Video: SICUREZZA NEI CANTIERI EDILI: quali sono gli obblighi del committente (Novembre 2024)
Con grande dispiacere di Blackberry, la maggior parte delle persone non è interessata a trasportare un telefono da lavoro duro insieme al divertente smartphone che hanno scelto da soli. Ecco perché le grandi aziende hanno investito molto nella gestione dei dispositivi mobili (MDM). Ma quanto sono sicuri questi strumenti di sicurezza? Una recente dimostrazione di Black Hat ha avuto risposte sorprendenti.
Per coloro che non sono nelle grandi aziende, MDM consente ai direttori IT aziendali di avere un certo livello di controllo sui telefoni personali dei dipendenti - con il loro consenso, ovviamente. MDM può, ad esempio, sequestrare spazio per dati riservati e installare app aziendali speciali. È uno strumento di sicurezza fondamentale, ma Stephen Breen e Chris Camejo di NTT Com Security pensano che dovremmo porre alcune domande molto difficili su quanto sia davvero sicuro.
Cosa c'è a rischio
I presentatori hanno affermato che al momento ci sono 180 milioni di dispositivi "porta-il-tuo" che utilizzano MDM e che tale cifra dovrebbe raggiungere i 390 milioni entro il 2015. Camejo ha affermato che oltre l'80% delle aziende prevede di implementare una soluzione MDM per i propri dipendenti. La maggior parte di loro per accedere alla posta elettronica aziendale.
Attraverso i loro test di penetrazione, la coppia ha scoperto una miriade di vulnerabilità. La maggior parte di essi era molto semplice, come ignorare l'autenticazione, inviare token di accesso senza crittografia (e in alcuni casi, configurare quei token in modo che non scadessero mai) e persino preparare il terreno per attacchi più complessi.
Con un piccolo sforzo, ha concluso il team, un utente malintenzionato potrebbe ottenere informazioni personali o persino utilizzare il server MDM per cancellare telefoni innocenti. Probabilmente l'attacco peggiore che hanno scoperto è stato quello di imitare l'identità di un telefono legittimo sul dispositivo di un utente malintenzionato. Il telefono dell'aggressore ora può accedere a tutto ciò che è legittimo: e-mail, unità condivise, documenti, ecc.
Ad aggravare il problema è che molti venditori diversi hanno commesso gli stessi errori o simili. Pertanto, i problemi sono endemici tra diversi fornitori. È interessante notare che la maggior parte della presentazione si è concentrata su iOS perché Apple stabilisce requisiti rigorosi per gli sviluppatori MDM da seguire. Secondo Breen, l'approccio di Apple sembra valido.
Sicurezza insicura
I presentatori hanno concluso il loro discorso con alcuni consigli sorprendenti per il pubblico. Il primo è stato che le aziende dovrebbero riflettere molto, molto attentamente su ciò che implementano nella loro rete. Forse, hanno suggerito, rinunciando a MDM tutti insieme.
"Tutto aumenta la superficie di attacco", ha detto Camejo. Può sembrare senza cuore, ma se il telefono di un empolio viene rubato, i ladri hanno accesso solo alle informazioni di quel dipendente. Ma MDM consente molti più danni. "Un server MDM vlnerable è più dannoso di un dispositivo mobile senza MDM."
Ha anche portato le aziende MDM a occuparsi, per quello che ha descritto, di sicurezza attraverso l'oscurità. I problemi che hanno riscontrato, afferma Camejo, non erano difficili da scoprire. Ciò implica che le persone semplicemente non sono alla ricerca di vulnerabilità, probabilmente a causa degli alti costi associati all'ottenimento del software MDM.
Certo, questa non è la prima volta che vediamo MDM usato per il male. Non molto tempo fa Skycure ha usato un cosiddetto attacco di profilo dannoso per prendere il controllo del mio iPhone. Questa è una soluzione che potrebbe essere peggiore del problema che intende risolvere.