web-dev-qa-db-ja.com

中国の従業員のラップトップは、国際的な企業スパイに対してどのくらい安全ですか?

最近中国に出張しました。 IT部門から、通常のマシンは持てない、と言われました。この借り手はMS Outlookを持っていて、私の通常の会社の電子メールアカウントにリンクされていました。通常のマシンを使用した場合と同じVPNとトークン(iPhoneのモバイルパス)を使用して企業ネットワークにログインしました。借り手ではなく、通常のiPhoneを使用したことに注意してください。

通常のマシンとの主な違いは、私の帰りに貸与者が再イメージ化され、おそらく誰かが次に行った旅行の貸与者として使用されることです。返却時に貸し出し人を会社のネットワークに配置しないように頼まれたことも、ネットワークに接続するかどうかわからないので、試したこともありませんでした。借り手から私の通常のマシンにファイルを移動することにも制限はありませんでした。また、貸し出し側での通常のログイン(ユーザーID、パスワードなど)も使用しました。

私の質問は次のとおりです。この貸し出し用ラップトップのポリシーは、ユーザーの通常のマシンを使用するよりもセキュリティ上の大きな利点を提供しますか?

フォローアップ編集:そして、目的地が中国であるという事実と比較して、たとえばヨーロッパやアメリカの場所が違いを生むと言いますか?

authenticationmalwarevpndefensetoken
32
Stone True

私は最近中国に出張しました。私たちのIT部門は、通常のマシンは持てないことを教えてくれ、代わりに貸与者をくれました。

それはまったく役に立たなかったかもしれません。私がこれを言っている理由は、あなたが国に持ち帰った後にそのラップトップを企業ネットワークに接続したからです。

この借り手はMS Outlookを持っていて、私の通常の会社の電子メールアカウントにリンクされていました。通常のマシンを使用した場合と同じVPNとトークン(iPhoneのモバイルパス)を使用して企業ネットワークにログインしました。借り手ではなく、通常のiPhoneを使用したことに注意してください。

そのコンピューターを企業ネットワークに再接続しないでください。懸念事項を明確に分離する必要があります。

国際企業スパイとあなた

中国で重要な事業を行う会社はありますか?あなたは 到着時にハッキング された可能性があります。残念ながら、企業のメールやその他のアカウントにも接続しているため、メールアドレスと連絡先をすべて持っている可能性がありますexfil'd

なぜ彼らはその情報を必要とするのでしょうか?フィッシング攻撃、クライアント、連絡先などに関する情報。

残念ながら、私が遭遇した ホテルのインターネットサービス のほとんどは 重大な問題 Javascript、Flash、およびJava。これらのいずれかを有効にしていて、マシンに脆弱性がある場合は、気付かずに感染している可能性があります。

私は個人的にホテルのWiFiに遭遇しましたが、「機能しない」ので、ホテルの「ITスタッフ」が個人的に来て接続プロパティを設定する必要があります(IPv4IPv6DNSなど)を使用して、悪意のあるサーバーを介して接続します。時々、私のラップトップにファイルを「修正」しながらダウンロードしようとすることさえあります。

ファームウェア攻撃が可能

通常のマシンとの主な違いは、私の帰りに貸し手が再イメージ化され、おそらく誰かが次に行った旅行の貸し手として使用されることです

残念ながら、これはファームウェアベースの攻撃には役立ちません。離れているときにBadUSBデバイスを挿入するのと同じくらい簡単です。ウォークイン、挿入、フラッシュされたハードウェアの確認を待ち、そのままにします。あなたが政府の請負業者のために働いている、または保護する重要な会社の秘密を持っているなら、私は再イメージ化されたドライブさえ信用しません。

完全なディスク暗号化は、フラッシュされたファームウェア、または隠されたデバイスの埋め込みからあなたを保護しません。彼らは単にラップトップの電源を入れ、マルウェアが含まれているメディアを挿入し、ドライブに触れることさえせずにBIOSをフラッシュし、次に BIOSベースのマルウェアをインストールする です。

しかし、ファームウェア攻撃は絶対に必要というわけではありません

買い物に行くとき、または重要な会議に行くとき、ホテルにノートパソコンを置いたままにしましたか?あなたがそこにいなかったときに、それは物理的に壊れていたかもしれません。

これを防ぐための良い方法の1つは、ハードドライブが暗号化されていることを確認し、なくなったらそれをシャットダウンすることです。しかし、これも完璧ではありません。彼らはあなたが思っているよりも速く物理的にあなたのラップトップに物を埋め込むことができます。中国に行く前に、ラップトップの縁にいくつかの保証書/ボイドシールを貼ってみることもできます。壊れている場合は、ハードウェアが侵害されていると考えてください。

繰り返しますが、full-disk encryptionハードウェアベースの攻撃からあなたを救うことはありません。ハードドライブの内容をコピーしてからハードウェアベースのキーロガーをインストールした場合、ハードドライブの内容を簡単に取得できます。

私の電話はどうですか?安全ですか?

あなたの投稿であなたの携帯電話について言及したので、私はこの小さな一口を追加すると思いました。 携帯電話の充電装置を悪意のあるドッペルゲンガーに交換する は、あなたがいなくなったとき、またはあなたが眠っているときでも可能です。

ホテルで十分な時間を過ごすと、眠っている間に実際にホテルに入るホテルの従業員にさえ出くわすかもしれません。ドアをボルトで固定していても。

中国にいる間、通常の企業ネットワークに接続する必要がありますか?

私は自分の帰りに会社のネットワークに貸し出し人を置かないように頼まれたことは一度もなかったし、ネットワークに接続するかどうかわからなかった。借り手から私の通常のマシンにファイルを移動することにも制限はありませんでした。また、貸し出し機での通常のログイン(ユーザーID、パスワードなど)も使用しました。

ITセキュリティスタッフが外国の攻撃者について学ぶのにもう少し時間をかけることをお勧めします。通常のログインを使用することは、中国やその他の危険度の高い地域では、かなり大きな禁止事項です。

ラップトップポリシーのセキュリティ上の利点はありますか?

私の質問は、このローンターラップトップポリシーは、ユーザーの通常のマシンを使用するよりもセキュリティ上の大きな利点を提供しますか?

いいえ。その理由は、最終的に企業ネットワークのVPNに接続することになったためです。私はたくさんの使い捨てのテクノロジーを中国に持って行ったが、結局ハッキングされてしまった。その後、私は再フォーマットしましたが、感染は続きました。それを重要なネットワークへの読み取り/書き込みアクセス権を持つ重要なネットワークに接続していたら、トラブルの世界にいるでしょう。

どこにでも拡散する高度な永続的脅威が必要な場合は、それを実行してください。個人的には、すべての感染症が欲しいので、それらをリバースエンジニアリングすることができます! :-)しかし、あなたの会社が保護すべき秘密を持っている可能性があることを考えると、私はこのラップトップポリシーを信頼しません。

実際、あなたが説明していること(コンピューターの使い方)は、熟練したハッカーにとっては金鉱のように聞こえ、攻撃を自動化できるスクリプトの子供でさえあるようです。データの侵害を検討した場合、この時点で何をしますか?侵害の初期段階、フィッシング攻撃に備えてデータを準備すること、または潜在的な攻撃者が利用できるより重要な情報を入手している可能性があります。

しかし、企業VPNはどうでしょうか?

何度か述べたように、会社のVPNを介して会社に接続していて、中国や他の場所にいる誰かがマシンに感染した場合は、許可されているすべてのことを覚えておいてくださいその企業ネットワーク上でもそれらにアクセスできます。重要なファイルとフォルダーの作成/読み取り/書き込みを許可されていますか?彼らもそうでした。

繰り返しになりますが、企業ネットワーク上で許可されていることなら何でも、そうすれば、彼らがあなたのコンピュータを制御しているのなら、そうすることができます。これは、システムに接続しているときでも、気付かないうちに黙って行うことができます。

47
Mark Buffalo

残念ながら中国では産業スパイが一般的です。

スパイウェアがコンピューティングデバイスにインストールされた(ホテルのスタッフによって申し立てられた)場合があり、場合によってはハードウェアスパイデバイスでさえノートブックに入れられました。

貸し出されているすべてのノートブックをワイプすることは、スパイウェアを取り除くための良い方法です。一部のアドバイザリでは、出張の前後にハードウェアを重み付けして、数グラム獲得したかどうかを調査することを提案しています。 IT部門は、ローンを受け取るときにこれを行う場合と行わない場合があります。

ただし、これにより、発生するスパイ行為を防ぐことはできませんduring出張。

23
Philipp

絶対に必須ではない会社情報が記載されていないラップトップを提供する必要があります。安全な企業内部へのアクセスは可能な限り防止する必要があります。通常の企業メールアカウントではなく、会社は通常の内部システム(Gmail、Outlook.comなど)の一部ではないWebベースのメールアカウントを提供する必要があります。

会社に戻ったら、コンピューターを直ちにIT部門に返却する必要があります。定期的なウイルススキャンはここでは役に立ちません。アクティブスキャンされていないカスタムクラフトのエクスプロイトを使用しているためです。

会社はコンピューターを消去し、すべてのファームウェアを再フラッシュしてから、コンピューターのイメージを再作成する必要があります。

法医学的な目的で、旅行の前後にコンピュータドライブとファームウェアの完全なSHAハッシュスキャンを実行すると、発生した攻撃に関する有用な情報が得られる場合があります。

最後に重要なことですが、この旅行で使用するパスワードはすべて、通常使用するパスワードとまったく同じではないことをCERTAINに伝えてください。

3
Byron Jones

架空のブラックハットの視点から、ディスクワイプまたはファームウェアフラッシュさえも触れることができないラップトップを危険にさらす多くの方法があります。非常に小さなハードウェアデバイス、基本的にSOCと大きなフラッシュの塊を想像してみてください。キーボードのデータラインに接続されているデータラインでSATA電源に配線されます。すべての生のキーストロークを64GBまたは128GB相当の時間記録し、満杯になると最も古いものを新しいもので上書きし、ラップトップが国に戻ってきた場合に、回復/更新を試みます。 (大企業/政府規模で)それほど高価ではなく、再フラッシュやディスクワイプの影響を完全に受けずに、許容できる高い成功率を実現できる可能性があります。これは、政府レベルの取り組みにより、約5分の思考であり、事態は非常に迅速に、非常に厄介なものになる可能性があります。

2
Forge

(いつものように)短い答えは場合によって異なりますです。ただし、シナリオを考えると、借用者を使用すると、潜在的な攻撃者にとって事態が難しくなるため、定義上、セキュリティ上の利点がいくつか提供されます。

もちろん、悪魔は詳細にあり、結局それはあなたの攻撃者の意欲に依存します。

ただし、言及しなかったことが1つあります。会社はOutlook Web App経由でメールへのアクセスを提供していますか。その場合、2要素認証またはVPNアクセスを強制しますか?

前の質問の答えが「いいえ」の場合は、次のシナリオを検討してください。

  • ノートパソコンにキーロガーがインストールされているか、ゼロデイで所有されていました
  • VPNにアクセスするためのパスワードを入力しました
  • 同じパスワードを使用すると、Webインターフェイス経由で電子メールにアクセスできます
  • そのWebインターフェースは2番目のトークンを必要としません

明らかにこれは境界線の偏執狂的ですが、それは本当にあなたが保護しようとしているものの価値に依存しています。

pS:自分のiPhone充電器を持ってきましたか?

1
lorenzog

多くの企業は、中国または香港への進出のために貸与デバイスの持参を従業員に要求しています。主な理由は2つあります。中国当局が国内企業が使用するためにデバイスから知的財産を盗むリスクと、マルウェアをインストールして実行可能にするリスクです。デバイスが家に戻ったとき。

0
jetset