Video: How do I manage and control mobile and desktop devices accessing G Suite? (November 2024)
Tot groot verdriet van Blackberry zijn de meeste mensen niet geïnteresseerd in het dragen van een stodgy werktelefoon samen met de leuke slimme telefoon die ze zelf hebben uitgezocht. Daarom hebben grote bedrijven zwaar geïnvesteerd in mobile device management (MDM). Maar hoe veilig zijn deze beveiligingshulpmiddelen? Een recente Black Hat-demonstratie had verrassende antwoorden.
Voor degenen die niet in grote bedrijven zijn, biedt MDM IT-directeuren van bedrijven een zekere mate van controle over de persoonlijke telefoons van werknemers - met hun toestemming natuurlijk. MDM kan bijvoorbeeld ruimte vrijmaken voor vertrouwelijke gegevens en speciale bedrijfsapps installeren. Het is een kritieke beveiligingstool, maar Stephen Breen en Chris Camejo van NTT Com Security vinden dat we een aantal heel moeilijke vragen moeten stellen over hoe veilig het echt is.
Wat loopt er risico?
De presentatoren zeiden dat er op dit moment 180 miljoen apparaten zijn die MDM zelf meenemen, en dat dit cijfer naar verwachting zal groeien tot 390 millon tegen 2015. Camejo zei dat meer dan 80 procent van de bedrijven van plan is een MDM-oplossing voor hun medewerkers. De meeste hebben toegang tot zakelijke e-mail.
Door hun penetratietesten ontdekten het paar talloze kwetsbaarheden. De meesten van hen waren erg basic, zoals het negeren van authenticatie, het verzenden van login-tokens zonder codering (en in sommige gevallen het configureren van die tokens om nooit te verlopen), en zelfs de weg bereiden voor complexere aanvallen.
Het team concludeerde dat een aanvaller met weinig moeite persoonlijke informatie kon verkrijgen of zelfs de MDM-server kon gebruiken om onschuldige telefoons te wissen. Waarschijnlijk is de ergst mogelijke aanval die ze ontdekten, de identiteit van een legitieme telefoon op het apparaat van een aanvaller nabootsen. De telefoon van de aanvaller heeft nu toegang tot alles wat de legitieme persoon kan: e-mail, gedeelde schijven, documenten, enz.
Het probleem wordt nog erger dat veel verschillende leveranciers allemaal dezelfde of vergelijkbare fouten hebben gemaakt. De problemen zijn dus endemisch bij verschillende providers. Interessant genoeg was het grootste deel van de presentatie gericht op iOS, omdat Apple strenge eisen stelt aan MDM-ontwikkelaars om te volgen. Volgens de Breen lijkt de aanpak van Apple gezond.
Onveilige beveiliging
De presentatoren sloten hun toespraak af met verrassend advies voor het publiek. Het belangrijkste was dat bedrijven heel, heel goed moeten nadenken over wat ze op hun netwerk inzetten. Misschien, suggereerden ze, door MDM allemaal samen af te zien.
"Alles vergroot het aanvalsoppervlak", zei Camejo. Het klinkt misschien harteloos, maar als de telefoon van een empolyee wordt gestolen, hebben de dieven alleen toegang tot de informatie van die werknemer. Maar MDM zorgt voor veel meer schade. "Een vlnerbare MDM-server is slechter dan een mobiel apparaat zonder MDM."
Hij nam ook MDM-bedrijven als taak door wat hij beschreef als veiligheid door obscurity. De problemen die ze vonden, zeiden Camejo, waren niet moeilijk te ontdekken. Dat betekent dat mensen gewoon niet op zoek zijn naar kwetsbaarheden, waarschijnlijk vanwege de hoge kosten die gepaard gaan met het verkrijgen van MDM-software.
Dit is natuurlijk niet de eerste keer dat we MDM voor het kwaad zien worden gebruikt. Het was niet lang geleden dat Skycure een zogenaamde kwaadaardige profielaanval gebruikte om de controle over mijn iPhone over te nemen. Dit is een oplossing die mogelijk erger is dan het probleem dat het beoogt op te lossen.
