Les ordinateurs portables des employés en Chine sont-ils sûrs contre l'espionnage international des entreprises?
J'ai récemment fait un voyage d'affaires en Chine. Notre service informatique m'a dit que je ne pouvais pas prendre ma machine normale et m'a plutôt donné un prêt. Ce prêteur avait MS Outlook et était lié à mon compte de messagerie électronique normal. Je me suis connecté au réseau d'entreprise en utilisant le même VPN et le même jeton (Mobile Pass sur mon iPhone) que j'aurais utilisé si j'avais pris ma machine normale. Je dois noter que j'ai pris mon iPhone normal, pas un prêteur.
La principale différence avec la machine normale semble être qu'à mon retour, le prêteur serait réimaginé et vraisemblablement utilisé comme prêteur lors du prochain voyage que quelqu'un a fait. On ne m'a jamais demandé de ne pas placer le prêteur sur le réseau de l'entreprise à mon retour, et je n'ai jamais essayé donc je ne sais pas s'il se connecterait au réseau ou non. Il n'y avait également aucune restriction sur le déplacement de fichiers du prêteur vers ma machine normale. J'ai également utilisé mes identifiants normaux sur le prêteur (identifiant utilisateur, mots de passe, etc.).
Ma question est la suivante: cette politique de prêt d'ordinateurs portables offre-t-elle un avantage de sécurité significatif par rapport à la prise de la machine normale de l'utilisateur?
Suivi: et le fait que la destination soit la Chine, par rapport à, disons, un emplacement en Europe ou aux États-Unis fait-il une différence?
J'ai récemment fait un voyage d'affaires en Chine. Notre service informatique m'a dit que je ne pouvais pas prendre ma machine normale et m'a plutôt donné un prêt.
Cela ne vous a peut-être pas aidé du tout. Je dis cela parce que vous avez connecté cet ordinateur portable au réseau d'entreprise après l'avoir ramené dans votre pays.
Ce prêteur avait MS Outlook et était lié à mon compte de messagerie électronique normal. Je me suis connecté au réseau d'entreprise en utilisant le même VPN et le même jeton (Mobile Pass sur mon iPhone) que j'aurais utilisé si j'avais pris ma machine normale. Je dois noter que j'ai pris mon iPhone normal, pas un prêteur.
Vous ne devez jamais reconnecter cet ordinateur à votre réseau d'entreprise. Vous avez besoin d'une séparation claire des préoccupations.
L'espionnage d'entreprise international et vous
Vous avez une entreprise qui fait des affaires importantes en Chine? Vous avez peut-être été piraté à l'arrivée . Malheureusement, étant donné que vous vous êtes également connecté à la messagerie professionnelle et à d'autres comptes, vous avez peut-être eu toutes vos adresses électroniques et contacts exfil'd.
Pourquoi auraient-ils besoin de cette information? Pour les attaques de phishing, pour des informations sur les clients, les contacts, et al.
Malheureusement, la plupart des service Internet de l'hôtel que j'ai rencontrés ont eu problèmes importants avec leurs portails de connexion, tels que des exploits de lecteur par téléchargement en Javascript, Flash et Java. Si vous en aviez activé un et que votre machine était vulnérable, il est fort possible que vous soyez infecté sans vous en rendre compte.
Je suis personnellement tombé sur un Wi-Fi d'hôtel qui "ne fonctionne pas", ce qui nécessite un "personnel informatique" dans les hôtels qui viendra personnellement et configurera vos propriétés de connexion (IPv4, IPv6, DNS, et al) pour se connecter via un serveur malveillant. Parfois, ils essaient même de télécharger des fichiers sur mon ordinateur portable tout en le "réparant".
Les attaques de firmware sont possibles
La principale différence avec la machine normale semble être qu'à mon retour, le prêteur serait réimaginé et vraisemblablement utilisé comme prêteur lors du prochain voyage que quelqu'un a fait.
Malheureusement, cela n'aidera pas contre les attaques basées sur le firmware. Cela peut être aussi simple que d'insérer un appareil BadUSB lorsque vous êtes absent. Entrez, insérez, attendez la confirmation du matériel flashé, partez. Si vous travaillez pour un entrepreneur gouvernemental ou que vous avez d'importants secrets d'entreprise à protéger, je ne ferais même pas confiance à un lecteur réimagé.
Le chiffrement intégral du disque ne vous protège pas contre le micrologiciel flashé, ni même les implants d'appareil cachés. Ils peuvent simplement allumer l'ordinateur portable, insérer un média contenant des logiciels malveillants, flasher votre bios sans même toucher le lecteur, puis installer des logiciels malveillants bios .
Mais les attaques de firmware ne sont pas absolument nécessaires
Avez-vous laissé l'ordinateur portable seul à l'hôtel lors de vos achats ou lors d'une réunion importante? Il a peut-être été pénétré physiquement alors que vous n'étiez pas là.
Une bonne façon de vous défendre contre cela est de vous assurer que votre disque dur est crypté, puis de l'éteindre lorsque vous êtes parti. Mais ce n'est pas parfait non plus; ils peuvent physiquement implanter des choses dans votre ordinateur portable plus rapidement que vous ne le pensez. Vous pouvez également essayer de placer quelques joints de garantie/annulation sur les bords de l'ordinateur portable avant de visiter la Chine. S'ils sont cassés, supposez que le matériel est compromis.
Encore une fois, gardez à l'esprit que full-disk encryption ne vous évitera pas d'attaques basées sur le matériel. S'ils copiaient le contenu de votre disque dur puis installaient un enregistreur de frappe matériel, ils pourraient récupérer facilement le contenu de votre disque dur.
Et mon téléphone? Est-ce sûr?
Puisque vous avez mentionné votre téléphone dans votre message, j'ai pensé ajouter ce petit morceau. Il est possible de remplacer l'équipement de charge de votre téléphone par un sosie malveillant pendant votre absence ou même pendant votre sommeil.
Si vous passez suffisamment de temps dans les hôtels, vous pouvez même rencontrer des employés de l'hôtel qui entrent dans votre hôtel pendant votre sommeil. Même si vous avez verrouillé les portes et les avez verrouillées.
Dois-je me connecter à mon réseau d'entreprise normal en Chine?
On ne m'a jamais demandé de ne pas placer le prêteur sur le réseau de l'entreprise à mon retour, et je n'ai jamais essayé donc je ne sais pas s'il se connecterait au réseau ou non. Il n'y avait également aucune restriction sur le déplacement de fichiers du prêteur vers ma machine normale. J'ai également utilisé mes connexions normales sur le prêteur (identifiant utilisateur, mots de passe, etc.).
Je dirais que votre personnel de sécurité informatique passe un peu plus de temps à découvrir les attaquants étrangers. L'utilisation de vos identifiants normaux est à peu près un énorme non-non en Chine ou dans tout autre domaine à haut risque.
La politique de votre ordinateur portable présente-t-elle des avantages en termes de sécurité?
Ma question est: est-ce que cette politique de prêt d'ordinateurs portables offre un avantage de sécurité significatif par rapport à la prise de la machine normale de l'utilisateur?
Nan. La raison en est que vous avez fini par vous connecter au VPN de votre réseau d'entreprise. J'ai emmené beaucoup de technologies jetables en Chine, et cela a fini par être piraté à chaque fois. J'ai reformaté par la suite et l'infection a persisté. Si je l'avais connecté à un réseau important où j'avais accès en lecture/écriture à des choses critiques, je serais dans un monde de problèmes.
Si vous voulez qu'une menace persistante avancée se propage partout, allez-y. Personnellement, je veux toutes les infections pour pouvoir les désosser! :-) Cependant, étant donné que votre entreprise a probablement des secrets à protéger, je ne ferais pas confiance à cette politique relative aux ordinateurs portables.
En fait, ce que vous décrivez - la façon dont vous avez utilisé l'ordinateur - ressemble à une mine d'or à un pirate qualifié, ou même à un script kiddie qui peut automatiser l'attaque. Que feriez-vous à ce stade si vous considériez que vos données avaient été violées? Il pourrait s'agir des premières étapes d'une violation, de la préparation des données pour une attaque de phishing, ou vous disposiez peut-être d'informations plus importantes sur les attaquants potentiels.
Mais qu'en est-il du VPN d'entreprise?
Gardez à l'esprit, comme je l'ai dit à plusieurs reprises, si vous vous êtes connecté à votre entreprise via le VPN d'entreprise et que quelqu'un en Chine ou ailleurs a infecté votre machine, alors tout ce que vous êtes autorisé à faire sur ce réseau d'entreprise leur est également accessible . Êtes-vous autorisé à créer/lire/écrire des fichiers et dossiers critiques? Ils le pourraient aussi.
Encore une fois, tout ce que vous êtes autorisé à faire sur votre réseau d'entreprise, ils le peuvent également s'ils contrôlent votre ordinateur. Cela pourrait se faire en silence sans que vous vous en rendiez compte, même lorsque vous êtes sur le système.
L'espionnage industriel est malheureusement très courant en Chine.
Il y a des cas où des logiciels espions ont été installés sur des appareils informatiques (prétendument par le personnel de l'hôtel) et dans certains cas, même des appareils d'espionnage matériel ont été placés dans des ordinateurs portables.
L'essuyage de chaque ordinateur portable prêté est un bon moyen de se débarrasser de tout logiciel espion. Certains conseils suggèrent de peser tout matériel avant et après un voyage d'affaires et de vérifier s'il a en quelque sorte pris quelques grammes. Votre service informatique peut le faire ou non lors de la réception d'un prêt.
Cependant, cela n'empêche pas tout espionnage qui se produit pendant le voyage d'affaires.
Vous devriez recevoir un ordinateur portable sans aucune information sur l'entreprise qui n'est pas absolument essentielle. Dans la mesure du possible, l'accès à des internes sécurisés de l'entreprise doit être empêché. Plutôt que votre compte de messagerie d'entreprise habituel, votre entreprise devrait vous fournir un compte de messagerie Web qui ne fait pas partie de son système interne normal - Gmail, Outlook.com, etc.
À son retour dans l'entreprise, l'ordinateur doit être rendu immédiatement au service informatique. Une analyse antivirus de routine ne sera pas utile ici, car ils utiliseraient presque certainement des exploits personnalisés qui ne sont pas activement recherchés.
L'entreprise doit effacer l'ordinateur, REFLASH TOUS LES FIRMWARE, puis réimaginez l'ordinateur.
À des fins médico-légales, effectuer une analyse de hachage complète SHA des lecteurs d'ordinateur et du micrologiciel avant et après le voyage) peut fournir des informations utiles sur les attaques qui ont eu lieu.
Enfin et surtout, assurez-vous que les mots de passe que vous utilisez lors de ce voyage ne sont en aucun cas similaires aux mots de passe que vous utilisez normalement.
À partir du POV d'un chapeau noir hypothétique, il existe de nombreuses façons de compromettre un ordinateur portable qu'un chiffon de disque ou même un flash de firmware ne peut pas toucher. Imaginez un très petit périphérique matériel, essentiellement un SOC et un gros bloc de flash. Câblé en alimentation SATA, avec des lignes de données connectées aux lignes de données du clavier. Enregistrez simplement toutes les frappes brutes pendant 64 Go ou 128 Go de temps, en remplaçant les plus anciennes par les nouvelles lorsqu'elles sont pleines, et essayez de récupérer/actualiser si/quand l'ordinateur portable revient dans le pays. Trivial à faire, pas très cher (à grande échelle corp/gouvernement), et gérerait probablement un taux de réussite acceptable, tout en étant complètement immunisé contre les reflashes et les effacements de disque. Cela fait environ 5 minutes de réflexion, avec un effort au niveau du gouvernement, les choses pourraient devenir beaucoup, beaucoup plus désagréables, très très rapidement.
La réponse courte (comme d'habitude) est, cela dépend. Étant donné votre scénario, cependant, l'utilisation d'un prêteur rend les choses plus difficiles pour un attaquant potentiel, donc par définition, il offre certains avantages en matière de sécurité.
Bien sûr, le diable est dans les détails et à la fin, cela dépend de la motivation de votre attaquant.
Cependant, il n'y a qu'une chose que vous n'avez pas mentionnée: votre entreprise fournit-elle un accès à votre courrier via l'application Web Outlook et, dans l'affirmative, applique-t-elle l'authentification à deux facteurs ou l'accès VPN?
Si la réponse à la question précédente est "non", envisagez ce scénario:
- Votre ordinateur portable avait un enregistreur de frappe installé à un moment donné, ou a été acquis via un jour zéro
- Vous avez tapé votre mot de passe pour accéder au VPN
- Ce même mot de passe vous donne accès à votre e-mail via une interface web
- Cette interface Web ne nécessite pas le deuxième jeton
Évidemment, c'est paranoïaque limite, mais cela dépend vraiment de la valeur de ce que vous essayez de protéger.
ps: avez-vous apporté votre propre chargeur iPhone?
De nombreuses entreprises exigent que leurs employés apportent des appareils de prêt pour entrer en Chine ou à Hong Kong, pour deux raisons principales: le risque que les autorités chinoises volent la propriété intellectuelle des appareils à l'usage des entreprises nationales et le risque d'installer des logiciels malveillants pour leur permettre de faire donc quand l'appareil rentre à la maison.