Het droevige geval van de persoonlijke informatie van Mej. Paris Hilton's, dat in haar mobiel wordt opgeslagen, openbaar gemaakt - beschikbaar door ��n of andere cracker (ja geloof ik hij het met een beweging veroorzakende winst) gebruikt is gekend aan allen. Wij zullen de lessen die van dit fiasco moeten worden geleerd bekijken.

Het was niet alleen een verlegenheid voor haar maar ook een reden tot bezorgdheid voor iedereen wie hun persoonlijke informatie aan haar toevertrouwde. De situatie is moeilijk te bevatten maar het slechter kon geweest zijn, veel slechter. Zij kon haar financi�le inlichtingen gehad hebben die in mobiel haar worden opgeslagen.

Het basisidee van het opslaan van persoonlijke informatie in mobiel is niet verkeerd. Noch is het idee toegankelijk om het te maken door een website door T Mobiel. Het probleem ligt elders.

Zwakke Enige Gelaagde Authentificatie

Eerst gebruikten zij zwak ��n enkel gelaagd authentificatiesysteem om toegang tot de rekening te geven, die zeer essenti�le informatie kan potentieel bevatten.

Normaal in om het even welke web-based toepassingen wanneer een het wachtwoord-terugstellen verzoek wordt ingediend en de testkwestie correct wordt beantwoord, worden het daadwerkelijke wachtwoord of het teruggestelde wachtwoord verzonden via e-mail naar het geregistreerde e-mailadres. AFAIK het was niet het geval in deze Webtoepassing! De websitetoegang werd onmiddellijk verleend.

Het probleem met Geheime Vraag gebaseerde authentificatie

Ten tweede gebruikten zij het nu standaardformaat van het geven van een antwoord aan een geheime vraag om het wachtwoord terug te stellen. Nu als iemand probeert om de naam van mijn huisdier te veronderstellen, tenzij hij mijn buur of dichte verwant is, zou het bijna onmogelijk zijn te veronderstellen. Niet zo in het geval van Mej. Hilton. Zij is een bekende beroemdheid en haar persoonlijke details zijn vrij goed gekend aan enthousiasten. Dat maakt dergelijke regeling veel gemakkelijk te ontcijferen. Dank aan paparazzi drukt (in naam van persvrijheid en het onechte recht van de behoefte van het publiek het te weten) het persoonlijke leven van zogenaamde beroemdheden zeer wordt blootgesteld. Het is een andere kwestie of de pers dergelijke toegang zou moeten hebben. Persoonlijk denk ik het een afschuwelijke activiteit krachtig om in degenen persoonlijke ruimte zonder expliciete toestemming is te speuren. Het zijn een beroemdheid verandert niet de vergelijking. Nochtans bij de kern is de kwestie hoe veilig dergelijke regeling wanneer geconfronteerd met een aanvaller met binneninformatie is. De werkelijkheid is dat het veilig helemaal niet is!

Parijs t-Mobiele Hilton: Geleerde lessen

Er zijn weinig interessante lessen die door om het even welke leverancier van de Webtoepassing van dit fiasco moeten worden geleerd.

  • Bied geen eenvoudige ��n enkele gelaagde bescherming voor toegang tot gevoelige rekeningen. Het is o.k. om soms te beschermend te zijn zelfs ten koste van het zijn een pijn.
  • Sta gebruikers toe om hun geheime kwestie en minstens twee van hen te kiezen. Verzeker zij verschillend zijn. Vertel hen de gevolgen van het kiezen goed - bekende vraag.
  • Gebruik het geregistreerde e-mailadres slechts want de mededeling als de verbinding naar het terugstellenwachtwoord in hun e-mail verzendt. Nochtans verzend nooit het daadwerkelijke wachtwoord in e-mail.
  • Informeer de gebruiker geen details wanneer de authentificatiepoging als vertelt hen niet ontbreekt als hun login of wachtwoord verkeerd zijn. Geef hen een generisch bericht.
  • Denk over sluitentoegang tot de rekening na gespecificeerd aantal pogingen. Het sluiten zou zoals zacht kunnen zijn in het herstellen van toegang tot rekening na vooraf bepaalde tijdspanne of hard zoals in het vereisen van een telefoongesprek of fax om de toegang te herstellen. Kies gebaseerd op fijngevoeligheid van de gegevens.

De Baan van de insider

De les voor om het even welk bedrijf moet in het algemeen het belang realiseren om niet alleen van buitenkant te beveiligen maar ook van binnenuit. Binnendringen in een beveiligd computersysteem van de insider kan ernstiger zijn dan om het even welke buitenkantpogingen. In dit geval was de cracker vreemd een insider omdat hij persoonlijke details van Mej. Hilton kende. Jammer genoeg voor filmsterren is de helft van de wereld hun insiders! De bedrijven zijn in dit opzicht gelukkig als slechts zij wat basisveiligheid op zijn plaats zouden zetten. Een oud legerparadigma van informatietoegang op een need-to-know basis is even van toepassing op insiders.

Te stellen vragen

Op dit punt kunt u denken dat uw bedrijf van binnenuit goed beschermd is. Kunt u de volgende vragen: beantwoorden

  • Who in uw bedrijf heeft toegang tot uw Systeem Beheer van het Bron van de Code?
  • Kan een programmeur tot broncode die behoort niet tot zijn project toegang hebben?
  • QA/Marketing/Contractors/Temps/broncode wijzigen kan bekijken? Wat zijn hun niveaus van toegang?
  • Waar slaat u uw klanteninformatie op? Who beheert toegangsbeheerbeleid aan dergelijke gevoelige dossiers? Wordt het centraal geleid?
  • Zijn toegang tot collectieve uitgeschakelde informatie (onmiddellijk) alvorens een werknemer over be�indiging van werkgelegenheid wordt meegedeeld?
  • Kan een ge�indigdew werknemer zijn e-mail aan een andere buitenrekening alvorens weg te gaan door:sturen? Wordt het proces gecontroleerd?
  • Worden uw hardwaremiddelen centraal beheerd? Beperkt u toegang tot cd-RW, Aandrijving Follpy?
  • Internet wordt de toegang gecontroleerd?

Als u van om het even welke vragen hierboven ernstig onzeker bent denk over zo spoedig mogelijk het doen van een veiligheidscontrole. De controle van de schade is zeer hard met een uitgebreide insiderbreuk. U kunt zelfs niet weten tot zijn welke te laat informatie is gecompromitteerd. U kunt ook over binnendringen het testen van betrouwbare bronnen denken.