The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. El triste caso de la Sra Paris Hilton la información personal, almacenada en su móvil, ponerse a disposición del público algunos de cracker (sí creo que está utilizando con un afán de lucro) es conocido por todos. We will look at the lessons to be learnt from this fiasco. Vamos a ver a las lecciones que deben aprenderse de este fiasco.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. No sólo fue una vergüenza para ella, sino también un motivo de preocupación para todo el mundo confiesa que su información personal a ella. The situation is hard to contain but it could have been worse, much worse. La situación es difícil de contener, pero podría haber sido peor, mucho peor. She could have had her financial information stored in her mobile. Ella podría haber tenido su información financiera almacenada en su móvil.

The basic idea of storing personal information in a mobile is not wrong. La idea básica de almacenamiento de información personal en un móvil no está mal. Nor is the idea to make it accessible through a web site by T Mobile. Tampoco es la idea para que sea accesible a través de un sitio web de T Mobile. The problem lies elsewhere. El problema es otro.

Weak Single Layered Authentication Débil único capas de autenticación

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. En primer lugar se utilizó una sola capa débil sistema de autenticación para dar acceso a la cuenta, lo que puede potencialmente contener información muy crucial.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. Normalmente en cualquier web de aplicaciones basadas en cuando una contraseña de reset se haya hecho la petición y la prueba es la pregunta responde correctamente, la contraseña o restablecer la contraseña es enviada por e-mail a la dirección de correo electrónico registrada. AFAIK it wasn’t the case in this web application! AFAIK no era el caso en esta aplicación web! The web site access was immediately provided. El sitio web de acceso inmediato.

The Problem with Secret Question based authentication El problema pregunta secreta con la autenticación basada en

Secondly they used the now standard format of providing an answer to a secret question to reset the password. En segundo lugar se utiliza ahora el formato estándar de proporcionar una respuesta a una pregunta secreta para restablecer la contraseña. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. Ahora, si alguien trata de adivinar mi nombre de la mascota, a menos que él es mi vecino o pariente cercano, sería casi imposible de adivinar. Not so in the case of Ms. Hilton. No ocurre lo mismo en el caso de la Sra Hilton. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. Ella es un conocido y su celebridad datos personales son bastante bien conocidas por los aficionados. That makes such scheme much easy to decipher. Esto hace al régimen en el mucho fácil de descifrar. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. Gracias a paparazzi de prensa (en nombre de la libertad de prensa y el derecho espurio de la necesidad de que el público sepa) la vida personal de los llamados famosos están muy expuestos. It is another issue whether press should have such access. Es otra cuestión si la prensa debe tener dicho acceso. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. Personalmente creo que es un odioso actividad a la fuerza ahondar en los espacios personales sin permiso explícito. Being a celebrity doesn’t change the equation. Ser una celebridad no cambia la ecuación. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. Sin embargo en el centro la cuestión es cómo garantizar dicho régimen es cuando se enfrentan a un atacante con información privilegiada. The reality is that it is not secure at all! La realidad es que no es seguro en absoluto!

Paris Hilton T-Mobile: Lessons Learnt Paris Hilton T-Mobile: lecciones aprendidas

There are few interesting lessons to be learnt by any web application provider from this fiasco. Hay pocos interesantes lecciones que deben aprenderse de cualquier aplicación web proveedor de este fiasco.

  • Do not provide a simple single layered protection for access to sensitive accounts. No proporcionan una única capa simple de protección para el acceso a los sectores vulnerables de cuentas. It is ok to be over-protective even at the expense of being a pain sometimes. Está bien para ser un exceso de protección, incluso a expensas de ser un dolor a veces.
  • Allow users to choose their secret question and at least two of them. Permitir a los usuarios elegir su pregunta secreta y, al menos, dos de ellos. Ensure they are different. Asegurarse de que son diferentes. Tell them the consequences of choosing a well known question. Dígales las consecuencias de la elección de una cuestión bien conocida.
  • Use the registered email address only for communication like send the link to reset password in their email. Utilice la dirección de correo electrónico registrada sólo para enviar la comunicación como el vínculo para restablecer la contraseña en su correo electrónico. However never send the actual password in the email. Sin embargo nunca envía la contraseña en el correo electrónico.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. No informar al usuario los detalles de autenticación cuando intento falla, como no decirles si su nombre de usuario o contraseña es incorrecta. Give them a generic message. Dales un mensaje genérico.
  • Think about locking access to the account after specified number of attempts. Piense acerca de bloqueo de acceso a la cuenta después de un número especificado de intentos. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. El bloqueo puede ser suave como para restablecer el acceso a la cuenta después de pre-período de tiempo definido o duros como para exigir una llamada telefónica o por fax a restaurar el acceso. Choose based on sensitiveness of the data. Elija sobre la base de sensibilidad de los datos.

Insider Job Job Insider

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. La lección para cualquier sociedad en general es a darse cuenta de la importancia de asegurar no sólo desde fuera sino también desde el interior. Insider hacking can be much more serious than any outside attempts. Las operaciones con información privilegiada "hacking" puede ser mucho más grave que cualquier fuera de los intentos. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. En este caso, el cracker fue un abuso de información privilegiada extraño porque sabía que los datos personales de la Sra Hilton. Unfortunately for movie stars half the world are their insiders! Por desgracia para estrellas de cine la mitad del mundo son sus personas con información privilegiada! The corporations are lucky in this respect if only they would put some basic security in place. Las empresas tienen suerte en este sentido sólo si se ponen a ciertas básicas de seguridad en su lugar. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. Un viejo ejército paradigma de acceso a la información en una necesidad de conocer base es igualmente aplicable a las personas con información privilegiada.

Questions to ask Entre las preguntas

At this point you may be thinking that your corporation is well protected from inside. En este punto, usted puede estar pensando que su empresa está bien protegida desde el interior. Can you answer the following questions: ¿Puede usted responder a las siguientes preguntas:

  • Who in your company has access to your Source Code Management System? Que en su empresa tiene acceso a su código fuente Sistema de Gestión?
  • Can a programmer access source code not belonging to his project? ¿Puede un programador de acceso de código fuente que no pertenecen a su proyecto?
  • Can QA/Marketing/Contractors/Temps view/modify source code? ¿GC / Marketing / Contratistas / Temps ver / modificar el código fuente? What are their levels of access? ¿Cuáles son sus niveles de acceso?
  • Where do you store your customer information? ¿Dónde almacenar su información de los clientes? Who manages access control policies to such sensitive files? Que gestiona las políticas de control de acceso a esos archivos? Is it centrally managed? ¿Se gestiona de forma centralizada?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? Son el acceso a la información sobre sociedades apagado (inmediatamente) antes de un empleado es notificado acerca de la terminación del empleo?
  • Can a terminated employee forward his emails to another outside account before leaving? ¿Puede un empleado con interés por concluido su mensajes de correo electrónico a otro fuera de cuenta antes de salir? Is the process supervised? ¿Es el proceso de supervisión?
  • Are your hardware resources centrally managed? Son sus recursos de hardware de gestión centralizada? Do you restrict access to CD-RW, Follpy Drives? ¿Restringir el acceso a CD-RW, Follpy Drives?
  • Is internet access monitored? ¿Es el acceso a Internet seguimiento?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. Si no está seguro de ninguna de las preguntas anteriores en serio pensar en hacer una auditoría de seguridad tan pronto como sea posible. Damage control is very hard with an extensive insider breach. Control de daños es muy difícil con una amplia violación de abuso de información privilegiada. You may not even know till its too late what information have been compromised. Es posible que ni siquiera saben hasta su demasiado tarde qué información han quedado en entredicho. You can also think about intrusion testing from reliable sources. También se puede pensar en las pruebas de intrusión de fuentes fidedignas.