Peneliti Menyarankan Pertahanan Diri Cyber ​​di Awan

Peneliti keamanan memperingatkan bahwa aplikasi berbasis Web meningkatkan risiko pencurian identitas atau kehilangan data pribadi lebih dari sebelumnya.

Pertahanan terbaik terhadap pencurian data, malware, dan virus di awan adalah pertahanan diri, para peneliti di Konferensi keamanan Hack In The Box (HITB) mengatakan. Tetapi membuat orang mengubah cara mereka menggunakan Internet, seperti data pribadi apa yang mereka buat untuk publik, tidak akan mudah. ​​

Orang-orang menaruh banyak informasi pribadi di Web, dan itu dapat digunakan untuk keuntungan finansial penyerang.. Dari situs jejaring sosial seperti MySpace dan Facebook ke layanan mini-blogging Twitter dan situs blog lainnya seperti Wordpress, orang-orang meletakkan foto, resume, buku harian pribadi, dan informasi lainnya di cloud. Beberapa orang bahkan tidak repot-repot untuk membaca cetakan halus dalam perjanjian yang memungkinkan mereka masuk ke suatu situs, meskipun beberapa perjanjian dengan jelas menyatakan bahwa apa pun yang diposting menjadi milik situs itu sendiri.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Hilangnya data pribadi oleh pengguna smartphone Sidekick selama akhir pekan, termasuk kontak, entri kalender, foto dan informasi pribadi lainnya, berfungsi sebagai contoh lain dari perangkap potensial mempercayai Cloud. Bahaya, anak perusahaan Microsoft yang menyimpan data Sidekick, mengatakan gangguan layanan hampir pasti berarti data pengguna telah hilang untuk selamanya.

Akses ke data pribadi di awan dari hampir di mana saja di berbagai perangkat, dari smartphone dan laptop hingga PC rumahan, menunjukkan kerentanan besar lainnya karena orang lain mungkin dapat menemukan data itu juga.

"Sebagai penyerang, Anda harus menjilat bibir Anda," kata Haroon Meer, seorang peneliti di Sensepost, sebuah perusahaan keamanan Afrika Selatan. yang telah berfokus pada aplikasi Web selama enam tahun terakhir. "Jika semua data dapat diakses dari mana saja, maka perimeternya hilang. Itu membuat peretasan seperti peretasan di film."

Seseorang yang ingin mencuri informasi pribadi biasanya mencari keuntungan finansial, kata Meer, dan setiap bit data mereka dapat menemukan mereka memimpin satu langkah lebih dekat ke bank online Anda, kartu kredit atau rekening broker.

Pertama, mereka mungkin menemukan nama Anda. Selanjutnya, mereka menemukan pekerjaan Anda dan profil kecil Anda secara online yang menawarkan informasi latar belakang lebih lanjut seperti sekolah tempat Anda lulus dan di mana Anda dilahirkan. Mereka terus menggali sampai mereka memiliki akun rinci tentang Anda, lengkap dengan tanggal lahir Anda dan nama gadis ibu untuk pertanyaan keamanan yang mengganggu, dan mungkin beberapa foto keluarga untuk ukuran yang baik. Dengan data yang cukup mereka bisa membuat kartu identitas palsu dan mengambil pinjaman atas nama Anda.

Pencurian identitas juga bisa menjadi pekerjaan orang dalam. Karyawan di perusahaan besar yang meng-host layanan e-mail memiliki akses fisik ke akun e-mail. "Bagaimana Anda tahu tidak ada yang membacanya? Apakah Anda menyimpan surel konfirmasi dan kata sandi di sana? Anda tidak seharusnya," kata Meer. "Dalam cloud, orang mempercayai informasi mereka untuk sistem yang tidak dapat mereka kendalikan."

Pembuat browser dapat berperan dalam membuat cloud lebih aman bagi orang, tetapi efektivitasnya dibatasi oleh kebiasaan pengguna. Browser, misalnya, dapat memindai unduhan untuk virus, tetapi masih memberi pengguna pilihan untuk mengunduh atau tidak. Sebagian besar fungsi keamanan pada peramban adalah pilihan.

Lucas Adamski, panglima keamanan (yang benar-benar seperti yang dikatakan oleh kartu namanya) di Mozilla, pembuat peramban Firefox populer, menawarkan beberapa bit saran pertahanan diri maya untuk pengguna, dimulai dengan peringatan bahwa orang-orang bergantung pada firewall dan program anti-virus terlalu banyak.

"Anda tidak dapat membeli keamanan dalam kotak," katanya. "Cara untuk menjadi seaman mungkin adalah tentang perilaku pengguna."

Ada banyak keamanan bawaan yang sudah terpasang di peramban, katanya. Jika Anda mendapat peringatan untuk tidak pergi ke suatu situs, jangan pergi ke sana. Ketika Anda mengunjungi sebuah situs, pastikan situs tersebut benar. Apakah gambar dan logonya benar? Apakah URL itu benar? Periksa sebelum Anda melanjutkan dengan mengisi nama pengguna dan kata sandi Anda, ia memberi konseling.

Pembaruan perangkat lunak sangat penting. "Pastikan Anda memiliki versi terbaru dari perangkat lunak apa pun yang Anda gunakan," katanya. Pembaruan hampir selalu menambal lubang keamanan. Program perangkat lunak utama seperti Adobe Systems 'Flash Player dan Pembaca sangat penting untuk terus diperbarui karena mereka digunakan pada banyak komputer dan target utama untuk peretas.

Dia juga menyarankan membuat mesin virtual di komputer Anda menggunakan VMWare sebagai ukuran keamanan.

"Sangat sulit untuk membuat orang mengubah kebiasaan browsing mereka," katanya. Orang ingin menjelajahi Web dengan cepat, mengunjungi situs favorit mereka, dan mengunduh apa pun yang mereka inginkan tanpa terlalu memikirkan keamanan. "Ajarkan mereka, pindahkan mereka, tetapi jangan berharap mereka menjadi ahli keamanan."

Pembuat browser internet sangat berhati-hati dalam membangun keamanan sebanyak mungkin ke dalam produk mereka dan menempatkan mereka melalui pengujian yang ketat.

Tim keamanan untuk browser Chrome Google, misalnya, akan mengambil celah pertama pada setiap pembaruan besar untuk perangkat lunak, meretas untuk menemukan kerentanan atau cara-cara untuk meningkatkan keamanan, kata Chris Evans, seorang insinyur keamanan informasi di Google.

Setelah Tim keamanan Chrome mendera perangkat lunak dan dikerjakan ulang untuk memperbaiki lubang yang mereka temukan, tim keamanan lain di Google akan mencoba produk tersebut untuk melihat masalah apa yang dapat mereka timbulkan. Akhirnya, perangkat lunak ini dirilis dalam bentuk beta, dan peneliti keamanan swasta dan yang lainnya dapat meretas. Masalah apa pun diperbaiki sebelum rilis final keluar dan kemudian tim Chrome siap membuat patch baru untuk masalah keamanan lainnya yang muncul.

Terlepas dari semua pengujian, pembuat browser hanya satu bagian dari solusi keamanan karena mereka tidak memiliki kontrol atas perangkat lunak Web atau perilaku penjelajahan pengguna.

Cloud adalah Wild West: peretas dan pembuat malware berlimpah, phisher mencari kata sandi dan pengguna melakukan apa pun yang mereka inginkan, secara sembrono berselancar dan mengunduh konten yang berpotensi berbahaya sebagaimana dinilai oleh para peneliti keamanan.

Perusahaan yang mengembangkan aplikasi dan layanan Cloud perlu melakukan lebih banyak hal untuk keamanan Web. Amazon.com dengan Layanan Web dan Google saat bergerak maju dengan inisiatif, seperti Google Docs, yang mencoba menarik orang ke aplikasi Web dan jauh dari aplikasi komputer akan perlu bekerja lebih erat dengan peneliti keamanan, kata Meer.

Dan pekerjaan Google pada keamanan di browser Chrome menyoroti alasannya: Aplikasi komputer seperti Chrome menghadapi pengawasan ketat oleh para peneliti keamanan di seluruh Web, sementara aplikasi Web tidak.

"Rekayasa balik membuat perusahaan perangkat lunak besar tetap jujur, "kata Meer. "Jika mereka menyembunyikan sesuatu dalam kode perangkat lunak, cepat atau lambat seseorang menemukannya. Dengan layanan Cloud, Anda tidak tahu karena kami tidak dapat memverifikasinya."

Aplikasi Cloud dibuat oleh satu perusahaan, dan tidak ada yang mencari pada kode atau seberapa aman itu, kata Meer. Aplikasi untuk komputer berbeda. Mereka dapat dicabik-cabik oleh para ahli keamanan kemudian disatukan kembali dengan lebih kuat sehingga tidak ada lubang keamanan, katanya.

"Percaya tetapi verifikasi," kata Meer. "Hanya karena seorang pria tidak melakukan kejahatan hari ini, kita tidak bisa percaya bahwa mereka tidak akan melakukan kejahatan besok karena kita tidak bisa memverifikasinya."