The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. O triste caso da Sra. Paris Hilton's informações pessoais, armazenados em seu celular, disponibilizados ao público por parte de alguns cracker (sim, creio que tem utilizá-lo com um lucro) é conhecido de todos. We will look at the lessons to be learnt from this fiasco. Vamos olhar para as lições a retirar deste fiasco.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. Não era apenas um embaraço para ela, mas também um motivo de preocupação para toda a gente que confiou as suas informações pessoais para ela. The situation is hard to contain but it could have been worse, much worse. A situação é difícil de conter mas que poderia ter sido pior, muito pior. She could have had her financial information stored in her mobile. Ela poderia ter tido suas informações financeiras armazenados em seu celular.

The basic idea of storing personal information in a mobile is not wrong. A idéia básica de armazenar informações pessoais em um celular não é errado. Nor is the idea to make it accessible through a web site by T Mobile. Tampouco é a idéia para torná-lo acessível através de um web site em T Mobile. The problem lies elsewhere. O problema é outro.

Weak Single Layered Authentication Fraco único camadas Autenticação

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. Primeiro eles utilizada uma única camada frágil sistema de autenticação para dar acesso à conta, o que pode potencialmente conter informações muito crucial.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. Normalmente, em qualquer de aplicações baseadas em web quando uma senha-reset pedido é feito o teste ea pergunta é respondida corretamente, a senha real ou redefinição de senha é enviada por e-mail para o endereço de e-mail registrado. AFAIK it wasn’t the case in this web application! AFAIK, não foi esse o caso, em aplicação web! The web site access was immediately provided. O web site acesso imediato foi fornecida.

The Problem with Secret Question based authentication O Problema com autenticação baseada Pergunta secreta

Secondly they used the now standard format of providing an answer to a secret question to reset the password. Segundo eles já usou o formato padrão de fornecer uma resposta a uma pergunta secreta para redefinir a senha. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. Agora, se alguém tenta adivinhar o meu nome do animal, a menos que ele é meu vizinho ou parente próximo, seria quase impossível de adivinhar. Not so in the case of Ms. Hilton. Não é assim no caso da Sra. Hilton. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. Ela é uma celebridade bem conhecida e sua informação pessoal esteja razoavelmente bem conhecidos de entusiastas. That makes such scheme much easy to decipher. Isso torna muito mais fácil desse regime de decifrar. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. Graças aos paparazzi imprensa (em nome da liberdade de imprensa e ao direito espúrio da necessidade do público de saber) a vida pessoal das chamadas celebridades estão muito expostos. It is another issue whether press should have such access. É uma outra questão se imprensa deveria ter esse acesso. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. Pessoalmente, penso que é uma atividade hediondos veemência a mergulhar em mais espaço pessoal sem permissão explícita. Being a celebrity doesn’t change the equation. Ser uma celebridade não altera a equação. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. No entanto o cerne da questão é a forma como tal sistema é seguro quando confrontados com um atacante com informação privilegiada. The reality is that it is not secure at all! A realidade é que não é segura em tudo!

Paris Hilton T-Mobile: Lessons Learnt Paris Hilton T-Mobile: lições aprendidas

There are few interesting lessons to be learnt by any web application provider from this fiasco. Há poucos interessantes lições a retirar por qualquer aplicação web provedor deste fiasco.

  • Do not provide a simple single layered protection for access to sensitive accounts. Não forneça um simples única proteção para o acesso às camadas sensíveis contas. It is ok to be over-protective even at the expense of being a pain sometimes. É ok para ser o excesso de proteção, mesmo à custa de ser uma dor às vezes.
  • Allow users to choose their secret question and at least two of them. Permita que os usuários escolham a sua pergunta secreta e pelo menos dois deles. Ensure they are different. Assegurar que eles são diferentes. Tell them the consequences of choosing a well known question. Diga-lhes as consequências da escolha de um bem conhecido questão.
  • Use the registered email address only for communication like send the link to reset password in their email. Utilize o endereço de e-mail registrado somente para a comunicação como enviar o link para redefinir a senha no seu e-mail. However never send the actual password in the email. No entanto nunca envia a senha real no e-mail.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. Não informar o usuário quando todos os detalhes como autenticação tentativa falhar, não diga-se o seu login ou senha está errada. Give them a generic message. Dêem-lhes uma mensagem genérica.
  • Think about locking access to the account after specified number of attempts. Pense sobre o acesso ao bloqueio da conta após determinado número de tentativas. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. Bloqueio pode ser suave como a restaurar o acesso à conta após pré-determinado período de tempo, ou duro como ao exigir um telefonema ou fax para restaurar o acesso. Choose based on sensitiveness of the data. Escolha baseada na sensibilidade dos dados.

Insider Job Insider Job

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. A lição para qualquer corporação, em geral, seja para perceber a importância de garantir não só a partir do exterior, mas também do interior. Insider hacking can be much more serious than any outside attempts. Insider "hacking" pode ser muito mais graves do que quaisquer tentativas fora. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. Neste caso, o cracker foi estranhamente um iniciado porque ele sabia detalhes pessoais do Ms. Hilton. Unfortunately for movie stars half the world are their insiders! Infelizmente para estrelas do cinema metade do mundo são os seus iniciados! The corporations are lucky in this respect if only they would put some basic security in place. As corporações estão felizes, a este respeito só se eles iriam colocar algumas básicas de segurança no local. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. Um antigo exército paradigma de acesso à informação relativa a uma necessidade de conhecer base é igualmente aplicável aos iniciados.

Questions to ask Questões de perguntar

At this point you may be thinking that your corporation is well protected from inside. Neste ponto você pode estar pensando que sua empresa está bem protegida a partir de dentro. Can you answer the following questions: Vocês podem responder às seguintes questões:

  • Who in your company has access to your Source Code Management System? Em que sua empresa tenha acesso ao seu código-fonte Sistema de Gestão?
  • Can a programmer access source code not belonging to his project? Um programador pode acessar o código fonte que não pertencem ao seu projecto?
  • Can QA/Marketing/Contractors/Temps view/modify source code? Posso QA / Marketing / contratantes / Temps ver / modificar o código fonte? What are their levels of access? Quais são os seus níveis de acesso?
  • Where do you store your customer information? Onde você armazenar seus clientes informação? Who manages access control policies to such sensitive files? Que gere controle de acesso a essas políticas sensíveis arquivos? Is it centrally managed? É gerida centralmente?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? São o acesso às informações corporativas desligado (imediatamente) antes de um funcionário é notificado sobre a rescisão do contrato de trabalho?
  • Can a terminated employee forward his emails to another outside account before leaving? Denunciado um empregado pode transmitir o seu e-mails para outra conta fora antes de sair? Is the process supervised? O processo é supervisionado?
  • Are your hardware resources centrally managed? São os hardwares recursos geridos centralmente? Do you restrict access to CD-RW, Follpy Drives? Será que você restrinja o acesso ao CD-RW, Follpy Drives?
  • Is internet access monitored? O acesso à Internet está controlada?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. Se você não tem certeza de qualquer uma das perguntas acima seriamente pensar em fazer uma auditoria de segurança o mais rapidamente possível. Damage control is very hard with an extensive insider breach. Danos controle é muito difícil, com uma extensa informação privilegiada violação. You may not even know till its too late what information have been compromised. Você pode não saber até mesmo a sua tarde demais informações que tenham sido comprometidos. You can also think about intrusion testing from reliable sources. Você também pode pensar em intrusão testes de fontes fidedignas.