The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. الحزينة حالة السيدة باريس هيلتون المعلومات الشخصيه ، هي مخزنة في الجوال ، للجمهور من جانب بعض المفرقع (نعم اعتقد انه تتوجه مع دافع الربح) هو معروف للجميع. We will look at the lessons to be learnt from this fiasco. وسنتطرق في الدروس التي يمكن استخلاصها من هذا الاخفاق التام.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. انها ليست سوى احراج لبلدها ولكنها أيضا مدعاة للقلق بالنسبة للجميع معهود من معلوماتهم الشخصيه لها. The situation is hard to contain but it could have been worse, much worse. الوضع الصعب لاحتواء ولكن كان من الممكن ان يكون اسوأ من ذلك ، اسوأ بكثير. She could have had her financial information stored in her mobile. وقالت انها كان يمكن ان يكون لها تخزن المعلومات المالية في تقريرها المتنقله.

The basic idea of storing personal information in a mobile is not wrong. والفكره الاساسية لتخزين المعلومات الشخصيه في الجوال ليست خطا. Nor is the idea to make it accessible through a web site by T Mobile. ولا هي الفكره لجعلها في متناول من خلال موقع على شبكة الانترنت المتنقله ر. The problem lies elsewhere. المشكلة تكمن في مكان آخر.

Weak Single Layered Authentication الطبقات الضعيفه واحدة التوثيق

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. الاولى كانت ضعيفة واحدة الطبقات نظام التوثيق لاعطاء امكانيه الوصول الى الحساب ، والتي يحتمل ان تحتوي على معلومات حيوية للغاية.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. عادة في اي تطبيقات على شبكة الانترنت عند طلب كلمة المرور - اعادة تعيين واعتماد الاختبار الاجابه على السؤال بشكل صحيح ، فان كلمة السر الفعليه او اعادة ضبط كلمة المرور وترسل عبر البريد الالكتروني الى عنوان البريد الالكتروني المسجله. AFAIK it wasn’t the case in this web application! Afaik انها ليست في حالة تطبيق هذا على الشبكه العالمية! The web site access was immediately provided. الموقع على الشبكه الوصول على الفور.

The Problem with Secret Question based authentication المشكلة مع السؤال السري القائم على التوثيق

Secondly they used the now standard format of providing an answer to a secret question to reset the password. وثانيا انها تستخدم الآن من تقديم استماره موحدة وردا على السؤال السري لإعادة ضبط كلمة السر. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. الآن إذا كان هناك من يحاول تخمين اسم بلدي الحيوانات الاليفه ، الا اذا كان جار لي او قريب له ، فإنه سيكون من المستحيل تقريبا على التخمين. Not so in the case of Ms. Hilton. وليس ذلك في حالة السيدة هيلتون. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. وهي معروفة جيدا من المشاهير الشخصيه والتفاصيل معروفة الى حد ما المتحمسين. That makes such scheme much easy to decipher. ان يجعل مثل هذه الخطة الكثير من السهل decipher. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. وبفضل paparazzi الصحافة (في اسم حرية الصحافة والحق في زاءفه للحاجة من الجمهور في ان يعرف) والحياة الشخصيه للمشاهير ما يسمى معرضة الى حد كبير جدا. It is another issue whether press should have such access. وثمة مسألة اخرى وهي ما اذا كان ينبغي ان يكون للصحافه هذا الوصول. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. شخصيا اعتقد انه من بشعه النشاط بقوة الى الخوض في تلك الشخصيه الفضاءيه من دون اذن صريح. Being a celebrity doesn’t change the equation. ويجري من المشاهير لا يغير من المعادله. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. ولكن في جوهر المساله هو كيفية تأمين مثل هذا المخطط عندما تواجه مع مهاجمين داخل المعلومات. The reality is that it is not secure at all! والحقيقة هي انه ليس آمنا على الإطلاق!

Paris Hilton T-Mobile: Lessons Learnt باريس هيلتون تي موبايل : الدروس المستفاده

There are few interesting lessons to be learnt by any web application provider from this fiasco. هناك عدد قليل من اهتمام الدروس التي يمكن استخلاصها من جانب اي طلب مقدم من الشبكه العالمية هذا الاخفاق التام.

  • Do not provide a simple single layered protection for access to sensitive accounts. لا توفر حمايه الطبقات البسيطة وحيدة للوصول الى حسابات حساسه. It is ok to be over-protective even at the expense of being a pain sometimes. وهو موافق على ان تكون هناك مغالاه في الحمايه حتى على حساب من ان يكون الألم في بعض الاحيان.
  • Allow users to choose their secret question and at least two of them. السماح للمستخدمين اختيار السؤال السري وفي اثنين منها على الاقل. Ensure they are different. ضمان أنهم مختلفون. Tell them the consequences of choosing a well known question. نقول لهم عواقب اختيار مسألة معروفة جيدا.
  • Use the registered email address only for communication like send the link to reset password in their email. استخدام المسجل عنوان البريد الالكتروني للاتصال فقط مثل ارسال الارتباط الى اعادة ضبط كلمة السر في البريد الالكتروني. However never send the actual password in the email. ولكن لا ترسل ابدا الفعلي لكلمة السر في البريد الالكتروني.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. لا يبلغ المستخدم أي تفاصيل عندما فشلت محاولة توثيق مثل لا نقول لهم اذا ادخل او كلمة السر خطأ. Give them a generic message. نعطيهم رسالة عامة.
  • Think about locking access to the account after specified number of attempts. التفكير في الحصول على قفل الحساب بعد عدد محدد من المحاولات. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. قفل يمكن ان تكون لينة كما هو الحال في استعادة امكانيه الحصول على حساب ما قبل وبعد فترة زمنيه محددة او الصعبة التي تتطلب كما هو الحال في مكالمه هاتفية أو فاكس لاستعادة الوصول اليها. Choose based on sensitiveness of the data. اختيار علي اساس حساسيه للبيانات.

Insider Job المطلعين على الاسرار وظيفة

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. الدرس لاي شركة في العام هو ان تدرك أهمية ضمان ليس فقط من الخارج بل من الداخل. Insider hacking can be much more serious than any outside attempts. ويمكن تقطيع من الداخل اخطر بكثير من اي محاولات خارجية. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. وفي هذه الحاله المفرقع اليه من المطلعين على بواطن كان غريبا لأنه يعرف تفاصيل شخصية من السيدة هيلتون. Unfortunately for movie stars half the world are their insiders! ومما يؤسف له ان نجوم السينما لنصف سكان العالم هم من الداخل! The corporations are lucky in this respect if only they would put some basic security in place. الشركات هي محظوظه في هذا الصدد الا انها اذا كان من شأنه ان يضع بعض الاجراءات الامنية الاساسية في المكان. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. نموذج قديم للجيش الوصول الى المعلومات على الحاجة الى المعارف اساس ينطبق بالقدر نفسه من الداخل.

Questions to ask ان نسأل الاسءله

At this point you may be thinking that your corporation is well protected from inside. وعند هذه النقطه قد يكون لك التفكير بأن ما تتمتعون به الشركة هو حمايه جيدة من الداخل. Can you answer the following questions: هل تستطيع الاجابه عن الاسءله التالية :

  • Who in your company has access to your Source Code Management System? من شركتك في الحصول على شفره المصدر الخاص بك نظام ادارة؟
  • Can a programmer access source code not belonging to his project? مبرمج يمكن الوصول الى شفره المصدر التي لا تنتمي الى مشروعه؟
  • Can QA/Marketing/Contractors/Temps view/modify source code? ويمكن ضمان الجوده / التسويق / المقاولين / تيمبس عرض / تعديل شفره المصدر؟ What are their levels of access? ما هي مستويات الوصول؟
  • Where do you store your customer information? اين تخزن معلومات العميل الخاصة بك؟ Who manages access control policies to such sensitive files? من يدير سياسات التحكم في الوصول الى مثل هذه الملفات الحساسة؟ Is it centrally managed? هل تدار مركزيا؟
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? يتم الحصول على معلومات الشركات مغلقا (على الفور) ، قبل ان يتم ابلاغ الموظف عن انهاء العمل؟
  • Can a terminated employee forward his emails to another outside account before leaving? هل يستطيع الموظف انهى تقريره الى الامام رسائل البريد الالكتروني الى اخر وقبل مغادرته إلى خارج الحساب؟ Is the process supervised? هو يشرف على عملية؟
  • Are your hardware resources centrally managed? ترتيب الاجهزه هي الموارد التي تدار مركزيا؟ Do you restrict access to CD-RW, Follpy Drives? هل انت مع تقييد امكانيه الوصول الى القرص كتابه ، follpy محركات الاقراص؟
  • Is internet access monitored? هو الوصول الى شبكة الانترنت رصدها؟

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. اذا كنت غير متأكد من اي من الاسءله اعلاه التفكير بجدية في اداء الامن لمراجعة الحسابات في اقرب وقت ممكن. Damage control is very hard with an extensive insider breach. الضرر من الصعب جدا مراقبة واسعة النطاق مع خرق من الداخل. You may not even know till its too late what information have been compromised. لا يمكنك ان تعرف حتى وقت متأخر جدا حتى عن ما هي المعلومات التي تعرضت لما يثير الشبهه. You can also think about intrusion testing from reliable sources. يمكنك ايضا ان نفكر في اقتحام التجارب من مصادر موثوق بها.