如何能夠保障網絡安全?
安全研究人员警告说,基于Web的应用程序正在比以往更多地增加身份盗用或丢失个人数据的风险。
针对云中的数据盗窃,恶意软件和病毒的最佳防御是自我防御,黑客入侵(HITB)安全会议说。但是让人们改变他们使用互联网的方式,比如他们公开的个人数据并不容易。
人们在网上提供了大量个人信息,这可以用来攻击者的经济收益。从社交网站(如MySpace和Facebook)到迷你博客服务Twitter和其他博客网站(如WordPress),人们正在将照片,简历,个人日记和其他信息放入云中。即使有些协议明确规定所发布的任何内容成为网站本身的财产,但有些人甚至不愿意阅读允许他们登录网站的合同细则。
Sidekick智能手机用户在周末丢失个人数据,包括联系人,日历条目,照片和其他个人信息,这些都是信任云的潜在隐患的另一个例子。存储Sidekick数据的微软子公司Danger表示,服务中断几乎肯定意味着用户数据已丢失。
从各种设备上的任何位置(从智能手机和笔记本电脑)到云上访问个人数据,家庭电脑,显示了另一个主要漏洞,因为其他人也可能能够找到这些数据。“作为攻击者,你应该舔你的嘴唇,”南非安全公司Sensepost的研究员Haroon Meer说。过去六年来一直专注于Web应用程序。 Meer说:“如果所有数据都可以从任何地方访问,那么边界就会消失,这就像黑客入侵电影一样。”
Meer说,一个想窃取个人信息的人通常会寻求经济收益,并且每一点数据他们会发现他们更接近您的网上银行,信用卡或经纪账户。
首先,他们可能会找到您的姓名。接下来,他们会发现你的工作和你在网上的一个小档案,提供更多的背景信息,比如你毕业的学校和你出生的地方。他们一直在挖掘,直到他们详细记录了你的情况,并附上你的出生日期和母亲的娘家姓以便处理那些烦人的安全问题,或许还有一些家庭照片可以很好地衡量。有了足够的数据,他们可以制作虚假身份证,并以您的名义提供贷款。
身份盗窃也可能是一项内部工作。拥有电子邮件服务的大公司的员工可以实际访问电子邮件帐户。 “你怎么知道没有人在阅读它?你在那里收到确认电子邮件和密码?你不应该,”梅尔说。 “在云端,人们将信息信任给他们无法控制的系统。”
浏览器制造商可以在使云安全的人身上发挥作用,但其效率受用户习惯的限制。例如,浏览器可能会扫描下载病毒,但它仍然允许用户选择是否下载。浏览器上的大部分安全功能都是可以选择的。
Mozilla是流行的Firefox浏览器的制造商,安全领导者(这正是他的名片所说的)Lucas Adamski为用户提供了一些网络自防御建议,首先是人们依赖防火墙和防病毒程序的警告太多了。“”你无法在一个盒子里购买安全产品,“他说。 “尽可能安全的方法是关于用户行为。”他说,浏览器中已经安装了很多好的内置安全性。如果您收到警告不要去一个网站,不要去它。当你访问一个网站时,确保它是正确的。图像和徽标是否正确?网址是否正确?他建议你在继续填写用户名和密码之前检查。
软件更新至关重要。 “确保你使用的是任何软件的最新版本,”他说。更新几乎总是修补安全漏洞。诸如Adobe Systems的Flash Player和Reader等关键软件程序对于保持更新尤为重要,因为它们在许多计算机上使用,并且是黑客的主要目标。
他还建议在您的计算机上使用VMWare创建虚拟机作为一个安全措施
“让人们改变他们的浏览习惯真的很难,”他说。人们希望快速浏览网页,访问他们最喜欢的网站并下载他们想要的内容,而不必过多考虑安全性。 “教育他们,让他们一起工作,但不要指望他们成为安全专家。”
互联网浏览器制造商非常谨慎地为他们的产品建立尽可能多的安全性,并通过严格的测试。 Google的信息安全工程师Chris Evans说,例如,谷歌Chrome浏览器的安全团队将首先对该软件的任何重大更新进行破解,攻击者发现漏洞或提高安全性的方法。 Chrome安全团队对软件进行了重新设计,并重新修复了他们发现的漏洞,谷歌的其他安全团队将对该产品采取措施,以查看可能导致的问题。最后,该软件以beta版形式发布,私人安全研究人员和其他人可以破解。在最终版本发布之前,任何问题都已得到解决,然后Chrome团队随时准备为出现的任何其他安全问题制作新补丁。尽管进行了所有测试,但浏览器制造商只是安全解决方案的一部分,因为它们无法控制网络软件或用户浏览行为。
云是狂野的西部:黑客和恶意软件制造商比比皆是,钓鱼者寻求密码,用户做他们想做的任何事情,鲁莽上网和下载安全研究人员判断的潜在危险内容
开发云应用程序和服务的公司需要为Web安全做更多的事情。亚马逊网络服务和谷歌随着Google Docs等计划的推进,试图吸引人们使用Web应用程序而不使用计算机应用程序,需要与安全研究人员进行更密切的合作,Meer说。谷歌在Chrome浏览器中的安全性工作突出了原因:Chrome等计算机应用程序面临着整个Web安全研究人员的严格审查,而Web应用程序却没有。
“反向工程保持[大型软件公司]诚实, “梅尔说。 “如果他们在软件代码中隐藏了某些东西,迟早会有人发现它。对于云服务,您只是不知道,因为我们无法验证它。”
云应用程序由一家公司构建,没有人在寻找梅尔说,在代码或安全性方面。电脑的应用程序是不同的。他说,他们可以被安全专家扯掉,然后放回更加强大,所以没有安全漏洞,他说。“信任但是确认,”梅尔说。 “只是因为一个人今天没有做坏事,我们不能相信他们明天不会做坏事,因为我们根本无法验证它。”