연구원이 클라우드에서 사이버 자위를 조언

보안 연구자들은 웹 기반 애플리케이션이 신원 도용 또는 개인 정보 유출 위험을 어느 때보 다 높아지고 있다고 경고하고 있습니다.

클라우드의 데이터 도난, 악성 코드 및 바이러스에 대한 최선의 방어책은 자체 방어이며, 박스에서 해킹 (HITB) 보안 컨퍼런스는 말했다. 그러나 사람들이 공개하는 개인 정보와 같은 인터넷 사용 방법을 변경하게하는 것은 쉬운 일이 아닙니다.

사람들은 웹에 많은 개인 정보를 넣어 공격자의 재정적 이익을 위해 사용할 수 있습니다. MySpace 및 Facebook과 같은 소셜 네트워킹 사이트에서부터 미니 블로깅 서비스 트위터 및 Wordpress와 같은 다른 블로그 사이트에 이르기까지 사람들은 사진, 이력서, 개인 일기 및 기타 정보를 클라우드에 저장합니다. 어떤 사람들은 어떤 계약서에 게시 된 모든 내용이 사이트 자체의 소유물이된다는 것을 분명히 알았지 만 사이트에 올릴 수있는 동의서에서 작은 글씨를 읽지 않아도됩니다.

[추가 정보: 맬웨어를 제거하는 방법 귀하의 Windows PC]

연락처, 일정 항목, 사진 및 기타 개인 정보를 포함하여 주말 동안 Sidekick 스마트 폰 사용자가 개인 데이터를 손실하면 Cloud를 트랩 할 수있는 잠재적 인 함정의 또 다른 예가됩니다. Sidekick 데이터를 저장하는 Microsoft 자회사 인 Danger는 서비스 중단으로 인해 사용자 데이터가 손실되었다는 것을 거의 확실하게 의미합니다.

스마트 폰 및 랩톱에서부터 다양한 랩톱 컴퓨터에 이르기까지 다양한 장소의 클라우드에서 개인 데이터에 액세스 할 수 있습니다. 남아프리카 보안 회사 인 Sensepost의 연구원 인 Haroon Meer는 "다른 사람들이 그 데이터를 찾을 수 있기 때문에 또 다른 주요한 취약성을 보여줍니다."

"공격자로서 당신은 입술을 핥아야합니다. 지난 6 년 동안 웹 애플리케이션에 중점을 두었습니다. "모든 데이터를 어디서든 액세스 할 수 있다면 주변이 사라지고 해킹이 영화를 해킹하는 것처럼 만듭니다."Meer는 개인 정보를 훔치려는 사람은 일반적으로 재정적 이득을 모색 중이라고 말하면서 모든 데이터 비트 온라인 은행, 신용 카드 또는 중개 계좌에 한 발 더 가까이있는 단서를 찾을 수 있습니다.

먼저, 귀하의 이름을 찾을 수 있습니다. 다음으로, 그들은 졸업 한 학교와 출생 한 학교와 같은 추가 배경 정보를 제공하는 귀하의 직업과 온라인상의 작은 프로필을 발견합니다. 그들은 귀찮은 보안 질문에 대한 생년월일과 어머니의 처녀 이름, 그리고 좋은 측정을위한 가족 사진 등을 포함하여 상세한 계정이 생길 때까지 파기를 계속합니다. 충분한 데이터가 있으면 거짓 신분증을 만들고 귀하의 이름으로 대출을받을 수 있습니다.

신분 도용은 내부 업무 일 수도 있습니다. 전자 메일 서비스를 호스팅하는 대기업의 직원은 전자 메일 계정에 물리적으로 액세스 할 수 있습니다. "아무도 그것을 읽지 않는다는 것을 어떻게 알 수 있습니까? 거기에 확인 전자 메일과 암호를 보관합니까? 그렇지 않아야합니다."라고 Meer는 말했습니다. 클라우드에서 사람들은 정보를 제어 할 수없는 시스템에 자신의 정보를 신뢰하고 있습니다. "

브라우저 제작자는 클라우드를 사람들에게보다 안전하게 만드는 역할을 할 수 있지만 사용자 습관에 따라 그 효율성이 제한됩니다. 예를 들어 브라우저는 다운로드를 바이러스로 검사 할 수 있지만 다운로드 여부에 대한 선택권을 사용자에게 제공합니다. 브라우저의 대부분의 보안 기능이 선택되었습니다.

인기있는 파이어 폭스 브라우저 제조사 인 모질라의 루카스 아담스키 (Lucas Adamski)는 사용자를 위해 몇 가지 사이버 자위대 조언을 제공했습니다. 사람들이 방화벽과 안티 바이러스 프로그램에 너무 많이 의존한다는 경고.

"상자 안의 보안을 구입할 수는 없다." "가능한 한 안전 할 수있는 방법은 사용자의 행동에 관한 것입니다."라고 그는 덧붙였습니다. 브라우저에 이미 기본 제공되는 보안 기능이 많이 있습니다. 사이트에 가지 않겠다는 경고를 받으면 이동하지 마십시오. 사이트를 방문 할 때 사이트가 올바른지 확인하십시오. 이미지와 로고가 맞습니까? URL이 맞습니까? 사용자 이름과 비밀번호를 입력하기 전에 확인하십시오.

소프트웨어 업데이트가 중요합니다. "사용하는 소프트웨어가 무엇이든간에 최신 버전을 유지해야합니다." 업데이트는 거의 항상 보안 취약점을 패치합니다. Adobe Systems의 Flash Player 및 Reader와 같은 주요 소프트웨어 프로그램은 많은 컴퓨터에서 사용되고 해커의 주요 대상이기 때문에 계속해서 업데이트해야합니다.

VMWare를 사용하여 컴퓨터에 가상 컴퓨터를 만들 것을 제안했습니다. 보안 측정.

"사람들이 브라우징 습관을 바꾸게하는 것이 정말 어렵다"고 그는 말했다. 사람들은 웹 서핑을 빨리하고, 즐겨 찾는 사이트를 방문하여 보안에 대해 너무 많이 생각하지 않고 원하는 것을 다운로드하려고합니다. "교육을시키고 그들을 따라 다니면서 보안 전문가가되기를 기대하지 마라."인터넷 브라우저 제작자는 가능한 한 많은 보안을 제품에 적용하고 엄격한 테스트를 거친다.

예를 들어 Google의 Chrome 브라우저 보안 팀은 소프트웨어의 주요 업데이트에서 첫 번째 균열을 짚어내어 취약점을 발견하거나 보안을 향상시키는 방법을 찾지 않을 것이라고 Google의 정보 보안 엔지니어 인 Chris Evans는 전했다.

Chrome 보안 팀이 소프트웨어를 공격하고 발견 된 구멍을 고치기 위해 고쳐집니다. Google의 다른 보안 팀이 제품에 어떤 문제가 있는지 파악하기 위해 이동합니다. 마지막으로이 소프트웨어는 베타 형태로 출시되며 사설 보안 연구원 등이 해킹 할 수 있습니다. 최종 릴리스가 종료되기 전에 문제가 해결되어 Chrome 팀은 다른 보안 문제에 대한 새로운 패치를 준비하고 있습니다.

모든 테스트에도 불구하고 브라우저 제조업체는 보안 솔루션의 일부일뿐입니다. 웹 소프트웨어 또는 사용자 브라우징 동작을 제어 할 수 없습니다.

클라우드는 와일드 웨스트입니다. 해커 및 악성 코드 제작자가 많으며 피싱 사기꾼이 암호를 찾고 사용자가 원하는대로 수행하고 보안 연구원의 판단에 따라 위험한 콘텐츠를 무작정 서핑하고 다운로드합니다.

클라우드 애플리케이션 및 서비스를 개발하는 회사는 웹 보안을 위해 더 많은 일을해야 할 것입니다. 마이어 (Meer)는 웹 서비스와 구글이있는 아마존 닷컴 (Amazon.com)이 구글 문서와 같은 이니셔티브를 통해 웹 애플리케이션과 컴퓨터 애플리케이션에 사람들을 끌어들이려고 시도 할 때 보안 연구원들과보다 긴밀하게 협력해야한다고 말했다. 그리고 크롬 브라우저의 보안에 관한 Google의 연구 결과는 다음과 같은 이유를 설명합니다. Chrome과 같은 컴퓨터 응용 프로그램은 웹 전체의 보안 연구원에 의한 엄격한 조사에 직면하지만 웹 응용 프로그램은 그렇지 않습니다.

"리버스 엔지니어링은 [큰 소프트웨어 회사] "Meer는 말했다. 클라우드 서비스는 한 회사에서 만들어지며 아무도 찾고 있지 않습니다. "라고 말하면서"클라우드 서비스를 사용하면 누구도 소프트웨어 코드를 숨길 수 있습니다. 코드에서 또는 얼마나 안전한지, Meer는 말했습니다. 컴퓨터 용 응용 프로그램은 다릅니다. 그는 보안 전문가들에 의해 찢어지고 나서 다시 결합되어 보안 허점이 없다고 그는 말했다.

"신뢰하지만 검증한다"고 Meer는 말했다. "오늘 사람이 악을 행하지 않기 때문에, 우리는 단순히 그것을 확인할 수 없기 때문에 그들이 내일 악을 행하지 않을 것이라고 믿을 수 없다."