Para Penasihat Mengesyorkan Pertahanan Diri Cyber ​​di Awan

Penyelidik keselamatan memberi amaran bahawa aplikasi berasaskan web meningkatkan risiko kecurian identiti atau kehilangan data peribadi lebih daripada sebelumnya.

Pertahanan terbaik terhadap kecurian data, malware dan virus di awan adalah pertahanan diri, penyelidik di Persidangan Keselamatan Hack In The Box (HITB) berkata. Tetapi untuk mendapatkan orang untuk mengubah cara menggunakan Internet, seperti apa data peribadi yang mereka umumkan, tidak akan mudah. ​​

Orang meletakkan banyak maklumat peribadi di Web, dan itu boleh digunakan untuk mendapatkan keuntungan penyerang. Dari laman jejaring sosial seperti MySpace dan Facebook ke laman blog mini Twitter dan tapak blog lain seperti Wordpress, orang meletakkan foto, resume, buku harian peribadi dan maklumat lain di awan. Sesetengah orang tidak peduli untuk membaca cetakan yang baik dalam perjanjian yang membolehkan mereka ke laman web, walaupun beberapa perjanjian dengan jelas menyatakan bahawa apa-apa yang diposkan menjadi milik laman web itu sendiri.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Kehilangan data peribadi oleh pengguna telefon pintar Sidekick pada hujung minggu, termasuk kenalan, penyertaan kalendar, gambar dan maklumat peribadi lain, berfungsi sebagai contoh lain dari perangkap yang berpotensi untuk mempercayai Awan. Bahaya, anak syarikat Microsoft yang menyimpan data Sidekick, berkata gangguan perkhidmatan hampir pasti bermakna data pengguna telah hilang dengan baik.

Akses ke data peribadi di awan dari hampir mana saja pada pelbagai peranti, dari telefon pintar dan komputer riba ke PC rumah, menunjukkan satu lagi kelemahan utama kerana orang lain mungkin dapat mencari data itu juga.

"Sebagai penyerang, anda perlu menjilat bibir anda," kata Haroon Meer, seorang penyelidik di Sensepost, syarikat keselamatan Afrika Selatan yang telah memberi tumpuan kepada aplikasi Web sejak enam tahun yang lalu. "Sekiranya semua data boleh diakses dari mana-mana, maka perimeter akan hilang. Ia menjadikan penggodaman seperti penggodaman dalam filem."

Seseorang yang ingin mencuri maklumat peribadi biasanya mencari keuntungan kewangan, Meer berkata, dan setiap bit data mereka dapat mencari membawa mereka satu langkah lebih dekat ke akaun bank, kad kredit atau akaun broker online anda.

Pertama, mereka mungkin mencari nama anda. Seterusnya, mereka menemui tugas anda dan profil kecil anda dalam talian yang menawarkan maklumat latar belakang lebih lanjut seperti sekolah yang anda lulus dan tempat anda dilahirkan. Mereka terus menggali sehingga mereka mempunyai akaun terperinci mengenai anda, lengkap dengan tarikh lahir dan nama ibu ibu anda bagi soalan-soalan keselamatan yang menjengkelkan, dan mungkin beberapa foto keluarga untuk ukuran yang baik. Dengan data yang mencukupi mereka boleh membuat kad pengenalan palsu dan mengambil pinjaman di bawah nama anda.

Kecurian identiti juga boleh menjadi pekerjaan di dalam. Pekerja di syarikat besar yang menjadi tuan rumah perkhidmatan e-mel mempunyai akses fizikal ke akaun e-mel. "Bagaimana anda tahu tiada sesiapa membacanya? Adakah anda menyimpan e-mel dan kata laluan pengesahan di sana? Anda tidak perlu," kata Meer. "Di awan, orang mempercayai maklumat mereka kepada sistem yang mereka tidak mempunyai kawalan."

Pembuat pelayar boleh memainkan peranan dalam menjadikan awan lebih selamat untuk orang, tetapi keberkesanannya terhad oleh tabiat pengguna. Sebagai penyemak imbas, contohnya, boleh mengimbas muat turun untuk virus, tetapi ia masih memberi pengguna pilihan sama ada untuk memuat turun atau tidak. Kebanyakan fungsi keselamatan pada penyemak imbas adalah pilihan.

Lucas Adamski, ketua keselamatan (yang sebenarnya kata kad perniagaannya) di Mozilla, pembuat pelayar Firefox popular, menawarkan beberapa bit pertahanan diri siber untuk pengguna, bermula dengan peringatan bahawa orang bergantung pada firewall dan program anti-virus terlalu banyak.

"Anda tidak boleh membeli keselamatan dalam kotak," katanya. "Cara untuk menjadi selamat mungkin adalah mengenai tingkah laku pengguna."

Terdapat banyak keselamatan terbina dalam yang telah dipasang di pelayar, katanya. Jika anda mendapat amaran untuk tidak pergi ke tapak, jangan pergi ke sana. Apabila anda melawat tapak, pastikan ia betul. Adakah imej dan logo betul? Adakah URL betul? Semak sebelum anda meneruskan dengan mengisi nama pengguna dan kata laluan anda, dia memberi nasihat.

Kemas kini perisian adalah penting. "Pastikan anda mempunyai versi paling terkini perisian yang anda gunakan," katanya. Kemas kini hampir selalu memasang lubang keselamatan. Program perisian utama seperti Flash Player dan Reader Adobe Systems sangat penting untuk terus dikemas kini kerana ia digunakan pada begitu banyak komputer dan merupakan sasaran utama untuk penggodam.

Ia juga mencadangkan membuat mesin maya pada komputer anda menggunakan VMWare sebagai langkah keselamatan.

"Sungguh sukar untuk membuat orang mengubah kebiasaan melayari mereka," katanya. Orang mahu melayari laman web pantas, melawat laman kegemaran mereka dan muat turun apa sahaja yang mereka mahu tanpa terlalu banyak berfikir tentang keselamatan. "Mendidik mereka, menggerakkan mereka bersama, tetapi jangan mengharapkan mereka menjadi pakar keselamatan."

Pembuat pelayar internet sangat berhati-hati dalam membina sebanyak mungkin keselamatan ke dalam produk mereka dan meletakkannya melalui ujian yang ketat.

Pasukan keselamatan untuk penyemak imbas Chrome Google, misalnya, akan mengambil retak pertama pada setiap kemasukan utama ke perisian, penggodaman untuk mencari kelemahan atau cara untuk meningkatkan keamanan, kata Chris Evans, seorang insinyur keselamatan maklumat di Google.

Setelah Pasukan keselamatan Chrome mengambil kekalahan pada perisian dan ia dikerjakan semula untuk menetapkan lubang yang mereka dapati, pasukan keselamatan lain di Google akan pergi ke produk untuk melihat masalah yang dapat menyebabkan mereka. Akhirnya, perisian ini dibebaskan dalam bentuk beta, dan penyelidik keselamatan swasta dan yang lain boleh menggodamnya. Sebarang masalah akan dibetulkan sebelum pelepasan akhir dan kemudian pasukan Chrome bersedia untuk membuat patch baru untuk sebarang isu keselamatan yang timbul.

Walaupun semua ujian, pembuat pelayar hanya satu bahagian dari penyelesaian keselamatan kerana mereka

Cloud adalah Wild West: penggodam dan pembuat malware yang berlimpah, penipu mencari kata laluan dan pengguna melakukan apa saja yang mereka suka, pelawak melayari dan mengunduh kandungan yang berpotensi berbahaya seperti yang dinilai oleh penyelidik keselamatan.

Syarikat membangun aplikasi dan perkhidmatan Cloud perlu melakukan lebih banyak untuk keselamatan Web. Amazon.com dengan Perkhidmatan Web dan Google ketika bergerak maju dengan inisiatif, seperti Google Docs, yang cuba menarik orang ke aplikasi Web dan jauh dari aplikasi komputer perlu bekerja lebih dekat dengan penyelidik keamanan, kata Meer.

Dan kerja Google mengenai keselamatan dalam penyemak imbas Chrome menonjolkan sebabnya: Aplikasi komputer seperti Chrome menghadapi pengawasan yang ketat oleh penyelidik keselamatan di seluruh Web, sementara aplikasi Web tidak

. "Kejuruteraan terbalik terus [syarikat perisian besar] jujur, "kata Meer. "Sekiranya mereka menyembunyikan sesuatu di dalam kod perisian, orang cepat-cepat akan mendapatinya. Dengan perkhidmatan Cloud, anda tidak tahu kerana kami tidak dapat mengesahkannya."

Aplikasi awan dibina oleh satu syarikat, dan tiada siapa yang melihatnya pada kod atau betapa selamatnya, kata Meer. Aplikasi untuk komputer adalah berbeza. Mereka boleh dipecahkan oleh para pakar keselamatan kemudian meletakkannya kembali dengan lebih kuat sehingga tidak ada lubang keamanan, katanya. "Kepercayaan tetapi pengesahan," kata Meer. "Hanya kerana seorang lelaki tidak melakukan kejahatan hari ini, kita tidak boleh percaya bahawa mereka tidak akan melakukan kejahatan esok kerana kita tidak dapat mengesahkannya."