The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all.悲しい例パリスヒルトンさんの個人的な情報については、彼女の携帯電話に格納され、公表され利用可能ないくつかのクラッカー(はい私は彼がそれを使用して利益を動機)として知られているすべてのです。 We will look at the lessons to be learnt from this fiasco.我々は見て、この失敗から学んだ教訓があります。

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her.それは恥ずかしい思いをするだけでなく、彼女の懸念の原因ではなく、 who者は自分の個人情報を誰も彼女のです。 The situation is hard to contain but it could have been worse, much worse.しかし、この状況は、ハードを含んでいることがさらに悪いことに、多く悪化している。 She could have had her financial information stored in her mobile.彼女は彼女の財務情報が彼女の携帯電話に格納されています。

The basic idea of storing personal information in a mobile is not wrong.基本的な考え方をする携帯電話の個人情報の保管間違いではありません。 Nor is the idea to make it accessible through a web site by T Mobile.またアイデアを作ることは、アクセス可能な携帯電話を介してWebサイトに掲載さトンです。 The problem lies elsewhere.他の問題がある。

Weak Single Layered Authentication弱いシングル層状認証

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information.最初に使用される単層が弱い認証システムのアカウントへのアクセスを与えることがあります可能性が非常に重要な情報が含まれています。

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address.通常、任意のウェブベースのアプリケーションのときにパスワードのリセット要求が行われると、テストの質問が正しく答えたが、実際のパスワードまたは電子メールでパスワードのリセットが送信される電子メールアドレスを登録します。 AFAIK it wasn’t the case in this web application!のAFAIKていない場合は、このことは、 Webアプリケーション! The web site access was immediately provided. Webサイトのアクセスはすぐに提供します。

The Problem with Secret Question based authentication秘密の質問ベースの認証の問題点

Secondly they used the now standard format of providing an answer to a secret question to reset the password.第二に、今すぐに使用される標準のフォーマットを提供する秘密の質問の答えを出すのパスワードをリセットする。 Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess.今すぐしようとするかどうかを推測する私のペットの名前、彼は私の隣たり閉じたりしない限り、相対的を推測することがほぼ不可能です。 Not so in the case of Ms. Hilton.ないので、ヒルトンさんの例です。 She is a well-known celebrity and her personal details are fairly well known to enthusiasts.彼女はよく知られて有名人と彼女の個人情報は非常にファンによく知られています。 That makes such scheme much easy to decipher.このようなスキームをするくらい簡単に解読します。 Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed.パパラッチのおかげでプレス(報道の自由の名の下の右側にあるとスプリアスを必要とする公共のを知って)の個人的は生活のいわゆる有名人は非常に多く露出します。 It is another issue whether press should have such access.これは別の問題かどうかプレスにはこのようなアクセスします。 Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission.個人的に思うことは悪質な活動を強制するものを深く掘り下げるの明示的な許可なく個人的な空間です。 Being a celebrity doesn’t change the equation.が、有名人の方程式は変更されません。 However at the core the issue is how secure such scheme is when faced with an attacker with inside information.しかしは、コアにすると問題がどのように直面して確保するときにこのようなスキームは、攻撃者が内部情報です。 The reality is that it is not secure at all!ではないのが現実は、それはすべてセキュリティで保護さ!

Paris Hilton T-Mobile: Lessons LearntパリスヒルトンTモバイル:学んだ教訓

There are few interesting lessons to be learnt by any web application provider from this fiasco.には、いくつかの興味深いのレッスンを学んだされる、この失敗から、任意のウェブアプリケーションプロバイダです。

  • Do not provide a simple single layered protection for access to sensitive accounts.提供されない場合は、単純な1つの層状に敏感なアカウントのアクセスを保護します。 It is ok to be over-protective even at the expense of being a pain sometimes.これは過保護にOK ]をクリックし犠牲にしても、痛みがある。
  • Allow users to choose their secret question and at least two of them.許可するユーザーを選択すると、少なくとも2つの秘密の質問にします。 Ensure they are different.確保する彼らは異なっています。 Tell them the consequences of choosing a well known question.それらの結果を伝える弊社を選択する問題でよく知られています。
  • Use the registered email address only for communication like send the link to reset password in their email.電子メールアドレスのみを使用して登録へのリンクを送信する通信のように電子メールのパスワードをリセットします。 However never send the actual password in the email.しかし決して、実際のパスワードを入力して電子メールを送信します。
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong.任意の詳細情報はありません、ユーザー認証に失敗したときのように一言も言っている場合、ログインまたはパスワードが間違っています。 Give them a generic message.かれらに与える汎用的なメッセージを表示します。
  • Think about locking access to the account after specified number of attempts.ロックについて考えるした後、アカウントのアクセスを指定した数の試みです。 Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access.ロックがアカウントのアクセスを復元するソフトのように事前に定義した後の期間を必要とするまたはハードのように電話で確認電話の呼び出し、またはファックスを復元するにアクセスします。 Choose based on sensitiveness of the data.感受性のデータに基づいて選択します。

Insider Jobインサイダーの仕事

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside.ここでの教訓を一般的にはすべての企業を実現するための重要性を確保するだけでなく、外部からだけでなく、内部からです。 Insider hacking can be much more serious than any outside attempts.インサイダーハッキングことよりも外部よりもはるかに深刻な試みです。 In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton.この例では、クラッカーは、不思議なことに彼は知っていたため、個人的なインサイダー詳細は、ヒルトンさんです。 Unfortunately for movie stars half the world are their insiders!残念ながら、映画スターの半分の世界は、そのインサイダー! The corporations are lucky in this respect if only they would put some basic security in place.企業はこの点での幸運な場合にのみ彼らはいくつかの基本的な安全保障の代わりにします。 An old army paradigm of information access on a need-to-know basis is equally applicable to insiders.陸軍、古いパラダイムの情報をアクセスは、知っておくべき基礎は同様に適用されるインサイダーです。

Questions to ask質問を求める

At this point you may be thinking that your corporation is well protected from inside.この時点で思考してください。れることがあります内部から公社が十分に保護されます。 Can you answer the following questions:は、次の質問に答えること:

  • Who in your company has access to your Source Code Management System? whoはあなたの会社にアクセスできるようにして、ソースコード管理システムですか?
  • Can a programmer access source code not belonging to his project?ソースコードにアクセスできるが、プログラマを自分のプロジェクトに属していないですか?
  • Can QA/Marketing/Contractors/Temps view/modify source code?ことのQA /マーケティング/請負業者/時間の表示/変更のソースコードですか? What are their levels of access?彼らのレベルのアクセスは何ですか?
  • Where do you store your customer information?どこに保存して顧客情報ですか? Who manages access control policies to such sensitive files? who管理アクセス制御ポリシーをこのような敏感なファイルですか? Is it centrally managed?集中管理することはですか?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment?は、企業情報のアクセスをオフに切り替わります(すぐ)に通知する前に従業員の雇用については終了ですか?
  • Can a terminated employee forward his emails to another outside account before leaving?彼のメールの設定を終了することができる従業員を別の外部アカウントに転送する前に帰るのか? Is the process supervised?監督は、プロセスですか?
  • Are your hardware resources centrally managed?は、お使いのハードウェアリソースを集中管理ですか? Do you restrict access to CD-RW, Follpy Drives?あなたのアクセスを制限するのCD - RW 、 follpyドライブですか?
  • Is internet access monitored?は、インターネットアクセス監視ですか?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible.が不明の場合は上記のいずれかの質問を真剣に考えているのあるセキュリティの監査、できるだけ早くします。 Damage control is very hard with an extensive insider breach.ダメージコントロールは非常に難しいものでは、豊富なインサイダー違反です。 You may not even know till its too late what information have been compromised.そのことがありますかさえ分からない遅過ぎるまではどのような情報が侵害されています。 You can also think about intrusion testing from reliable sources.侵入テストすることもできます信頼できる情報源から考える。