Naukowcy doradzają Cyberobrony w chmurze

Badacze bezpieczeństwa ostrzegają, że aplikacje internetowe zwiększają ryzyko kradzieży tożsamości lub utraty danych osobowych bardziej niż kiedykolwiek wcześniej.

Najlepszą obroną przed kradzieżą danych, złośliwym oprogramowaniem i wirusami w chmurze jest samoobrona, naukowcy z Konferencja bezpieczeństwa Hack In The Box (HITB) powiedziała. Ale nakłanianie ludzi do zmiany sposobu korzystania z Internetu, na przykład tego, jakie dane osobowe udostępniają publicznie, nie będzie łatwe.

Ludzie umieszczają wiele danych osobowych w sieci i mogą być wykorzystane do uzyskania korzyści finansowej napastnika. Od serwisów społecznościowych, takich jak MySpace i Facebook, po mini-blogowe serwisy Twitter i inne serwisy blogowe, takie jak Wordpress, ludzie umieszczają zdjęcia, wznowienia, osobiste pamiętniki i inne informacje w chmurze. Niektórzy nawet nie zadają sobie trudu, aby przeczytać drobnym drukiem w umowach, które pozwalają im wejść na stronę, nawet jeśli niektóre umowy wyraźnie stwierdzają, że wszystko, co zamieszczono, staje się własnością samej witryny.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z witryny twój komputer z systemem Windows]

Utrata danych osobowych przez użytkowników smartfonów Sidekick w weekend, w tym kontakty, wpisy w kalendarzu, zdjęcia i inne dane osobowe, służy jako kolejny przykład potencjalnych pułapek zaufania do chmury. Danger, podmiot zależny firmy Microsoft, który przechowuje dane Sidekick, powiedział, że zakłócenie działania prawie na pewno oznacza utratę danych użytkownika na dobre.

Dostęp do danych osobistych w chmurze z dowolnego miejsca na różnych urządzeniach, od smartfonów i laptopów do komputery domowe pokazują inną poważną lukę, ponieważ inne osoby mogą również znaleźć te dane.

"Jako napastnik powinieneś lizać swoje usta", powiedział Haroon Meer, naukowiec z Sensepost, południowoafrykańskiej firmy ochroniarskiej który skupił się na aplikacjach internetowych przez ostatnie sześć lat. "Jeśli wszystkie dane są dostępne z dowolnego miejsca, to obwód znika, co powoduje hackowanie w rodzaju hakowania w filmach."

Osoba, która chce ukraść dane osobowe, zazwyczaj szuka zysków finansowych, powiedział Meer, i każdy kawałek danych mogą znaleźć ich o krok bliżej swojego banku internetowego, karty kredytowej lub rachunków maklerskich.

Po pierwsze, mogą znaleźć twoje imię i nazwisko. Następnie odkrywają Twoją pracę i mały profil online, który oferuje dodatkowe informacje, takie jak to, do której szkoły się ukończyłeś i gdzie się urodziłeś. Oni kopią dalej, dopóki nie mają szczegółowego konta o tobie, wraz z twoją datą urodzenia i panieńskim imieniem matki dla tych brzydkich pytań bezpieczeństwa, i być może kilka rodzinnych zdjęć dla dobrego środka. Dysponując wystarczającą ilością danych, mogliby zrobić fałszywe karty identyfikacyjne i zaciągnąć pożyczki pod swoim nazwiskiem.

Kradzież tożsamości może być również pracą wewnętrzną. Pracownicy dużych firm obsługujących usługi e-mail mają fizyczny dostęp do kont e-mail. "Skąd wiesz, że nikt tego nie czyta? Czy trzymasz tam e-maile potwierdzające i hasła?" Nie powinieneś, "powiedział Meer. "W chmurze ludzie ufają swoim informacjom systemom, nad którymi nie mają kontroli."

Twórcy przeglądarki mogą odgrywać rolę w zwiększaniu bezpieczeństwa chmury, ale ich skuteczność jest ograniczona nawykami użytkowników. Na przykład przeglądarka może skanować pobieranie w poszukiwaniu wirusów, ale nadal daje użytkownikowi możliwość wyboru, czy pobrać. Większość funkcji związanych z bezpieczeństwem w przeglądarce to wybór.

Lucas Adamski, administrator bezpieczeństwa (tak naprawdę jest to jego wizytówka) w Mozilli, twórcy popularnej przeglądarki Firefox, oferuje kilka porad na temat samoobrony dla użytkowników, począwszy od napomnienie, że ludzie zbyt mocno polegają na zaporach ogniowych i programach antywirusowych.

"Nie możesz kupić ochrony w pudełku," powiedział. "Najlepszym sposobem na zachowanie bezpieczeństwa jest zachowanie użytkowników."

W przeglądarkach jest już sporo dobrych wbudowanych zabezpieczeń, powiedział. Jeśli otrzymasz ostrzeżenie, aby nie wchodzić na stronę, nie idź do niego. Gdy odwiedzasz stronę, upewnij się, że jest właściwa. Czy obrazy i logo są w porządku? Czy adres URL jest poprawny? Sprawdź, zanim przystąpisz do wypełniania swojej nazwy użytkownika i hasła, doradził.

Aktualizacje oprogramowania są niezbędne. "Upewnij się, że masz najnowszą wersję oprogramowania, z którego korzystasz", powiedział. Aktualizacje prawie zawsze łatają luki w zabezpieczeniach. Kluczowe programy, takie jak Flash Player i Czytnik Adobe Systems, są szczególnie ważne, aby być na bieżąco, ponieważ są używane na tylu komputerach i są najważniejszymi celami dla hakerów.

Zaproponował także stworzenie wirtualnej maszyny na komputerze przy użyciu VMWare as środek bezpieczeństwa.

"Naprawdę trudno jest skłonić ludzi do zmiany nawyków przeglądania" - powiedział. Ludzie chcą szybko surfować po Internecie, odwiedzać ulubione witryny i pobierać to, co chcą, bez zastanowienia się nad bezpieczeństwem. "Edukuj je, przesuwaj, ale nie oczekuj, że staną się ekspertami ds. Bezpieczeństwa."

Twórcy przeglądarek internetowych dbają o to, aby w swoich produktach jak najwięcej bezpieczeństwa i poddać je rygorystycznym testom.

zespół bezpieczeństwa przeglądarki Google Chrome, na przykład, zrobi pierwsze pęknięcie przy każdej większej aktualizacji oprogramowania, hackując się, aby znaleźć luki w zabezpieczeniach lub sposoby na poprawę bezpieczeństwa, powiedział Chris Evans, inżynier ds. bezpieczeństwa informacji w Google.

Po Zespół zajmujący się bezpieczeństwem Chrome zajmuje się oprogramowaniem i jest przerabiany w celu naprawienia znalezionych dziur, inne zespoły bezpieczeństwa w Google będą musiały przejść do produktu, aby zobaczyć, jakie problemy mogą powodować. Wreszcie, oprogramowanie jest wydawane w wersji beta, a prywatni analitycy bezpieczeństwa i inni mogą się zhakować. Wszelkie problemy zostaną naprawione przed końcowym wydaniem, a następnie zespół Chrome będzie gotowy do tworzenia nowych poprawek dla innych problemów bezpieczeństwa.

Mimo wszystkich testów twórcy przeglądarek są tylko częścią rozwiązania bezpieczeństwa, ponieważ nie mają żadnej kontroli nad oprogramowaniem sieciowym ani zachowaniem użytkownika.

Chmura to Dziki Zachód: hakerzy i twórcy złośliwego oprogramowania obfitują, phisherzy szukają haseł, a użytkownicy robią, co chcą, lekkomyślnie surfując i pobierając potencjalnie niebezpieczne treści, zgodnie z ocenami naukowców zajmujących się bezpieczeństwem.

Firmy rozwijające aplikacje i usługi w chmurze będą musiały zrobić więcej dla bezpieczeństwa sieci. Amazon.com wraz ze swoimi usługami sieciowymi i Google, wraz z inicjatywami, takimi jak Dokumenty Google, które próbują przyciągnąć ludzi do aplikacji internetowych, a także z dala od aplikacji komputerowych, będzie musiał ściślej współpracować z badaczami bezpieczeństwa, powiedział Meer.

Praca Google nad bezpieczeństwem w przeglądarce Chrome podkreśla powód: Aplikacje komputerowe, takie jak Chrome, podlegają intensywnej analizie przeprowadzanej przez badaczy bezpieczeństwa w Internecie, podczas gdy aplikacje internetowe tego nie robią.

"Inżynieria odwrotna utrzymuje uczciwość [dużych firm software'owych], "powiedział Meer. "Jeśli coś ukryją w kodzie oprogramowania, prędzej czy później ktoś go znajdzie." Z usługami w chmurze po prostu nie wiesz, bo po prostu nie możemy tego zweryfikować. "

Aplikacje chmurowe są budowane przez jedną firmę i nikt nie szuka przy kodzie lub jak to jest bezpieczne, powiedział Meer. Aplikacje dla komputerów są różne. Mogą zostać rozerwani na strzępy przez ekspertów ds. Bezpieczeństwa, a następnie z powrotem silniejsi, więc nie ma żadnych luk w zabezpieczeniach, powiedział.

"Zaufaj, ale zweryfikuj," powiedział Meer. "Tylko dlatego, że facet nie robi dziś nic złego, nie możemy ufać, że jutro nie zrobią nic złego, ponieważ po prostu nie możemy tego zweryfikować."