Forscher beraten Cyber-Selbstverteidigung in der Cloud

Sicherheitsforscher warnen davor, dass webbasierte Anwendungen das Risiko von Identitätsdiebstahl oder den Verlust von persönlichen Daten mehr als je zuvor erhöhen.

Die beste Verteidigung gegen Datendiebstahl, Malware und Viren in der Cloud ist Selbstverteidigung, Forscher am Hack In The Box (HITB) Sicherheitskonferenz sagte. Aber es wird nicht einfach sein, Menschen zu verändern, wie sie das Internet nutzen, wie zum Beispiel welche persönlichen Daten sie veröffentlichen.

Die Leute stellen eine Menge persönlicher Informationen ins Web, die für den finanziellen Gewinn eines Angreifers genutzt werden können. Von Social-Networking-Sites wie MySpace und Facebook bis zum Mini-Blogging-Dienst Twitter und anderen Blog-Seiten wie Wordpress setzen Menschen Fotos, Lebensläufe, persönliche Tagebücher und andere Informationen in die Cloud. Einige Leute machen sich nicht einmal die Mühe, das Kleingedruckte in Vereinbarungen zu lesen, die sie auf eine Site zulassen, obwohl einige Vereinbarungen klar aussagen, dass alles Gebotene Eigentum der Site selbst wird.

[Weitere Informationen: So entfernen Sie Malware aus Ihr Windows PC]

Der Verlust von persönlichen Daten durch Sidekick-Smartphone-Nutzer über das Wochenende, einschließlich Kontakten, Kalendereinträgen, Fotos und anderen persönlichen Informationen, ist ein weiteres Beispiel für die potenziellen Gefahren des Vertrauens in die Cloud. Gefahr, die Microsoft-Tochtergesellschaft, die Sidekick-Daten speichert, sagte, eine Dienstunterbrechung bedeutet fast sicher Benutzerdaten für immer verloren.

Zugriff auf persönliche Daten in der Cloud von fast überall auf einer Vielzahl von Geräten, von Smartphones und Laptops zu Heim-PCs, zeigt eine weitere große Sicherheitslücke, weil andere möglicherweise auch diese Daten finden können.

"Als Angreifer sollten Sie sich die Lippen lecken", sagte Haroon Meer, Forscher bei Sensepost, einer südafrikanischen Sicherheitsfirma Das hat sich in den letzten sechs Jahren auf Web-Anwendungen konzentriert. "Wenn alle Daten von überall zugänglich sind, verschwindet der Umkreis. Es macht Hacking wie Hacking in den Filmen."

Eine Person, die persönliche Informationen stehlen will, sucht normalerweise nach finanziellen Vorteilen, sagte Meer, und jede Menge Daten Sie finden sie einen Schritt näher an Ihren Online-Bank-, Kreditkarten- oder Maklerkonten.

Zuerst könnten sie Ihren Namen finden. Als nächstes entdecken sie Ihren Job und ein kleines Profil von Ihnen online, das weitere Hintergrundinformationen bietet, z. B. welche Schule Sie absolviert haben und wo Sie geboren wurden. Sie graben weiter, bis sie ein detailliertes Konto von Ihnen haben, komplett mit Ihrem Geburtsdatum und dem Mädchennamen der Mutter für diese lästigen Sicherheitsfragen und vielleicht ein paar Familienfotos für ein gutes Mass. Mit genügend Daten könnten sie falsche Ausweise erstellen und Kredite unter Ihrem Namen aufnehmen.

Identitätsdiebstahl könnte auch ein Insider-Job sein. Mitarbeiter großer Unternehmen, die E-Mail-Dienste hosten, haben physischen Zugriff auf E-Mail-Konten. "Woher wissen Sie, dass niemand es liest? Halten Sie Bestätigungs-E-Mails und Passwörter dort? Das sollten Sie nicht", sagte Meer. "In der Cloud vertrauen Menschen ihren Informationen auf Systeme, auf die sie keinen Einfluss haben."

Browser-Hersteller können eine Rolle dabei spielen, die Cloud sicherer für die Menschen zu machen, aber ihre Effektivität ist durch die Benutzergewohnheiten begrenzt. Ein Browser kann beispielsweise einen Download nach Viren durchsuchen, aber der Benutzer hat immer noch die Wahl, ob er herunterladen möchte oder nicht. Die meisten Sicherheitsfunktionen in einem Browser sind eine Wahl.

Lucas Adamski, Sicherheits-Underlord (das ist wirklich, was seine Visitenkarte sagt) bei Mozilla, Hersteller des beliebten Firefox-Browsers, bot Benutzern mehrere Tipps zur Cyber-Selbstverteidigung an, beginnend mit die Warnung, dass die Leute sich zu sehr auf Firewalls und Antivirenprogramme verlassen.

"Sie können keine Sicherheit in einer Box kaufen", sagte er. "Der Weg, so sicher wie möglich zu sein, ist das Benutzerverhalten."

Es gibt eine Menge guter eingebauter Sicherheit, die bereits in Browsern installiert ist, sagte er. Wenn Sie eine Warnung erhalten, nicht zu einer Site zu gehen, gehen Sie nicht dorthin. Wenn Sie eine Website besuchen, stellen Sie sicher, dass es die richtige ist. Sind die Bilder und Logos richtig? Ist die URL korrekt? Überprüfen Sie, bevor Sie fortfahren mit dem Ausfüllen Ihres Benutzernamens und des Passworts, er beraten.

Softwareupdates sind wichtig. "Stellen Sie sicher, dass Sie die aktuellste Version der von Ihnen verwendeten Software haben", sagte er. Updates patch fast immer Sicherheitslücken. Wichtige Softwareprogramme wie der Flash Player und der Reader von Adobe Systems sind besonders wichtig, da sie auf so vielen Computern verwendet werden und für Hacker das Hauptziel darstellen.

Er schlug außerdem vor, mit VMWare eine virtuelle Maschine auf Ihrem Computer zu erstellen eine Sicherheitsmaßnahme.

"Es ist wirklich schwierig, Leute dazu zu bringen, ihre Surfgewohnheiten zu ändern", sagte er. Die Leute wollen schnell im Internet surfen, ihre Lieblingsseiten besuchen und herunterladen, was sie wollen, ohne zu viel über Sicherheit nachzudenken. "Erziehen Sie sie, ziehen Sie sie mit, aber erwarten Sie nicht, dass sie Sicherheitsexperten werden."

Internet - Browser - Hersteller sind sehr darauf bedacht, so viel Sicherheit wie möglich in ihre Produkte zu integrieren und sie strengen Tests zu unterziehen Das Sicherheitsteam für den Chrome-Browser von Google zum Beispiel wird die erste Lücke bei jeder größeren Aktualisierung der Software schließen und sich nach Sicherheitslücken oder Möglichkeiten zur Verbesserung der Sicherheit sehnen, sagte Chris Evans, ein Ingenieur für Informationssicherheit bei Google.

Nach der Das Sicherheitsteam von Chrome macht einen Fehler bei der Software und es wird überarbeitet, um die gefundenen Lücken zu reparieren. Andere Sicherheitsteams bei Google werden versuchen, herauszufinden, welche Probleme sie verursachen können. Schließlich wird die Software in Beta-Form veröffentlicht, und private Sicherheitsforscher und andere können sich hacken. Alle Probleme werden behoben, bevor die endgültige Version veröffentlicht wird, und dann steht das Chrome-Team bereit, neue Patches für andere Sicherheitsprobleme zu erstellen.

Trotz aller Tests sind Browserhersteller nur ein Teil der Sicherheitslösung, weil sie es sind haben keine Kontrolle über Web-Software oder Browsing-Verhalten der Nutzer.

Die Cloud ist der Wilde Westen: Hacker und Malware-Hersteller haben Überfluss, Phisher suchen Passwörter und Benutzer tun, was sie wollen, rücksichtslos Surfen und Herunterladen potenziell gefährlicher Inhalte wie von Sicherheitsforschern beurteilt.

Unternehmen, die Cloud-Anwendungen und -Dienste entwickeln, müssen mehr für die Websicherheit tun. Amazon.com mit seinen Webdiensten und Google, wenn es Initiativen wie Google Docs vorantreibt, die versuchen, Menschen zu Webanwendungen und weg von Computeranwendungen zu locken, müssen enger mit Sicherheitsforschern zusammenarbeiten, sagte Meer.

Und die Arbeit von Google an der Sicherheit im Chrome-Browser unterstreicht den Grund dafür: Computeranwendungen wie Chrome werden von Sicherheitsforschern im gesamten Web intensiv untersucht, während Web-Anwendungen dies nicht tun.

"Reverse Engineering hält [große Softwareunternehmen] für ehrlich, sagte Meer. "Wenn sie etwas im Software-Code verstecken, findet sie früher oder später jemand. Bei Cloud-Diensten wissen Sie das einfach nicht, weil wir es einfach nicht verifizieren können."

Cloud-Anwendungen werden von einer Firma erstellt, und niemand sucht am Code oder wie sicher es ist, sagte Meer. Anwendungen für Computer sind unterschiedlich. Sie könnten von Sicherheitsexperten auseinander gerissen und dann wieder zusammengebaut werden, damit es keine Sicherheitslücken gibt, sagte er.

"Vertraue, aber verifiziere", sagte Meer. "Nur weil ein Typ heute nichts Böses tut, können wir nicht darauf vertrauen, dass sie morgen nichts Böses tun werden, weil wir es einfach nicht verifizieren können."