Header Ads Widget

Ticker

6/recent/ticker-posts

Los detalles de cómo los federales irrumpieron en los iPhones deberían revolucionar la TI empresarial


Apple tiene una historia incómoda con los investigadores de seguridad: quiere promocionar que su seguridad es excelente, lo que significa tratar de silenciar a aquellos que pretenden demostrar lo contrario. Pero esos intentos de luchar contra los investigadores de seguridad que venden su información a cualquier persona que no sea Apple socavan el mensaje de seguridad de la compañía.

Un artículo reciente en  The Washington Post reveló los detalles detrás de la legendaria pelea de Apple con el gobierno de EE. UU. En 2016, cuando el Departamento de Justicia presionó a Apple para que creara una puerta trasera de seguridad relacionada con el iPhone utilizado por un terrorista en el tiroteo de San Bernardino. Apple se negó; el gobierno lo persiguió en los tribunales. Luego, cuando el gobierno encontró a un investigador de seguridad que ofreció una forma de eludir la seguridad de Apple, el gobierno abandonó su lucha legal. El exploit funcionó y, de manera anticlimática, no se encontró nada de valor para el gobierno en el dispositivo.

Todo eso se sabe, pero el artículo del Post detalla el exploit que el gobierno compró por $ 900,000. Se trataba de un agujero en el código de fuente abierta de Mozilla que Apple había utilizado para permitir que los accesorios se conectaran al puerto Lightning de un iPhone. Ese era el talón de Aquiles del teléfono. (Nota: No hay necesidad de preocuparse ahora; la vulnerabilidad ha sido parcheada hace mucho tiempo por Mozilla, haciendo que el exploit sea inútil).

Todo eso se sabe, pero el artículo del Post detalla el exploit que el gobierno compró por $ 900,000. Se trataba de un agujero en el código de fuente abierta de Mozilla que Apple había utilizado para permitir que los accesorios se conectaran al puerto Lightning de un iPhone. Ese era el talón de Aquiles del teléfono. (Nota: No hay necesidad de preocuparse ahora; la vulnerabilidad ha sido parcheada hace mucho tiempo por Mozilla, haciendo que el exploit sea inútil).

Un investigador de amenazas “creó un exploit que permitió el acceso inicial al teléfono: un pie en la puerta. Luego lo enganchó a otra hazaña que le permitía una mayor maniobrabilidad. Y luego vinculó eso con un exploit final que otro investigador de Azimuth ya había creado para iPhones, dándole control total sobre el procesador central del teléfono: el cerebro del dispositivo ”, informó el Post . "A partir de ahí, escribió un software que probó rápidamente todas las combinaciones del código de acceso, omitiendo otras funciones, como la que borraba los datos después de 10 intentos incorrectos".

Dado todo esto, ¿cuál es el resultado final para TI y seguridad? Es un poco complicado.

Desde una perspectiva, la conclusión es que una empresa no puede confiar en ningún dispositivo móvil de nivel de consumidor (los dispositivos Android e iOS pueden tener diferentes problemas de seguridad, pero ambos tienen problemas de seguridad sustanciales) sin utilizar los propios mecanismos de seguridad de la empresa. Desde una perspectiva más pragmática, ningún dispositivo en ningún lugar ofrece una seguridad perfecta y algunos dispositivos móviles, iOS más que Android, hacen un trabajo bastante bueno.

    Los dispositivos móviles no ofrecen esfuerzos identidad misma de bajo costo, la biometría integrados dadas. (Hoy, es casi todo reconocimiento facial, pero espero que me devuelvan las huellas dactilares y, por favor, por favor , la adición del escaneo de retina, que es un método biométrico mucho mejor que el dedo o la cara).

    Esos datos biométricos son importantes porque el punto débil tanto para iOS como para Android es obtener acceso autorizado al dispositivo, que es de lo que trata la historia de Post . Una vez dentro del teléfono, la biometría proporciona una capa adicional rentable de autenticación para aplicaciones empresariales. (Todavía estoy esperando que alguien use el reconocimiento facial para iniciar una VPN empresarial; dado que la VPN es la clave inicial para archivos empresariales ultrasensibles, necesita autenticación adicional).

    En cuanto a la solución alternativa que describe el Post , el verdadero culpable es la complejidad. Los teléfonos son dispositivos muy sofisticados, con barriles y barriles de aplicaciones de terceros con sus propios problemas de seguridad. Recuerdo una columna de hace unos siete años, donde revelamos cómo la aplicación Starbucks guardaba las contraseñas en texto sin cifrar donde cualquiera podía verlas. El culpable resultó ser una aplicación de análisis de fallas propiedad de Twitter que capturó todo en el instante en que detectó una falla. De ahí provienen las contraseñas de texto sin formato.

    Todo esto plantea una pregunta clave: en qué medida las pruebas de seguridad móvil son realistas, ya sea a nivel empresarial (Starbucks, en este ejemplo) o a nivel de proveedor (Apple). Encontramos esos errores por cortesía de un probador de penetración con el que trabajamos, y todavía sostengo que debe haber mucho más pentesting tanto a nivel de empresa como de proveedor. Dicho esto, incluso un buen tester externo no captará todo, nadie puede hacerlo.

    Eso nos lleva de vuelta a la pregunta inicial: ¿Qué deberían hacer los administradores de seguridad y TI empresarial cuando se trata de seguridad móvil? Bueno, podemos eliminar la opción obvia, ya que no utilizar dispositivos móviles para datos empresariales no es una opción. Sus beneficios y distribución masiva (ya están en manos de casi todos los empleados / contratistas / terceros / clientes) hacen que el móvil sea imposible de resistir.

    Pero ninguna empresa puede justificar confiar en la seguridad de estos dispositivos. Eso significa particionar para datos empresariales y requerir aplicaciones de seguridad de nivel empresarial para otorgar acceso.

    Lo siento, gente, pero simplemente hay demasiados agujeros, descubiertos y aún por descubrir, que pueden explotarse. Dentro de los teléfonos actuales hay código de miles de programadores que trabajan para Apple, muchos de los cuales nunca se hablan entre sí, o que han creado aplicaciones de terceros. Invariablemente, no hay una sola persona que sepa todo sobre todo el código dentro del teléfono. Es cierto para cualquier dispositivo complejo. Y eso está pidiendo problemas.

    Publicar un comentario

    0 Comentarios