The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. Il triste caso di Ms Paris Hilton's informazioni personali memorizzate nel suo cellulare, messe a disposizione del pubblico da alcuni cracker (sì credo che lo utilizza con un profitto) è noto a tutti. We will look at the lessons to be learnt from this fiasco. Vedremo le lezioni da trarre da questo fiasco.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. Essa non è stata soltanto un imbarazzo per lei ma anche un motivo di preoccupazione per tutti confidato che i propri dati personali a lei. The situation is hard to contain but it could have been worse, much worse. La situazione è difficile da contenere, ma avrebbe potuto essere peggio, molto peggio. She could have had her financial information stored in her mobile. Ella avrebbe potuto avere la sua finanziaria le informazioni memorizzate nel suo cellulare.

The basic idea of storing personal information in a mobile is not wrong. L'idea di base di immagazzinare le informazioni personali, nell'ambito della telefonia mobile non è sbagliato. Nor is the idea to make it accessible through a web site by T Mobile. Né è l'idea di renderlo accessibile attraverso un sito web da T Mobile. The problem lies elsewhere. Il problema è altrove.

Weak Single Layered Authentication Debole unico strato di autenticazione

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. Prima di aver utilizzato un debole strato unico sistema di autenticazione per consentire l'accesso al conto, che possono potenzialmente contenere informazioni molto cruciale.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. Normalmente in qualsiasi applicazioni web-based quando una reimpostazione password richiesta è fatta e la prova questione è risposto correttamente, l'effettivo password o reimpostare la password viene inviato via e-mail a indirizzo email registrato. AFAIK it wasn’t the case in this web application! AFAIK non era il caso in questa applicazione web! The web site access was immediately provided. Il sito web è stato immediatamente accesso.

The Problem with Secret Question based authentication Il problema di domanda segreta l'autenticazione basata su

Secondly they used the now standard format of providing an answer to a secret question to reset the password. In secondo luogo di aver utilizzato il formato standard ora di fornire una risposta a una domanda segreta per il reset della password. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. Ora, se qualcuno tenta di indovinare il mio animale domestico il nome, a meno che non è il mio prossimo o parente stretto, sarebbe quasi impossibile da indovinare. Not so in the case of Ms. Hilton. Non così nel caso di Ms Hilton. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. Lei è un noto celebrità e dati personali che sono abbastanza ben noto ai appassionati. That makes such scheme much easy to decipher. Che rende tale regime molto facile da decifrare. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. Grazie a paparazzi premere (in nome della libertà di stampa e il diritto di spuri, la necessità del pubblico di sapere) la vita personale delle cosiddette celebrità sono molto esposti. It is another issue whether press should have such access. Si tratta di un altro problema se stampa dovrebbe avere tale accesso. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. Personalmente ritengo che sia un odiosi attività con forza a immergervi in quelle spazio personale, senza il permesso esplicito. Being a celebrity doesn’t change the equation. Essere una celebrità non cambia l'equazione. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. Tuttavia al centro il problema è come ottenere tale regime è di fronte a un utente malintenzionato di informazioni privilegiate. The reality is that it is not secure at all! La realtà è che non è affatto sicuro!

Paris Hilton T-Mobile: Lessons Learnt Paris Hilton T-Mobile: lezioni apprese

There are few interesting lessons to be learnt by any web application provider from this fiasco. Ci sono poche interessanti lezioni da trarre da qualsiasi applicazione web fornitore di questo fiasco.

  • Do not provide a simple single layered protection for access to sensitive accounts. Non forniscono un semplice unico strato di protezione per l'accesso ai conti sensibili. It is ok to be over-protective even at the expense of being a pain sometimes. E 'ok per essere eccessivamente protettivo anche a scapito di essere un dolore a volte.
  • Allow users to choose their secret question and at least two of them. Consentire agli utenti di scegliere la loro domanda segreta e almeno due di loro. Ensure they are different. Assicurare che esse siano diverse. Tell them the consequences of choosing a well known question. Dite loro le conseguenze della scelta di un noto questione.
  • Use the registered email address only for communication like send the link to reset password in their email. Utilizzare l'indirizzo email registrato solo per la comunicazione come inviare il link per reimpostare la password in loro e-mail. However never send the actual password in the email. Tuttavia non è mai inviare l'effettiva password nella email.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. Non informare l'utente quando i dettagli di autenticazione come il tentativo fallisce, non dire loro se la loro login o password è sbagliato. Give them a generic message. Dare loro un messaggio generico.
  • Think about locking access to the account after specified number of attempts. Pensare di blocco l'accesso al conto dopo aver determinato numero di tentativi. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. Bloccaggio potrebbe essere morbido come nel ripristinare l'accesso al conto dopo il pre-determinato periodo di tempo o di difficile prevedere come una telefonata o fax per ripristinare l'accesso. Choose based on sensitiveness of the data. Scegliere sulla base di sensibilità dei dati.

Insider Job Abuso di informazioni privilegiate di lavoro

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. La lezione per qualsiasi società in generale è di realizzare l'importanza di garantire non solo dall'esterno, ma anche da dentro. Insider hacking can be much more serious than any outside attempts. Insider hacking può essere molto più grave rispetto a qualsiasi al di fuori tentativi. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. In questo caso il cracker è stata stranamente un insider perché sapeva dati personali dei Ms Hilton. Unfortunately for movie stars half the world are their insiders! Purtroppo per le stelle del cinema la metà del mondo sono i loro addetti! The corporations are lucky in this respect if only they would put some basic security in place. La società sono fortunato in questo senso solo se si metterebbe di base di sicurezza in vigore. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. Un vecchio paradigma esercito di accesso alle informazioni su una necessità di sapere base è ugualmente applicabile a informazioni privilegiate.

Questions to ask Domande da porre

At this point you may be thinking that your corporation is well protected from inside. A questo punto si potrebbe pensare che il tuo società è ben protetto dal suo interno. Can you answer the following questions: Si può rispondere alle seguenti domande:

  • Who in your company has access to your Source Code Management System? Che nella vostra azienda ha accesso al tuo codice sorgente del Sistema di Gestione?
  • Can a programmer access source code not belonging to his project? Un programmatore può accedere a codice sorgente che non appartengono al suo progetto?
  • Can QA/Marketing/Contractors/Temps view/modify source code? Può QA / Marketing / contraenti / Temps visualizzare / modificare il codice sorgente? What are their levels of access? Quali sono i loro livelli di accesso?
  • Where do you store your customer information? Dove memorizzare le informazioni sui clienti? Who manages access control policies to such sensitive files? Che gestisce le politiche di controllo di accesso a tali file sensibili? Is it centrally managed? È gestito a livello centrale?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? Sono l'accesso alle informazioni aziendali spento (immediatamente) prima di un lavoratore dipendente è notificato cessazione del rapporto di lavoro?
  • Can a terminated employee forward his emails to another outside account before leaving? Può un lavoratore dipendente terminato la sua e-mail ad un altro al di fuori conto prima di partire? Is the process supervised? È il processo sotto il controllo?
  • Are your hardware resources centrally managed? Sono le tue risorse hardware gestito a livello centrale? Do you restrict access to CD-RW, Follpy Drives? Avete limitare l'accesso al CD-RW, Follpy Drives?
  • Is internet access monitored? L'accesso a Internet è controllato?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. Se non sei sicuro di una qualsiasi di queste domande, seriamente pensare a fare un controllo di sicurezza il più presto possibile. Damage control is very hard with an extensive insider breach. Il contenimento dei danni è molto difficile con un ampio abuso di informazioni privilegiate violazione. You may not even know till its too late what information have been compromised. È possibile che non conoscono nemmeno fino al suo troppo tardi quali informazioni sono state compromesse. You can also think about intrusion testing from reliable sources. Si può anche pensare a test di intrusione da fonti affidabili.