Des chercheurs conseillent la cyberdéfense dans le nuage

Les chercheurs en sécurité signalent que les applications Web augmentent le risque de vol d'identité ou de perte de données personnelles plus que jamais auparavant.

La meilleure défense contre le vol de données, les logiciels malveillants et les virus dans le nuage est l'autodéfense. Hack In The Box (HITB) conférence de sécurité a déclaré. Mais amener les gens à changer leur façon d'utiliser Internet, comme les données personnelles qu'ils rendent publiques, ne sera pas facile.

Les gens mettent beaucoup d'informations personnelles sur le Web, et cela peut être utilisé pour le gain financier d'un attaquant. Des sites de réseautage social tels que MySpace et Facebook au service de mini-blogging Twitter et d'autres sites de blogs comme Wordpress, les gens mettent des photos, des CV, des journaux personnels et d'autres informations dans le nuage. Certaines personnes ne prennent même pas la peine de lire les petits caractères dans les accords qui les autorisent sur un site, même si certains accords stipulent clairement que tout ce qui est posté devient la propriété du site lui-même.

votre PC Windows]

La perte de données personnelles par les utilisateurs de smartphones Sidekick pendant le week-end, y compris les contacts, les entrées de calendrier, les photos et autres informations personnelles, constitue un autre exemple des pièges potentiels de la confiance dans le Cloud. Danger, la filiale de Microsoft qui stocke les données de Sidekick, a déclaré qu'une interruption de service signifiait presque certainement que les données utilisateur étaient définitivement perdues.

L'accès aux données personnelles sur le cloud depuis de nombreux appareils, smartphones et ordinateurs portables jusqu'à "En tant qu'attaquant, vous devriez vous lécher les lèvres", a déclaré Haroon Meer, chercheur à Sensepost, une société de sécurité sud-africaine. qui a mis l'accent sur les applications Web pour les six dernières années. "Si toutes les données sont accessibles de n'importe où, alors le périmètre disparaît.Il fait du piratage comme du piratage dans les films."

Une personne qui veut voler des informations personnelles cherche généralement un gain financier, dit Meer, et chaque donnée ils peuvent les trouver un peu plus près de votre banque en ligne, carte de crédit ou des comptes de courtage.

D'abord, ils pourraient trouver votre nom. Ensuite, ils découvrent votre travail et un petit profil de vous en ligne qui offre d'autres informations de base telles que de quelle école vous avez obtenu votre diplôme et où vous êtes né. Ils continuent à creuser jusqu'à ce qu'ils aient un compte détaillé de vous, avec votre date de naissance et le nom de jeune fille de votre mère pour ces questions de sécurité embêtantes, et peut-être quelques photos de famille pour faire bonne mesure. Avec suffisamment de données, ils pourraient faire de fausses cartes d'identité et contracter des emprunts sous votre nom.

Le vol d'identité pourrait aussi être un travail intérieur. Les employés des grandes entreprises qui hébergent des services de messagerie ont un accès physique aux comptes de messagerie. "Comment savez-vous que personne ne le lit, gardez-vous des e-mails de confirmation et des mots de passe là-bas? Vous ne devriez pas", a déclaré Meer. «Dans le cloud, les utilisateurs confient leurs informations à des systèmes sur lesquels ils n'ont aucun contrôle.»

Les navigateurs peuvent jouer un rôle dans la sécurisation du cloud, mais leur efficacité est limitée par les habitudes des utilisateurs. Un navigateur, par exemple, peut scanner un téléchargement de virus, mais il donne toujours à l'utilisateur le choix de télécharger ou non. Lucas Adamski, sous-traitant de la sécurité (c'est vraiment ce que dit sa carte de visite) chez Mozilla, créateur du populaire navigateur Firefox, a offert plusieurs conseils de cyberdéfense aux utilisateurs, en commençant par l'avertissement que les gens comptent trop sur les pare-feux et les programmes anti-virus.

"Vous ne pouvez pas acheter de la sécurité dans une boîte", a-t-il dit. "La manière d'être le plus sécurisé possible concerne le comportement de l'utilisateur."

Il y a déjà beaucoup de sécurité intégrée dans les navigateurs, a-t-il dit. Si vous recevez un avertissement de ne pas aller sur un site, n'y allez pas. Lorsque vous visitez un site, assurez-vous qu'il est le bon. Les images et les logos sont-ils exacts? L'URL est-elle correcte? Vérifiez avant de remplir votre nom d'utilisateur et mot de passe, il a conseillé.

Les mises à jour logicielles sont vitales. "Assurez-vous d'avoir la version la plus à jour de tous les logiciels que vous utilisez", a-t-il déclaré. Les mises à jour corrigent presque toujours les trous de sécurité. Les logiciels clés tels que Flash Player et Reader d'Adobe Systems sont particulièrement importants à maintenir à jour car ils sont utilisés sur de nombreux ordinateurs et sont des cibles privilégiées pour les pirates.

Il a également suggéré de créer une machine virtuelle sur VMWare une mesure de sécurité.

"Il est vraiment difficile d'amener les gens à changer leurs habitudes de navigation", a-t-il déclaré. Les gens veulent surfer sur le Web rapidement, visiter leurs sites préférés et télécharger tout ce qu'ils veulent sans trop penser à la sécurité. "Éduquez-les, déplacez-les, mais ne vous attendez pas à ce qu'ils deviennent des experts en sécurité."

Les fabricants de navigateurs Internet prennent grand soin de sécuriser autant que possible leurs produits et de les soumettre à des tests rigoureux. Par exemple, Chris Evans, un ingénieur en sécurité de l'information de Google, explique que l'équipe de sécurité du navigateur Chrome de Google sera la première à lancer une mise à jour majeure du logiciel, cherchant des vulnérabilités ou des moyens d'améliorer la sécurité. L'équipe de sécurité de Chrome se bouscule au niveau du logiciel et il est retravaillé pour réparer les failles qu'ils ont trouvées, d'autres équipes de sécurité de Google vont essayer le produit pour voir quels problèmes ils peuvent causer. Enfin, le logiciel est publié sous forme de bêta, et les chercheurs de la sécurité privée et d'autres peuvent bidouiller. Tous les problèmes sont corrigés avant la sortie de la version finale et l'équipe Chrome est prête à créer de nouveaux correctifs pour tous les autres problèmes de sécurité.

Malgré tous les tests, les navigateurs ne constituent qu'une partie de la solution de sécurité.

Le cloud est le Far West: les hackers et les malwares prolifèrent, les hameçonneurs recherchent les mots de passe et les utilisateurs font ce qu'ils veulent, surfer et télécharger des contenus potentiellement dangereux, jugés par des chercheurs en sécurité

Les entreprises qui développent des applications et des services Cloud devront en faire plus pour la sécurité Web. Amazon.com, avec ses services Web et Google, dans le cadre d'initiatives telles que Google Docs, qui tentent d'attirer des utilisateurs vers des applications Web et d'utiliser des applications informatiques, devront travailler plus étroitement avec les chercheurs en sécurité, a déclaré Meer. Et le travail de Google sur la sécurité dans le navigateur Chrome souligne la raison pour laquelle: Les applications informatiques telles que Chrome font l'objet d'un examen minutieux de la part des chercheurs en sécurité sur le Web, alors que les applications Web ne le font pas. "dit Meer. "Si elles cachent quelque chose dans le code du logiciel, tôt ou tard quelqu'un le trouve … Avec les services Cloud, vous ne le savez pas car nous ne pouvons tout simplement pas le vérifier."

Les applications cloud sont construites par une seule entreprise au code ou à quel point c'est sûr, dit Meer. Les applications pour les ordinateurs sont différentes. Ils peuvent être déchirés par des experts de la sécurité, puis rassemblés plus fort, donc il n'y a pas de failles de sécurité, a-t-il dit.

"Faites confiance, mais vérifiez", a déclaré Meer. "Juste parce qu'un gars ne fait pas de mal aujourd'hui, nous ne pouvons pas croire qu'ils ne feront aucun mal demain parce que nous ne pouvons tout simplement pas le vérifier."