Forskere advarer Cyber ​​Self Defense i skyen

Sikkerhedsforskere advarer om, at webbaserede applikationer øger risikoen for identitetstyveri eller taber personlige data mere end nogensinde før.

Det bedste forsvar mod datatyveri, malware og vira i skyen er selvforsvar, forskere ved Hack In The Box (HITB) sikkerhedskonference sagde. Men at få folk til at ændre, hvordan de bruger internettet, som f.eks. De personlige oplysninger, de offentliggør, vil ikke være nemme.

Folk sætter mange personlige oplysninger på nettet, og det kan bruges til en angribers økonomiske gevinst. Fra sociale netværkssider som MySpace og Facebook til mini-bloggingstjenesten Twitter og andre blogsites som Wordpress sætter folk billeder, genoptager, personlige dagbøger og andre oplysninger i skyen. Nogle mennesker bryder sig ikke engang om at læse det fine print i aftaler, der giver dem adgang til et websted, selv om nogle aftaler tydeligt angiver, at alt, hvad der bogføres, bliver ejendommen til selve webstedet.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Tablet af personlige data fra Sidekick-smartphone-brugere i weekenden, herunder kontakter, kalenderposter, fotografier og andre personlige oplysninger, tjener som et andet eksempel på de potentielle faldgruber, der stoler på Cloud. Fare, Microsoft-datterselskabet, der lagrer Sidekick-data, sagde en tjenesteforstyrrelse næsten helt sikkert betyder, at brugerdata er gået tabt for godt.

Adgang til personlige data på skyen fra næsten hvor som helst på en række enheder, fra smartphones og laptops til hjemme-pc'er, viser en anden stor sårbarhed, fordi andre mennesker også kan finde disse data.

"Som en angriber bør du slikke dine læber", siger Haroon Meer, en forsker hos Sensepost, et sydafrikansk sikkerhedsselskab der har fokuseret på webapplikationer i de sidste seks år. "Hvis alle data er tilgængelige overalt, forsvinder perimeteren. Det gør hacking som hacking i filmene."

En person, der ønsker at stjæle personlige oplysninger, søger normalt økonomisk gevinst, siger Meer og alle data de kan finde leder dem et skridt tættere på dine online bank-, kreditkort- eller mæglerkonti.

For det første kan de finde dit navn. Dernæst opdager de dit job og en lille profil af dig online, der giver yderligere baggrundsoplysninger, som f.eks. Hvilken skole du tog ud af, og hvor du blev født. De fortsætter med at grave, indtil de har en detaljeret redegørelse for dig, komplet med din fødselsdato og moderens pigenavn for de besværlige sikkerhedsspørgsmål, og måske nogle familiefotografier til gavn. Med tilstrækkelige data kunne de lave falske identifikationskort og tage lån under dit navn.

Identitetstyveri kunne også være et indvendigt job. Medarbejdere hos store virksomheder, der er vært for e-mail-tjenester, har fysisk adgang til e-mail-konti. "Hvordan ved du, at ingen læser det?" Har du bekræftelses-e-mails og adgangskoder der? Du bør ikke, "sagde Meer. "I skyen har folk tillid til deres information til systemer, som de ikke har kontrol med."

Browser beslutningstagere kan spille en rolle for at gøre skyen mere sikker for mennesker, men deres effektivitet er begrænset af brugervaner. En browser kan for eksempel scanne en download for virus, men det giver stadig brugeren mulighed for at downloade eller ej. De fleste sikkerhedsfunktioner i en browser er et valg.

Lucas Adamski, sikkerhedsunderleverandør (det er rigtigt hvad hans visitkort siger) hos Mozilla, maker af den populære Firefox-browser, tilbød flere bitvis af cyber-selvforsvarsrådgivning til brugere, der begyndte med den formaning, at folk er afhængige af firewalls og antivirusprogrammer for meget.

"Du kan ikke købe sikkerhed i en kasse," sagde han. "Vejen for at være så sikker som muligt handler om brugeradfærd."

Der er meget god indbygget sikkerhed, der allerede er installeret i browsere, sagde han. Hvis du får en advarsel om ikke at gå til et websted, skal du ikke gå til det. Når du besøger et websted, skal du sørge for at det er det rigtige. Er billederne og logoerne rigtige? Er webadressen korrekt? Tjek, inden du fortsætter med at udfylde dit brugernavn og din adgangskode, rådede han.

Softwareopdateringer er afgørende. "Sørg for, at du har den mest up-to-date version af den software, du bruger," sagde han. Opdateringer opdaterer næsten altid sikkerhedshuller. Nøgleprogrammer som Adobe Systems 'Flash Player og Reader er særligt vigtige for at blive opdateret, fordi de bruges på så mange computere og er primære mål for hackere.

Han foreslog også at oprette en virtuel maskine på din computer ved hjælp af VMWare som en sikkerhedsforanstaltning.

"Det er virkelig svært at få folk til at ændre deres surfevaner," sagde han. Folk vil surfe på nettet hurtigt, besøge deres yndlingswebsteder og downloade det, de vil have, uden at tænke for meget om sikkerhed. "Uddann dem, flytte dem sammen, men forvent ikke, at de bliver sikkerhedseksperter."

Internetbrowsere beslutningstagere tager stor omhu i at opbygge så meget sikkerhed som muligt i deres produkter og sætte dem igennem strenge test. sikkerhedsteam til Googles Chrome-browser, vil for eksempel tage den første revne ved enhver større opdatering til softwaren, der hakker væk for at finde sårbarheder eller måder at forbedre sikkerhed på, siger Chris Evans, en informationssikkerhedsingeniør hos Google.

Efter Chrome-sikkerhedsteamet kaster på softwaren, og det er omarbejdet for at rette hullerne, de har fundet. Andre sikkerhedsteams hos Google vil gå på produktet for at se, hvilke problemer de kan forårsage. Endelig frigives softwaren i beta form, og private sikkerhedsforskere og andre kan hakke væk. Eventuelle problemer er løst, inden den endelige udgivelse går ud, og Chrome-holdet står klar til at lave nye patches til andre sikkerhedsproblemer, der afvikles.

På trods af alle testene er browserproducenter kun en del af sikkerhedsløsningen, fordi de har ingen kontrol over websoftwaren eller brugerens browseradfærd.

Skyen er det vilde vesten: hackere og malware-beslutningstagere er overflødige, phishers søger adgangskoder, og brugerne gør hvad de vil, roligt surfer og downloader potentielt farligt indhold som dømt af sikkerhedsforskere.

Virksomheder, der udvikler Cloud-applikationer og -tjenester, skal gøre mere for websikkerhed. Amazon.com med dets webtjenester og google, da det går videre med initiativer som Google Dokumenter, vil forsøget på at tegne folk til webapplikationer og væk fra computerprogrammer være tættere på sikkerhedsforskere, siger Meer.

Og Googles arbejde med sikkerheden i Chrome-browseren fremhæver årsagen til, at: Computer applikationer som Chrome står over for intensiv kontrol af sikkerhedsforskere på hele internettet, mens webapplikationer ikke gør det.

"Reverse engineering holder [store softwarefirmaer] ærlige, "sagde Meer. "Hvis de gemmer noget i softwarekoden, finder man det før eller senere. Med Cloud Services ved du bare ikke, fordi vi simpelthen ikke kan kontrollere det."

Cloud applikationer er bygget af et firma, og ingen ser ved koden eller hvor sikker det er, sagde Meer. Applikationer til computere er forskellige. De kan rives adskilt af sikkerhedseksperter, så sættes de sammen stærkere, så der er ingen sikkerhedshuller, sagde han.

"Tillid, men kontroller," sagde Meer. "Bare fordi en fyr ikke gør ondt i dag, kan vi ikke stole på, at de ikke vil gøre ondt i morgen, fordi vi simpelthen ikke kan kontrollere det."