The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. Печальный случай г-жи Paris Hilton личной информации хранится в свой мобильный, предается гласности некоторые Злоумышленник (да я считаю, что он использует его с прибыли) известна всем. We will look at the lessons to be learnt from this fiasco. Мы будем смотреть на уроках, которые следует извлечь из этого фиаско.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. Он был не только позора для нее, но и поводом для беспокойства для всех, которые confided свои персональные данные для нее. The situation is hard to contain but it could have been worse, much worse. Ситуация трудно содержать, но он мог бы быть хуже, гораздо хуже. She could have had her financial information stored in her mobile. Она могла бы имели своей финансовой информации, хранящейся в своем мобильном телефоне.

The basic idea of storing personal information in a mobile is not wrong. Основная идея хранения личной информации в мобильных это не так. Nor is the idea to make it accessible through a web site by T Mobile. Не является идея сделать ее доступной через веб-сайт, T Мобайл. The problem lies elsewhere. Проблема заключается в другом месте.

Weak Single Layered Authentication Слабость единой эшелонированной аутентификации

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. Сначала они использовали слабые единого многоуровневого системы аутентификации, чтобы предоставить доступ к учетной записи, которые потенциально могут содержать очень важную информацию.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. Обычно в любом веб-приложений, когда-сбросить пароль запрос сделан тестовый вопрос правильно ответили, фактический пароль или сбросить пароль отправляется по электронной почте на зарегистрированный адрес электронной почты. AFAIK it wasn’t the case in this web application! AFAIK она не была в этом случае веб-приложений! The web site access was immediately provided. Веб-сайт доступ был немедленно предусмотрено.

The Problem with Secret Question based authentication Проблема с Секретный вопрос на основе авторизации

Secondly they used the now standard format of providing an answer to a secret question to reset the password. Во-вторых они используются в настоящее время стандартный формат предоставления ответа на секретный вопрос, чтобы сбросить пароль. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. Теперь, если кто-то пытается угадать мое имя домашнего животного, если только он не является моим соседом или близким родственником, то было бы почти невозможно угадать. Not so in the case of Ms. Hilton. Не так в случае г-жи Хилтон. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. Она хорошо известна знаменитостью и ее личные данные достаточно хорошо известны-любителей. That makes such scheme much easy to decipher. Это делает такие схемы значительно легко определить. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. Благодаря Папарацци прессы (во имя свободы печати и ложный право нуждающихся в государственной знать) личной жизни так называемых знаменитостей очень подвержена. It is another issue whether press should have such access. Это еще один вопрос, будь то пресса должна иметь такой доступ. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. Лично я думаю, что это гнусное деятельности решительно углубиться в них личное пространство без разрешения. Being a celebrity doesn’t change the equation. Быть знаменитостью не изменяет уравнение. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. Однако на основной вопрос заключается в том, как обеспечить такие схемы, когда сталкивается с атакующим с внутренней информацией. The reality is that it is not secure at all! Реальность состоит в том, что она не является безопасной на всех!

Paris Hilton T-Mobile: Lessons Learnt Paris Hilton T-Mobile: уроки, извлеченные

There are few interesting lessons to be learnt by any web application provider from this fiasco. Есть несколько интересных уроков, которые следует извлечь какой-либо веб-приложений, предоставляющая из этого фиаско.

  • Do not provide a simple single layered protection for access to sensitive accounts. Не обеспечивают простой единый Многоуровневая защита для доступа к секретным счетам. It is ok to be over-protective even at the expense of being a pain sometimes. Это нормально, более-защитной даже в ущерб время боль иногда.
  • Allow users to choose their secret question and at least two of them. Разрешить пользователям выбирать свой секретный вопрос и, по крайней мере два из них. Ensure they are different. Убедитесь, они разные. Tell them the consequences of choosing a well known question. Попросите их последствия выбора хорошо известен вопрос.
  • Use the registered email address only for communication like send the link to reset password in their email. Использовать зарегистрированный адрес электронной почты, только для общения, как послать ссылку для сброса пароля в своей электронной почте. However never send the actual password in the email. Однако никогда не посылать фактический пароль в электронной почте.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. Не информировать пользователя каких-либо подробности, когда попытка аутентификации, не как не говори им, если их логин или пароль неверно. Give them a generic message. Дайте им общие сообщения.
  • Think about locking access to the account after specified number of attempts. Подумайте, блокировка доступа к учетной записи после определенного числа попыток. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. Блокировка может быть мягкой, как восстановить доступ к учетной записи после заранее установленный срок или плохо, как и в требующие телефонного звонка или факса для восстановления доступа. Choose based on sensitiveness of the data. Выбор основывается на чувствительность данных.

Insider Job Инсайдерская Вакансий

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. Уроком для любой корпорации в целом, заключается в том, чтобы осознать важность не только обеспечение извне, но изнутри. Insider hacking can be much more serious than any outside attempts. Инсайдерская взлом может быть гораздо более серьезными, чем какой-либо внешней попыток. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. В этом случае злоумышленник был инсайдером странно, потому что он знал, личная информация Г-жа Хилтон. Unfortunately for movie stars half the world are their insiders! К сожалению для кинозвезд половина мира являются их инсайдеры! The corporations are lucky in this respect if only they would put some basic security in place. Корпорациям повезло в этом отношении, если только они бы некоторые базовые безопасности на месте. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. Старой армии парадигма доступа к информации по необходимости-чтобы знать основы в равной степени применимы к инсайдеров.

Questions to ask Вопросы задавать

At this point you may be thinking that your corporation is well protected from inside. На этом этапе вы можете думать, что Ваша компания хорошо защищена изнутри. Can you answer the following questions: Можете ли вы ответить на следующие вопросы:

  • Who in your company has access to your Source Code Management System? Кто в вашей компании имеет доступ к вашему Исходный код системы управления?
  • Can a programmer access source code not belonging to his project? Может программистом исходный код доступа, не принадлежащих к его проекта?
  • Can QA/Marketing/Contractors/Temps view/modify source code? Может ОК / Маркетинг / Подрядчики / Temps просмотреть / изменить исходный код? What are their levels of access? Каковы их уровни доступа?
  • Where do you store your customer information? Где вы храните ваши информацию о клиенте? Who manages access control policies to such sensitive files? Кто управляет политикой контроля доступа к таким важным файлам? Is it centrally managed? Является ли оно централизованно управляемой?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? Есть доступ к корпоративной информации выключен (сразу же), после чего работник уведомляется о прекращении найма?
  • Can a terminated employee forward his emails to another outside account before leaving? Можно прекратить работника ожидает его письма на другой за счет перед отъездом? Is the process supervised? Является ли процесс под контролем?
  • Are your hardware resources centrally managed? Являются ли ваши аппаратных ресурсов, централизованно управляемой? Do you restrict access to CD-RW, Follpy Drives? Хотите ограничить доступ к CD-RW, Follpy диски?
  • Is internet access monitored? Является ли доступ в интернет, мониторинг?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. Если вы не знаете, какого-либо из выше вопросы, серьезно задуматься над самым аудита безопасности как можно скорее. Damage control is very hard with an extensive insider breach. Ущерб, контроль очень жесткий с обширной инсайдерской нарушения. You may not even know till its too late what information have been compromised. Вы можете даже не знать, до ее слишком поздно, какую информацию, были скомпрометированы. You can also think about intrusion testing from reliable sources. Можно также подумать о вторжение тестирования из надежных источников.