Onderzoekers adviseren cyberzelfverdediging in de cloud

Beveiligingsonderzoekers waarschuwen dat internettoepassingen het risico van identiteitsdiefstal verhogen of persoonlijke gegevens meer dan ooit verliezen.

De beste verdediging tegen gegevensdiefstal, malware en virussen in de cloud is zelfverdediging, onderzoekers van de Hack In The Box (HITB) beveiligingsconferentie zei. Maar mensen ertoe brengen om te veranderen hoe ze internet gebruiken, zoals welke persoonlijke gegevens ze openbaar maken, zal niet gemakkelijk zijn.

Mensen zetten veel persoonlijke informatie op het web en kunnen worden gebruikt voor het financiële gewin van een aanvaller. Van socialenetwerksites zoals MySpace en Facebook tot de mini-blogdienst Twitter en andere blogsites zoals Wordpress, mensen plaatsen foto's, cv's, persoonlijke dagboeken en andere informatie in de cloud. Sommige mensen nemen niet eens de moeite om de kleine lettertjes te lezen in overeenkomsten die hen op een site toelaten, hoewel sommige overeenkomsten duidelijk stellen dat alles wat wordt gepost het eigendom wordt van de site zelf.

[Meer informatie: Hoe malware van te verwijderen uw Windows-pc]

Het verlies van persoonlijke gegevens door Sidekick-smartphonegebruikers gedurende het weekend, inclusief contacten, agenda-items, foto's en andere persoonlijke gegevens, is een ander voorbeeld van de potentiële valkuilen van het vertrouwen in de cloud. Danger, de Microsoft-dochteronderneming die Sidekick-gegevens opslaat, zei dat een serviceverstoring vrijwel zeker betekent dat gebruikersgegevens voorgoed verloren zijn gegaan.

Toegang tot persoonlijke gegevens in de cloud van vrijwel overal op verschillende apparaten, van smartphones en laptops tot thuis pc's, toont een andere grote kwetsbaarheid omdat andere mensen die gegevens ook kunnen vinden.

"Als een aanvaller zou je je lippen moeten likken," zei Haroon Meer, een onderzoeker bij Sensepost, een Zuid-Afrikaans beveiligingsbedrijf die zich de afgelopen zes jaar op webapplicaties heeft gericht. "Als alle gegevens overal toegankelijk zijn, verdwijnt de perimeter en wordt het hacken zoals hacken in de film."

Een persoon die persoonlijke informatie wil stelen, is meestal op zoek naar financieel gewin, zegt Meer en elk stukje gegevens ze kunnen vinden dat ze een stap dichter bij je online bank-, creditcard- of brokerage-accounts komen.

Ten eerste kunnen ze je naam vinden. Vervolgens ontdekken ze jouw baan en een klein profiel van jou online dat verdere achtergrondinformatie biedt, zoals naar welke school je bent afgestudeerd en waar je bent geboren. Ze blijven graven totdat ze een gedetailleerd verslag van je hebben, compleet met je geboortedatum en moeders meisjesnaam voor die vervelende beveiligingsvragen, en misschien enkele familiefoto's voor een goede maatregel. Met voldoende gegevens zouden ze valse identificatiekaarten kunnen maken en leningen kunnen afsluiten onder jouw naam.

Identiteitsdiefstal kan ook een inside job zijn. Medewerkers van grote bedrijven die e-maildiensten hosten hebben fysieke toegang tot e-mailaccounts. "Hoe weet u dat niemand het leest? Blijft u daar e-mails en wachtwoorden bevestigen? Dat zou u niet moeten doen," zei Meer. "In de cloud vertrouwen mensen hun informatie op systemen waar ze geen controle over hebben." Browserfabrikanten kunnen een rol spelen in het veiliger maken van de cloud voor mensen, maar hun effectiviteit wordt beperkt door gebruikersgewoonten. Een browser kan bijvoorbeeld een download scannen op virussen, maar hij geeft de gebruiker nog steeds de keuze om wel of niet te downloaden. De meeste beveiligingsfuncties in een browser zijn een keuze. Lucas Adamski, security underlord (dat is echt wat zijn visitekaartje zegt) bij Mozilla, maker van de populaire Firefox-browser, bood verschillende delen van cyber zelfverdedigingsadvies voor gebruikers, te beginnen met de waarschuwing dat mensen te veel vertrouwen op firewalls en antivirusprogramma's.

"Je kunt geen beveiliging in een doos kopen," zei hij. "De manier om zo veilig mogelijk te zijn, gaat over gebruikersgedrag."

Er is al veel goede ingebouwde beveiliging al geïnstalleerd in browsers, zei hij. Als je een waarschuwing krijgt om niet naar een site te gaan, ga daar dan niet naar toe. Wanneer u een site bezoekt, moet u controleren of deze de juiste is. Zijn de afbeeldingen en logo's goed? Klopt de URL? Controleer voordat je verder gaat met het invullen van je gebruikersnaam en wachtwoord, hij heeft het advies gegeven.

Software-updates zijn van vitaal belang. "Zorg dat je de meest recente versie hebt van welke software je ook gebruikt", zei hij. Updates repareren bijna altijd gaten in de beveiliging. Belangrijke softwareprogramma's, zoals de Flash Player en Reader van Adobe Systems, zijn met name belangrijk om op de hoogte te blijven omdat ze op zoveel computers worden gebruikt en zijn hoofddoelen voor hackers.

Hij stelde ook voor een virtuele machine op uw computer te maken met VMWare als een beveiligingsmaatregel.

"Het is echt moeilijk om mensen hun surfgedrag te laten veranderen," zei hij. Mensen willen snel op het web surfen, hun favoriete sites bezoeken en downloaden wat ze willen zonder te veel na te denken over beveiliging. "Leid ze op, verplaats ze, maar verwacht niet dat ze beveiligingsexperts worden."

Internetbrowsermakers doen er alles aan om zo veel mogelijk veiligheid in hun producten te brengen en ze rigoureus te testen.

Het beveiligingsteam voor de Chrome-browser van Google zal bijvoorbeeld voor het eerst barsten bij elke belangrijke update van de software, waarbij hackers worden weggehaald om kwetsbaarheden te vinden of manieren om de beveiliging te verbeteren, aldus Chris Evans, een informatiebeveiligingsingenieur bij Google.

Na de Chrome-beveiligingsteam neemt een mep op de software en het is herwerkt om de gaten die ze hebben gevonden te herstellen, andere beveiligingsteams van Google zullen het product eens proberen om te zien welke problemen ze kunnen veroorzaken. Ten slotte wordt de software vrijgegeven in de vorm van een bètaversie en kunnen privébeveiligingsonderzoekers en anderen ze hacken. Alle problemen worden verholpen voordat de definitieve release is afgelopen en het Chrome-team staat klaar om nieuwe patches te maken voor andere beveiligingsproblemen.

Ondanks alle tests vormen browsermakers slechts een deel van de beveiligingsoplossing omdat ze hebben geen controle over de websoftware of het surfgedrag van gebruikers.

De cloud is het Wilde Westen: hackers en malwaremakers zijn in overvloed, phishers zoeken wachtwoorden en gebruikers doen wat ze willen, roekeloos surfen en potentieel gevaarlijke inhoud downloaden zoals beoordeeld door beveiligingsonderzoekers.

Bedrijven die cloud-applicaties en -services ontwikkelen, zullen meer moeten doen voor webbeveiliging. Amazon.com met zijn Web Services en Google terwijl het verder gaat met initiatieven, zoals Google Docs, die proberen mensen naar webtoepassingen te trekken en weg van computertoepassingen, zullen nauwer moeten samenwerken met beveiligingsonderzoekers, aldus Meer.

En het werk van Google met betrekking tot de beveiliging in de Chrome-browser benadrukt de reden waarom: Computerapps zoals Chrome worden door veiligheidsonderzoekers op internet zwaar op de hielen genomen, terwijl webapplicaties dat niet doen.

"Reverse engineering houdt [grote softwarebedrijven] eerlijk, "Zei Meer. "Als ze iets in de softwarecode verbergen, komt iemand dat vroeg of laat tegen, met Cloud-services weet je het gewoon niet want we kunnen het eenvoudigweg niet verifiëren."

Cloud-applicaties worden door één bedrijf gebouwd en niemand kijkt naar de code of hoe veilig het is, zei Meer. Toepassingen voor computers zijn anders. Ze kunnen door beveiligingsdeskundigen uiteengereten worden en vervolgens weer sterker bij elkaar worden geplaatst, dus er zijn geen gaten in de beveiliging, zei hij.

"Vertrouw maar controleer," zei Meer. "Alleen omdat een man vandaag geen kwaad doet, kunnen we niet vertrouwen dat ze morgen geen kwaad zullen doen, omdat we het eenvoudigweg niet kunnen verifiëren."