2013年9月28日 星期六

Mobile Device Management 是一種集權控管技術, 若遭濫用, 可以拿來入侵你的行動裝置

Mobile Device Management 據說是一種很棒的 「眾手機與行動裝置管理技術」。 比方說企業買許多手機分配給員工。 要如何確保員工正確使用手機、 即時更新防毒軟體、 隨時收到企業內部的重要訊息更新、 把手機設定成符合工作需求的狀態呢? MDM 技術讓企業可以透過中控伺服器派送軟體給所轄手機, 按照企業管理者的意志遠端遙控員工的手機, 提升手機的安全性。 如果手機被偷了, 企業還可從中控伺服器送出指令 (稱為 kill switch 或 remote wipe) 銷毀資料保護企業機密與員工隱私, 甚至進一步關閉手機所有功能。

聽起來很棒, 對吧? 但從人權的角度來看, 這項技術最大的問題是: 它跟 DRM 遙控數位枷鎖 一樣, 是一種中央集權控管的技術。 它把手機/平板電腦/筆電) 的控制權, 從使用者的手中移到遠端企業中控伺服器的手中。 它服務的對象, 並不是手機持有者, 而是意圖監控管制手機持有者的老大哥。

[10/21 補充]: 蘋果電腦如何幫 NSA 及各機關行號網管人員在 iMessage 架構中留下監聽後門? MDM 正是協助網管人員順利佈線的達陣幫手。 [12/4 補充]: 鑑識資安專家提醒: 「把你個人的裝置登錄到公司的 MDM 政策裡面去, 基本上也就允許了你的僱主可以跳過裝置的安全檢查, 讓他可以直接查看你的個人資料。」 這篇文章指出: 「可以說 MDM 就是你的 IT 部門植入你的手機裡的 rootkit。」

九月初, Snowden 繼續爆料: NSA 可以入侵任何人的 iphone/android/黑莓機信息 [ 中文 / 英文有談到 kill switch]。 但他們靠的是什麼技術? 沒有人知道。 從 「資訊人, 權貴」 (而不是 「資訊人權, 貴」) 的角度思考 -- "要如何幫助統治者入侵公民的手機?" -- 我猜測 MDM 是其中一個很方便的管道。 美國政府以 「打擊手機竊盜犯罪」 為由, 意圖 立法要求所有手機廠商加上 "kill switch" 蘋果電腦率先響應), 這個牽強的政策, 會不會就是為了大規模佈建 MDM 在舖路呢? 人權團體也 質疑 kill switch 只是政府監控民眾手機的藉口之一而已

「特偵監聽聽到飽方案」 黃世銘代言,必屬佳作! Practical Attacks against Mobile Device 一文指出 MDM 最容易遭到 spyphones 的入侵。 一般的木馬式惡意監聽軟體直接誘騙受害者主動安裝, 一口氣跟監不特定大量手機, 而且屬於雙方面的行為; 但 spyphones 類型的監聽軟體則有別於此。 它通常宣稱可以透過監控手機保護客戶的子女、 確認配偶沒有外遇、 ... 總之目的在於協助購買者針對性地鎖定特定第三方監聽。 (貴註: 就是像 「特偵監聽聽到飽方案」 這樣的商業運作模式。 圖片取自 「關魚」 噗浪) 統計數據顯示: 一般大眾當中, 大約有 0.03% 到 0.1% 的手機遭植入 spyphones 監聽程式, 其中 iPhone 佔五到八成, android 佔三成左右。 Spyphones 可以跨越 MDM 的 "security container" 防護措施, 入侵 MDM 所管理的手機, 再把監聽取得的資料傳上雲端 -- 該廠商所提供的 SaaS 服務。 (提示: 這時誰握有竊聽資料的最終控制權?) 其中最重要的關鍵是: 只要取得 MDM 中控伺服器的認證資料 (certificate), spyphones 入侵就變得很容易。

該文指出: MDM 的安全性, 基於手機使用者對中控伺服器的信任。 什麼信任? 信任它不會被潰客入侵控制。 該文沒有說出口的另一個可能性是: 信任中控伺服器本身不會惡意入侵你的手機? 原本是企業為了保護自身資產的這個 MDM 技術, 會不會被政府透過施壓企業而拿來監聽企業員工? 企業主會不會購買 spyphone 監聽員工, 以便將來任何員工因為任何糾紛與企業法庭上見時, 企業可握有把柄可以還擊? 面對近日不斷爆料的 NSA 監聽惡行, 如果我是美國人, 絕對會跟 Bruce Schneier 一樣, 不敢再相信政府。 那麼身為臺灣人, 感覺有比較安心一點嗎? 呵呵... 你呢?

老實說, 寫 「政府監聽、 植後門」 寫到有點膩了。 本想寫別的議題; 可是美國跟臺灣的監聽新聞排山倒海而來 (再次感謝讀者留言分享網址及標題/摘要) 逼著我不得不寫。 而且本週還不只寫一篇。 這篇是我本週預訂撰寫議題的案外案外案。 上網搜尋研究時意外發現這個可怕的東東, 目前並沒有找到具體的案例說明這技術確實已被政府與企業濫用於監控員工與公民, 但我覺得這個技術 (以及 行政院 「行動裝置資通安全注意事項」 對它的力挺) 很可疑, 只能簡要分享我的直覺與猜測跟不完整的參考資料, 警告讀者要小心。

* * * * *

手邊沒電腦; 口頭推薦本文嗎? 可以請您的朋友搜尋 「mdm 集權」 或 「mdm 入侵」 或 「mdm 控管」。

11 則留言:

  1. 想請教洪老師在寫這篇文章時, 對 ISO27001 對於資訊管理規範的要求, 是否有納入撰寫此篇文章時的考慮? 您的文章角度把 MDM 形容成萬惡不赦, MDM 跟 DRM 從根本上就是兩碼子事, 這篇文章似乎也近乎 MSFT 善用的 FUD 角度在寫作了.

    回覆刪除
  2. 是的, MDM 跟 DRM 的 **說辭** 根本就是兩碼子事。 MDM 的說辭是為了保護資安; DRM 的說辭是為了保護智財。

    不過兩者所採取的 **態度** 以及所造成的 **效果** 是一致的 -- 都基於 「使用者不可信任」 的思考點出發, 都會侵犯自主權與隱私。 真的要比較的話, DRM 還有可能比較客氣一點, 也可以只發生在本機; 但 MDM 則必然是要讓主控伺服器把手伸到你的手機裡面來。

    哪一句或哪幾句沒有事實根據、 只是 FUD? 請精確地指出來。

    啊, 謝謝提及 ISO27001。 如果 ISO27001 跟員工隱私與自主權互相衝突, 要棄誰保誰?

    回覆刪除
  3. 洪老師, 在此提及 ISO27001 的理由, 是想請您找業者了解實務上要拿到這個認證, 光是稽核使用狀況要作多少關卡, 不是任何人可以輕易刪除的, 您對於此規範並未一併納入考量.

    另 MDM 是否基於"使用者不可信任"優先考量, 應要看各家方案出發點及實務上提供哪些功能論斷, 一竿子打翻全部業者, 也打翻 MDM 所帶來的好處.

    並不是不相信有公司會藉由 MDM 窺視監督員工在使用電腦的狀況, 但這並不是通論, 老師以這種論調方式, 因為使用不受規範或不成熟的提供者的 MDM 方案會有可能讓你的個人隱私, 在某些情況下, 遭受損害, 所以 MDM 不可採用. 這是 FUD 的論調.

    回覆刪除
  4. 為了要拿到這個認證,而公司藉由 MDM 監督員工並不是通論,所以要採用成熟的提供者(國際大廠)所提供的 MDM,是不是 FUD 的論調?

    版主只是警告大家小心,並沒有推銷非智慧型手機,也沒有要求各家方案開放原始碼。

    回覆刪除
    回覆
    1. How you can mislead discussion to this direction?

      I just believe not all of user (company) will use MDM to spy their employee. There must still have company (the question here is how many company) uses MDM technology just wants to deploy and manage their IT devices well and effect.

      There has nothing I say can let you mislead discussion to this direction - "To prevent company spy their employee, company need to buy solution which pass ISO27001". It's totally incorrect.

      刪除
  5. MDM 廠商想要獲得員工信任, 有幾個方法。 比較可信的是: 公佈手機端軟體的原始碼, 並保證安裝的版本就是原始碼對應的版本。 或者退而求其次, 至少詳細列出手機端軟體會對你的手機做哪些事、 不會對你的手機做哪些事, 並且保證凡是遇到可能侵犯用戶隱私與自主權的動作, 一定都會先徵詢用戶同意之後才進行。 這帖特別歡迎任何具有上述聲明的 MDM 廠商留下相關產品介紹的網址。

    我這篇文章意在提醒大家: 家裡鑰匙不要隨便交給任何人 -- 就算是自己任職的公司派來家裡安裝什麼神奇裝置的廠商也一樣。 如果公司跟委外廠商連 「這裝置絕對不會暗中侵犯私、 絕對不會不經你的同意就幫你家斷水斷電」 這樣的保證都說不出口, 你應該把家裡鑰匙交給他嗎?

    回覆刪除
    回覆
    1. Prey is what you want.

      I just want to communicate with Sir. Not any new technology is evil or sin. The evil comes from people who use the technology. To blame a new technology is very strange way to me.

      You shouldn't use FUD statement to scare people away from understand how the technology is, any rule/policy/law to control it, can it be controlled well, and so on.

      That's all I want to say. I'll not back to this topic any more since we might have different view to new technology.

      刪除
    2. We need open source technology.(Regardless of whether the person evil?) That's all I want to say.

      刪除
  6. 1. 近來這幾篇文章,都是建立在「猜疑」的前提下,「若遭濫用」、「幫美國政府」這些懷疑的前提,但卻沒有什麼具體實證,然後用「謊言」這麼強烈的字眼,建議你的措辭應該要謹慎一點,少一些小說假設情節
    2. 按照你的邏輯,MDM 像是研發出來集權控制的,商用市場的出發點是獲利並解決一些問題。如果用這個邏輯去推論,也可以寫一篇「金門菜刀若遭濫用,是大量殺人的利器」
    3. 學術研究是好事,大膽假設、謹慎研究過程,不正是學術研究該有的精神嗎?提了一堆疑問,但這些技術、產品、規範,原先想要面對與解決的問題,你有思考過嗎?只是提出很多疑問,是無法改善問題的,只是如同市集大聲疾呼的莽漢而已
    4. MDM 廠商不需要獲得員工信任,當企業導入 MDM來解決 BYOD 的問題時,員工就是只能接受而已,這是職場的現實。所以什麼提供原始碼、保證隱私什麼的,聽起來像是脫離現實的天方夜譚,我也希望世界和平呀~問題是用喊的就會達成嗎?

    回覆刪除
  7. 哈哈, 我的部落格文章不是學術研究啦。 是 「新聞」 加 「評論」。

    「MDM 廠商不需要獲得員工信任」 這句話說得太好了, 完全貼切地描述了殘酷的現實。 所以我猜你也不反對: MDM 技術原先想要面對與解決的問題, 並不是 提升員工行動裝置的資訊安全, 而是 強化由上而下的組織控管。 「... 員工就是只能接受而已,這是職場的現實。」 MDM 廠商服務的對象是掌權者, 而不是手機持有者。 「所以什麼提供原始碼、保證隱私什麼的, 聽起來像是脫離現實的天方夜譚」 如果協助長官刺探員工隱私, 才更有助於把 MDM 賣出去, 廠商當然更不應該把 「保證隱私」 當成賣點來宣傳。 如果針對行政院 (監控下屬) 的需求跟公務員保護自身隱私的需求發生衝突, 廠商當然要滿足行政院的需求, 而不是公務員的需求。 所以廠商當然不提供原始碼、 當然不保證隱私。 我完全理解。

    權力使人腐化。 黑箱權力使人放心大膽地腐化。 持有金門菜刀的人, 在這個年代, 實在沒什麼權力可言。 更何況他手中顯眼的菜刀, 令眾人矚目, 會讓他更難為惡。 相對地, 黑箱作業的政府, 表面上口口聲聲 「依法行事」, 實際上暗地裡 (也不暗啦, 現在越來越明目張膽了) 替財團與利益團體服務, 這才可怕。 特別是操作 MDM 中控伺服器的資訊人員, 可以在員工不知不覺的情況下偷窺, 又不需要對員工作出任何隱私保證, 你說他會不會偷窺? 我第一個承認: 如果是我, 很難克制這個衝動。 也許啦, 也許你們公司的網管品德、 自制力都比我高尚, 就連手中握有的黑箱權力都無法使他腐化。 也許這樣的假設比較符合現實、 比較不像天方夜譚?

    再回到 「謊言」。 既然 MDM 原先想要面對與解決的問題, 是組織的控管, 而不是手機持有人的隱私與安全, 那麼行政院那篇注意事項的標題的措辭有沒有欺騙? 算不算是謊言? 如果行政院推動的技術 「不需要獲得員工信任」、 無意 「保證員工的隱私」, 但卻包裝成好像在替員工的隱私與安全設想一樣, 那麼這算不算是說謊?

    莽漢看見攤販說謊, 於是在市集裡大聲疾呼: 「小心黑心食品!」 食品是否真的黑心? 可能性存在, 但沒有證據; 不過攤販說謊是事實。 莽漢的大喊如果能夠幫助幾個人避開危險, 那也是很有意義的。 這比投身 「累積論文點數、 不敢談論微軟 NSA 後門」 的學術界要更有意義多了。 不然你以為我為什麼要寫這個沒有稿費的部落格呢? :-)

    回覆刪除
  8. 「MDM 廠商不需要獲得員工信任」 這句話證明原PO也不信任MDM。

    學術研究是好事,但spyphones的問題,你有思考過嗎?

    回覆刪除