Comments 30
Пользуюсь андроидом с 2011-го. Все устройства были рутированы. (которые по большому счету не больше, чем плацебо на андроиде). Ни разу никаких зловредов не подхватил. «Следовательно, разруха не в клозетах, а в головах» (О_о хабр фильтрует знак копирайта)
Опять пытаются личные устройства загнать под управление компаний… Иногда ИТ службы слишком параноидальны.
Наш ответ — получить рут и модифицировать приложения, чтобы они отвечали центру безопасности, что всё находится под его контролем, а в реальности никакие политики не применялись.
Не очень понятно чем это поможет. Все такие вещи ведь начинаются с подписания бумаг. Если вы сознательно нарушаете правила, которые согласились соблюдать, то это не только увольнением может кончится.
Как интересно юридически сформулировано это? Подписавшийся не имеет права модифицировать ПО на личном телефоне?
Я сталкивался с тем, что при подключении к EAS почтовый клиент требует прав администратора устройства, а если не нравится — почта откажется загружаться.
Я сталкивался с тем, что при подключении к EAS почтовый клиент требует прав администратора устройства, а если не нравится — почта откажется загружаться.
Как интересно юридически сформулировано это? Подписавшийся не имеет права модифицировать ПО на личном телефоне?По разному. Обычно вы соглашаетесь «не противодействовать работе технических средств защиты», иногда просто белый список аппаратов и прошивок есть. Суть BYOD — в том, что вы даёте компании контроль над своим аппаратом, а взамен получаете возможность работать не только в офисе (как вариант — не носить два аппарата). Не нравится — не ешьте, но тогда смиритесь с тем, что ваши коллеги, которые на это пойдут, будут получить более высокие оценки по разным показателям.
Ну хорошо. Пусть в 5% кейсов юристы это предусмотрят и пропишут. Остальные работники будут делать что хотят. Реально я не видел договора, затрагивающие BYOD
А почему вы считаете что это должен быть какой-то отдельный договор? Это обычно оформляется приказом по предприятию — часто тем же самым, с которого, собственно, начинается деятельность по настройке всего этого.
Работник, который устраивается на место, как правило не подписывает 100500 «ознакомлен» на каждый приказ. А что, есть такой приказ? Ладно, тогда не буду. В купе с околонулевыми шансами обнаружения (да и кому этим реально захочется заниматься), безопасная практика.
Это всё — уже давно пройденный этап. Если бы всё можно было бы устроить так, как вы говорите, то никаких массовых банов аккаунтов не было бы ни в Xbox Live, ни в PSN.
Ну а дальше — всё зависит от внутренних правил самой компании. Если в организации есть нормальная служба безопасности, то шансы обнаружения отнюдь не околонулевые. В какой-нибудь мелкой конторе в 3.5 человека вряд ли будет кому этим заниматься, тут вы, несомненно, правы.
Ну а дальше — всё зависит от внутренних правил самой компании. Если в организации есть нормальная служба безопасности, то шансы обнаружения отнюдь не околонулевые. В какой-нибудь мелкой конторе в 3.5 человека вряд ли будет кому этим заниматься, тут вы, несомненно, правы.
При чём здесь игровые сервисы? Там банят читеров, либо игроков, передающих друг другу реквизиты аккаунтов, чтобы не покупать игры. Это слишком заметно, первое влияет на других игроков, второе вносит аномалии в статистику.
В андроиде я например отключу обязательное шифрование SD или обязательную установку пароля, которые требуются для получения почты, оставив в ф-ции, проверяющей compliance, результат true, или поставлю return-void в самое начало ф-ции SyncManager::wipeDeviceData, чтобы обезопасить свои данные от стирания, и как они это спалят?
Весь java-код защиты мне доступен через dalvik-декомпилятор, вся их надежда на то, что я что-то не замечу, но даже попыток обфусцировать код не делается.
В андроиде я например отключу обязательное шифрование SD или обязательную установку пароля, которые требуются для получения почты, оставив в ф-ции, проверяющей compliance, результат true, или поставлю return-void в самое начало ф-ции SyncManager::wipeDeviceData, чтобы обезопасить свои данные от стирания, и как они это спалят?
Весь java-код защиты мне доступен через dalvik-декомпилятор, вся их надежда на то, что я что-то не замечу, но даже попыток обфусцировать код не делается.
При чём здесь игровые сервисы?Xbox Live и PSN, а не просто абстрактные игровые сервисы. Они очень и очень неплохо банят людей, которые пытаются использовать консоли с неофициальной прошивкой :-) Причём банятся даже консоли с перепрошитыми DVD-приводами, а уж если прошивка не «родная», то лучше в сеть вообще не высовываться. Иногда люди находят методы обхода, но хватает их в типичном случае на несколько дней. Уж не знаю какие там аномалии в статистику кто вносит, но факт имеет место быть: защиту оффлановые игры обходят успешно, но при попытки выйти в онлайн бан вас настигает очень и очень быстро даже если вы будете только в лицензию играть.
В андроиде я например отключу обязательное шифрование SD или обязательную установку пароля, которые требуются для получения почты, оставив в ф-ции, проверяющей compliance, результат true, или поставлю return-void в самое начало ф-ции SyncManager::wipeDeviceData, чтобы обезопасить свои данные от стирания, и как они это спалят?Зачем им это «палить»? Им нужно обнаружить наличие неоффициальной прошивки и всё. Неправильные ключи где-нибудь, не те сертиикаты и т.п.
Весь java-код защиты мне доступен через dalvik-декомпилятор, вся их надежда на то, что я что-то не замечу, но даже попыток обфусцировать код не делается.Не понимаю о каком «коде защиты» вы говорите. Проверки много где сидеть могут. Не только в самом приложении Google App for Work, но и в Google Play Services и в других местах системы. И они, почти наверняка, данные просто собирают и отсылают на сервер. Причём новые версии могут совсем не то собирать, что старые (а отказ высылать «нужные» данные через неделю после выхода обновления — уже само по себе повоз вызвать вас в отдел безопасности и выяснить «чего это вы такое себе позволяете»).
Понятно, мы просто о разных вещах говорим. Вы про Android for Work, архитектуру которого я не изучал, а я про EAS-провайдера, который вшит в прошивки от HTC.
Последний никогда на моей памяти не обновлялся и протокол связи с exchange вполне обозрим и поддаётся пониманию и аккуратному патчингу. Что там остальные части прошивки отправляют в гугл, по большому счёту нашим админам недоступно. Панель управления мобильными девайсами exchange я предварительно посмотрел, возможности изучил.
Если хорошо покопаться в Android for Work, там тоже будет не так всё страшно, начать надо с инструкций по управлению всем этим, изучить какие инструменты есть у противника, исходя из этого подумать что и через какие каналы может получить предприятие. Я вот не думаю, что там потоки данных проходят через гугл, не по-энтерпрайзному это.
Последний никогда на моей памяти не обновлялся и протокол связи с exchange вполне обозрим и поддаётся пониманию и аккуратному патчингу. Что там остальные части прошивки отправляют в гугл, по большому счёту нашим админам недоступно. Панель управления мобильными девайсами exchange я предварительно посмотрел, возможности изучил.
Если хорошо покопаться в Android for Work, там тоже будет не так всё страшно, начать надо с инструкций по управлению всем этим, изучить какие инструменты есть у противника, исходя из этого подумать что и через какие каналы может получить предприятие. Я вот не думаю, что там потоки данных проходят через гугл, не по-энтерпрайзному это.
Я вот не думаю, что там потоки данных проходят через гугл, не по-энтерпрайзному это.Да ну? У BlackBerry все потоки через их датацентры проходят — и ничего, даже Обама пользуется (пользовался?).
Кроме того нужно понимать что только лишь начиная эти игры вы автоматически позиционируете себя как человека «неблагонадёжного», которого, после раскрытия «злого умысла» занесут во все чёрные списки. Не знаю — как это работает в России, но в Европе и США наличие подобного «пятна на репутации» будет ещё долго отравлять вам жизнь. Без этого фактора, разумеется, никакие технические меры работать не будут.
По западным меркам я вообще террорист, потому что не веду профили в соц. сетях.
Интересно, как технически реализована «репутация» на западе. Как и у нас, обзвон предыдущих мест работы?
Интересно, как технически реализована «репутация» на западе. Как и у нас, обзвон предыдущих мест работы?
Ну кто ж вам так сразу скажет. Есть специальные агенства, у которых можно спросить про то, что они знают у кандидата. Они, очевидным образом делятся некоторой информацией друг с другом. Понятно что не всей (иначе чем они будут отличаться друг от друга), но такие ужасные вещи, про которые вы рассказываете, разумеется, не будут скрываться.
Я работал в нескольких компаниях и принцип был везде один и тот же: всякие невыполнения производственных показателей, нарушение дисциплины и прочее — фигня. С вами будут возиться, пытаться помочь, понять и т.д. и т.п. Даже если ваш начальник захочет вас уволить — можно растянуть этот процесс на месяцы. Есть только один способ сразу и быстро вылететь с работы (в 24 часа и хорошо если вам дадут вынести свои вещи): не поладить со службой безопасности. Того, про что вы тут говорите — будет более, чем достаточно.
И тут есть своя логика. Есть такое хорошо известное высказывание: можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех. Это — база для всех служб безопасности, которые работают. Следствие из неё такое: технические средства применяются для отлова людей, которые что-то делают по незнанию или неосторожности (то есть борются с теми опасностями, которые непродолжительное время могут «обманывать всех»), а отдельные, специально обученные, люди борются с теми, кто сознательно пытаются обойти средства защиты (то есть с теми опасностями, которые могут «бесконечно долго обманывать» примитивные автоматизированные средства защиты). Если у вас какая-то из этих частей прихрамывает — то у вас и безопасности в целом не будет.
И тут неважно — это система безопасности фирмы или государства, большой китайский файрволл в этом смысле ничуть не отличается от Android for Work. Их задача — отловить «проблемы» создаваемые «типичными», не слишком продвинутыми «врагами». Но кто-то должен закрывать и вторую «дыру», иначе вся система работать не будет.
Я работал в нескольких компаниях и принцип был везде один и тот же: всякие невыполнения производственных показателей, нарушение дисциплины и прочее — фигня. С вами будут возиться, пытаться помочь, понять и т.д. и т.п. Даже если ваш начальник захочет вас уволить — можно растянуть этот процесс на месяцы. Есть только один способ сразу и быстро вылететь с работы (в 24 часа и хорошо если вам дадут вынести свои вещи): не поладить со службой безопасности. Того, про что вы тут говорите — будет более, чем достаточно.
И тут есть своя логика. Есть такое хорошо известное высказывание: можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех. Это — база для всех служб безопасности, которые работают. Следствие из неё такое: технические средства применяются для отлова людей, которые что-то делают по незнанию или неосторожности (то есть борются с теми опасностями, которые непродолжительное время могут «обманывать всех»), а отдельные, специально обученные, люди борются с теми, кто сознательно пытаются обойти средства защиты (то есть с теми опасностями, которые могут «бесконечно долго обманывать» примитивные автоматизированные средства защиты). Если у вас какая-то из этих частей прихрамывает — то у вас и безопасности в целом не будет.
И тут неважно — это система безопасности фирмы или государства, большой китайский файрволл в этом смысле ничуть не отличается от Android for Work. Их задача — отловить «проблемы» создаваемые «типичными», не слишком продвинутыми «врагами». Но кто-то должен закрывать и вторую «дыру», иначе вся система работать не будет.
Я в такую конспирологию не поверю. Собирать досье на людей без их ведома для предоставления коммерческим структурам — это похлеще признаний Сноудена. Должны быть утечки. И откуда новые СБ-шники узнают о таком агентстве. А если не узнают, не передадут информацию и агентство не выполнит своих задач.
Цитату загуглил, она обычно используется в контексте «власти скрывают от народа»
Цитату загуглил, она обычно используется в контексте «власти скрывают от народа»
отдельные, специально обученные, люди борются с теми, кто сознательно пытаются обойти средства защитыу них должна быть квалификация выше тех, кого они ловят. Надо просто хорошо понимать, что их специализация — соц. инженерия, и только на ней они могут выехать.
подключении к EAS почтовый клиент требует прав администратора устройства
Засада в том, что со стороны Exchange это не отключается.
Мне кажется, что Android for Work вполне можно назвать %YOUR_OS% for Work. Ибо даны общие рекомендации, которые применимы к любой платформе. А я ожидал описание какого-нибудь нового API, или особых приложений, или спец. версия ОС. А тут просто советы: не рутовать, не ставить апп из неизвестных источников, использовать антивири, сложные пароли и т.д. По сути статья — повторение известных рекомендаций.
Это вполне конкретное приложение, предустановленное в некоторые смартфоны
play.google.com/store/apps/details?id=com.google.android.apps.work.core
play.google.com/store/apps/details?id=com.google.android.apps.work.core
ИМХО лучший совет: «Учись. Думай. Не ленись»
98% пользователей выбирают телефон по внешнему виду, используют контент по умолчанию, не задумываясь откроют трояна в письме и сообщат свой пинкод поддельному сайту. Статья для них. Для их спокойствия. Те, у кого хватает любопытства и упорства лопатить форумы и разбираться с root уже подумали, и о защите, и о backup.
98% пользователей выбирают телефон по внешнему виду, используют контент по умолчанию, не задумываясь откроют трояна в письме и сообщат свой пинкод поддельному сайту. Статья для них. Для их спокойствия. Те, у кого хватает любопытства и упорства лопатить форумы и разбираться с root уже подумали, и о защите, и о backup.
В целом эти рекомендации подходят к пострению любой корпоративной системы.
Если есть реально работающее приложение под Андроид, реализующее все перечисленное — оно существенно облегчит работу. Другой вопрос — а кто контролирует работу самого этого приложения?
Если есть реально работающее приложение под Андроид, реализующее все перечисленное — оно существенно облегчит работу. Другой вопрос — а кто контролирует работу самого этого приложения?
Для борьбы с рутованием рекомендовано запрещать подключение взломанных Android-устройств к корпоративной сети.
Не только это. Android for Work поддерживает возможность установить флаг «device is out of compliance» — т.е. если по каким-то причинам устройство не соответствует требованиям безопасности, рекомендуется отключить не только корпоративную сеть (что, вообще говоря, не является требованием) но и запретить доступ, скажем, к почте.
play.google.com/store/apps/details?id=com.google.android.apps.work.core
Android for Work App это немного другая песня — для телефонов, которые не поддерживают Android for Work Managed Profile, предлагается возможность использования app-based conteinerisation (для примера, Good for Enterprises использует похожий подход).
Мне кажется, что Android for Work вполне можно назвать %YOUR_OS% for Work
Это вообще мимо :-)) Читать, например, здесь.
Sign up to leave a comment.
Корпоративное использование Android 5.0: рекомендации по безопасности