Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Pierwszy w historii atak na urządzenia mobilne firmy z wykorzystaniem MDM-a. Malware przechwytujący SMSy, kody z Google Authenticatora, hasła. Na deser keylogger.
Checkpoint donosi o ciekawym ataku (najprawdopodobniej kierowanym na konkretną firmę). Tym razem trafiona została „korporacja operująca w wielu krajach”, a zainfekowanych zostało aż 75% urządzeń mobilnych pracowników – w skrócie: masakra.
MDM (Mobile Device Management) to dla przypomnienia zcentralizowany system umożliwiający zarządzenie flotą mobilnych urządzeń. Jeśli mamy ich w firmie kilka tysięcy, to rozmaite ustawienia można konfigurować centralnie, a następnie są one aplikowane na końcowych urządzeniach. Wygodne prawda? Zdecydowanie, szczególnie że można również zarządzać centralnie bezpieczeństwem – whitelisting aplikacji, ustawienia łączenia do sieci WiFi, Bluetooth, etc.
Ale co w przypadku gdy ktoś dostanie się do systemu centralnego? Może opublikować pewne ustawienia czy wymusić instalację złych aplikacji. Tak też się stało:
After gaining access to the customer’s MDM, the attacker utilized the MDM’s ability to install applications remotely to install malware on more than 75% of the company’s devices.
Co robił malware zainstalowany na telefonach czy innych urządzeniach mobilnych? Same ciekawe rzeczy: wykradanie SMS-ów, wykradanie kodów z Google Authenticatora, wykradanie loginów i haseł (np. do Gmaila), mobilny keyloger. Jest też moduł umożliwiający wysyłanie SMSów czy realizowanie rozmów telefonicznych – z telefonu ofiary.
Po analizie sytuacji firma postanowiła przywrócić wszystkie urządzenia do ustawień fabrycznych (zastanówcie się jakie są to koszty…). Wniosek – chrońmy też urządzenia / systemy, które zapewniają bezpieczeństwo naszej infrastruktury – szczególnie jeśli z centralnego miejsca potrafią zarządzać jej znaczną częścią.
–ms
Wniosek słuszny, choć nie wiem, czy najlepszy.
Wszystko, co ma w opisie „centralne” powinno być chronione bo niemal zawsze może nas wysadzić w powietrze globalnie.
Ale również trzeba z pewną dozą ostrożności podchodzić do „centralnego” „podnoszącego bezpieczeństwo” parcia do „ułatwiania” „zarządzania”
Jak widać to co miało chronić i ułatwić ochronę skutecznie ułatwiło atak.
I zawsze tak będzie. Każdy skonsolidowany i centralny system będzie mógł ułatwić globalny atak.
Teraz ciekawą była by analiza ile oszczędzili na takim systemie po uwzględnieniu obecnego zdażenia i posprzątania po nim.
Wszyscy sprzedawcy rozwiązań skupiają się tylko na oszczędnościach. O ryzykach i kosztach z nimi związanych rozmawiają niechętnie. Wprost próbują zbywać a rozmowy o nich nazywają często oszłomstwem.
Niestety podejmujący decyzje często są zachłyśnięci marketingową paplaniną o wygodzie łatwości i możliwości zmniejszenia nakładów na ludzi w IT :D.
Obojętnie czy będzie to MDM, EMM, UEM czy jakikolwiek inny system centralnego zarządzania to jest to tylko narzędzie (tu ułatwiające masowe operacje).
Porównaniem może być pistolet: w rękach policjanta służy obronie ludzi, a w rękach przestępcy …
Dlatego policjant musi dobrze pilnować pistoletu, żeby nie dostał się w ręce przestępcy.
Pistolet to w przypadku jednego użytkownika. W przypadku centralnego systemu to wygląda bardziej na atomówkę.
Co jesli policjant jest przestepca? Albo ogolnie organy wladzy zagrazaja ludziom?? To wcale nie jest hipoteza z sufitu. Wystarczy spojrzec na historie XX w. (i XXI w. gdzieniegdzie tez).
Obywatele USA nie bez powodu maja zagwarantowane prawo posiadania broni.
Tekst piosenki grupy Dezerter:
„Ratunku policja x 4
Policjant broni mnie przed oszustem
Policjant broni mnie przed bandytą
Policjant broni mnie przed zbrodniarzem
Lecz kto obroni mnie przed policjantem?
Ratunku policja x 4
Policjant broni mnie przed złodziejem
Policjant broni mnie przed mordercą
Policjant broni mnie przed gangiem
Lecz kto obroni mnie przed policjantem?
Ratunku policja x 4
Policjant broni mnie przed kradzieżą
Policjant broni mnie przed napadem
Policjant broni mnie przed gwałtem
Lecz kto obroni mnie przed policjantem?
Ratunku policja x 7
Ratunku!”
Niestety, „centralne” to zbyt czesto „single point of failure”.
Jak wynika z artykułu źródłowego opisany problem dotyczy Androidów.
„chrońmy też urządzenia / systemy,” – a skąd pewność, że to nie koperta z kasą, kompromitują ce zdjęcia czy inna forma szantażu otworzyła drzwi?
„(zastanówcie się jakie są to koszty…)” – jak to jakie? Praktycznie żadne.