ng MDM nang magkasama.
"Ang lahat ay nagdaragdag ng pag-atake sa ibabaw, " sabi ni Camejo. Maaaring walang tunog ito, ngunit kung ang isang telepono ng empolyee ay nakawin, ang mga magnanakaw ay may access lamang sa impormasyon ng empleyado. Ngunit pinapayagan ng MDM na mas maraming pinsala. "Ang isang masigasig na MDM server ay mas masama kaysa sa isang mobile device na walang MDM."
Kinuha din niya ang mga kumpanya ng MDM na mag-gawain para sa, kung ano ang inilarawan niya, bilang seguridad sa pamamagitan ng pagiging malalim. Ang mga problema na nahanap nila, sabi ni Camejo, ay hindi mahirap matuklasan. Ito ay nagpapahiwatig na ang mga tao ay hindi naghahanap ng mga kahinaan, marahil dahil sa mataas na gastos na kasangkot sa pagkuha ng MDM software.
Siyempre, hindi ito ang unang pagkakataon na nakita namin ang MDM na ginagamit para sa kasamaan. Hindi nagtagal ay ginamit ni Skycure ang isang tinatawag na malisyosong pag-atake ng profile upang kontrolin ang aking iPhone. Ito ay isang solusyon na maaaring mas masahol kaysa sa problema na nilalayon nitong malutas.
