Tutkijat neuvovat Cyber-itsepuolustusta pilvessä

Turvallisuustutkijat varoittavat, että web-pohjaiset sovellukset lisäävät identiteettivarkauden tai henkilötietojen menettämisen riskiä enemmän kuin koskaan ennen.

Paras suojaus tietovarkauksilta, haittaohjelmilta ja viruksilta pilvessä on itsepuolustusta. Hack In The Box (HITB) turvallisuuskonferenssi sanoi. Mutta ihmisten muuttaminen Internetin käytön suhteen, kuten julkistamiensa henkilötietojen, ei ole helppoa.

Ihmiset käyttävät paljon henkilökohtaisia ​​tietoja verkossa, ja niitä voidaan käyttää hyökkääjän taloudelliseen hyötyyn. Sosiaalisen verkostoitumisen sivustoista, kuten MySpacesta ja Facebookista mini-blogipalveluun Twitter ja muut blogisivustot, kuten Wordpress, ihmiset käyttävät valokuvia, päivityksiä, henkilökohtaisia ​​päiväkirjoja ja muita tietoja pilvessä. Jotkut ihmiset eivät edes vaivaudu lukemaan hienoja tulosteita sopimuksista, jotka sallivat heidät sivustolle, vaikka jotkut sopimukset selvästi todistavat, että mikä tahansa lähetetty tulee itse sivuston ominaisuus.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokone]

Sidekickin älypuhelinten käyttäjiä viikonloppuna, mukaan lukien yhteystiedot, kalenterimerkinnät, valokuvat ja muut henkilökohtaiset tiedot, paljastavat toisen esimerkin Cloudin luottamuksen mahdollisista häiriöistä.

Pilvikohtaisten tietojen saatavuus melkein mistä tahansa eri laitteista, älypuhelimista ja kannettavista tietokoneista aina kotitietokoneissa on toinen suuri haavoittuvuus, koska muutkin ihmiset saattavat pystyä löytämään nämä tiedot.

"Hyökkääjänä sinun pitäisi pistää huulesi", sanoo Etelä-Afrikan tietoturva-alan Sensepostin tutkija Haroon Meer joka on keskittynyt verkkosovelluksiin viimeisten kuuden vuoden ajan. "Jos kaikki tiedot ovat saatavilla mistä tahansa, niin kehä katoaa ja tekee hakkerointia kuin hakkerointia elokuvissa."

Henkilö, joka haluaa varastaa henkilökohtaisia ​​tietoja, etsii tavallisesti taloudellista hyötyä, Meer sanoi ja kaikki tiedot he voivat löytää ne johtavat heitä askeleen lähempänä verkkopankki-, luottokortti- tai välitystilejä.

Ensinnäkin he saattavat löytää nimesi. Seuraavaksi he löytävät työpaikkasi ja pienen profiilin sinusta verkossa, joka tarjoaa lisää taustatietoja, kuten missä koulussa olet suorittanut ja missä olet syntynyt. He jatkavat kaivaa, kunnes heillä on yksityiskohtainen selvitys teistä, täydennettynä syntymäpäiväänne ja äidin tyttönimellä näiden ärsyttävien turvallisuuskysymysten ja ehkä joidenkin perheiden valokuvien hyväksi. Riittävillä tiedoilla he voisivat tehdä vääriä henkilöllisyystodistuksia ja ottaa lainaa nimesi mukaan.

Identiteettivarkaus voisi olla myös sisäinen työ. E-postipalvelujen vastaanottavissa suurissa yrityksissä on fyysisesti pääsy sähköpostitileihin. "Mistä tiedät, että kukaan ei lukenut sitä? Pidätkö vahvistussähköpostit ja salasanat siellä?", Sanoi Meer. "Pilvessä ihmiset uskovat tietonsa järjestelmiin, joihin heillä ei ole minkäänlaista valvontaa."

Selaimen päätöksentekijöillä voi olla rooli pilvi turvallisempana ihmisille, mutta niiden tehokkuus on rajoitettu käyttäjän tottumuksilla. Selaimella voi esimerkiksi skannata latauksen viruksille, mutta silti se antaa käyttäjälle mahdollisuuden valita, lataako se vai ei. Useimmat tietoturvaominaisuudet selaimessa ovat valinnanvaraa.

Suosittu Firefox-selaimen Mozillan luottokortti Lucas Adamski (joka on todella hänen korttinsa) tarjosi käyttäjille useita bittiä cyber-itsepuolustushallinnosta että ihmiset tyytyvät palomuureihin ja virustorjuntaohjelmiin liikaa.

"Et voi ostaa suojaa laatikosta", hän sanoi. "Näin on mahdollisimman turvallinen käyttäjäkäyttäytymisen suhteen."

Selaimissa on jo paljon hyvä sisäänrakennettu suojaus, hän sanoi. Jos saat varoituksen, ettet mene sivustolle, älä mene siihen. Kun vierailet sivustolla, varmista, että se on oikea. Ovatko kuvat ja logot oikein? Onko URL-osoite oikea? Tarkista, ennen kuin jatkat käyttäjätunnuksesi ja salasanasi täyttämistä, hän neuvoi.

Ohjelmistopäivitykset ovat elintärkeitä. "Varmista, että sinulla on kaikkein uusin versio mitä tahansa käyttämääsi ohjelmistosta", hän sanoi. Päivitykset lähes aina korjaavat tietoturva-aukkoja. Keskeiset ohjelmistot, kuten Adobe Systemsin Flash Player ja Reader, ovat erityisen tärkeitä, jotta ne pysyvät ajan tasalla, koska niitä käytetään niin monella tietokoneella ja ovat hakkereiden ensisijaisia ​​tavoitteita.

Hän myös ehdotti viruskoneen luomista tietokoneellesi käyttämällä VMWare as turvallisuustoimenpide

"On todella vaikeaa saada ihmisiä muuttamaan selaustottumuksiaan", hän sanoi. Ihmiset haluavat surffata verkossa nopeasti, käydä heidän suosikkisivustoillaan ja ladata mitä haluavat, ajattelematta liikaa turvallisuudesta. "Kouluta heitä, siirrä heidät mukaan, mutta älä odota heitä tulemaan tietoturva-asiantuntijoiksi."

Internet-selaimen tekijät pitävät huolella rakentamalla mahdollisimman paljon turvallisuutta tuotteisiinsa ja asettamalla heidät tiukkaan testaukseen. tietoturvaryhmä Googlen Chrome-selaimelle, esimerkiksi, ryhtyy ensimmäiseen crack-ohjelmistoon missä tahansa tärkeässä ohjelmistopäivityksessä, hakkeroimalla löytää haavoittuvuuksia tai turvallisuuden parantamiskeinoja, kertoi tietosuojatiimiinsä Chris Evans Googlessa.

Chrome-tietoturvaryhmä vie ohjelmistopuhelun ja se on muokattu korjaamaan löydetyt reiät. Muut tietoturvaryhmät Googlella ovat menossa tuotteeseen ja näkevät, mitä ongelmia he voivat aiheuttaa. Lopuksi ohjelmisto vapautetaan beta-muodossa, ja yksityiset turvallisuustutkijat ja muut voivat torjua. Kaikki ongelmat on korjattu ennen lopullisen julkaisun poistamista ja Chrome-tiimi on valmis tekemään uusia korjaustiedostoja muille turvallisuuskysymyksille.

Selaimenvalmistajat ovat kaikesta testauksesta huolimatta vain yksi osa tietoturvaratkaisusta, koska he ei ole valintaa Web-ohjelmistosta tai käyttäjän selailukäyttäytymisestä.

Pilvi on Wild West: hakkereita ja haittaohjelmien tekijöitä on runsaasti, salailijat hakevat salasanoja ja käyttäjät tekevät mitä he haluavat, surkeasti surffailevat ja lataavat mahdollisesti vaarallisen sisällön,.

Pilvipalveluiden ja -palveluiden kehittäjien on tehtävä enemmän Web-turvallisuutta varten. Amazon.com on Web Servicesin ja Googlen kanssa, kun se siirtyy eteenpäin sellaisten aloitteiden, kuten Google-dokumenttien, kanssa, jotka yrittävät kiinnittää ihmisiä web-sovelluksiin ja poissa tietotekniikkasovelluksista, tarvitsevat tiivistä yhteistyötä tietoturva-tutkijoiden kanssa.

Google on työskennellyt Chrome-selaimen tietoturvassa, ja siinä korostuu syy, miksi: Tietokoneohjelmat, kuten Chrome, kohtaavat turvallisuustutkijoiden intensiivistä valvontaa koko verkossa, kun taas verkkosovellukset eivät.

"Reverse engineering pitää [suuret ohjelmistoyritykset] rehellisesti, "sanoi Meer. "Jos he piilottavat jotain ohjelmistokoodissa, ennemmin tai myöhemmin joku löytää sen. Pilvipalveluilla et vain tiedä, koska emme yksinkertaisesti voi vahvistaa sitä."

Cloud-sovellukset on rakennettu yhdestä yrityksestä, eikä kukaan etsi koodilla tai kuinka turvallinen se on, sanoi Meer. Tietokoneiden sovellukset ovat erilaisia. Turvallisuusasiantuntijat voivat repimään heidät yhteen, minkä jälkeen heidät yhdistetään toisiinsa, joten turva-aukkoja ei ole, hän sanoi.

"Luota mutta tarkista", sanoi Meer. "Vain koska kaveri ei tee mitään pahaa tänään, emme voi luottaa siihen, että he eivät tee mitään pahaa huomenna, koska emme yksinkertaisesti voi vahvistaa sitä."