custom ROMs en ICT beleid.

Als je verstand van zaken hebt kan een custom rom beter zijn dan een rom van de fabrikant wat dat betreft.
Cyanogenmod zou bijvoorbeeld gebaseerd kunnen zijn op een nieuwere android-versie dan de rom van de fabrikant, waarin een aantal kwetsbaarheden zijn gedicht.

'De mens' zelf is de kritieke factor hoe die er mee omgaat; de telefoon zelf is met of zonder custom rom niet kwetsbaarder, misschien zelf wel minder met bovenstaand voorbeeld..
Op een originele rom kun je ook toestaan om apps uit onbekende bronnen te mogen installeren en bijvoorbeeld pirated apps waar iets kwaadwillig in zit binnenhalen.

Tevens zegt de zin waarin staat dat ze allemaal een iPhone hebben ook al genoeg; typische applefanboy-talk. Apple is perfect en alles daarbuiten slecht. Typ dit overigens van een iPad en heb zelf een Android-smartphone.

Qua regelgeving zou je die dan in je ict-beleid of huisregels oid terug moeten vinden, maar dat lijkt me niet, al slaat het dan waarschijnlijk op een vrij algemeen toepasbare regel van goed en zorgvuldig handelen en omgaan met etc.

Sandertje1980 schreef op vrijdag 07 maart 2014 @ 00:02:
Volgens hen was mijn telefoon nu veel vatbaarder voor virussen. Ze vertelden verder dat dit een normale procedure was en dat geen enkel serieus bedrijf dit zou accepteren.

Ik zal mijn ICT-afdeling vertellen dat ze niet serieus worden genomen. Zullen ze leuk vinden

Maar even serieus: dergelijke ICT-ers zou ik juist niet serieus nemen. Het geeft meer aan dat ze erg weinig verstand van Android of van custom ROMs hebben.

Les voor jezelf: dit soort dingen niet bespreken met je ICT-afdeling

[ Voor 6% gewijzigd door gambieter op 07-03-2014 00:25 ]

Ik ken meerdere bedrijven die het inderdaad zo als policy hanteren. Is op zich niet gek, maar wel een beetje frustrerend. Dat kan ik mij voorstellen.

Ik denk dat dit iets is waar de bovengemiddeld getalenteerde tweaker zijn handen regelmatig aan brandt. ICT-afdelingen houden werknemers graag dom, of in ieder geval lekker onwetend. Dan heel hard roepen dat er veiligheidsrisico's optreden is een cliché, maar wel eentje waar ze hun baan mee houden.

Ik wil de ICT-afdeling-medewerkers die dit lezen echt niet zonder meer afkraken. Het is ook vaak beleid wat van "boven" komt. Maar het gebeurt inderdaad heel erg vaak dat werknemers een stevig afsprakenpakket te wachten staat als het zelf meegebrachte apparaat anders ligt dan gehoopt.

Dus dan unroot je hem toch, laat je het zien, om vervolgens een dag later weer je custom rom te fixen. Als je weet hoe een custom rom werkt ka. Je ook vast wel apps en instellingen back-up en met titanium back-up om later deze te restoren.

Elke echte iTr draait een custom rom imo.

Heb je de mail nodig van je baas? Zo ja, dan regelt die maar een telefoon voor je waar je de mail op kunt bekijken (hoe inefficiënt, bij mij op kantoor lopen vele met 2 mobieltjes), is de telefoon al door het bedrijf uitgegeven heb je naar mijn idee al helemaal geen recht om daar aanpassingen op te verrichten.

Krijg je geen telefoon van de baas, maar wil je wel de mail kunnen bekijken? Tja, dan heb je je naar mijn idee maar te conformeren aan de geldende (ICT) regels. Als de ICT zegt dat het een beveiligingsrisico is dan zou ik daar maar op inspelen. En hoe 'serieus' dit ook mag klinken, zoals eerder aangegeven, wat niet weet...wat niet deert.

En als sidenote wil ik de obliviousness van de gemiddelde bedrijfs ICT afdeling zeker even een extra schop toe bedelen, maar dat komt waarschijnlijk omdat onze ICT echt altijd aan het falen is . (en dat beheert het netwerk van diverse vestigingen en 100-en systemen)

Helaas kijk je niet verder dan je eigen kortzichtigheid.

Ik ben geen apple fan boy (het tegen deel zelfs) maar ik kan me goed voorstellen dat ze niet willen dat je loopt te klooien met je telefoon.

Zij moeten namelijk een service aanbieden aan alle medewerkers. Daarmee wil ik zeggen dat ze dan rekening moeten houden met een X aantal gebruikers die allemaal wat anders willen.
Het perspectief is dan ook om een uniform systeem te hebben wat iedereen kan ondersteunen.

Vergeet niet dat niet iedereen "über" is met smartphones. Veel gebruikers denken te weten wat ze doen, maar dat weten ze niet. De consequenties kunnen dan desastreus zijn. (lees KUNNEN)

Wat jij ook vergeet is dat als het systeem plat gaat of je phone wordt gehackt en daardoor komt er gevoelige informatie vrij dat dan op de schouders van de ICT afdeling valt... (terwijl jij eigenlijk de schuldige bent...)

Tevens is het apparaat eigendom van het bedrijf en heb je je gewoon aan de regels te houden.

De uitleg die je gekregen hebt van de ICT afdeling vind ik wel een beetje ruk... Dat had vele malen beter gekund. Ga eens wat verder kijken dan je eigen neus lang is en vraag om een juiste en duidelijke uitleg ipv je gelijk willen (moeten) halen...

Dan is het een ander verhaal.... De ICT kan/mag niets vertellen over hoe jij je prive telefoon gebruikt. Wel kunnen ze bepalen om de toegang te weigeren indien je geen "veilige" rom gebruikt.... alleen weet ik niet of ze dat kunnen zien of controleren aan hun kant...

Ik moet me afvragen hoeveel risico rooten in de praktijk geeft. Het wordt gedaan door twee man en een paardenkop. Niet iets waar ik als virusmaker interesse in zou hebben. Als je een virus wil moet je vooral zoeken naar alternatieve software bronnen, en dan met name illegale apps. Al wil dat natuurlijk niet per se zeggen dat er geen virussen zijn die gebruik maken van root rechten, maar domme gebruikers die van alles en nog wat installeren zijn een veel groter risico.

En hoe regelen ze eigenlijk Windows? Mogen medewerkers ook geen administrator rechten hebben op hun laptop, of mogen ze geen eens een laptop mee? Windows heeft genoeg virussen, en omdat iedereen toch altijd UAC negeert of uit heeft staan hebben applicaties bijna standaard de Windows equivalent van root rechten. Eigenlijk geldt ook hier dat domme gebruikers die zonder nadenken dingen installeren een groot risico vormen. Een domme gebruiker met administrator rechten op Windows (of mogelijk al een domme gebruiker zonder die rechten) is veel gevaarlijker dan een enigszins tech savvy persoon met een rooted telefoon (maar je moet wel bijna tech savvy zijn om überhaupt te gaan rooten). Heck, zelfs mijn vaders laptop bleek laatst vol virussen, spyware en adware te zitten (vermoedelijk omdat mams rare dingen heeft uitgespookt), en mijn vader is toch vrij tech savvy.

Een ICT afdeling die eerst hun servers open stelt zodat mensen hun eigen apparaten er mee kunnen gebruiken, en vervolgens gaat zeuren als jouw apparaat niet voldoet aan hun visie van perfectie, moet je niet serieus nemen!

Als ze zich zo'n zorgen maken over wat jouw apparaat op hun netwerk doet dan moeten ze hun netwerk beter beveiligen. Een mobiel apparaat is per definitie niet te vertrouwen (als in: Je hebt als ICT afdeling geen volledige controle dus moet je er van uit gaan dat het apparaat kwaadwillend is), of het nu een iPhone, een stock androïd toestel of een rooted toestel is.

Als ze dus zaken willen beveiligen dan hebben ze een heel scala aan opties beschikbaar:
- Toegang keihard ontzeggen aan iedereen (niet zo heel slim meer in deze tijd)
- De toegang beperken zodat je alleen datgene kunt wat noodzakelijk is (vrij standaard)
- Goede beveiliging op de eigen servers (virus/malware scanners)
- Policy afdwingen op apparaten die toegang hebben (bij ons: Als je een exchange verbinding maakt met de server moet je een password op je apparaat zetten en toestemming geven om van afstand dingen te wissen)

Al met al: Je ICT afdeling is onwetend, kortzichtig en blijkbaar niet overtuigd van hun eigen werk.

Croga schreef op vrijdag 07 maart 2014 @ 09:22:

Al met al: Je ICT afdeling is onwetend, kortzichtig en blijkbaar niet overtuigd van hun eigen werk.

Dit ik misschien wel heel erg kort door de bocht. Er zijn bijvoorbeeld verschillende versie van CM welke enorme issues hadden met netwerk functies, bijvoorbeeld een versie die kortstondig online stond veroorzaakte op enterprise wifi ARP storms. Natuurlijk moet IT zich hier tegen beveiligen maar vergeet niet dat voorkomen beter is als genezen.

ergo: Is de telefoon eigendom van de zaak zou ik de stock rom terug zetten, is het je eigen telefoon dan zou ik om een telefoon van de zaak vragen zodat je eigen toestel vrij blijft om alles mee te doen.

En natuurlijk niet vergeten; heeft je bedrijf EX2013 dan kunnen ze redelijk zien of je CM geïnstalleerd hebt of niet en erg makkelijk een remote-wipe starten, dan ben je alles kwijt.

Seriously? Jij staat je werkgever toe om zomaar je telefoon te laten wipen? Staat er ergens vast wanneer er 'stront aan de knikker' is? Vast niet

Ik zou zeggen: stekker er uit en tot ziens integratie werk- en privéagenda. Dan moet je bij elke werkafspraak maar in tijd van de baas checken of dit uitkomt met je privéagenda. Niet de verantwoordelijkheid van de baas overnemen zou ik zeggen.

EMP schreef op vrijdag 07 maart 2014 @ 15:08:
Seriously? Jij staat je werkgever toe om zomaar je telefoon te laten wipen? Staat er ergens vast wanneer er 'stront aan de knikker' is? Vast niet

Ik zou zeggen: stekker er uit en tot ziens integratie werk- en privéagenda. Dan moet je bij elke werkafspraak maar in tijd van de baas checken of dit uitkomt met je privéagenda. Niet de verantwoordelijkheid van de baas overnemen zou ik zeggen.

Er zijn/ ik ken een organisatie die het toelaat prive smartphones of tablets te gebruiken, maar men wordt heel duidelijk gewaarschuwd dat bij het minste of geringste mogelijk afwijkende gedrag verdenking of wat dan ook dat er iets niet in de haak is, het device remote gewoon gewiped word.

Daarnaast wanneer de organisatie verlaten wordt word het device uit Exchange gehaald en standaard een wipe opdracht verzonden. Dit om er zeker van te zijn dat er geen bedrijfsgegevens achterblijven.

Wil je dit niet, dan moet je gewoon geen prive apparatuur gebruiken. Wil de werkgever dat jij de e-mail mobiel uitleest dan zorgt deze maar voor het benodigde gereedschap, heel simpel.

Dit soort zaken zijn over het algemeen gewoon in procedures, regels en contracten vastgelegd.

Daarnaast:

Omdat ik nog niet veel tweak ervaring heb

dit is dus waar IT afdelingen bang voor zijn. Mensen die 'ook even wat sleutelen'. Het maakt jou waarschijnlijk niet zo veel uit als je telefoon mogelijk iets minder waterdicht is, of als ie een paar honderd requests te veel stuurt. Maar voor het bedrijf maakt het bar weinig uit wat jij vind, de IT afdeling heeft een opdracht van de baas gekregen en een beperkt budget, en alles moet dus gebeuren en binnen dat budget.

Als jouw telefoon om een of andere reden problemen veroorzaakt kost dat dus tijd en inspanning terwijl een afdeling meestal helemaal geen tijd of budget heeft voor dat soort zaken.

Je kan zo'n afdeling wel/niet serieus nemen, maar uiteindelijk kan je je dan ook afvragen of je het hele bedrijf dan wel/niet serieus moet nemen en of je eigen baan dan wel/niet serieus te nemen is...

Als ik een BYOD policy opzet ga ik daar echt niet vrolijk in zetten dat mensen zelf mogen bepalen wat ze veilig vinden. Je zorgt maar dat je een device hebt dat aan standaarden voldoet en dat er een groot bedrijf achter zit dat die standaarden controleert en in de software onderhoudt. Dat betekent dus dat je een selecte groep besturingssystemen en soorten hardware krijgt, en als je daar buiten valt, dan kan je je device dus niet binnen de bedrijfsomgeving gebruiken. Jammerdan.

Als ik het verhaal uit de OP lees heb ik het idee dat de ICT medewerkers van dit bedrijf helemaal niks van Android afweten en al helemaal niks over custom roms.

En aangezien ze dit niet weten, zullen ze ook wel niet weten hoe ze een stock rom moeten identificeren, dus je kunt gewoon tegen ze liegen en zeggen dat je er nu de originele firmware er terug op gezet heb.

johnkeates schreef op vrijdag 07 maart 2014 @ 15:30:
Als ik een BYOD policy opzet ga ik daar echt niet vrolijk in zetten dat mensen zelf mogen bepalen wat ze veilig vinden. Je zorgt maar dat je een device hebt dat aan standaarden voldoet en dat er een groot bedrijf achter zit dat die standaarden controleert en in de software onderhoudt. Dat betekent dus dat je een selecte groep besturingssystemen en soorten hardware krijgt, en als je daar buiten valt, dan kan je je device dus niet binnen de bedrijfsomgeving gebruiken. Jammerdan.

Precies dit.

Verwijderd schreef op vrijdag 07 maart 2014 @ 15:32:
Als ik het verhaal uit de OP lees heb ik het idee dat de ICT medewerkers van dit bedrijf helemaal niks van Android afweten en al helemaal niks over custom roms.

En aangezien ze dit niet weten, zullen ze ook wel niet weten hoe ze een stock rom moeten identificeren, dus je kunt gewoon tegen ze liegen en zeggen dat je er nu de originele firmware er terug op gezet heb.

Ik vermoed dat jij je daar erg op verkijkt, daarnaast is dit niet een democratie. Je hebt je aan de geldende regels te houden die security verantwoordelijken opstellen, ben je het er niet mee eens of voldoe je er niet aan, dan gebruik je, jouw eigen apparatuur gewoon niet.

[ Voor 38% gewijzigd door _Dune_ op 07-03-2014 15:39 ]

Ik vindt het heel erg mooi om te zien dat ITers altijd "security" op een hoger niveau plaatsen dan datgene wat nuttig is voor gebruikers..... Even voor iedereen die roept "SECURITY zo niet, jammer dan":

De afgelopen jaren heeft er een kentering plaats gevonden in IT land. IT is geen infrastructuur meer, IT is een belangrijk zakelijk middel en vaak zelfs een business driver. Dat betekend dat ook IT zich nu te houden heeft aan het aloude kapitalistische dogma: zoveel mogelijk WAARDE tegen zo laag mogelijke KOSTEN.
Zodra de eerste gedacht van een ITer "SECURITY" is, is in bovenstaande dogma "KOSTEN" de drijfveer geworden.
En in Kapitalisme weten we één ding zeker: Zodra kosten de drijfveer worden kun je waarde rustig vergeten.

Ofwel: Wanneer gaan WIJ in de IT nou eens nadenken over wat de gebruiker als WAARDE ziet?
BYOD is een value-driver. BYOD zorgt er voor dat IT meer waarde kan genereren voor zijn gebruikers. Zodra we echter BYOD dusdanig gaan dicht timmeren dat de gebruiker eigenlijk niets meer kan zijn we weer terug bij het aloude "PC van de zaak waar je alleen zakelijke dingen mee kunt en zelfs die slechts met veel moeite" maar dan door de gebruiker zelf betaald. Het hele BYOD concept is daarmee zinloos geworden. De drang naar lagere kosten (meer veiligheid = lagere kosten) heeft alle waarde uit het systeem verdrongen.

Overal waar ik BYOD zie gebeuren hebben de IT afdelingen simpelweg nog niet begrepen wat nou eigenlijk het doel van BYOD is. Door enorm strakke security policies maak je het mensen onmogelijk hun BYOD te gebruiken op de manier die ze graag zouden willen.

Al met al: Ja, security is belangrijk. Maar BYOD op de juiste manier invoeren zorgt dat je security op een andere manier moet gaan bekijken. Niet meer op device niveau want daar heb je geen controle, niet meer op netwerk niveau want daarmee maak je BYOD zinloos. Dús moet je security zo dicht mogelijk bij de content gaan regelen. En als je dat goed doet dan maakt het hele BYOD device geen ruk meer uit. Pas dan is BYOD zinvol zonder enige verlies aan functionaliteit, noch aan beveiliging van je gegevens.

Ook hier: "People willing to trade their freedom for temporary security deserve neither and will lose both."

Croga schreef op zondag 09 maart 2014 @ 13:45:
Ik vindt het heel erg mooi om te zien dat ITers altijd "security" op een hoger niveau plaatsen dan datgene wat nuttig is voor gebruikers.....

Waarschijnlijk omdat die IT'ers weten wat de risico's zijn. En risico's definiëren we niet voor niets als kans x gevolg.
De gevolgen van een gematigde security waardoor (bijvoorbeeld) een Exchange-omgeving onderuit gaat zijn dusdanig groot dat dat niet opweegt tegen dat extra stukje nut voor de gebruikers.

ralpje schreef op maandag 10 maart 2014 @ 10:13:
[...]

Waarschijnlijk omdat die IT'ers weten wat de risico's zijn. En risico's definiëren we niet voor niets als kans x gevolg.
De gevolgen van een gematigde security waardoor (bijvoorbeeld) een Exchange-omgeving onderuit gaat zijn dusdanig groot dat dat niet opweegt tegen dat extra stukje nut voor de gebruikers.

Ik denk dat het niet zo zeer gaat om het extreem voorzichtig zijn van dergelijke ITers, maar eerder de stugge houding erna van "als het niet exact A is dan heb je pech, punt". Dit in plaats van daadwerkelijk service gericht te zijn en proberen een (tussen)oplossing te vinden.

Ik heb ook (indirecte) collega's waar er een paar bij zitten die heel erg vasthouden aan protocollen. Als zij de smaken 1 en 2 aanbieden maar je hebt (als developer) net smaakje 1,5 nodig, dan krijg je een hard 'Nee' verkocht en daarmee is de kous dan af. Gelukkig zitten er in diezelfde groep ook mensen die op zijn minst navragen waarom wij net iets anders nodig hebben en zij bekijken dan of dit a) mogelijk te maken is en b) of de huidige protocollen wel goed zijn of eventueel aangepast moeten worden. Deze laatste vorm van service stel ik zeer op prijs, ook als na onderzoek blijkt dat jouw wens niet ingewilligd kan worden.

Het risico van dat soort oplossingen is dat het een glijdende schaal wordt. Er worden vooraf criteria vastgesteld, dus dat zijn de criteria. Op het moment dat je daar (of je daar nu een goede reden voor hebt of niet) van af gaat wijken is het eind zoek, want 'het kon bij Pietje dus waarom bij mij niet??????//'.
Uiteraard zijn er verschillen tussen verschillende bedrijven en netwerken, maar zeker bij grotere bedrijven snap ik de houding. Juist dat soort afwijkingen van de standaard zorgen voor het meeste werk qua beheer en support, juist omdat het afwijkingen zijn.

Sandertje1980 schreef op vrijdag 07 maart 2014 @ 00:02:
....

Een tikkeltje naïef deelde ik mijn trots met de ICT afdeling van het bedrijf waar ik werk. Maar omdat ik met mijn telefoon ook toegang heb tot de mailserver waren zij minder blij. Zij vertelden mij dat ze me zouden afsluiten als ik niet terug zou gaan naar de rom van de fabrikant en mijn telefoon zou unrooten. Volgens hen was mijn telefoon nu veel vatbaarder voor virussen. Ze vertelden verder dat dit een normale procedure was en dat geen enkel serieus bedrijf dit zou accepteren.
....

CM is vind ik veiliger dan Android Stock roms, CM zijn mensen bijna 24/7 aan het coden om een betere versie te releasen.

Als je een statement neerzet zoals:
"Zij vertelden mij dat ze me zouden afsluiten als ik niet terug zou gaan naar de rom van de fabrikant en mijn telefoon zou unrooten. Volgens hen was mijn telefoon nu veel vatbaarder voor virussen."

Zonder enig verstand te hebben waar je over praat, dan noem je jezelf geen ICT-er maar mag je van mij een label op jezelf plaatsen met: Apple Fanboy en hup naar een apple bedrijf als je het zo goed weet.
( sorry als ik hier iemand mee beledig, maar ik kan daar wel pissed om zijn.. )

Ik zou zeggen gewoon door gebruiken en laten zien dat het wel goed gaat.

ralpje schreef op maandag 10 maart 2014 @ 10:13:
Waarschijnlijk omdat die IT'ers weten wat de risico's zijn. En risico's definiëren we niet voor niets als kans x gevolg.
De gevolgen van een gematigde security waardoor (bijvoorbeeld) een Exchange-omgeving onderuit gaat zijn dusdanig groot dat dat niet opweegt tegen dat extra stukje nut voor de gebruikers.

Er zijn echter meer dan genoeg mogelijkheden om dat extra stukje nut voor de gebruiker te realiseren én tegelijkertijd je security goed te regelen. Het probleem is niet zozeer risico=kans*gevolg (volledig mee eens!) maar de implementatie van het verlagen van de kans of de gevolgen. Zodra die implementatie ten koste gaat van de waarde van het gebruik ben je het nut van het hele systeem teniet aan het doen. Dan is ook je kans en je gevolg kleiner maar meer door het vermindert gebruik dan door een gestegen beveiligingsniveau.

ralpje schreef op maandag 10 maart 2014 @ 10:54:
Het risico van dat soort oplossingen is dat het een glijdende schaal wordt. Er worden vooraf criteria vastgesteld, dus dat zijn de criteria. Op het moment dat je daar (of je daar nu een goede reden voor hebt of niet) van af gaat wijken is het eind zoek, want 'het kon bij Pietje dus waarom bij mij niet??????//'.
Uiteraard zijn er verschillen tussen verschillende bedrijven en netwerken, maar zeker bij grotere bedrijven snap ik de houding. Juist dat soort afwijkingen van de standaard zorgen voor het meeste werk qua beheer en support, juist omdat het afwijkingen zijn.

Júist bij grote bedrijven is het onvoorstelbaar. Júist bij grote bedrijven verwacht je een grotere flexibiliteit omdat er veel meer gebruikers last hebben van te strakke regels én omdat er veel meer verschillende soorten gebruikers en daardoor meer verschillende soorten gebruik zijn.
We leven niet meer in de jaren 90 waar er nauwelijks tools en opties beschikbaar waren. We leven in 2014. En zo'n beetje alles is te scripten, te automatiseren en op laag niveau te beveiligen. Daar is wel veel kennis en een klein beetje investering voor nodig maar als je dat gedaan hebt kun je gewoon de verschillende manieren van gebruik ondersteunen zonder dat dat ten koste gaat van de veiligheid.

Let wel op. Wanneer je exchange insteld op je Android telefoon, geef je het volledige beheer uit handen aan de exchange beheerder. Ze kunnen zelfs je telefoon leeggooien of blokkeren.

Hiervoor krijg je een waarschuwing bij het instellen van een exchange account.
Wat ze wel of niet kunnen zien weet ik niet, voor mij was het destijds reden om geen werk mail op mijn prive telefoon te willen ontvangen.