Video: Cuestionan medidas de seguridad en un edificio tras el caso de un niño que casi cae al vacío (Noviembre 2024)
Para disgusto de Blackberry, la mayoría de las personas no están interesadas en llevar un teléfono de trabajo pesado junto con el divertido teléfono inteligente que eligieron ellos mismos. Es por eso que las grandes empresas han invertido mucho en la gestión de dispositivos móviles (MDM). Pero, ¿qué tan seguras son estas herramientas de seguridad? Una reciente demostración de Black Hat tuvo respuestas sorprendentes.
Para aquellos que no pertenecen a grandes empresas, MDM permite que los directores de TI corporativos tengan cierto nivel de control sobre los teléfonos personales de los empleados, con su consentimiento, por supuesto. MDM puede, por ejemplo, secuestrar espacio para datos confidenciales e instalar aplicaciones corporativas especiales. Es una herramienta de seguridad crítica, pero Stephen Breen y Chris Camejo de NTT Com Security piensan que deberíamos hacernos algunas preguntas muy difíciles sobre cuán seguro es realmente.
¿Qué está en riesgo?
Los presentadores dijeron que hay 180 millones de dispositivos para traer sus propios dispositivos que usan MDM en este momento, y se espera que esa cifra crezca a 390 millones en 2015. Camejo dijo que más del 80 por ciento de las compañías planean implementar una solución MDM para sus empleados. La mayoría de ellos para acceder al correo electrónico corporativo.
A través de sus pruebas de penetración, la pareja descubrió una miríada de vulnerabilidades. La mayoría de ellos eran muy básicos, como ignorar la autenticación, enviar tokens de inicio de sesión sin cifrado (y en algunos casos, configurar esos tokens para que nunca caduquen) e incluso preparar el escenario para ataques más complejos.
Con poco esfuerzo, concluyó el equipo, un atacante podría obtener información personal o incluso usar el servidor MDM para limpiar teléfonos inocentes. Probablemente el peor ataque posible que descubrieron fue imitar la identidad de un teléfono legítimo en el dispositivo de un atacante. El teléfono del atacante ahora podía acceder a todo lo que el legítimo puede: correo electrónico, unidades compartidas, documentos, etc.
Para agravar el problema, muchos proveedores diferentes han cometido los mismos errores o errores similares. Por lo tanto, los problemas son endémicos en diferentes proveedores. Curiosamente, la mayor parte de la presentación se centró en iOS porque Apple establece requisitos estrictos para que los desarrolladores de MDM los sigan. Según Breen, el enfoque de Apple parece sólido.
Seguridad insegura
Los presentadores concluyeron su charla con algunos consejos sorprendentes para el público. Lo más importante fue que las compañías deberían pensar muy, muy cuidadosamente sobre lo que implementan en su red. Quizás, sugirieron, renunciando a MDM todos juntos.
"Todo aumenta la superficie de ataque", dijo Camejo. Puede sonar despiadado, pero si el teléfono de un empleado es robado, los ladrones solo tienen acceso a la información de ese empleado. Pero MDM permite mucho más daño. "Un servidor MDM vulnerable es más malo que un dispositivo móvil sin MDM".
También llevó a las empresas MDM a la tarea de lo que describió como seguridad a través de la oscuridad. Los problemas que encontraron, dijo Camejo, no fueron difíciles de descubrir. Eso implica que las personas simplemente no están buscando vulnerabilidades, probablemente debido al alto costo involucrado en la obtención del software MDM.
Por supuesto, esta no es la primera vez que vemos MDM utilizado para el mal. No hace mucho tiempo, Skycure usó un llamado ataque de perfil malicioso para tomar el control de mi iPhone. Esta es una solución que podría ser peor que el problema que pretende resolver.
