Forskere anbefaler Cyber ​​Self Defense i Cloud

Sikkerhetsforskere advarer om at nettbaserte applikasjoner øker risikoen for identitetstyveri eller mister personopplysninger mer enn noen gang før.

Det beste forsvaret mot datatyveri, malware og virus i skyen er selvforsvar, forskere ved Hack In The Box (HITB) sikkerhetskonferanse sa. Men å få folk til å endre hvordan de bruker Internett, for eksempel hvilke personlige data de offentliggjør, vil ikke være lett.

Folk legger mye personlig informasjon på nettet, og det kan brukes til en angriperes økonomiske gevinst. Fra nettsider for sosiale nettverk som MySpace og Facebook til mini bloggingstjenesten Twitter og andre blogtsider som Wordpress, setter folk bilder, gjenopptar, personlige dagbøker og annen informasjon i skyen. Noen mennesker bryder seg ikke en gang om å lese den fulle utskriften i avtaler som tillater dem på et nettsted, selv om noen avtaler tydelig sier at noe som blir lagt ut, blir selve nettstedet.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows PC-en din]

Tapet av personopplysninger fra Sidekick-smarttelefonbrukere over helgen, inkludert kontakter, kalenderoppføringer, fotografier og annen personlig informasjon, fungerer som et annet eksempel på mulige fallgruver som stoler på Cloud. Fare, Microsoft-datterselskapet som lagrer Sidekick-data, sa at serviceavbrudd nesten sikkert betyr at brukerdata har gått tapt for godt.

Tilgang til personlige data på skyen fra omtrent hvor som helst på en rekke enheter, fra smarttelefoner og bærbare datamaskiner til hjemme-PCer, viser et annet stort sårbarhet fordi andre mennesker kan også finne den dataen.

"Som en angriper bør du slikke leppene dine," sa Haroon Meer, en forsker ved Sensepost, et sørafrikansk sikkerhetsselskap som har fokusert på webapplikasjoner de siste seks årene. "Hvis alle data er tilgjengelige fra hvor som helst, forsvinner omkretsen. Det gjør hacking som hacking i filmene."

En person som ønsker å stjele personlig informasjon, søker vanligvis økonomisk gevinst, sier flere og alle dataene de kan finne fører dem ett skritt nærmere dine online bank-, kredittkort- eller meglerkontoer.

Først kan de finne navnet ditt. Deretter oppdager de jobben din og en liten profil av deg på nettet som gir ytterligere bakgrunnsinformasjon, for eksempel hvilken skole du har uteksaminert fra og hvor du ble født. De fortsetter å grave til de har en detaljert redegjørelse for deg, komplett med fødselsdato og mors pikenavn for de irriterende sikkerhetsspørsmålene, og kanskje noen familiefotografier for godt mål. Med nok data kan de lage falske ID-kort og ta ut lån under ditt navn.

Identitetstyveri kan også være en intern jobb. Ansatte hos store selskaper som er vert for e-posttjenester, har fysisk tilgang til e-postkontoer. «Hvordan vet du at ingen leser det? Har du bekreftelse på e-post og passord der? Du burde ikke,» sa Meer. "I skyen stoler folk på informasjonen deres til systemer som de ikke har kontroll over."

Nettlesere kan spille en rolle for å gjøre skyen tryggere for folk, men deres effektivitet er begrenset av brukervaner. En nettleser kan for eksempel skanne en nedlasting for virus, men det gir brukeren fortsatt muligheten til å laste ned eller ikke. De fleste sikkerhetsfunksjoner på en nettleser er et valg.

Lucas Adamski, sikkerhetsunderlegger (det er egentlig det som visittkortet sitt sier) ved Mozilla, maker av den populære Firefox-nettleseren, tilbød flere biter av nettbasert selvforsvarsråd for brukere, som begynte med Formaningen om at folk stoler på brannmurer og antivirusprogrammer for mye.

"Du kan ikke kjøpe sikkerhet i en boks," sa han. "Veien å være så sikker som mulig handler om brukeradferd."

Det er mye god innebygd sikkerhet allerede installert i nettlesere, sa han. Hvis du får en advarsel om ikke å gå til et nettsted, ikke gå til det. Når du besøker et nettsted, må du kontrollere at det er den rette. Er bildene og logoer rett? Er nettadressen riktig? Kontroller før du fortsetter med å fylle ut brukernavnet ditt og passordet, veiledte han.

Programvareoppdateringer er avgjørende. "Pass på at du har den mest oppdaterte versjonen av hvilken programvare du bruker," sa han. Oppdateringer nesten alltid lapper sikkerhetshull. Nøkkelprogrammer som Adobe Systems Flash Player og Reader er spesielt viktige for å holde seg oppdatert fordi de brukes på så mange datamaskiner og er toppmål for hackere.

Han foreslo også å lage en virtuell maskin på datamaskinen ved hjelp av VMWare som et sikkerhetsmål.

"Det er veldig vanskelig å få folk til å endre sine vaner," sa han. Folk vil surfe på nettet raskt, besøke favorittnettstedene sine og laste ned det de vil ha uten å tenke for mye om sikkerhet. «Opplær dem, flytt dem sammen, men forvent ikke at de blir sikkerhetseksperter.»

Nettlesere gjør det bra å bygge så mye sikkerhet som mulig i sine produkter og sette dem gjennom streng testing. sikkerhetsgruppe for Googles Chrome-nettleser, for eksempel, vil ta den første sprekken ved enhver større oppdatering av programvaren, hacking away for å finne sårbarheter eller måter å forbedre sikkerheten på, sier Chris Evans, en informasjonssikkerhetsingeniør hos Google.

Etter Chrome-sikkerhetslaget tar en whack på programvaren, og det er omarbeidet for å fikse hullene de fant. Andre sikkerhetsgrupper på Google vil gå på produktet for å se hvilke problemer de kan forårsake. Til slutt blir programvaren utgitt i beta-form, og private sikkerhetsforskere og andre kan hack unna. Eventuelle problemer er løst før den endelige utgaven går ut, og Chrome-teamet står klar til å lage nye oppdateringer for andre sikkerhetsproblemer som kaster seg opp.

Til tross for alle testene er nettleserprodusenter bare en del av sikkerhetsløsningen fordi de har ingen kontroll over webprogramvaren eller brukervirksomheten.

Skyen er det vilde vesten: Hackere og malware-beslutningstagere er i overflod, phishers søker passord og brukere gjør det de vil, uskyldig surfing og nedlasting av potensielt farlig innhold som dømt av sikkerhetsforskere.

Bedrifter som utvikler Cloud-applikasjoner og -tjenester må gjøre mer for websikkerhet. Amazon.com med sine webtjenester og google når det beveger seg videre med tiltak, for eksempel Google Dokumenter, som forsøker å trekke folk til webapplikasjoner og vekk fra dataprogrammer, må jobbe nærmere med sikkerhetsforskere, sa Meer.

Og Googles arbeid med sikkerheten i Chrome-nettleseren fremhever årsaken til at: Dataprogrammer som Chrome står overfor intensiv gransking av sikkerhetsforskere over hele nettet, mens webapplikasjoner ikke gjør det.

"Reverse engineering holder [store programvarefirmaer] ærlig, "sa Meer. "Hvis de gjemmer noe i programvarekoden, finner man det før eller senere. Med Cloud-tjenester vet du bare ikke fordi vi bare ikke kan bekrefte det."

Cloud-applikasjoner er bygd av ett selskap, og ingen ser ut ved koden eller hvor trygg det er, sa Meer. Søknader for datamaskiner er forskjellige. De kan bli revet fra hverandre av sikkerhetseksperter, så sett sammen igjen sterkere, så det er ingen sikkerhetshull, sa han.

"Stol på, men verifiser," sa Meer. «Bare fordi en fyr ikke gjør noe ondt i dag, kan vi ikke stole på at de ikke vil gjøre noe ondt i morgen fordi vi ganske enkelt ikke kan bekrefte det.»