I ricercatori consigliano l'autodifesa informatica nel cloud

I ricercatori di sicurezza avvertono che le applicazioni basate sul Web aumentano il rischio di furto di identità o di perdita di dati personali più che mai.

La migliore difesa contro il furto di dati, malware e virus nel cloud è l'autodifesa, i ricercatori del La conferenza sulla sicurezza di Hack In The Box (HITB) ha detto. Ma far sì che le persone cambino il modo in cui usano Internet, come i dati personali che rendono pubblici, non sarà facile.

Le persone mettono molte informazioni personali sul Web e possono essere utilizzate per il guadagno finanziario di un aggressore. Dai siti di social networking come MySpace e Facebook al servizio di mini-blog Twitter e altri siti di blog come Wordpress, le persone stanno mettendo foto, curriculum, diari personali e altre informazioni nel cloud. Alcune persone non si preoccupano nemmeno di leggere la stampa fine in accordi che consentono loro di accedere a un sito, anche se alcuni accordi stabiliscono chiaramente che qualsiasi postata diventa di proprietà del sito stesso.

[Ulteriori letture: Come rimuovere il malware da il tuo PC Windows]

La perdita di dati personali da parte degli utenti di smartphone Sidekick durante il fine settimana, inclusi contatti, voci del calendario, fotografie e altre informazioni personali, è un altro esempio delle potenziali insidie ​​di fidarsi del Cloud. Danger, la sussidiaria di Microsoft che memorizza i dati di Sidekick, ha detto che un'interruzione del servizio significa quasi certamente che i dati dell'utente sono stati persi per sempre.

Accesso ai dati personali nel cloud da quasi ovunque su una varietà di dispositivi, da smartphone e laptop a PC domestici, mostra un'altra vulnerabilità importante perché altre persone potrebbero essere in grado di trovare anche quei dati.

"Come attaccante, dovresti leccarti le labbra", ha detto Haroon Meer, ricercatore presso Sensepost, una società di sicurezza sudafricana che si è concentrato sulle applicazioni Web negli ultimi sei anni. "Se tutti i dati sono accessibili da qualsiasi luogo, allora il perimetro scompare. Rende l'hacking come l'hacking nei film."

Una persona che vuole rubare informazioni personali di solito cerca guadagni finanziari, ha detto Meer, e ogni bit di dati possono trovare li avvicina un passo alla tua banca online, carta di credito o conti di intermediazione.

In primo luogo, potrebbero trovare il tuo nome. Successivamente, scoprono il tuo lavoro e un piccolo profilo di te online che offre ulteriori informazioni di base, ad esempio da quale scuola ti sei laureato e da dove sei nato. Continuano a scavare finché non hanno un resoconto dettagliato di te, completo con la tua data di nascita e il nome da nubile della madre per quelle fastidiose domande di sicurezza, e forse alcune foto di famiglia per buona misura. Con un numero sufficiente di dati potrebbero fare false carte d'identità e stipulare prestiti sotto il tuo nome.

Il furto d'identità potrebbe anche essere un lavoro interiore. I dipendenti delle grandi aziende che ospitano servizi di posta elettronica hanno accesso fisico agli account di posta elettronica. "Come fai a sapere che nessuno lo sta leggendo? Tieni lì le e-mail di conferma e le password? Non dovresti," disse Meer. "Nel cloud, le persone si affidano alle proprie informazioni a sistemi su cui non hanno alcun controllo."

I produttori di browser possono svolgere un ruolo nel rendere il cloud più sicuro per le persone, ma la loro efficacia è limitata dalle abitudini degli utenti. Un browser, ad esempio, può eseguire la scansione di un download per virus, ma consente comunque all'utente di scegliere se scaricare o meno. La maggior parte delle funzioni di sicurezza su un browser sono una scelta.

Lucas Adamski, sottosegretario della sicurezza (questo è quello che dice il suo biglietto da visita) in Mozilla, produttore del popolare browser Firefox, ha offerto diversi consigli di cyber difesa personale per gli utenti, a partire da l'ammonimento che la gente si affida troppo ai firewall e ai programmi anti-virus.

"Non è possibile acquistare la sicurezza in una scatola", ha affermato. "Il modo per essere il più sicuro possibile riguarda il comportamento degli utenti."

C'è molta buona sicurezza integrata già installata nei browser, ha detto. Se ricevi un avviso per non andare su un sito, non andare ad esso. Quando visiti un sito, assicurati che sia quello giusto. Le immagini e i loghi sono corretti? L'URL è corretto? Controlla prima di procedere con la compilazione del tuo nome utente e password, ha consigliato.

Gli aggiornamenti del software sono vitali. "Assicurati di avere la versione più aggiornata del software che usi", ha detto. Gli aggiornamenti quasi sempre bucano i buchi di sicurezza. I programmi software chiave come Flash Player e Reader di Adobe Systems sono particolarmente importanti per essere aggiornati perché vengono utilizzati su così tanti computer e sono obiettivi primari per gli hacker.

Ha anche suggerito di creare una macchina virtuale sul tuo computer usando VMWare come una misura di sicurezza.

"È davvero difficile convincere le persone a cambiare le loro abitudini di navigazione", ha detto. Le persone vogliono navigare velocemente sul Web, visitare i loro siti preferiti e scaricare quello che vogliono senza pensare troppo alla sicurezza. "Educali, spostali, ma non aspettarti che diventino esperti di sicurezza."

I produttori di browser Internet prestano molta attenzione a costruire la massima sicurezza possibile nei loro prodotti e sottoponendoli a test rigorosi.

Il team di sicurezza per il browser Chrome di Google, ad esempio, farà il primo passo a qualsiasi aggiornamento importante del software, tagliando via per individuare vulnerabilità o modi per migliorare la sicurezza, ha dichiarato Chris Evans, un ingegnere della sicurezza delle informazioni di Google.

Dopo il Il team di sicurezza di Chrome prende in mano il software e viene rielaborato per correggere i buchi che hanno trovato, altri team di sicurezza di Google avranno a disposizione il prodotto per vedere quali problemi possono causare. Infine, il software è rilasciato in forma beta, mentre i ricercatori di sicurezza privata e altri possono inciampare. Eventuali problemi vengono risolti prima che venga rilasciato il rilascio finale e il team di Chrome è pronto a creare nuove patch per eventuali altri problemi di sicurezza.

Nonostante tutti i test, i produttori di browser sono solo una parte della soluzione di sicurezza perché

Il cloud è il selvaggio West: hacker e produttori di malware abbondano, i phisher cercano le password e gli utenti fanno tutto ciò che vogliono, navigando incautamente e scaricando contenuti potenzialmente pericolosi come giudicato dai ricercatori di sicurezza

Le aziende che sviluppano applicazioni e servizi cloud dovranno fare di più per la sicurezza Web. Amazon.com con i suoi servizi Web e Google mentre avanza con iniziative come Google Docs, che cercano di attirare persone verso le applicazioni Web e lontano dalle applicazioni per computer, dovranno lavorare più a stretto contatto con i ricercatori di sicurezza, ha affermato Meer.

E il lavoro di Google sulla sicurezza nel browser Chrome mette in evidenza il motivo per cui: Le applicazioni informatiche come Chrome sono sottoposte a un attento esame da parte dei ricercatori di sicurezza in tutto il Web, mentre le applicazioni Web non lo fanno.

"L'ingegneria inversa mantiene [le grandi società di software] oneste, "disse Meer. "Se nascondono qualcosa nel codice del software, prima o poi qualcuno lo trova. Con i servizi Cloud, semplicemente non lo sai perché semplicemente non possiamo verificarlo."

Le applicazioni cloud sono create da una società e nessuno sta cercando al codice o quanto sia sicuro, disse Meer. Le applicazioni per computer sono diverse. Possono essere fatti a pezzi dagli esperti di sicurezza, quindi rimetterli insieme più forti quindi non ci sono buchi nella sicurezza, ha detto.

"Fidati ma verifica", disse Meer. "Solo perché oggi un uomo non fa il male, non possiamo fidarci che domani non facciano del male perché semplicemente non possiamo verificarlo."