ITBN 2016 - Vincent Danjean, Chief, Inf. Sec. Incident Response - INTERPOL GCI (EN)
A biztonsági kutatók figyelmeztetnek arra, hogy a webalapú alkalmazások egyre nagyobb veszélyt jelentenek a személyazonosság-lopás vagy a személyes adatok elvesztésének kockázatára.
A felhőben az adatokkal való ellopás, a rosszindulatú programok és a vírusok elleni legjobb védelem az önvédelem, Hack In The Box (HITB) biztonsági konferencia mondta. Azonban az emberek számára, hogy megváltoztassák az internet használatát, például, hogy milyen személyes adatokat adnak nyilvánosságra, nem lesz könnyű.
Az emberek sok személyes információt tartalmaznak a weben, és felhasználhatók a támadó pénzügyi nyereségére. A social-networking oldalak, mint például a MySpace és a Facebook a mini blog-szolgáltatás Twitter és más blog oldalak, mint a Wordpress, az emberek készítenek fotókat, folytatódik, személyes naplók és egyéb információk a felhőben. Néhány ember még csak nem is fáradja el a finom nyomtatást azokon a megállapodásokon keresztül, amelyek lehetővé teszik számukra egy webhelyet, annak ellenére, hogy egyes megállapodások egyértelműen kijelentik, hogy a közzétett tartalom a webhely tulajdonát képezi.
A hét minden napján a Sidekick okostelefon-használók személyes adatainak elvesztése, beleértve a névjegyeket, a naptárbejegyzéseket, a fényképeket és egyéb személyes adatokat, egy újabb példa a felhőt bízó lehetséges buktatókra. A Sidekick adatait tároló Microsoft-leányvállalat veszélye szerint a szolgáltatási zavar szinte biztosan azt jelenti, hogy a felhasználói adatok elveszettek.
A felhőben lévő személyes adatokhoz való hozzáférés egyszerűen bárhonnan különböző eszközökön, az okostelefonokon és a laptopokon keresztül otthoni PC-k, egy másik nagyobb sérülékenységet mutat be, mert más emberek is megtalálhatják ezeket az adatokat.
"A támadónak nyalni kell az ajkaidat" - mondta Haroon Meer, a Sensepost, egy dél-afrikai biztonsági cég kutatója amely az elmúlt hat évben a webes alkalmazásokra összpontosított. "Ha minden adat elérhető bárhonnan, akkor a kerület eltűnik, így a hackelés, mint a hackelés a filmekben."
Az a személy, aki személyes adatokat akar ellopni, rendszerint pénzügyi haszonszerzésre törekszik, mondta Meer, és minden adat találják őket egy lépéssel közelebb az online bank-, hitelkártya- vagy ügynöki számlához.
Először találják meg a nevét. Ezután felfedezik Önnek a munkáját és egy kis online profilját, amely további háttérinformációkat kínál, például az iskolából, ahol végzett és ahol született. Mindaddig ásni fognak, amíg részletes számlájuk van rájuk, a születési dátummal és az anya leánykori nevével együtt, a bosszantó biztonsági kérdésekre, és talán néhány családi fényképre. Az elégséges adatokkal hamis személyazonosító igazolványokat tudnak készíteni és hitelt adhatnak ki az Ön nevében.
Az azonosító lopás szintén belső munkát jelenthet. Az e-mail szolgáltatásokat fogadó nagyvállalatok alkalmazottai fizikailag hozzáférnek az e-mail fiókokhoz. - Honnan tudja, hogy senki nem olvassa? - Megerősíti az e-maileket és a jelszavakat? Nem szabad - mondta Meer. "A felhőben az emberek megbízható információkkal látják el azokat a rendszereket, amelyekre nincsen irányításuk."
A böngészőkészítők szerepet játszhatnak abban, hogy a felhő biztonságosabbá válik az emberek számára, de hatékonyságukat a felhasználói szokások korlátozzák. Például egy böngésző letölti a vírusok letöltését, de továbbra is megadja a felhasználónak, hogy letöltheti-e vagy sem. A böngésző legtöbb biztonsági funkciója a választás.
A népszerű Firefox böngészője, a Mozilla, a biztonsági alelnök (ez igazán az ő névjegye), többféle cyber-önvédelmi tanácsot ajánlott a felhasználóknak, kezdve a az a figyelmeztetés, hogy az emberek túlságosan támaszkodnak a tűzfalakra és az antivírus programokra.
"Nem vásárolhat biztonságot egy dobozban" - mondta. "A lehető legbiztonságosabb a felhasználói viselkedés."
Számos jó beépített biztonság már telepítve van a böngészőkben, mondta. Ha figyelmeztetést kap, hogy ne menjen el egy webhelyre, ne menjen hozzá. Amikor meglátogat egy webhelyet, győződjön meg arról, hogy ez a helyes. Jól vannak a képek és a logók? Az URL helyes? Ellenőrizze, mielőtt folytatta a felhasználónevét és jelszavát, javasolta.
A szoftverfrissítések létfontosságúak. "Győződjön meg róla, hogy a legfrissebb verzióval rendelkezik bármilyen szoftverrel" - mondta. A frissítések szinte mindig behatárolják a biztonsági lyukakat. A kulcsfontosságú szoftverek, mint az Adobe Systems Flash Player és Reader, különösen fontosak ahhoz, hogy naprakészen tartsák őket, mivel sok számítógépen használják őket, és a hackerek elsődleges célpontjai.
Azt is javasolta, hogy virtuális gépet hozzon létre a számítógépen a VMWare as egy biztonsági intézkedés.
"Nagyon nehéz az embereket megváltoztatni böngészési szokásaikra" - mondta. Az emberek gyorsan szeretnének szörfözni a weben, meglátogatják a kedvenc weboldalaikat, és letölthetik a kívánt tartalmat, anélkül, "Tanítsd meg őket, mozgasd őket, de ne várd meg, hogy váljanak biztonsági szakértők."
Az internet böngészők készen állnak arra, hogy a lehető legnagyobb biztonságot építsék be termékeikbe, és szigorú teszteléssel végeztessék őket. a Google Chrome böngészőjével foglalkozó biztonsági csapata például elsöprő lesz a szoftver bármely fontosabb frissítésében, hackelheti a biztonsági réseket vagy a biztonság javításának módjait - mondta Chris Evans, a Google adatbiztonsági mérnöke.
A Chrome biztonsági csapata szétzúzza a szoftvert, és átdolgozza a talált lyukakat, a Google egyéb biztonsági csoportjai pedig meglátogatják a terméken, hogy mi okozza a bajt. Végül a szoftver béta formában jelenik meg, és a magánbiztonsági kutatók és mások is letéphetnek. Minden probléma megoldódott, mielőtt a végleges kibocsátás megszűnik, majd a Chrome-csapat készen áll arra, hogy új javításokat hajtson végre minden egyéb, a felmerülő biztonsági problémához.
A tesztelés ellenére a böngészők csak egy része a biztonsági megoldásnak nincs ellenőrizve a webes szoftverek vagy a felhasználók böngészési viselkedését.
A felhő a vadnyugat: a hackerek és a rosszindulatú programok gyártói bővelkednek, a phishers keresnek jelszavakat és a felhasználók mindent megtesznek, gondatlanul szörfölnek és letöltenek potenciálisan veszélyes tartalmakat, ahogy azt a biztonsági kutatók.
A cloud alkalmazásokat és szolgáltatásokat fejlesztő cégeknek többet kell tenniük a webes biztonság érdekében. Az Amazon.com webes szolgáltatásaival és a Google-val, amikor olyan kezdeményezésekkel halad előre, mint például a Google Dokumentumok, amelyek megpróbálják felhívni az embereket a webalkalmazásokra és a számítógépes alkalmazásoktól távol, szorosabban kell együttműködniük a biztonsági kutatókkal. "
A Google munkája a Chrome-böngésző biztonságában kiemeli annak okát, hogy: a számítógépes alkalmazások, mint például a Chrome, a biztonsági kutatóknak az egész interneten, a webes alkalmazásokkal szembeni intenzív ellenőrzést szenvednek el, míg a webes alkalmazások nem.
"A fordított mérnöki tevékenység ["mondta Meer. "Ha rejteget valamit a szoftver kódjába, előbb-utóbb valaki megtalálja azt: a felhőszolgáltatásokkal csak nem tudod, mert egyszerűen nem tudjuk ellenőrizni."
A felhőalapú alkalmazásokat egy vállalat építette, és senki sem néz ki a kóddal vagy annak biztonságával kapcsolatban, mondta Meer. A számítógépekre vonatkozó alkalmazások eltérőek. Biztonsági szakértők széthúzhatják őket, majd összeszerelhetik egymást, így nincsenek biztonsági lyukak, mondta. "Bizalom, de ellenőrizze" - mondta Meer. "Csak azért, mert egy srác ma nem gonosz, nem bízhatunk abban, hogy holnap nem fognak gonoszságot csinálni, mert egyszerűen nem tudjuk ellenőrizni."
Az ügyészek és a bírák nehezen értik a számítógépes bűnözést, de egy 14 országban zajló képzési program célja, hogy javítsa a jogrendszereket a számítógépes bűnözéssel kapcsolatban. A számítógépes bűnözés és az elektronikus bizonyíték (ECCE) tanfolyamot az elmúlt év során fejlesztették ki, és célja az alapvető technikai képzés biztosítása, mondta Fredesvinda Insa, az ECCE projektmenedzsere, aki szintén a spanyol Cybex tanácsadó cégnél dolgozik.
2007-Ben azt állapította meg, hogy 16 európai országban a jogi tisztviselők nem rendelkeznek tudással az elektronikus bizonyítékok és egyéb kérdések kezelésével kapcsolatban. "
Oldható floppy átkapcsolása jelszavas védelemre
Ha hasznos egy ragasztópálcával, használhatatlanul egy 3,5 hüvelykes lemezre használja a "hamis kőzetet".
Twitter, Pinterest, Skype alapítói japán vállalkozóknak adnak tanácsot
Számos híresség technikai vezetője, köztük a Twitter, a Pinterest, az Evernote és az Android alapítói, Tokióban ezen a héten összefoglalták a Japán gazdaságát a vállalkozói szellem modernizálására irányuló ambiciózus erőfeszítések részeként.