The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. 슬픈 양 패리스 힐튼의 개인 정보의 경우, 저장 그녀 모바일, 만들어 공개적으로 제공되는 일부 크래커 (예 믿습니다 그는 이익을 사용하고있다는 동기를)은 알려진 모든합니다. We will look at the lessons to be learnt from this fiasco. 우리는 이것을 봐 실패에서 배운 교훈이있습니다.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. 그것은 그녀를 위해뿐만 아니라 망신의 원인에 대한 걱정을뿐만 아니라 자신의 개인 정보가있는 사람은 모두 그녀의 비밀을합니다. The situation is hard to contain but it could have been worse, much worse. 하드를 포함하여이 상황은 더 나쁜 수도 있었하지만, 훨씬 더 나쁜. She could have had her financial information stored in her mobile. 그녀는 그녀의 금융 정보를 낼 수 있었다고에 저장된 그녀의 모바일합니다.

The basic idea of storing personal information in a mobile is not wrong. 개인 정보를 저장하는 기본적인 생각을 모바일은 잘못된합니다. Nor is the idea to make it accessible through a web site by T Mobile. 또한 그것은 아이디어를 통해 액세스할 수있는 웹 사이트를 만들 t 모바일합니다. The problem lies elsewhere. 다른 문제가 거짓말을합니다.

Weak Single Layered Authentication 약한 단일 계층 인증을

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. 먼저 그들은 약한 단일 계층 인증 시스템을 사용하여이 계정에 액세스 권한을 부여 유도할 수있는 잠재적으로 매우 중요한 정보를 포함합니다.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. 어떤 웹 - 기반 응용 프로그램을 정상적으로 비밀 번호 - 재설정 요청을 만들 때 시험 문제는 정확하게 답변하고, 실제 비밀 번호 또는 이메일을 통해 비밀 번호 재설정에 등록된 이메일 주소가 전송합니다. AFAIK it wasn’t the case in this web application! afaik 아니었이 웹 응용 프로그램의 경우! The web site access was immediately provided. 웹 사이트에 액세스가 즉시 제공합니다.

The Problem with Secret Question based authentication 비밀 번호 힌트를 기반 인증의 문제

Secondly they used the now standard format of providing an answer to a secret question to reset the password. 둘째로 그들은 표준 형식을 사용하여 현재의 비밀 질문에 대한 답변을 제공할의 비밀 번호를 재설정합니다. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. 지금 만약 누군가 내 애완 동물의 이름을 맞춰 시도하지 않는 한 그는 나의 이웃 사람이나 가까운 친척, 그것은 거의 불가능을 짐작합니다. Not so in the case of Ms. Hilton. 힐튼의 경우에는 그리 씨. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. 그녀는 잘 - 알려진 유명 인사와 그녀의 개인 정보는 매니아를 꽤 잘 알려져있습니다. That makes such scheme much easy to decipher. 이 같은 계획을 훨씬 쉽게 암호를 해독합니다. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. 덕분에 파파라치 프레스 (가짜 이름의 오른쪽에있는 언론 자유와 국민의 필요를 알고)의 개인 생활을 너무 - 전화의 유명 인사들이 아주 많이 노출합니다. It is another issue whether press should have such access. 그 자체가 또 다른 문제가 그러한 액세스 여부를 보도해야합니다. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. 개인적으로 난 것은 강제로 극악한 활동을 명시적으로 허용하지 않고 개인 공간 것들 규명합니다. Being a celebrity doesn’t change the equation. 유명 인사가되고 수식은 변경되지 않습니다. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. 그러나이 문제는 얼마나 안전의 핵심에 직면하면 공격자가와 같은 방식이 내부 정보를합니다. The reality is that it is not secure at all! 안전 전염이 안되는 현실은 전혀!

Paris Hilton T-Mobile: Lessons Learnt 패리스 힐튼 t - 휴대 전화 : 배운 교훈

There are few interesting lessons to be learnt by any web application provider from this fiasco. 재미있는 교훈을 배우는가 거의 모든 웹 응용 프로그램을 제공하여이 실패합니다.

  • Do not provide a simple single layered protection for access to sensitive accounts. 간단한 단일 계층 보호를 제공하지 않는 계정에 액세스를 민감합니다. It is ok to be over-protective even at the expense of being a pain sometimes. 그것은 '확인'을 넘을 - 보호에도 큰 고통이 때로는 본인이 부담하여야합니다.
  • Allow users to choose their secret question and at least two of them. 사용자의 비밀 번호 힌트를 선택 그리고 적어도 두 사람이있습니다. Ensure they are different. 그들은 서로 다른 보장합니다. Tell them the consequences of choosing a well known question. 잘 알려져있는 일의 중요성을 전해 질문을 선택합니다.
  • Use the registered email address only for communication like send the link to reset password in their email. 등록된 이메일 주소를 사용하여 커뮤니케이 션에 대해서만 비밀 번호를 재설정에 대한 링크를 좋아 초대할 친구의 이메일 전송합니다. However never send the actual password in the email. 그러나 실제 비밀 번호를 이메일로 전송하지 마십시오.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. 모든 세부 사항은 사용자 인증을 알려주는하지 시도가 실패하면 그들처럼 말하 지마 로그인 또는 비밀 번호가 틀린 경우. Give them a generic message. 일반적인 메시지를 그들의 기회를 제공합니다.
  • Think about locking access to the account after specified number of attempts. 생각의 지정된 후 잠금 계정에 액세스를 시도합니다. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. 잠금 계정에 액세스를 복원할 수있습니다처럼 부드러운 - 정의된 기간 후 또는 하드처럼 사전에 전화 또는 팩스를 필요로의 액세스를 복원합니다. Choose based on sensitiveness of the data. 데이터를 기반으로 감도를 선택합니다.

Insider Job 내부 업무

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. 일반적으로이 모든 기업에 대한 학습의 중요성을 깨닫게뿐만 아니라 내부에서뿐 아니라 외부 로부터의을 확보합니다. Insider hacking can be much more serious than any outside attempts. 내부자 해킹 시도는 밖에서보다 훨씬 더 심각합니다. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. 이 경우에는 이상한 an 내부자 때문에 크래커는 개인 정보의 양 알았기 힐튼합니다. Unfortunately for movie stars half the world are their insiders! 불행히도 영화 배우 절반의 세계가 그들의 내부! The corporations are lucky in this respect if only they would put some basic security in place. 운이 좋은 기업은 이런 점에서 만약 그들이 몇 가지 기본적인 보안을 놓는 위치합니다. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. 오래된 육군 패러다임의 정보에 대한 액세스 권한이 필요 -이 - 알 동등하게 적용되는 기준은 내부합니다.

Questions to ask 질문

At this point you may be thinking that your corporation is well protected from inside. 이 시점에서 당신의 생각을가 나타날 수있습니다 공사는 내부에서 잘 보호합니다. Can you answer the following questions: 다음과 같은 질문에 대답 수 :

  • Who in your company has access to your Source Code Management System? 귀하의 회사 사람이 귀하의 소스 코드를 관리 시스템에 접근할 수있다?
  • Can a programmer access source code not belonging to his project? 소스 코드에 액세스할 수없습니다 프로그래머 그의 프로젝트에 속하는가?
  • Can QA/Marketing/Contractors/Temps view/modify source code? 는 품질 보증 / 마케팅 / 건설 / 시간보기 / 수정 소스 코드를? What are their levels of access? 그들의 수준의 액세스 무엇입니까?
  • Where do you store your customer information? 고객 정보를 저장하여 어디에? Who manages access control policies to such sensitive files? 액세스 제어 정책을 관리하는 등 민감한 파일을 누구? Is it centrally managed? 중앙에서 관리입니까?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? 기업 정보에 액세스를 해제 (즉시)의 종료에 대해 통지를 한 직원이 고용하기 전에?
  • Can a terminated employee forward his emails to another outside account before leaving? 그의 이메일을 다른 사람이 밖에서 계정을 종료하기 전에 직원의 전진 떠나나요? Is the process supervised? 이 과정은 감독?
  • Are your hardware resources centrally managed? 이 사용자의 하드웨어 리소스를 중앙에서 관리? Do you restrict access to CD-RW, Follpy Drives? 당신 대한 액세스를 제한할 cd - rw, follpy 드라이브를?
  • Is internet access monitored? 모니터링은 인터넷에 액세스할?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. 알 수없는 경우에는 위의 질문 중 하나를 심각하게 생각하고있는 보안에 대해 최대한 빨리 감사합니다. Damage control is very hard with an extensive insider breach. 광범위한 내부 통제는 매우 힘든 손상을 위반합니다. You may not even know till its too late what information have been compromised. 당신을 너무 늦게까지 알지도하지 않을 수있습니다 어떤 정보도 위험에 노출되어있습니다. You can also think about intrusion testing from reliable sources. 또한 안정적인 출처에서 테스트를 침입 생각합니다.