Varför din konsument smartphone (och tabletter) är ett hot mot företaget

Om det finns en kille som vet om mobila hot, det är Gary Schluckbier.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, Vita huset utser först Federal Chief Information Security Officer, Security, USA brottsbekämpande kasta nätet bedragare bakom galler, säkerhet, FBI upptäcker överträdelser i US statligt röstning

Schluckbier fungerar som chef för den säkra produkter grupp på Motorola Solutions. Han var nyligen i New York för att tala vid ett cyber konferens, jag var där också, men vi tyvärr missade varandra.

Förra veckan ringde jag upp honom på hans kontor i Chicago för att följa upp. Jag ville veta mer om den senaste mobila hot och hur han tror att företaget kan patrullera sitt moln mer effektivt.

Vad han sa till mig var tillräckligt för att ge någon systemadministratör paus om bring-din-egen-enhet trend – särskilt när det gäller att Google Android-baserade smartphones och surfplattor.

Vid konferensen, ämnet för din paneldiskussion var “kapnings Prylar och Gizmos.”

GS: Ja, fascinerande saker. Statliga aktörer * och hur några av de enklaste saker visar sig vara några av de största sårbarheter till ett företag.

Mobile är annorlunda. Det är inte samma sak som traditionell IT, med servrar och datorer och stordatorer. De är i en annan typ av miljö. När man talar om en mobil enhet, dessa saker är i vad jag kallar en “ifrågasatta domän” – utanför stängslet, som militären skulle säga. På vägen och inte är ansluten till ett företagsnätverk, inte ens nödvändigtvis i USA Du kanske har en statlig aktör som arbetar mot dig.

Den teknik som finns i dag är i hög grad inriktad på konsument inför investeringar. Dessa saker förändras två gånger per år, och drivs av volymen av konsumenten verksamheten. Och konsumenterna vill ha något så öppet som möjligt.

Det första hackaren gör på en Android-enhet är låsa upp det – “. Böka” OEM är incented att göra det enkelt att rot, eftersom [datanörd] är deras kunder. Så de drivs till olika saker kommersiellt än traditionell IT. Och eftersom dessa saker är så öppna, det finns en överväldigande mängd uppmärksamhet av dåliga aktörer eftersom de är så attraktiva mål – de är lätta att komma till, de är alltid ansluten, de är inte bakom en brandvägg och de “re förmodligen inte lyckats. Och du göra allt ditt företag på dem, du pratar med din fru på dem.

Det finns individer och det finns andra ansvarsområden kring omsorgsplikt av information. När det gäller regeringen, det finns en lagstadgad skyldighet att iaktta försiktighet – att skydda personnummer, till exempel. Och det finns också en nationell säkerhet omsorgsplikt, och de är saker som kan få dig kastas i fängelse för en mycket lång tid. Mobile kräver att vi har en strategi som tillräckligt behandlar var och en av dessa scenarier.

Eftersom vi ta itu med en “konsument omsorgsplikt” – om det finns ett – det lämnar ett stort gap.

En fråga jag hör en hel del är, “Hur kan jag göra min surfplatta eller smartphone säkert för min VD att resa till XYZ land?” De är svåra frågor att besvara.

ZD: På konferensen hörde jag lite skrämmande saker om cyberhot i allmänhet. Ge mig en känsla av vad vi har att göra med i mobilen.

GS: Antalet bitar av mobila skadlig kod, mellan 2010 och 2011, har fördubblats. Dessa får på enheten och låt den göra vad de vill göra. I Android, kommer manifestet när du vill installera appen. Genomsnittskonsumenten ofta inte vet vad man ska göra med det, för om du inte kontrollerar ja, så får man inte programmet. På ett sätt är de inte skadliga program eftersom du valde att ladda ner och göra det möjligt för dessa saker, men det är där du ser hackare få en fotfäste i dessa enheter. Det är nytt. Du börjar se en politik som dessa konsumentprodukter inte är säkra nog att bearbeta företagets data. [I själva verket, U.S. Department of Defense har indikerat att den aktuella grödan av konsumentenheter är otillräcklig för att behandla DoD information. –Ed.]

Vår strategi är att försöka göra plattformen lite mer först, genom hårdvara med nycklar och hålla malware processer skiljer sig från dem som behandlar din e-post eller ekonomisk information. Det finns sätt att lösa dessa saker. Min avdelning inom Motorola grundades redan i början av 1980-talet när vi behövs för att ge informationssäkerheten till regeringen för ’84 OS. De tekniker existerar. Vi vet hur man gör det här. Det är bara inte bakas in i din genomsnittliga konsumenten enhet.

Detta meddelande resonating mycket väl med våra kunder. Det är en del av vad som är att hålla regering och företag från att omfamna den mobila arbetsstyrkan i ett stort, stort sätt – på BYO tablett, till exempel.

Här är några användningsfall som vi använder i vårt labb. Ta en anordning som gör ett telefonsamtal med ett operativsystem off-the-shelf. Vi har hittat ett sätt att få ett malware bit där, varefter göra telefonsamtal kan behandlas genom särskilda röstcentra, som kan spela in samtal och skicka röstprov till en ledningscentral.

Den skadliga program kan även göra ett val på var du ansluter till nätverket. Så det kommer inte att ansluta när du vill ringa ett visst nummer – din advokat, till exempel när du är på väg att göra ett stort företags affär. De tjäna pengar på din förhandlingsposition.

Eftersom du är over-the-air, kan sårbarheter komma in genom ditt modem – hårdvaran som fäster på carrier-nät. Det finns sårbarheter där någon som är på luften kan injicerar saker i telefonen och dra fördel av det.

Från ett användningsfall perspektiv, de är de saker som användarna behöver tänka på. Hur är deras telefonsamtal skyddas? Hur är deras enheter utnyttjas? Alla praktiska attacker har inte ens visats. Och sedan finns det saker som faktiskt utnyttjar de hårdvarukomponenter enheten som GPS-spårning din plats.

Vi vet att det finns så många vektorer på dessa saker som vi verkligen arbetar på vektor mer med tanke på en praktisk attack [i motsats till teoretiska möjligheter]. Vi inser att det finns så många olika sätt att komma åt användbar information. Det finns saker som bara slår på telefonen i en lyssnande enhet – vänder mikrofonen på hela tiden. Du kan föreställa sig hur det påverkar underrättelsetjänsten.

När vi ser på detta, vi verkligen tittar på lindring genom en betrodd plattform.

ZD: Hoten är betydande, men vi har den tekniska. Så varför inte alla som använder det? Vilka är de hinder här?

GS: Det är helt klart frågan om, “OK, jag förstår dessa hot, men hur högt upp på min prioriteringslista gör detta behov att vara?” Det är ganska vanligt i informationssäkerhet utrymme. En annan är att det finns många nya standarder kring dessa saker, är normerna för rörlighet säkerhet mycket i utveckling. Som begränsar industrins förmåga att verkligen fokusera på ett mål, men det begränsar också företag och regeringens förmåga att satsa på en särskild strategi.

Det är saker som, fem år från och med nu kommer vi att få det räknat ut. Att vara medveten, att förstå hur det passar, få standarder på plats så en CIO kan välja från ett brett svit av funktioner och må bra om dem alla.

Om regeringen kommer att leda laddningen på detta, tror jag … Regeringen har den högsta nivån av omsorgsplikt. De är de mest sofistikerade när det gäller att utveckla och förstå hot landskapet och den nya tekniken standarder verkligen kommer ut ur regeringen: DHS, NIST. Regeringen gör en investering.

ZD: Vilket pris, säkerhet?

GS: Boy, det är en riktigt bra fråga. Hela IT-branschen är att försöka lista ut det, plus alla CIO: er som innehas för att ständigt minskande budgetar. Det finns helt klart en förståelse inom företag och regering fokus på försvar, som innehåller delar av IT-utrustning, som omfattar mobila enheter.

Om du lyssnar på vad som kommer ut av Pentagon, är det amerikanska försvarsministeriet kraft i framtiden kommer att vara annorlunda än den kraft idag, och investeringar kommer att göras strategiskt för cyberdefense. Det finns risker och med att en värdering. När vi informera kunderna, särskilt de med ett viktigt jobb att göra, är kostnaden inte så hög oro som graden av förtroende.

* Hackare som arbetar på uppdrag av eller till förmån för, de nationella regeringarna.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

Vita huset utser först Federal Chief Information Security Officer

USA brottsbekämpande kasta nätet bedragare bakom galler

FBI upptäcker överträdelser i amerikanska system statliga röst