Специалисты по информационной безопасности советуют пользователям «облаков» изучать приемы самозащиты
Распространение веб-сервисов и возможность доступа к информации откуда угодно делает облачную среду небезопасной

По мнению специалистов, выступавших на конференции по кибербезопасности Hack In The Box, лучшая защита от кражи личной информации и вирусов в «облаке» – самозащита. Однако изменить привычки пользователей Интернета, норовящих выложить всю информацию о себе в открытый доступ, будет непросто.

Беспечность людей, публикующих информацию о себе в сети, может сослужить помогать мошенникам в получении финансовой добычи. Люди публикуют фотографии, резюме, личные дневники и множество другой информации повсюду в глобальном «облаке» – от социальных сетей до блогов и мини-блогов (Twitter). А некоторые даже не задумываются о том, чтобы при регистрации ознакомиться с частью пользовательского соглашения, набранного мелким шрифтом, хотя в некоторых соглашениях четко говорится, что любая опубликованная на сайте информация становится собственностью сайта.

Яркий пример западни, в которую могут попасть доверяющие «облакам» пользователи, – произошедшая в начале октября потеря данных пользователями смартфонов Sidekick. Абоненты оператора T-Mobile, пользующиеся устройствами Sidekick, скорее всего, безвозвратно потеряли свои контакты, календари, фотографии и другую личную информацию, хранившуюся на некоторое время остававшихся недоступными серверах Microsoft Danger.

Возможность доступа к хранящейся в «облаке» личной информации практически из любой точки и посредством разнообразных устройств – от смартфонов до ноутбуков и домашних компьютеров – открывает ещё одно уязвимое место: кроме хозяина, эта информация может стать доступна и третьим лицам.

«С точки зрения взломщика, ситуация просто сказочная, – говорит Харун Меер (Haroon Meer), технический директор южноафриканской компании SensePost, с 2003 года изучающей вопросы безопасности веб-приложений. – Полная доступность всей информации из любой точки мира стирает физические барьеры. И реальные мошеннические аферы уже не отличаются от киношных».

По словам Харуна Меера, мошенник обычно охотится за денежным уловом, поэтому любые найденные им о вас данные шаг за шагом приближают его к вашему Интернет-банку, банковской карте, или брокерскому счету.
Сначала они находят ваше имя. Потом узнают место работы, находят профиль в сети, из которого становится известна почти вся биография: место рождения, школа и ВУЗ. Они копают до тех пор, пока, наконец, не соберут подробное досье, где будет и ваша дата рождения, и девичья фамилия матери (помните все эти надоедливые вопросы?), и даже больше – кое-какие фото из семейного архива. С таким набором можно подделывать удостоверения и брать на ваше имя любые кредиты.

Однако «кражу личности» могут осуществить и изнутри. В больших компаниях, где есть своя корпоративная почта, некоторые сотрудники имеют доступ к учетным записям. «Откуда вы знаете, что вашу почту никто не читает? Вы храните письма-подтверждения и пароли в вашем рабочем ящике? Не стоило бы. Вы доверяете информацию облачным системам, которые не можете контролировать», – говорит Харун Меер.

Свою роль в защите пользователей от мошенников могут сыграть производители Интернет-браузеров, однако, их возможности ограничены привычками пользователей. Браузер может, например, проверить файл или страницу на вирусы, но скачивать ли файл и заходить ли на страницу – решать только пользователю. Выполнение большинства отвечающих за безопасность функций браузера не является обязательным.

Властелин вопросов безопасности (так на самом деле написано на его визитке) в компании Mozilla, разрабатывающей известный браузер Firefox, Лукас Адамски (Lucas Adamski) поделился некоторыми приемами самозащиты в киберпространстве. Первый прием – усвоить, что не стоит полностью полагаться на работу антивирусного ПО и брандмауэров.

«Купить безопасность невозможно. Максимальная безопасность – итог правильного поведения пользователя и никого больше», – говорит Лукас.

Современные браузеры буквально напичканы средствами обеспечения безопасности. Поэтому, получая предупреждение браузера об опасности сайта, примите его к сведению и не загружайте страницу. Заходя на сайт, убедитесь, что это не подделка и посмотрите похожи ли изображения и логотип на оригинальные и тот ли адрес у сайта. Проверяйте страницу на подлинность перед вводом логина и пароля.

Обновления просто жизненно важны. «Всегда проверяйте, что установлена последняя версия любого ПО, которым вы пользуетесь», – добавляет Лукас. Почти всегда обновления ликвидируют уязвимости предыдущих версий. Особенно важно обновлять такие распространенные программы как Adobe Flash Player и Adobe Reader, т.к. именно они являются первой мишенью хакерской атаки.

В качестве ещё одной меры обеспечения безопасности Лукас предлагает развернуть на компьютере виртуальную машину с помощью средств VMWare.

«Заставить людей изменить своим привычкам серфинга в Интернете очень сложно, – сокрушается Лукас. – Пользователи хотят быстро перемещаться по сети, ходить на любимые сайты и скачивать что угодно, особенно не задумываясь о безопасности. Просвещайте и обучайте пользователей, но не ждите, что вырастите экспертов в области безопасности».

Создатели Интернет-браузеров прилагают массу усилий, чтобы внедрить в свои продукты как можно больше защитных функций. Также браузеры подвергаются тщательному и серьезному тестированию.
По словам специалиста по информационной безопасности компании Google Криса Эванса (Chris Evans), команда обеспечения безопасности браузера Google Chrome сама первым делом пытается взломать новую версию продукта с целью найти его уязвимые места и повысить безопасность продукта.

После опытов команды обеспечения безопасности Chrome, за него берутся другие команды Google. После всех испытаний и доделок, выпускается бета-версия, которую тестируют собственные специалисты и пользователи. Все обнаруженные недостатки исправляются до релиза, но команда Chrome всегда на чеку и готова выпустить патчи для любой неожиданно возникшей проблемы.

Но несмотря на всю сложную процедуру тестирования, создатели браузеров – это всего лишь одна составляющая большой системы обеспечения безопасности, ведь они не в силах контролировать веб-приложения и поведение пользователей.

В глазах специалистов по информационной безопасности «облачная» среда сравнима с Диким Западом: хакеры и создатели вирусов только множатся, фишеры воруют пароли, а пользователи делают то, что им заблагорассудится – беспечно ходят на небезопасные ресурсы и скачивают потенциально опасные файлы.

По мнению Харуна Меера, разработчики веб-приложений для «облачной» среды должны будут прилагать больше усилий для обеспечения сетевой безопасности. Гиганты вроде Amazon.com и Google, разрабатывающие продукты призванные переключить пользователей с десктопных приложений на вебные, должны будут более тесно сотрудничать со специалистами по информационной безопасности.

Почему? Ответ дает, в частности, работа специалистов Google над браузером Chrome: десктопные приложения, например Chrome, проходят тщательную проверку и тестирование, в то время как веб-приложения такой проверки не проходят.

«Анализ структуры готового ПО обеспечивает прозрачность продуктов больших компаний, – Харун Мееру. – Если в коде что-то спрятано, рано или поздно мы это «что-то» обнаружим. С «облачными» сервисами всё не так, ведь мы просто не можем ничего проверить».

По словам Харуна Мееру, «облачное» ПО создается одной компанией и никто не анализирует код приложения на предмет его безопасности. Приложения имеют разные особенности, а специалисты по безопасности могут разобрать небезопасный продукт и затем собрать более устойчивое и безопасное приложение.

«Доверяй, но проверяй, – рекомендует Харун Мееру. – Если сегодня человек не делает зла, надеяться на то, что и завтра будет так же нельзя – просто потому что это невозможно проверить».

Оригинальный текст Dan Nystedt 

Перевод e-Style ISP