Molnet - så funkar det
Säkerhetsforskare varnar för att webbaserade applikationer ökar risken för identitetsstöld eller förlorar personuppgifter mer än någonsin tidigare.
Det bästa försvaret mot datortöld, malware och virus i molnet är självförsvar, forskare vid Hack In The Box (HITB) säkerhetskonferens sa. Men att få människor att ändra hur de använder Internet, till exempel vilka personuppgifter de publicerar, kommer inte att vara enkla.
Människor lägger mycket personlig information på webben, och det kan användas för en angripares ekonomiska vinst. Från sociala nätverk som MySpace och Facebook till mini-bloggingstjänsten Twitter och andra bloggwebbplatser som Wordpress sätter folk bilder, CV, personliga dagböcker och annan information i molnet. Vissa människor stör inte ens att läsa det fina trycket i avtal som tillåter dem på en webbplats, även om vissa avtal tydligt anger att allt som publiceras blir webbplatsens egendom.
Förlusten av personuppgifter från Sidekick-smarttelefonanvändare under helgen, inklusive kontakter, kalenderposter, fotografier och annan personlig information, fungerar som ett annat exempel på de potentiella fallgroparna som är förtroende för molnet. Fara, Microsoft-dotterbolaget som lagrar Sidekick-data, sa att serviceavbrott nästan helt säkert innebär att användardata har gått vilse för gott.
Tillgång till personuppgifter på molnet från nästan var som helst på olika enheter, från smartphones och bärbara datorer till hemmapatroner, visar en annan stor sårbarhet eftersom andra människor kanske kan hitta den informationen.
"Som en angripare borde du slicka dina läppar", säger Haroon Meer, en forskare vid Sensepost, ett sydafrikansk säkerhetsföretag som har fokuserat på webbapplikationer under de senaste sex åren. "Om alla data är tillgängliga var som helst, försvinner omkretsen. Det gör hacken som hackning i filmerna."
En person som vill stjäla personlig information söker vanligtvis ekonomisk vinst, säger Meer och varje bit av data de kan hitta leder dem ett steg närmare dina online bank-, kreditkorts- eller mäklarkonton.
Först kan de hitta ditt namn. Därefter upptäcker de ditt jobb och en liten profil av dig online som erbjuder ytterligare bakgrundsinformation, till exempel vilken skola du tog examen från och var du föddes. De fortsätter att gräva tills de har en detaljerad redogörelse för dig, komplett med ditt födelsedatum och mammans namn för de svåra säkerhetsfrågorna, och kanske några familjefotografier för gott mål. Med tillräckligt med data kan de göra falska identitetskort och ta ut lån under ditt namn.
Identitetsstöld kan också vara ett inrikesjobb. Anställda hos stora företag som värd e-posttjänster har fysisk tillgång till e-postkonton. "Hur vet du att ingen läser den?" Håller du bekräftelse på e-post och lösenord där? Du borde inte, säger Meer. "I molnet litar människor på sina uppgifter på system som de inte har kontroll över."
Webbläsare kan spela en roll för att göra molnet säkrare för människor, men deras effektivitet är begränsad av användarvanor. En webbläsare kan till exempel skanna en nedladdning för virus, men det ger användaren fortfarande valet att ladda ner eller inte. De flesta säkerhetsfunktionerna i en webbläsare är ett val.
Lucas Adamski, säkerhetsunderleverantör (det är verkligen vad hans visitkort säger) hos Mozilla, tillverkare av den populära Firefox-webbläsaren, erbjöd flera bitar av cyber självförsvarsrådgivning för användarna, som börjar med förmaningen att folk förlitar sig på brandväggar och antivirusprogram.
"Du kan inte köpa säkerhet i en låda", sa han. "Sättet att vara så säkert som möjligt handlar om användarbeteende."
Det finns mycket bra inbyggd säkerhet redan installerad i webbläsare, sa han. Om du får en varning för att inte gå till en webbplats, gå inte till den. När du besöker en webbplats, se till att det är rätt. Är bilderna och logotyperna rätt? Är webbadressen korrekt? Kontrollera innan du fortsätter med att fylla i ditt användarnamn och lösenord, rådde han.
Programuppdateringar är viktiga. "Se till att du har den mest aktuella versionen av vilken programvara du använder", sa han. Uppdateringar patchar nästan alltid säkerhetshål. Viktiga program som Adobe Systems Flash Player och Reader är särskilt viktiga för att hålla sig uppdaterad eftersom de används på så många datorer och är främsta mål för hackare.
Han föreslog också att skapa en virtuell maskin på din dator med hjälp av VMWare som en säkerhetsåtgärd.
"Det är verkligen svårt att få folk att ändra sina vanor," sa han. Folk vill surfa på nätet snabbt, besöka deras favoritplatser och ladda ner vad de vill utan att tänka för mycket om säkerhet. "Utbilda dem, flytta dem, men förvänta dig inte att de blir säkerhetsexperter."
Internetbrowsare beslutar mycket noga med att bygga så mycket säkerhet som möjligt i sina produkter och genomföra dem genom noggrann testning. säkerhetsteam för Googles Chrome-webbläsare, tar till exempel den första sprickan vid någon större uppdatering till programvaran, hackar bort för att hitta sårbarheter eller sätt att förbättra säkerheten, säger Chris Evans, en informationssäkerhetsingenjör på Google.
Efter Chrome-säkerhetsteamet tar en whack på programvaran och det bearbetas för att fixa de hål som de hittat, andra säkerhetsteam hos Google kommer att gå på produkten för att se vilka problem de kan orsaka. Slutligen släpps programvaran i beta-form, och privata säkerhetsforskare och andra kan hacka bort. Eventuella problem fixas innan den slutliga utgåvan släcks och Chrome-laget står redo att göra nya korrigeringsfiler för alla andra säkerhetsproblem som uppstår.
Trots alla test är webbläsare bara en del av säkerhetslösningen eftersom de har ingen kontroll över webbprogramvaran eller användarbehandlingsbeteendet.
Molnet är det vilda västern: hackare och malware-beslutsfattare är överflödiga, phishers söker lösenord och användare gör vad de vill ha, rokfritt surfar och laddar ner potentiellt farligt innehåll som bedömts av säkerhetsforskare.
Företag som utvecklar Cloud-applikationer och -tjänster måste göra mer för webbsäkerhet. Amazon.com med sina webbtjänster och Google när det går framåt med initiativ, till exempel Google Docs, behöver försök att dra personer till webbapplikationer och bort från datortillämpningar arbeta närmare säkerhetsforskare, säger Mer.
Och Googles arbete med säkerheten i Chrome-webbläsaren lyfter fram orsaken till att: Datorapplikationer som Chrome står inför intensiv granskning av säkerhetsforskare över hela webben medan webapplikationer inte gör det.
"Reverse engineering håller [stora mjukvaruföretag] ärliga, "sade Meer. "Om de gömmer något i mjukvarukoden, finner vi det förr eller senare. Med Cloud-tjänster vet du inte bara för att vi helt enkelt inte kan verifiera det."
Cloud-applikationer är byggda av ett företag och ingen ser vid koden eller hur säker det är, sade Meer. Program för datorer är olika. De kan rippas sönder av säkerhetsexperter, sedan sätta ihop sig starkare så det finns inga säkerhetshål, sade han.
"Lita men verifiera", sa Meer. "Bara för att en kille inte gör något ont idag kan vi inte lita på att de inte kommer göra ont i morgon eftersom vi helt enkelt inte kan verifiera det."
Google-användare lever av molnet, dö av molnet
Denna veckas Google-underskott visar faran att lägga så mycket infrastruktur i moln.
Forskare hitta ett nytt sätt att attackera molnet
Forskare har utvecklat nya sidokanalattacker som kan användas för att stjäla data från molnet -computing-program.
Microsoft har lagt upp ett meddelande på sin MSN Direct-webbplats och informerar användarna om att tjänsten kommer att vara tillgänglig endast till den 1 januari 2012.
MSN Direct är oftast associerad med Microsofts Smart Watch-program. Det programmet var den första som använde MSN Direct-tjänsten för att skicka information som nyhetsrubriker, aktiekurser, väder och trafikinformation till speciella armbandsur.