[Powered by Google Translate] [Seminaar: Oorlewende van die Internet] [Esmond Kane-Harvard Universiteit] [Hierdie is CS50.-CS50.TV] Hallo, en welkom by "oorlewende op die internet." Dit is een van die seminare wat bestaan ​​uit 'n deel van hierdie CS50 kurrikulum. My naam is Esmond Kane. My naam en adres is op die skyfie dek in die voorkant van jou. Dit is esmond_kane@harvard.edu. In my dag werk ek is een van die IT-sekuriteit direkteure vir huit, maar ek moet erken dat vandag is ek op 'n verkenning sending Dit is waarom ek 'n rooi hemp. Dit is nie van plan om enigiets wat te wyte is aan uit direk na my dag werk, so dit is nie oor die IT-sekuriteit te Harvard. Dit is meer net persoonlike inligting, dit is hoe wanneer jy's - dit is die aard van die vaardighede wat jy sal opdoen om te probeer help om jou verhard julle werkstasies en jou omgewing regdeur jou loopbaan. Maar niks wat ek noem vandag toegepas moet word om enige van jou universiteit materiaal, jou bedieners, of jou werkstasies sonder kontak met jou plaaslike IT-ondersteuning. En inderdaad as ek praat van enige aansoeke of enige voorvalle as deel van hierdie praatjie of bespreking is dit nie rapporteer enigiets wat ek bevoorreg is om verslag te doen. Dit is gewoonlik openbare En ook nie moet inderdaad enige melding van enige aansoek impliseer enige endossement deur Harvard of inderdaad enige veroordeling. 

So vandag is hoekom ons hier is - nou dat ons klaar is met die disclaimer - Ons is vandag hier om te praat oor die oorlewende van die Internet. En hoekom is dit so 'n belangrike onderwerp nou? So om te parafraseer Perry Hewitt wat werk in die Harvard Press en Kommunikasie kantoor - Ek vra om verskoning vir die lees van hierdie reg nou - sy het gesê: "Ons leef in 'n atmosfeer van stygende risiko, maar ook een van ongekende innovasie. Die vinnige styging van die Internet, die wolk en sosiale tegnologie het daartoe gelei dat baie meer mense met openbare profiele aanlyn met wel toegang tot 'n toenemende verskeidenheid van inligting. En dit beteken dat almal en hul verenigings het nog nooit meer sigbaar. As Harvard se digitale voetspoor - sy digitale netwerk uitbrei, Ons trek 'n wyer gehoor. Ons hoop vir die verbetering, maar soms sal ons trek 'n paar negatiewe aandag. So as 'n verteenwoordiger van Harvard, "en dit sluit almal kyk by die huis, of selfs iemand hier, "ons fakulteit, ons studente, personeel, ons navorsers, is die risiko van 'n kompromie aan jou en inderdaad te jou verband netwerk het nog nooit hoër nie. " 

So dikwels in inligting-sekuriteit wanneer ons probeer om dit te balanseer waag dit is 'n ingewikkelde handel af tussen sekuriteit en die gebruikers ervaring. In die era van onmiddellikheid ons deurdagte besluite te neem oor wat sal verbeter sekuriteit sonder 'n groot ongerief. Ons is soms het 'n gram van voorkoming is die moeite werd twee keer die genesing, maar wanneer die keuse van sekuriteit voorsorgmaatreëls te implementeer om jou risiko te verminder ons nodig het om te erken dat dit nooit sal die potensiële risiko verminder tot nul. So wat gesê het - ons is vandag hier om te bespreek 'n paar eenvoudige en nie so eenvoudig sekuriteit voorsorgmaatreëls wat jy nou kan neem. Ek moet ook byvoeg - as jy enige vrae het oor die hele aanbieding net verhoog jou hand. Dus is die eerste onderwerp - ons is dikwels vertel 'n goeie wagwoord te kies. 'N wagwoord is jou eerste en beste verdediging. Dit is dikwels die enigste een wat beskikbaar is vir jou wanneer jy die keuse van 'n aanlyn hulpbron te gebruik. Maar soos ons gesien het in hierdie somer en inderdaad die voorafgaande jaar Ons het gesien dat aanvalle soos LinkedIn, eHarmony. Ons het gesien hoe RockYou. Ons het 'n paar totaal van 70.000.000 wagwoorde en rekeninge gedrang kom. En toe die wagwoorde is vrygestel in die openbare domein Hulle het ook bestaan ​​uit die wagwoord hash. 

So basies hierdie dae as iemand gekry om 'n rekening miernes wat hulle nodig het nie 'n wagwoord te kraak nie, hulle het nie nodig om brute krag 'n wagwoord. want hulle het hierdie massiewe skatkis van vrygestel inligting oor wat mense kies. Hulle het reeds 'n gedrags-data na vore wat mense geneig is om te gebruik. En hulle het gebreek neer op 'n lys van sowat 'n duisend wagwoorde wat bestaan ​​uit byna 80 tot 90% van die wagwoorde wat ons kies in die algemeen gebruik word. So 'n vinnige voorbeeld - niemand wil waag wat jy gedink Bashar al-Assad gebruik vir sy wagwoord wanneer dit in gevaar gestel is verlede jaar? Dit is 'n man wat onderhewig is aan intense ondersoek. En sy wagwoord was 12345. Goed - so dit is lesse wat ons geleer het, het ons nodig het om te beweeg verder as net die denke van 'n wagwoord. Ons word vertel om te begin met 'n slaagsyfer frase. Daar is 'n groot komiese van of selfs 'n web comic van Randy Monroe wat gaan in die keuse van 'n slaagsyfer frase; hy gebruik - ek wil sê - battery, stapel, beperking of iets soos dit - jy weet - net - of daar is inderdaad die grap dat iemand wat Goofy, Nemo opgetel, Pluto - al die verskillende karakters en Londen, want hy is meegedeel 8 karakters en 'n kapitaal op te tel. Maar - so leer ons wat ons nodig het om te gaan dink verder as net 'n wagwoord. 

Daar is eintlik 'n Ezine in Boston genoem Ars Technica. Daar is 'n man genaamd Dan Goodin wat besig is met 'n reeks oor hierdie verandering van bestek - óf van die aanvaller ruimte waar ons hierdie reuse skatkis vir ons beskikbaar om óf gedagte dat ons nie meer nodig het om dinge deur reënboog tafels te genereer; ons het 70.000.000 wagwoorde. Maar ook ons ​​het - jy weet - 'n veranderende landskap in die werklike krake ruimte, want GPU kaarte het hierdie feitlik naby real-time. En daar is 'n man in Def Con in Augustus wat saam 12 van hierdie kaarte in 'n kommoditeit PC. Hy het dit vir ongeveer $ 2,000 of $ 3000, en hy was in staat om te kraak die LinkedIn skatkis in - jy weet - naby real-time. Dit was nogal skrikwekkend. Dan Goodin se artikel - ek raai dit as jy wil dit te gaan lees. 'N gentleman genoem Sean Gallagher - vanoggend - het ook 'n vinnige update op dit, 'n baie van hul werk is gebou op - van materiaal wat beskikbaar is van Bruce Schneier, maar ook uit Cormac Herely van Microsoft Research. Hulle soort gestel oor 5-6 jaar gelede dat ons moet begin dink as wagwoorde. Die voorstelle in daardie tyd was dinge soos pas frases, gebare interfaces - dat die soort dinge. Jy weet - as iets wat jy weet nie meer voldoende is op hierdie punt; dit is een van die dinge wat ek wil om te kommunikeer vandag. As jy nie 'n wagwoord te gebruik, laat ons nie skaam wees in waarin jy moet nog steeds kies 'n goeie een, maar dit behoort hopelik iets meer as 10 karakters wees. Dit moet wissel tussen die boonste en onderste geval. 

Ek sou raai u aan nie wagwoorde te onthou. Ek kan praat met 'n paar gevalle waar ons gesien het 'n rekening te kry gedrang en iemand hop en oorgeslaan - die domino-effek. Hulle ontgin elke rekening by elke fase in die proses vir hierdie data, en dan sal hulle voortgaan om daardie data te gebruik dat hulle gemyn in elke geval teen 'n ander diploma bron. So - weer - kies 'n goeie wagwoord. Dit uniek maak. Jy kan wil om te dink oor die gebruik van 'n wagwoord bestuurder diens. Daar is mense daar buite uit - hulle is almal in die artikels winkels. Daar is 'n sogenaamde OnePass, KeePass, LastPass - dit is 'n mooi manier om dit te help skep unieke geloofsbriewe, 'n sterk geloofsbriewe, maar ook fasiliteer die argief en rekordhouding vir jou. Die negatiewe kant aan wat jy nodig het om te bring aan 'n wagwoord stoor; wat jy nodig het om seker te maak dat die wagwoord bestuurder wat jy vertrou is waardig van jou trust as well. 

So maak seker dat die ouens is ook deur 'n paar geldige wagwoord meganismes. In die besonder die een gaan ek nou noem is 'n multi-faktor verifikasie. So multi-faktor verifikasie - en daar is verskeie gevalle sal ek gaan deur kort - Dit is die eenvoudige raadsaam van die neem van iets wat jy weet, soos jou gebruiker naam en wagwoord en voeg by dit - jy is die toevoeging van 'n ander faktor. Dus is die eerste faktor wat ons sal noem vandag is hierdie kinders op die planke. Dit is iets wat jy het in jou besittings, so dit is nie 'n aansoek wat uitgevoer word op jou smartphone of selfs op jou selfoon self. En jy dalk in staat wees om 'n sms te ontvang. Pasop as jy reis in die buiteland wat nie noodwendig gaan om jou te volg. 'N aansoek kan werk om groter in daardie geval. Of selfs die ander faktor wat jy dalk wil om te dink oor iets wat jy is. 

Nou is dit nog soort van baie skunkworks. Ons sien nie te veel aanneming van dit. Dit is - jy weet - Mission Impossible styl - jy weet - jou trant druk, jou duim druk, jou retina druk. Dit is soort van 'n verdere uit, hulle is nie regtig baie geldige verifikasie faktore. Ons sien - wanneer ek praat met my veiligheid kollegas - meer druk wat jy sit op 'n klavier, jou spesifieke tik patroon, is waarskynlik direk op die horison - baie meer as die ander biometrische identifiseer. Maar die kinders van vandag is programme of sms of selfs net 'n uitdaging reaksie e-pos wat jy gaan kry om te bevestig dat jy wel kies om aan te teken op hierdie punt in die tyd. So is daar 'n skakel net daar, ek het gepos word die skyfie dek vanoggend. Dit sal wees op die Wiki. 

Beide Gmail en Google doen dit; Yahoo sal dit doen. PayPal het dit; Paypal ook 'n bietjie werklike hardeware sleutel wat nie 'n roterende nommer. Maar jy kan ook kies om 'n telefoonnommer te gebruik. Facebook doen ook 'n log in goedkeuring, so jy kies om te dit goedkeur nie, hulle is ook besig om na meer geldig hard sterkte sekuriteit. Dropbox het 2-stap verifikasie asook, jy kan ook net aankoop van 'n hardeware sleutel vir hulle. Ons sien ook in die Gmail een of die Google een, 'n baie van die mense is eintlik koöpteer Google se authenticator, so - byvoorbeeld - Ek gebruik LastPass - dit impliseer nie enige endossement - maar hulle kan onthou Google se 2-stap verifikasie so dit beteken dat ek nie nodig het om te loop rond met 2 programme op my selfoon. Maar ook navorsing rekenaar binne Harvard of die gebruik van 'n analogie Google se 2-stap verifikasie omdat die one-time wagwoord algoritme is oop afkomstig is daar sowat 10 jaar gelede. Enige vrae? Goed. 

So 'n faktor wat oorweging buite wagwoorde is wanneer jy die gebruik van hierdie hulpbronne bewus te wees van watter data jy pleeg hulle. Net beperk wat jy eintlik besig is om tot daar. So ons is bewus daarvan dat hierdie mense, wat 'n diens vir ons op die internet is die verskaffing van - hierdie Wolk verskaffers - hulle het 'n gevestigde belang in jou nie so veilig as wat jy moontlik kan. Hulle is geneig om beskikbaar te maak 'n absolute minimum stel van sekuriteit, en dan is daar 'n klomp van die ander een wat is opsioneel dat jy nodig het om te kies om te kies in. Die soort weg te neem van hierdie gesprek is sekuriteit is 'n gedeelde verantwoordelikheid. Dit is tussen jou en die vennote wat jy maak - die verbintenisse wat jy vorm. Jy moet 'n aktiewe rol te neem. Kies om te kies in daardie. Jy weet - neem nou die tyd, maak dit meer veilig is. Die alternatief is daar reeds mense bekragtiging en toetsing hierdie sekuriteit faktore teen julle, hoe meer jy kan kies om te kies in na die beter voorbereid jy is vir die uiteindelike kompromie. En dit is die uiteindelike. 

Maar die ander faktor om na te dink oor is soos ek genoem hierdie Internet partye wat jy vertrou met jou geloofsbriewe - met jou identiteit. Ek gee jou 2 analogieë, Larry Ellison en Mark Zuckerberg - hulle is albei op rekord verklaar privaatheid is grootliks 'n illusie. En dat die ouderdom van die privaatheid is verby. Dit is 'n soort van 'n ongelukkige akte van beskuldiging wat ons regtig nodig het om te wag vir die regering om in te gryp om te dwing om hierdie partye om meer veilig, meer wetgewing in te stel, want wanneer ons probeer om te werk met Hierdie verskaffers byvoorbeeld sommige van hierdie Dropbox soos partye, Hulle is in die besigheid van die verskaffing van dienste aan die verbruiker. Hulle is nie direk belangstelling in 'n onderneming-graad sekuriteit kontrole. Die verbruikers gestem met hul beursie, en hulle het reeds aanvaar 'n minimum graad. Dit is tyd dat denke te verander. So wanneer ons ons data van hierdie partye, het ons nodig het om te koöpteer ons bestaande trust meganismes, so ons sosiale wesens is by verstek. 

So hoekom al die skielike wanneer ons begin om die data aanlyn ons het nou toegang tot die dieselfde beskerming wat ons doen persoonlik? So wanneer ek kan jou lyftaal lees, toe ek kan kies om te netwerk met 'n sosiale sirkel en inderdaad aan dat die sirkel openbaar net die inligting wat ek wil. So het ons toegang tot hierdie liggaam taal, uitdrukking, te stem gee, ons het toegang tot hierdie identiteit nabyheid beskerming in 'n fisiese plek nie, hulle is nog steeds die ontwikkeling van aanlyn. Ons het nie toegang tot hulle, maar ons is besig om hulle te sien. So het ons 'fasette in Facebook - byvoorbeeld - soos groepe. Ons het toegang tot dinge in Google soos sirkels. Absoluut hulle gebruik. Dus is die laaste ding wat jy wil sien is in hierdie ruimte in die besonder wanneer jy gaan om 'n werk te kry, is jy nou 'n groot deel van jou persoonlikheid publiek. En wanneer iemand wil - moet hulle kies om nie - dit kan deel wees beleid van die maatskappy is of nie - dit is beslis nie deel van Harvard's - maar hulle kan kies om 'n Google soek om te doen. En toe hulle dit te doen - as jy voorsien - laat ons sê 'n paar inligting wat sou jy sukkel om agter - wat jy gedoen het vir jouself 'n onreg. En inderdaad soos ek genoem het - hierdie sosiale maatskappye wat hulle het 'n gevestigde belang in wat dit publiek - jy weet - wat hulle nodig het om jou data te ontgin. Hulle is die verkoop van jou demografie en jou bemarking materiaal vir iemand. Die soort analogie in hierdie ruimte is - as jy nie betaal vir 'n produk is jy die produk? So skep kringe vir jou vriende, wees versigtig, wees ywerig, probeer om nie te maak alles publiek. 

Nog 'n analogie wat ek sal maak, is die eindgebruiker lisensie-ooreenkomste verander; hulle gaan om jou te vertel wat hulle kan doen met jou data, en hulle het dit gaan begrawe in 'n 50-bladsy klik. En hulle kan kies wat om te verander, en hulle het net aan jou stuur 'n vinnige e-pos. Maar jy is nie 'n prokureur, maar dit is baie in regstaal. Wat jy nodig het om versigtig te wees van wat jy doen. Hulle kan self jou foto's, hulle kan jou intellektuele eiendom besit. Jy weet nie - net oefening ywer. Nog 'n voorbeeld Library of Congress is Argief elke enkele tweet aan die mens bekend. Alles. Elke 10 jaar rofweg die liggaam van materiaal wat gegenereer in daardie 10 jaar rekeninge of baie outpaces alles wat ons het geskep deur die eeue heen. Die Library of Congress het 'n gevestigde belang in die behoud van die inligting vir die nageslag, vir toekomstige argivarisse, vir toekomstige navorsers en geskiedkundiges, sodat alles wat jy besig is om uit daar is daar. Dit sal eintlik maak 'n groot bron op 'n sekere punt Sodra mense begin sosiale ingenieurswese of sosiale netwerk-webwerwe te ontgin. So hou op hoogte van die beskerming wat binne elke aansoek. 

Daar is iets wat ek sal so goed noem, daar is 'n derde party hulpmiddel genoem Privacyfix, maar dit kan reg sluit in om sommige van hierdie sosiale netwerk programme. En dit kan kyk om te sien waar jy is met betrekking tot die beskerming wat beskikbaar is op hulle as jy kan kies om te ratel hulle verder. Daar is gereedskap soos die Data Liberation Front van Google waar jy kan kies uit te voer of onttrek jou data. Daar is dinge soos die Internet Selfmoord masjien wat sal aanmeld op om 'n paar van jou profiel en eintlik verwyder elke enkele eienskap een op 'n tyd, Untag elke enkele vereniging vriende in jou netwerk sou gemaak het. En dit sal streef om iteratief reinig alles van jou dat die site sal weet. As ek kan net 'n paar versigtig wees daar so goed, daar was 'n geval 'n paar jaar gelede in Duitsland, waar 'n burger besluit om te oefen sy vryheid van inligting regte en vra Facebook te voorsien inligting wat hulle gehad het op rekord vir hom, selfs nadat hy sy rekening geskrap. Hulle het aan hom 'n CD met 1250 bladsye van inligting selfs al het sy rekening teoreties nie meer bestaan ​​nie. Daar is die konsep in hierdie ruimte 'n baie dat sommige van hierdie entiteite sal handhaaf sommige data oor jou te doen met jou verenigings en jou netwerke. Hulle sê dat hulle nie kan beheer het oor dit, dit is 'n bietjie van 'n rek in my opinie. Hulle skep die skaduwee rekeninge - die skaduwee personas. Net versigtig wees. Beperk wat jy kan. Op 'n werklike toestel vlak as jy net praat oor - jy weet - hardeware - jou smartphone, jou tablette, jou werkplek, jou laptop, miskien 'n bediener wat jy is verantwoordelik vir. 

Jy het waarskynlik gehoor oor begrippe soos operasie stelsel updates, aansoek updates, antivirus, jy van dinge soos firewalls het gehoor, skyf enkripsie, en terug. Die een ding wat jy moet bewus wees van is jy nie hoor oor dié soort van beskerming in die selfoon ruimte. Hulle is net so vatbaar vir dieselfde bedreigings. Ons het - ek wil sê - 'n miljoen slimfone gaan wees geaktiveer word deur die einde van hierdie maand. Dit het aansienlik oortref die - in die kort tyd wat hulle is beskikbaar, wat aansienlik oortref die groei van die rekenaar, die laptop, die werkstasie mark. Maar ons het nie toegang tot dieselfde kontroles, en ek sal praat oor wat binnekort. So voordat ons by die selfoon ruimte laat ons praat oor wat beskikbaar is daar dat ek net kortliks gegaan het. So antivirus sagteware - hier is 'n paar vrye keuses. Microsoft gee weg s'n - jy weet - Sophos gee weg s'n vir OSX sowel Pleister jou rekenaar - net bewus te wees van alles wat jou verskaffer se huidige kol vlak is, en jy moet nie 'n beduidende delta van dat. Daar is 'n mooi instrument van 'n maatskappy genaamd Secunia. En Secunia sal loop in die agtergrond, en dit sal jou vertel as daar 'n opgedateer beskikbaar is en as jy dit nodig het om aansoek te doen. 

In staat stel om outomatiese updates - beide Apple en Microsoft sal 'n aspek van hierdie het. Hulle sal u 'n boodskap dat daar 'n update beskikbaar is. En Secunia - jy weet - is 'n soort van 'n mooi veiligheidsnet te hê so goed - terug te val meganisme. Aan die gasheer laag - nie om te slimfone nie. In staat stel om die firewall inheems aan die bedryfstelsel. Daar is 'n paar inligting oor die Windows in die OSX een. Toets jou firewall, nie net daar laat nie en dink dat dit 'n veilige meganisme. Neem 'n aktiewe rol, en daar is 'n aansoek om daar uit GRC - Steve Gibson. WiFi sekuriteit in hierdie ruimte - dit kan ook van toepassing op die smartphone en die tablet - wanneer jy die keuse om te gaan op die pad wat jy nodig het om bewus te wees dat daar verskillende klasse van draadlose netwerk. En in die besonder kies nie die mees algemeen beskikbare een. Dit kan lae koste wees nie, maar dat daar dalk 'n rede vir dit wees. Miskien het hulle is die ontginning van jou data. Ons sien dit meer as jy internasionaal reis. Daar is 'n paar baie hoogs doeltreffende kuber-kriminele sindikate wat in staat is om op te bou wat ons gewoonlik sien in die nasie state se spioenasie. 'N faktor waar hulle blatante self spuit in 'n netwerk stroom. Hulle trek dinge daar uit, en hulle spuit aansoeke op jou werkstasies. 

Dit is - die ander aspek wat ek weet is genoem in sommige van hierdie sekuriteit seminare - of nie seminare CS50 seminare - is 'n hulpmiddel genaamd Firesheep. En Firesheep was 'n besonder aanval in die selfoon ruimte waar sommige van hierdie sosiale netwerk aansoeke stuur geloofsbriewe in plain text. En dit was nogal algemeen aanvaar nie, want almal in daardie tyd het gedink dat daar was geen eetlus in die verbruiker ruimte vir dit, dat 'n hoër krag enkripsie te gebruik impliseer 'n prestasie las op die bediener, so as hulle het nie om dit te doen nie - hulle wou nie. En dan is al die skielike wanneer hierdie sekuriteit navorser gemaak die aanval triviale baie vinnig - jy weet - ons begin dat die soort van om te sien verbetering wat almal in die sekuriteit ruimte gehad kla oor 'n aansienlike lengte van die tyd. So - in die besonder - Firesheep in staat was om Facebook, Twitter te haal geloofsbriewe van die Wi-Fi stroom. En omdat dit in gewone teks, en hulle in staat was om te spuit. 

Weereens, as jy gaan Wi-Fi te gebruik kies die een wat om te gebruik genoegsaam beskerm - WPA2 as jy kan. As jy het om te gebruik ongeënkripteerde Wi-Fi - en in die besonder ek praat aan enigiemand wat die gebruik van die Harvard Universiteit draadloos - wil jy dalk na te dink oor die gebruik van Skynprivaatnetwerk. Ek het baie aanmoedig. Ander faktore wat jy dalk wil om te dink oor is as jy nie die Wi-Fi vertrou dat jy op wil jy dalk die gebruik te beperk. Doen nie enige e-handel, doen nie enige bank. Nie toegang tot jou universiteit geloofsbriewe. Daar is 'n groot oorwinning in hierdie ruimte as iemand nie steel jou geloofsbriewe - jy weet - hulle het nie jou selfoon? So - jy weet - dit is nog 'n faktor wat hulle kan nie noodwendig kaap of maak net hul aanval meer ingewikkeld. Enkripteer jou hardeskyf. Ons is in 'n era nou - enkripsie gebruik om 'n groot deal wees 10 jaar gelede. Dit was 'n beduidende prestasie impak. Dit is nie meer - in werklikheid - die meeste van die selfone en dat die soort dinge hulle doen dit in hardeware, en jy hoef nie eens agterkom - die prestasie is so gering. 

As jy praat oor 'n werkplek, ons praat oor BitLocker. Ons praat oor File Vault, sodat dit - neem die tyd nou. In die Linux ruimte natuurlik Ware Kripte kan werk oor beide van hulle. Jy kan wil om te dink oor - in die Linux ruimte - daar is dm-grafkelder, daar is Luxcrypt - daar is 'n klomp van die ander opsies - ook True Crypt. Ander vinnige manier om jouself te beskerm teen die werkplek vlak back-up van jou hardeskyf. En een effense rimpel hier - dit is nie voldoende nie een van gebruik hierdie Wolk sinchronisasie verskaffers, so Dropbox of G-rylaan of iets anders Dit is nie 'n back-up oplossing. As iemand verwyder iets op een van hierdie toestelle want hulle plaas hulleself een of ander manier dit gaan - dat skrap kry herhaal in jou hele persona. Dit is nie 'n back-up is, dit is net 'n meganisme wat. So is dit goed om 'n back-up oplossing te hê. Daar is 'n paar voorstelle hier vir 'n paar mense, sommige van hulle is gratis - kapasiteit gebaseerde - 2 gigs van back-up - jy kan dit doen. As jy met universiteit G-pos - Universiteit Google by die kollege en mede, G-rylaan As dit is nie al nie - dit sal binnekort beskikbaar wees. Dit is 'n goeie plaasvervanger. Ons sal ook kyk na hierdie dinge soos Mozy Home. Dit is 'n goeie 2 oplossings te hê. Het nie al jou eiers in een mandjie. As jy ontslae te raak van iets of selfs as jy in die proses van die stuur van iets vertroulik - 'n paar voorstelle hier na veilig vee 'n toestel. Darik se Boot en Nuke - dit is soort van meer vir die IT-vaardig. Jy kan wil om te dink oor die net gee dit aan 'n paar van hierdie kommersiële verskaffers as jy kan. 

Versleutelen e-pos - as jy moet - daar is 'n paar dienste op kampus genoem Accellion, jy is off-kampus of vir persoonlike gebruik ek sal aanbeveel Hushmail. Ons sien dit baie gebruik in fluitjie blaser, dit is een van die belangrikste meganismes vir WikiLeaks sowel as Tor en 'n paar ander ekwivalente. En - nou om te praat oor die telefoon vlak - so die probleem is hier daar is nie veel van 'n eetlus nie. Ongelukkig is die meeste van die slimfone en die tafel Oss hulle is nog steeds gebaseer op sommige van die beginsels wat ons gesien het in die 1990's. Hulle het nie regtig opgeneem sommige van die verbeterings wat ons sien by die werkplek vlak. Hulle doen nie die hitte te beskerm. Hulle doen nie - jy weet - laag randomisasie. Hulle is nie doen adres beskerming. Hulle doen nie voer beskerming - dat die soort dinge. Maar ook die toestel self deur defacto is nie van plan om enige te hê eindpunt sekuriteit gebou in dit. So begin ons hierdie verandering te sien - weer - die meeste van die smartphone vervaardigers - Android, Apple, en Windows - die aptyt net was nie daar nie; die maatstaf was Blackberry. Maar Blackberry het soort van verlore sy vastrapplek in die mark op hierdie punt. En Apple het regtig trap in Ongeveer 2 jaar gelede was daar 'n waterskeiding oomblik waar hulle begin om te bou in 'n baie meer onderneming tipe kontrole. En - inderdaad - in Augustus het hulle 'n aanbieding by Def Con wat was net ongehoord. 

So sal hulle die minimum beheermaatreëls wat ek beskryf. Hulle sal 'n sterk wagwoord te doen, hulle sal dit doen 'n spoedige vir die wagwoord op idle - die toestel - jy vergeet het en na 15 minute het dit aktiveer. Hulle sal doen kodering, en hulle sal ook doen wat afgeleë skoon maak genoem word. In die Android en die Windows ruimte dit is nog TBD - bepaal word. Android het toegang tot 'n paar programme genoem prooi en Lookout. En inderdaad 'n paar van die eindpunt sekuriteit gereedskap soos Kaspersky Ek weet dit doen. Ek weet ESET doen dit so goed Hulle sal jou laat stuur 'n sms en reinig die toestel. Windows selfoon by hierdie punt is dit is hoofsaaklik gerig op korporatiewe styl - wat genoem word ruil. Ruil is 'n robuuste pos infrastruktuur, en dit kan mandaat sommige van hierdie kontroles. Windows 8 net gestuur verlede week, so ek kan nie praat dat die finaal. Windows 6.5 was die groot sekuriteit toestel. Windows 7 Mobile was 'n ramp, hulle het nie al hierdie inheemse kontroles verpligte oor die verskillende verskaffers. Sodat jy het elke Windows Mobile 7 telefoon een te bekragtig op 'n tyd. 

Android - sedert die 3,0 ruimte 'n groot verbetering het as well. Heuningkoek, Ice Cream Sandwich, Jellybean - hulle sal ondersteun hierdie minimum beheer, en inderdaad hulle sal ondersteun sommige van die onderneming beheer wat jy kan doen as goed. In jou persoonlike rekening ruimte is daar 'n Google persoonlike sync wat Jy kan dit as jy jou eie Google ruimte as well. So wat doen jy wanneer dit alles gaan verskriklik verkeerd? En as ek kan - 'n ander afhaal van hierdie is regtig wanneer nie - dit is nie as. Dit gaan gebeur met almal van ons op 'n sekere punt. Wat kan jy doen? So, wat jy kan doen - en daar is 'n skyfie - die volgende skuif sal wys jou 'n paar van die FTC hulpbronne vir dit, maar 'n absolute minimum plek om 'n bedrog waarskuwing op jou kredietkaarte. As ek kan aanmoedig om na te dink oor wanneer jy met 'n kredietkaart in 'n aanlyn-kapasiteit - afhangende van die transaksie wat jy maak debietkaarte - die vermoë om te eis of die vermoë om 'n bedrieglike te trek eis op 'n debietkaart is eintlik 'n baie kleiner venster as wat dit is op 'n kredietkaart. So wanneer jy jou verslag oor 'n debietkaart jy net 'n sekere tyd - en dit is baie laag - die bank van 'n bedrieglike transaksie in kennis te stel. Kredietkaarte dit is veel groter, daar is geneig om 'n beperking op wees tot ongeveer $ 50,000 voordat hulle werklik sal in staat wees om jou te vergoed. So dit is nogal 'n klomp geld, hulle stamp dit van sowat $ 13,000 of $ 18,000 daar redelik onlangs. So - jy weet - wanneer jy dink oor die gebruik van 'n kredietkaart online, kan jy dink oor die gebruik van 'n top-up kaart of 'n weggooibare kredietkaart, 'n brander kaart? 

As jy nie sien nie - en ek sal jou wys hoe jy toegang kan binnekort kry - sluit enige bedrieglike rekeninge as jy bewus gemaak word van dit. Leer om 'n polisie-verslag as jy op die kampus. Uit te reik na HUPD - laat weet. Dink oor 'n identiteit monitering diens. As deel van - as jy nie die gedrang te raak - jy mag hê om - hulle kan finansier identiteit beskerming diens. As hulle dit nie doen nie miskien moet jy dit doen. Versamel en al bewys - in die besonder enige besprekings jy het ' met 'n kriminele owerhede veral vir versekering doeleindes. Verander al jou wagwoorde. Verander die antwoorde op enige vrae oor sekuriteit wat gebruik kan word om jou wagwoord te herstel. Skakel die afgelope identiteit dienste. So as jy onthou van jou Facebook rekening aan te meld by Twitter of andersom, breek dat, indien die betrokke kompromie jou e-pos rekening kyk om te sien of daar iets is wat aangestuur. Want anders het hulle nog steeds toegang tot jou data. En as die diefstal sluit in jou Harvard rekening, stel asseblief IThelp@harvard.edu. Ek kan nie sê dat genoeg is nie, maar ook in die besonder, indien die toestel of verlore gesteel en dit het toegang tot jou universiteit data en miskien is jy het nie 'n paar van hierdie beskerming wees onderskeie; laat weet ons asseblief - HUPD en help dit aan die Harvard. 

So het die skakel wat ek nou net genoem dat die geld in wat met meer besonderhede FTC.gov / identitytheft. Die Postal Service het ook 'n paar bedrog of identiteit beskerming dienste - jy het net 'n hou of 'n stop op kredietkaarte gaan deur of dinge soos dat. Die FBI het 'n skakel sowel, maar dit is in die notas van die skyfies wat ek uitgestuur. En inderdaad Massachusetts Better Business Buro en Verbruikersbeskerming Buro het 'n paar leiding asook, dit is in die aantekeninge. Neem die tyd nou, maak jouself bewus van wat jy kan doen, en neem die aksie. Die beginsel - soos ek vroeër genoem het - is as jy nie 'n plan nie vir jou identiteit gesteel word jy onmiddellik gaan wees onderhewig aan 'n baie werk wanneer dit nie gebeur nie, en dit is wanneer. Maar selfs wanneer jy hierdie voorsorgmaatreëls - laat my net voeg 'n effense woord van waarskuwing - geen plan oorleef eerste kontak met die vyand. So selfs op dat ons nog steeds dink dat daar 'n paar ondermyning wees - jy weet - jou bank byvoorbeeld wat jy gebou het al hierdie beskerming rondom hulle benadeel kan word, dit vertrou partye dat jy jou data gegee het. So jy is jou eie beste verdediging. Jy weet - bly waaksaam - waaksaam. Neem die tyd nou om te kies om te kies in hierdie hopelik kuier hierdie, praat dit met jou vriende. Pick 'n goeie wagwoorde, gebruik unieke wagwoorde vir jou rekeninge. En hergebruik nie wagwoorde - in die besonder - om 'n paar van jou meer sensitiewe bates; gebruik nie jou universiteit rekening elders. Moenie jou kredietkaart rekening elders. Wagwoord beskerm jou mobiele toestel nou. En deur die mobiele toestel wat ek bedoel smartphone, ek bedoel jou tablet. 

Dink oor die gebruik van goeie sekuriteit herstel vrae, en ek sal praat oor hierdie kort rede waarom; check jou krediet verslag. Nog 'n manier wat jy kan 'n goeie burger in hierdie ruimte wees is die regering gedwing om die 3 agentskappe Experian, Transunion, en Equifax krediet verslae vry te stel. Vir sommige van die Harvard-gemeenskap, veral in die student ruimte, hierdie dalk nuwe aan hulle, maar jy is toegelaat om diegene te trek agentskappe ten minste een keer 'n jaar. Goeie versigtigheid - gaan na die webwerf, maar dit is beskikbaar op die FTC een. En doen dit elke 4 maande plaas, en jy in staat is om aan te hou tabs op wat is uitlok versoeke vir jou kredietkaart inligting, of indien wel as iemand maak 'n bedrieglike rekeninge. En - in die algemeen - die leiding is om bewus te wees. En ek gaan vir jou 'n spesifieke voorbeeld kort, maar dit is in wese die vleis en aartappels van die bespreking. 

So hoekom is dit belangrik nou is gedurende die somer was daar 'n gentleman genoem Matt Honan - as jy is daar baie dankie vir die feit dat so komende met jou inligting. Maar wat gebeur met Matt is hy vir Wired Magazine, en 'n paar cyperhacktivists het agter sy Twitter rekening. En hulle het 'n paar van hierdie hulpbronne - sommige van hierdie openbare persona dat hy beskikbaar gestel word. En hulle het 'n kaart, hulle het geweet waar om aan te val en wanneer. So van wat hulle begin het om Opdelen die inligting wat hy gemaak beskikbaar is nie, en hulle het bevind dat hy 'n Gmail rekening. So hy is die gebruik van 'n minder as wyse wagwoord vir sy Gmail, en hy het nie 'n multi-faktor verifikasie op dit. Sodat hulle die gedrang sy Gmail; sodra hulle toegang gehad het tot sy Gmail hulle het gesien hoe al die ander rekeninge wat hy ingeprop in sy Gmail. Trouens, hulle het toegang tot sy hele hele Gmail of Google persona. En - in die besonder - het hulle begin om te sien dat hy 'n Amazon rekening want daar was 'n paar e-posse wat aan hom gerapporteer. Sodat hulle het op sy Amazon, en hulle het op sy Amazon deur net weer in sy wagwoord, omdat dit na sy Gmail. Hy het nie - hy het soort van 'n domino-effek of diploma chaining hier aan die gang waar sodra hulle het sy Gmail hulle het die sleutels van die koninkryk. So sodra hulle het op sy Amazon - en dit was deur geen fout hierdie ander ouens - dit was - jy weet - Matt het nie gekies om kies in hierdie meer veilig meganismes dat slegs hierdie mense beskikbaar gestel het en al hierdie Internet bronne. 

So sodra hulle het op sy Amazon hulle toegang gehad het - dit het nie vir hulle wys sy kredietkaart, maar dit het vir hulle die laaste 4 syfers net so het hy geweet wat dit was nie, maar dit het hulle sy adres gestuur. Dit het hulle 'n paar ander inligting wat hy gedoen het op 'n paar bestellings. En dan van dat hulle besluit het om sy Apple rekening aan te val. En hulle sosiale ontwerp van die Apple hulp lessenaar. Apple moet dit nie gedoen het nie, maar op grond van hierdie inligting wat Hulle was in staat om my van die ander 2 rekeninge. Jy weet - die man by die hulptoonbank waarskynlik gedink het hy 'n 'n goeie burger - jy weet - ek is om behulpsaam, en daar is 'n Apple kliënt daar buite wat gestrand is daar op sy eie, en ek nodig het om hom te help. Maar dit was nie die ware Apple kliënt. Sodat hulle weer sy Apple-rekening, en hulle het die inligting aan die Gmail. Nadat die aanvallers het toegang tot sy Apple rekening Matt het al sy planne vasgebind in sy iCloud, en hulle het die uitreiking van meineed stelle en vee alles. Weer, hy het net sy data gepropageer; hy was met iCloud as die sinchronisasie meganisme. So wanneer hulle verwyder dit alles het bang. Hulle het nog steeds toegang gehad het tot op hierdie punt op sy Twitter-rekening en dit is wat Hulle het probeer om aan te val. Ek weet nie of hulle gebruik Maltego of sommige van hierdie ander meganismes te bou uit sy Internet persona, maar - jy weet - binne 'n kwessie van Natuurlik het hulle het toegang tot 4 verskillende identiteit dienste voor hulle het aan sy Twitter, en dit kos Matt - Matt was baie gelukkig hy het dit gesien gebeur nie, omdat sy kinders het na hom wanneer die iPad toegesluit self af. En hulle sê - jy weet, "Pa, daar is iets aan die gang met die iPad." En hy sluit alles af, want hy opgemerk dit oral gebeur. En hy het begin bel Apple om te sien wat die hel net gebeur het nie. En Apple het werklik gedink dat daar iets aan die gang dat iCloud gegaan het skelm totdat hulle uitgepluis het - hy eintlik uitgepluis het dat hulle inligting is die stuur, en hulle begin noem hom die verkeerde naam. Omdat Apple het op lêer inligting wat die aanvaller het ondermyn. 

Goed - so dit is die aard van die inligting wat ons gebruik om dit te bou soort van beste praktyk, maar ons gebruik dit as deel van 'n hele reeks seminare deur Oktober - Nasionale cyber Awareness Maand. Dit is beskikbaar gestel vir julle ouens. Ek sal seker maak dat ek dit gestuur het in die Wiki toe Dawid maak dit beskikbaar vir my so goed. Maar daar is raad en leiding in daar baie meer as granularly Ek is in staat om op te som in hierdie kort bedrag van die tyd wat ek beskikbaar het. rondom wat genoem word, bewolk met 'n Kans van identiteitsdiefstal: Pluk Goeie gebruikers name en wagwoorde. Is dit ooit nie sosiale? En die antwoord is nee, dit is altyd sosiale, maar jy moet bewus wees van wat dit beteken. En dit is Liewe Lions, Tigers, en Windows wat rondom verharding bedryfstelsel met 'n paar van die inligting wat ons het tot vandag. En die laaste een is oor, Het apparaat, Will Travel om te praat oor gaan selfoon met hierdie soort van data bronne. So anders as dat as jy enige vrae het my e-posadres is daar is, en as iemand in die kamer het enige vrae asseblief jou hand. Anders as dit, ek gaan die opname te stop. Alle regte. Gedoen. [CS50.TV]