[Powered by Google Translate] [Seminar: Surviving internetin] [ESMOND Kane-Universiteti i Harvardit] [Kjo është CS50.-CS50.TV] Përshëndetje, dhe i mirëpritur për të "mbijetuar internetin". Ajo është një prej seminareve që përbëjnë një pjesë të këtij programi mësimor CS50. Emri im është ESMOND Kane. Emri dhe adresa ime janë në kuvertë rrëshqitje atë në frontin e ju. Kjo është esmond_kane@harvard.edu. Në punën time ditë unë jam një nga IT drejtorëve të sigurisë për HUIT, por unë duhet të pranoj se sot unë jam në një mision larg cila është arsyeja pse unë jam i veshur me një këmishë të kuqe. Kjo nuk do të përfshijë çdo gjë që i takon direkt në punën time të përditshme, kështu që kjo nuk është në lidhje me IT të sigurisë në Harvard. Ky është informacion shumë vetëm personal, kjo është si kur Ti je - këto janë llojet e aftësive që ju do të fitojnë për të përpiqen dhe të ju ndihmojë ngurtësoj stacionet tuaj të punës dhe mjedisin tuaj të gjithë karrierën tuaj. Por asgjë që unë përmend sot duhet të aplikohen për ndonjë prej tuaj Materiali universiteti, serverat tuaj, ose workstations tuaj pa kontaktuar tuaj lokale IT mbështetje. Dhe me të vërtetë, nëse unë përmend ndonjë zbatimet apo çfarëdo incidenti, si pjesë e kësaj flasim apo diskutim nuk është raportuar asgjë që unë jam i privilegjuar që raportojnë. Kjo është zakonisht publik Dhe as ndonjë me të vërtetë duhet të përmend çdo aplikim të nënkuptonte ndonjë Shënimi nëpërmjet Harvard apo me të vërtetë ndonjë dënim. 

Pra, pse sot ne jemi këtu - tani që ne jemi bërë me mohim - ne jemi këtu sot për të folur për të mbijetuar në internet. Dhe pse është e tillë një temë e rëndësishme tani? Pra, për të perifrazuar Perry Hewitt i cili punon në Press Harvardit dhe zyra Komunikimeve - Unë kërkoj falje për të lexuar këtë të drejtë tani - ajo ka deklaruar: "Ne jetojmë në një Atmosfera e përshkallëzimit të rrezikut, por edhe një risi të pashembullt. Rritja e shpejtë e internetit, cloud, dhe teknologjive sociale ka rezultuar në shumë njerëz më kanë profilet publik online me të vërtetë akses në një rrjet gjithnjë e në rritje të informacionit. Dhe kjo do të thotë se të gjithë dhe shoqatat e tyre nuk kanë qenë asnjëherë më të dukshme. Si gjurmë dixhitale Harvardit - digjitale zgjeron rrjetin e saj, ne të tërhequr një audiencë më të gjerë. Ne shpresojmë për përmirësim, por ndonjëherë ne do të tërhequr një vëmendje negative. Pra, si një përfaqësues i Harvard ", dhe kjo përfshin të gjithë shikuar në shtëpi apo me të vërtetë dikush këtu, "Fakulteti ynë, studentët tanë, stafi ynë, hulumtuesit tanë, rrezikun e kompromisit për ju dhe të vërtetë ndaj rrjeti juaj i lidhur kurrë nuk ka qenë më e lartë. " 

Pra, shpesh në sigurimin e informacionit, kur ne përpiqemi për të balancuar këtë rrezikojnë kjo është një tregti e komplikuar off mes sigurisë dhe user experience. Në epokën e menjëhershme ne kemi për të marrë vendime të zhytur në mendime në lidhje me çfarë do të rrisë sigurinë pa një shqetësim i madh. Ne jemi tha ndonjëherë një ons e parandalimit është vlerë dy herë kuruar, por kur zgjedh të zbatojë masat e sigurisë për të zvogëluar rrezikun tuaj ne duhet të pranojmë se ajo kurrë nuk do të zvogëlojë rrezikun e mundshëm në zero. Kështu që tha - ne jemi këtu sot për të diskutuar disa të thjeshtë dhe jo aq e thjeshtë masa e sigurisë që ju mund të merrni të drejtën tani. Unë duhet të shtoj - në qoftë se ju keni ndonjë pyetje në të gjithë Prezantimi i vetëm të ngrenë dorën tuaj. Pra temën e parë - na është thënë shpesh për të marr një fjalëkalim të mirë. Një fjalëkalim i është mbrojtja juaj e parë dhe më të mirë. Ajo shpesh është i vetmi që është në dispozicion për ty kur ju po zgjedhin të përdorin një burim online. Por, siç e kemi parë gjatë kësaj vere dhe në të vërtetë të vitit paraardhës ne kemi parë sulme të tilla si LinkedIn, eHarmony. Ne kemi parë RockYou. Ne kemi pasur disa total prej 70 milion fjalëkalimet dhe llogaritë e komprometuara. Dhe kur këto fjalëkalime janë lëshuar në domenin publik ata përbënin edhe hash password. 

Pra, në thelb këto ditë në qoftë se dikush Rinxjerr një zgjua llogari ata nuk kanë nevojë për të goditur një fjalëkalim më;. ata nuk kanë nevojë për të forcës brutale një fjalëkalim për shkak se ata e kanë këtë trove masive e informacionit lëshuar në atë që njerëzit janë të zgjedhur. Ata kanë marrë tashmë të dhënat e sjelljes në mendje atë që njerëzit kanë tendencë për të përdorur. Dhe ata që kanë thyer poshtë për një listë prej rreth një mijë fjalëkalime të cilat përbëjnë gati 80 në 90% të fjalëkalimet që ne zgjedhim në përdorim të përbashkët. Pra, një shembull të shpejtë - dikush doni të rrezik se çfarë keni menduar Bashar al-Assad përdoret për fjalëkalimin e tij kur ajo ishte komprometuar vitin e kaluar? Kjo është një zotëri i cili është subjekt i shqyrtimit intensive. Pseudonimi dhe fjalëkalimi tij ishte 12345. Mirë - kështu që këto janë mësimet që ne kemi mësuar, ne kemi nevojë për të lëvizur përtej vetëm të menduarit e një fjalëkalim. Ne jemi të thënë të fillojë duke përdorur një frazë të kalojë. Nuk është një komik i madh apo me të vërtetë nga një komik web nga Randy Monroe e cila shkon në zgjedh një frazë kaluese; ai e përdor - Unë dua të them - , bateri lëndë, kufizim ose diçka të tillë - ju e dini - vetëm - apo me të vërtetë nuk është shaka që dikush i cili kap budalla, Nemo, Plutoni - të gjitha këto karaktere të ndryshme dhe London, sepse ai u tha të marr 8 karaktere dhe një kapital. Por, - kështu që ne mësojmë ne kemi nevojë për të shkuar përtej mendoj vetëm një fjalëkalim. 

Nuk është në fakt një Ezine në Boston të quajtur Ars Technica. Nuk është një zotëri i quajtur Dan Goodin i cili është duke bërë një seri në kjo Shtrirja ndryshuar - ose nga hapësira sulmuesit ku kemi kjo trove masiv në dispozicion për ne që ose mendje ne nuk duhet të gjenerojnë gjëra përmes tabelave rainbow; ne kemi 70 milionë fjalëkalime. Por gjithashtu ne kemi pasur - ju e dini - një ndryshim në arratisje aktuale plasaritje hapësirë, sepse kartat e GPU kanë bërë këtë praktikisht afër në kohë reale. Dhe nuk është një zotëri në Def Con në gusht të cilët vënë së bashku 12 prej këtyre kartave në një PC mall. Ai e bëri atë për rreth $ 2000 ose $ 3.000 një, dhe ai ishte në gjendje për të goditur the trove në LinkedIn - ju e dini - afër në kohë reale. Ajo ishte mjaft e frikshme. Artikulli Dan Goodin e - I highly recommend it në qoftë se ju doni të shkoni lexoni atë. Një zotëri i quajtur Sean Gallagher - këtë mëngjes - botuar edhe një Azhurimi i shpejtë në të; një shumë prej punës së tyre është e ndërtuar mbi - nga materiali në dispozicion nga Bruce Schneier, por edhe nga Cormac Herely nga Microsoft Research. Ata lloj i deklaruar rreth 5-6 vjet më parë që ne kemi nevojë për të filluar të menduarit përtej fjalëkalimet. Sugjerimet në atë kohë ishin gjëra të tilla si fraza të kalojë, Interfaces gestural - atë lloj stuff. Ti e di - nëse diçka që ju e dini se nuk është më e mjaftueshme në këtë pikë; që është një nga gjëra që kam duam të komunikuar sot. Nëse ju duhet të përdorni një fjalëkalim, le të mos të turpërohet në deklarimin ju duhet ende të marr një të mirë, ajo duhet të jetë diçka me shpresë përtej 10 karaktere. Ajo duhet të ndryshojnë në mes të sipërme dhe rastin më të ulët. 

Unë do të ju inkurajojmë që të mos ripërdorimin passwords. Unë mund të flas me disa raste ku ne kemi parë të merrni një llogari komprometuar dhe dikush hopped dhe skipped - efektin domino. Ata minave çdo llogari në çdo fazë të procesit për këtë të dhënave, dhe pastaj ata vazhdojnë të përdorin që të dhënat që ata minuar në çdo rast kundër një tjetër burim kredenciale. Pra, - përsëri - marr një fjalëkalim të mirë. Bëjnë atë unike. Ju mund të doni të mendoni për duke përdorur një shërbim Password Manager. Nuk janë ato nga atje - ata janë të gjithë në dyqane app. Nuk është një OnePass thirrur, KeePass, LastPass - kjo është një mënyrë e mirë për të që të ju ndihmojë të krijojë kredencialet unike, kredenciale të forta, por edhe të lehtësojë arkivin dhe mbajtjes së shënimeve për ju. Anën poshtë për këtë është që ju duhet për të sjellë atë në një dyqan fjalëkalim; ju duhet të bëni të sigurtë që se menaxheri fjalëkalimi se ju jeni duke besuar është i denjë për besimin tuaj si. 

Pra, sigurohuni që ata djemtë janë gjithashtu duke përdorur disa mekanizma të vlefshme fjalëkalim. Në veçanti ai që unë jam duke shkuar për të përmendur të drejtë tani është multi-faktor authentication. Pra, multi-faktor authentication - dhe ka disa raste unë do të shkoj nëpër menjëherë - Ajo është e leverdishme të thjeshtë të marrë diçka që ju e dini si tuaj emri i përdoruesit dhe fjalëkalimin tuaj dhe duke shtuar në atë - ju jeni duke shtuar një tjetër faktor. Pra, faktori i parë që ne do të përmendim këto sot janë ato në bordet. Kjo është diçka që ju keni në pasurinë tuaj, kështu që është ose një aplikim që po kandidon në smartphone tuaj ose në të vërtetë në telefonin tuaj vetë. Dhe ju mund të jetë në gjendje për të marrë një tekst SMS. Kini kujdes, nëse ju udhëtoni jashtë shtetit që nuk është domosdoshmërisht do të ndjekin ty. Një aplikim mund të punojnë më të madh në atë rast. Apo me të vërtetë faktor tjetër që ju mund të doni të mendoni për është diçka që ju jeni. 

Tani kjo është ende lloji i skunkworks shumë. Ne nuk e shohim miratimin e shumë e saj. Kjo është - ju e dini - style Mission Impossible - ju e dini - print juaj venë, shtypura thumb juaj, të shtypura tuaj retinë. Ata janë lloj i më tej, ata vërtetë nuk janë faktorë shumë të vlefshme legalizuara. Ne e shohim - kur unë flas për kolegët e mi të sigurisë - më shumë presion se ju vënë në një tastiera, model të veçantë të të shtypurit, ndoshta është direkt në horizont - shumë më shumë se këta identifikuesve të tjerë biometrike. Por ato sot janë aplikacione ose SMS tekst ose edhe vetëm një Përgjigja sfidë email që ju do të merrni për të vërtetuar se ju e bëri në fakt të zgjidhni për të hyni në në këtë moment në kohë. Pra, ka një lidhje të drejtë atje, unë kam mbuluar me njolla jashtë në kuvertë rrëshqitje këtë mëngjes. Ajo do të jetë në Wiki. 

Gmail dhe Google të dyja e bëjnë këtë; Yahoo do ta bëjë atë. Paypal ka atë; Paypal gjithashtu ka një çelës pak aktuale hardware e cila bën një numër të rradhës. Por ju gjithashtu mund të zgjidhni për të përdorur një numër telefoni. Facebook gjithashtu e bën një regjistër në miratimin, kështu që ju zgjidhni për të miratojë atë, ata gjithashtu janë duke punuar më shumë në drejtim të sigurimit të vlefshme forcë të vështirë. Dropbox ka 2-hap verifikimin si dhe, ju gjithashtu mund të thjesht blerë një kyç hardware për ta. Ne gjithashtu shohim në një Gmail ose Google njëra anë, shumë njerëz janë të në fakt bashkë-zgjedhur authenticator Google, kështu që - për shembull - I use LastPass - kjo nuk do të thotë ndonjë miratim - por ata mund të ripërdorimin Verifikimi i 2-Hapi i Google-it në mënyrë që do të thotë unë nuk duhet të ecin rreth me 2 aplikacionet në telefonin tim. Por gjithashtu informatikë hulumtimi brenda Harvard, ose duke përdorur një analogji deri në 2-hapi authentication Google sepse një herë fjalëkalimi algorithm është me burim të hapur ka rreth 10 vjet më parë. Ndonjë pyetje? Mirë. 

Pra, një tjetër konsideratë faktor përtej fjalëkalimet është kur ju jeni duke përdorur këto burime të jenë të vetëdijshëm se çfarë të dhënash ju jeni të kryer për ta. Vetëm kufizojnë atë që ju në të vërtetë janë vënë deri atje. Pra, ne jemi të vetëdijshëm se këta njerëz të cilët janë duke ofruar një shërbim për ne në internet - këto ofruesit Cloud - ata kanë një interes të dhënë në ju nuk janë aq të sigurta sa ju potencialisht mund. Ata kanë tendencë për të vënë në dispozicion një grup të zhveshur minimale të sigurisë, dhe pastaj ka një bandë e atyre të tjera që janë opsionale që ju duhet të zgjidhni të zgjedhin për të. Lloji i marrë larg nga kjo bisedë është siguria është një përgjegjësi e përbashkët. Ajo është midis jush dhe që ju partnerët Make - aleancat që ju formular. Ju duhet të marrë një rol aktiv. Zgjidhni të zgjedhin në për këtë. Ti e di - të marrë kohë tani, të bëjë atë më të sigurt. Alternativa është atje janë tashmë njerëz valorizimeve dhe testimin e këta faktorë të sigurisë kundër teje, aq më shumë që ju mund të zgjidhni të zgjedhin në të mirë të përgatitur jeni për kompromis eventual. Dhe kjo është eventual. 

Por faktor tjetër për të menduar është përmendur si unë këto parti e internetit që ju jeni duke besuar me kredencialet tuaja - me identitetin tuaj. Unë do të ju jap 2 analogji; Larry Ellison dhe Mark Zuckerberg - ata janë të dyja të në arkiv deklaruar privatësinë është kryesisht një iluzion. Dhe se mosha e privatësisë është e gjatë. Kjo është lloj i një aktakuzë e trishtuar se ne me të vërtetë duhet të presin që qeveria të ndërhyjë për të detyruar këto parti të jetë më i sigurt, për të futur legjislacionin e më shumë, sepse kur ne përpiqemi të punojmë me Këto shitësit për shembull disa prej këtyre partive si Dropbox, ata janë në biznesin e sigurimit të shërbimeve të konsumatorit. Ata nuk janë të interesuar direkt në të paturit e ndërmarrje-grade kontrollet e sigurisë. Konsumatorët votuan me portofolin e tyre, dhe ata e kanë pranuar tashmë një notën minimale. Është koha për të ndryshuar atë të menduarit. Pra, kur ne të sigurojë të dhënat tona për këto parti, ne kemi nevojë për të kooptuar tonë Mekanizmat ekzistues të besimit, kështu që ne jemi krijesa shoqërore nga default. 

Pra, pse të gjithë e papritur kur ne të fillojnë të vënë të dhënat online bëjmë ne tani kanë qasje në të njëjtat mbrojtje bëjmë personalisht? Pra, kur unë mund të lexojnë gjuhën e trupit tuaj, kur unë mund të zgjedhin për të Rrjeti me një rreth shoqëror dhe në të vërtetë në atë rrethin e ditur vetëm informacioni që unë dua të. Pra, ne kemi qasje në këtë shprehje në gjuhën e trupit, për të zëshme, ne kemi qasje në këto mbrojtje afërsisë identitetit në një lokacion fizik, ata janë ende në zhvillim në internet. Ne nuk kemi qasje në to, por ne jemi duke filluar të shohin ato. Pra, ne kemi anë të medaljes në Facebook - për shembull - si grupe. Ne kemi qasje në gjërat në Google+ si qarqet. Absolutisht përdorin ato. Pra, gjëja e fundit që ju doni të shihni në këtë hapësirë ​​në veçanti kur ju shkoni për të marrë një punë është që ju keni bërë tani një shumë të tuaj personalitet publik. Dhe kur dikush dëshiron të - ata duhet të zgjedhin për të - ajo mund të jetë pjesë i politikës së kompanisë apo jo - kjo sigurisht nuk është pjesë e Harvard's - por ata mund të zgjedhin për të bërë një kërkim në Google. Dhe kur ata e bëjnë kështu - në qoftë se ju ofrohet - le të themi disa informacione të cilat ju do të keni vështirësi në këmbë prapa - ju keni bërë vetes një dëmtim. Dhe me të vërtetë, siç e përmenda - këto kompani sociale ata kanë një interes të dhënë në duke e bërë atë publike - ju e dini - ata kanë nevojë për të minave të dhënat tuaja. Ata janë të shitur demografike tuaj dhe materiale për dikë tuaj të marketingut. Ky lloj i analogjisë në këtë hapësirë ​​është - nëse ju nuk janë paguar për një produkt jeni produkt? Pra krijojnë qarqet për miqtë tuaj, të jenë të kujdesshëm, të jenë të zellshëm, nuk përpiqet për të bërë gjithçka publike. 

Një analogji unë do të bëni është end-userave marrëveshjeve të licencës ndryshojë, ata do të ju tregojnë se çfarë ata mund të bëjnë me të dhënat tuaja, dhe ata janë duke shkuar për të varrosur atë në një klikim 50 faqesh përmes. Dhe ata mund të zgjedhin për të ndryshuar atë, dhe ata vetëm të ju dërgoj një email të shpejtë. Por ju nuk jeni një avokat, por është shumë në legalese. Ju duhet të jetë i kujdesshëm për atë që ju jeni duke bërë. Ata mund të zotërojnë fotot tuaja, ata mund të zotërojë pronën tuaj intelektuale. Ju e dini - vetëm zell ushtrim. Një tjetër shembull Biblioteka e Kongresit është arkivimin every cicërimë të vetme të njohur për njeriun. Çdo gjë. Çdo 10 vjet përafërsisht trupin e materialit që është gjeneruar në se llogaritë 10 vjet ose në masë të madhe outpaces çdo gjë që ne kemi krijuar gjatë gjithë historisë njerëzore. Biblioteka e Kongresit ka një interes në ruajtjen atë informacion për brezat, për arkivistët e ardhshme, për studiuesit dhe historianët në të ardhmen, kështu që çdo gjë që ju jeni të vendosur atje është atje. Ajo do të bëjë në fakt një burim të madh në disa pika sapo njerëzit fillojnë të minave inxhinieri sociale apo faqet e rrjeteve sociale. Pra mbani informuar nga mbrojtjet në dispozicion brenda çdo aplikim. 

Nuk është diçka që unë do të përmend, si dhe, nuk është një mjet i palës së tretë quajtur Privacyfix; ajo mund të plug drejtë në për disa nga këto aplikacionet e rrjeteve sociale. Dhe kjo mund të kontrolloni për të parë se ku ju jeni në lidhje me mbrojtjet që janë në dispozicion në to, nëse ju mund të zgjidhni për të shtrëngojë ato më tej. Nuk janë mjete si Frontit Çlirimtare të dhënave nga Google ku ju mund të zgjidhni për të eksportuar ose nxjerrjen e të dhënave tuaja. Nuk janë gjëra të tilla si Suicide Machine internet e cila do të hyni në për disa nga profilet tuaja dhe në fakt fshini çdo atribut të vetme një në një kohë, çdo untag miq vetme Asociacionit në rrjetin tuaj do të kishin bërë. Dhe kjo do të ndjekë për të iteratively pastrojë gjithçka rreth jush se kjo faqe do të dinë. Në qoftë se unë vetëm mund të ushtrojë disa kujdes edhe atje, nuk ishte një shembull Nja dy vjet më parë në Gjermani, ku një qytetar vendosi të ushtrojë lirinë e tij të të drejtave të informacionit dhe të kërkoni në Facebook për tu siguruar çfarë informacioni që ata kishin në arkiv për atë edhe pasi ai fshihet llogarinë e tij. Ata e dhënë atij me një CD me 1.250 faqeve të informacionit llogaria e tij edhe pse teorikisht nuk ekzistonte më. Nuk është koncept në këtë hapësirë ​​shumë se disa prej këtyre Subjektet do të mbajë disa të dhëna rreth jush për të bërë me shoqatat tuaja dhe rrjetet tuaja. Ata thonë se nuk mund të ketë kontroll mbi atë, që është pak e një shtrirje në mendimin tim. Ata krijojnë këto llogari Shadow - e personas hije. Vetëm të jenë të kujdesshëm. Kufizojë atë që ju mund. Në një nivel të pajisjes aktuale, kur ju jeni vetëm duke folur në lidhje - ju e dini - hardware - smartphone tuaj, Pllakat e tua, workstation tuaj, laptop, ndoshta një server që ju jeni përgjegjës për të. 

Ju ndoshta keni dëgjuar rreth koncepteve si operacionit, përditësimet e sistemit, Përditësimet e aplikimit, antivirus, ju keni dëgjuar për gjëra të tilla si firewalls, encryption disk, dhe back up. Një gjë që ju duhet të jenë të vetëdijshëm është që ju nuk dëgjoni Rreth ata lloj i mbrojtjeve në hapësirën e telefonisë mobile. Ata janë po aq të ndjeshëm ndaj kërcënimeve të njëjta. Kishim - Unë dua të them - një milion smartphones do të jetë aktivizuar deri në fund të këtij muaji. Kjo ka shumë tejkaluar - brenda periudhë të shkurtër kohe që ata kanë qenë në dispozicion, që ka shumë tejkaluar rritjen e PC, laptop, tregu workstation. Por ne nuk kemi qasje të njëjtave kontrolle, dhe unë do të flas në lidhje me atë së shpejti. Pra, para se të merrni në hapësirë ​​të telefonisë mobile le të flasim për çfarë është në dispozicion atje që unë vetëm shkurtimisht kaloi. Pra, antivirus software - këtu janë disa zgjedhje të lira. Microsoft jep larg tyrja - ju e dini - Sophos jep larg tyre për OSX, si dhe Patch kompjuterin tuaj - vetëm të jetë i vetëdijshëm për çdo gjë që shitësi tuaj të niveli aktual patch është, dhe ju nuk duhet të jetë një delta të rëndësishme nga ajo. Nuk është një mjet i mirë nga një kompani e quajtur SECUNIA. Dhe SECUNIA do të kandidojë në sfond, dhe ai do t'ju tregojë nëse ka një përditësuar në dispozicion dhe nëse keni nevojë për të aplikuar atë. 

Aktivizo përditësimet automatike - si Apple dhe Microsoft do të ketë disa aspekt i kësaj. Ata do të paralajmërojë ju se ka një update dispozicion. Dhe SECUNIA - ju e dini - është lloj i një sigurisë neto të bukur që të ketë si - bien mekanizëm mbrapa. Në shtresën e pritës - mos marrë për smartphones ende. Aktivizo firewall amtare të sistemit operativ. Ka disa informacione rreth Windows në një OSX. Test firewall tuaj, mos e lënë atë vetëm atje dhe mendoj se kjo është një mekanizëm i sigurt. Merrni një rol aktiv, nuk është një kërkesë atje nga GRC - Steve Gibson. Wi-Fi e sigurisë në këtë hapësirë ​​- kjo mund të zbatohen edhe për smartphone dhe tabletë - kur ju jeni zgjedhur për të shkuar në rrugën që ju duhet të jenë të vetëdijshëm se ka klasa të ndryshme të rrjetit pa tel. Dhe në veçanti nuk e zgjedhin atë më së shpeshti në dispozicion. Ajo mund të jetë me kosto të ulët, por nuk mund të jetë një arsye për këtë. Ndoshta ata janë të minierave të dhënave tuaja. Ne e shohim këtë më shumë kur ju jeni të udhëtojnë ndërkombëtarisht. Ka disa të vërtetë shumë efikas sindikatat kibernetike kriminale që janë në gjendje të levave atë që ne zakonisht shohim në spiunazh Shtetet e Kombit '. Një faktor ku ata janë të plotë injektuar veten në një lumë të rrjetit. Ata janë tërhequr stuff nga atje, dhe ata janë injektuar aplikacionet për të workstations tuaj. 

Kjo është - Aspekti tjetër që unë e di është përmendur në disa nga këto Seminaret e sigurisë - apo jo seminare CS50 seminare - është një mjet i quajtur Firesheep. Dhe Firesheep ishte një sulm i veçantë në hapësirë ​​të telefonisë mobile ku disa prej këtyre aplikacioneve rrjeteve sociale janë dërguar letrat kredenciale në tekst të thjeshtë. Dhe kjo është mjaft zakonisht pranohet sepse të gjithë në atë kohë isha duke menduar se nuk kishte oreks në hapësirën e konsumatorit për të, që të përdorni kriptimin më të lartë forcë kuptohej një barrë të performancës në server, kështu që nëse ata nuk kanë për të bërë atë - ata nuk duan të. Dhe pastaj të gjithë e papritur kur ky studiues siguria bërë sulmi i parëndësishëm shumë shpejt - ju e dini - ne kemi filluar të shohim atë lloj të përmirësim që të gjithë në hapësirën e sigurisë kishin janë ankuar për një gjatësi të konsiderueshme kohe. Pra, - në veçanti - Firesheep ishte në gjendje të rifitoj Facebook, Twitter Kredencialet nga lumë e Wi-Fi. Dhe për shkak se ajo ishte në tekst të thjeshtë, dhe ata ishin në gjendje për të injektuar. 

Përsëri, në qoftë se ju do të përdorni Wi-Fi të zgjedhin të përdorin një të tillë që është e mbrojtur sa duhet - WPA2, nëse mundeni. Nëse ju duhet të përdorni unencrypted Wi-Fi - dhe në mënyrë të veçantë unë jam duke folur për askënd që është përdorur Universitetit të Harvardit Wireless - ju mund të doni të mendoni për përdorimin e VPN. I highly inkurajojë atë. Faktorë të tjerë ju mund të dëshironi të mendoni rreth janë në qoftë se ju nuk i besoni Wi-Fi se ju jeni në ju mund të dëshironi të kufizojnë përdorimin. Mos bëni ndonjë e-commerce, mos bëni ndonjë bankare. Mos hyni kredencialet tuaja universitare. Nuk është një fitore e madhe në këtë hapësirë, nëse dikush nuk vjedhin kredencialet tuaja - ju e dini - ata kanë telefonin tuaj celular? Pra, - ju e dini - se është një tjetër faktor që ata nuk mund domosdoshmërisht të rrëmbej ose thjesht e bën sulmin e tyre më e komplikuar. Encrypt hard disku juaj. Ne jemi në një epokë të drejtë tani - encryption përdoret për të jetë një marrëveshje e madhe 10 vjet më parë. Ajo ishte një ndikim të rëndësishëm të performancës. Ajo nuk është më - në fakt - shumica e telefonave celularë dhe atë lloj stuff ata po bëjnë atë në hardware, dhe ju as nuk njoftim - performanca është aq i papërfillshëm. 

Nëse ju jeni duke folur në lidhje me një workstation, ne po flasim për BitLocker. Ne po flasim për Vault dokumentit; mundësojë atë - të marrë kohë tani. Në hapësirën e Linux padyshim crypts True mund të punojnë nëpër dy nga ato. Ju mund të doni të mendoni rreth - në hapësirën Linux - nuk ka dm-Crypt, ka Luxcrypt - nuk janë një bandë e opsioneve të tjera - gjithashtu Crypt Vërtetë. Mënyrë tjetër të shpejtë për të mbrojtur veten në nivelin workstation mbështetur hard disku juaj. Dhe një rrudhë të vogël këtu - kjo nuk është e mjaftueshme për të përdorur një nga këto ofruesit sinkronizimi re, në mënyrë Dropbox ose G-Drive apo diçka tjetër Kjo nuk është një zgjidhje back up. Nëse fshin dikush diçka në njërën prej këtyre pajisjeve sepse ata futur veten disi po shkon - që fshirjen merr përsëriten nëpër personalitet tuaj të tërë. Kjo nuk është një back up, që është vetëm një mekanizëm shumim. Pra, është mirë që të ketë një zgjidhje back up. Ka këtu janë disa sugjerime për disa njerëz, disa prej tyre janë të lirë - Kapaciteti i bazuar - 2 koncerte e back up - ju mund të bëni atë. Nëse jeni duke përdorur universitetin G-mail - Universiteti Google në kolegj dhe bashkë, G-Drive në qoftë se ajo nuk është tashmë - ajo do të jetë në dispozicion së shpejti. Kjo është një zëvendësim i mirë. Ne gjithashtu do të shikojmë në këto gjëra si në shtëpi Mozy. Ajo është e mirë që të ketë 2 zgjidhje. A nuk kemi të gjithë e vezëve tuaj në një shportë. Nëse jeni asgjësimin e diçka të vërtetë ose në qoftë se ju jeni në proces e dërgimit diçka konfidencial - disa sugjerime këtu për të sigurt shuaj një pajisje. Darik Boot dhe Nuke-së - që është lloj i më për IT tru. Ju mund të doni të mendoni për vetëm duke i dhënë atë për disa nga këto ofruesit komercial, nëse mundeni. 

Encrypting email - në qoftë se ju keni për të - ka disa shërbime në kampus quajtur Accellion, ju jeni jashtë-kampus ose për përdorim personal unë do të rekomandojë Hushmail. Ne e shohim atë shumë të përdorura në informatore, ajo është një nga kryesore mekanizmat për WikiLeaks si Tor dhe disa ekuivalentëve të tjera. Dhe - tani për të folur në lidhje me nivelin e telefonit - kështu që problemi këtu është atje nuk është se shumë nga një oreksit ende. Për fat të keq shumica e smartphones dhe OSS tabletë ata janë të bazuar ende në disa nga parimet që ne pamë në 1990. Ata nuk kanë inkorporuar me të vërtetë disa nga përmirësimet që ne shohim në nivelin workstation. Ata nuk janë duke bërë mbrojtje të ngrohjes. Ata nuk janë duke bërë - ju e dini - randomization shtresë. Ata nuk janë duke bërë mbrojtjen e adresave. Ata nuk janë duke bërë ekzekutuar mbrojtje - atë lloj stuff. Por, edhe pajisja vetë nga defacto nuk do të ketë ndonjë fund sigurinë pikë ndërtuar në të. Pra, ne jemi duke filluar për të parë këtë ndryshim - përsëri - më e smartphone - prodhuesit Android, Apple, dhe Windows - oreksi i vetëm nuk ishte aty, ishte pikë referimi Blackberry. Por Blackberry ka lloj i humbur tërheqje e saj në treg në këtë pikë. Dhe Apple ka rritur me të vërtetë in Rreth 2 vjet më parë ka pasur një moment kthese, ku ata filluar për të ndërtuar në një shumë kontrollon më shumë ndërmarrje të tipit. Dhe - në të vërtetë - në gusht ata bënë një prezantim në Def Con cila ishte vetëm diçka e paparë. 

Pra, ata do të bëjnë kontrollet minimale që kam përshkruar. Ata do të bëjnë fjalëkalim të fortë, ata do të bëjë një të shpejtë për këtë fjalëkalim në boshe - pajisje - ju harrojmë për këtë dhe pas 15 minutash ai aktivizon. Ata do të bëjë encryption, dhe ata gjithashtu do të bëjë atë që është quajtur fshirje të largëta. Në Android dhe hapësirë ​​Windows-këto janë ende TBD - për t'u përcaktuar. Android ka qasje në disa aplikacione të quajtura Prey dhe Lookout. Dhe me të vërtetë disa nga mjetet pikë në fund të sigurisë si Kaspersky unë e di e bën atë. Unë e di Eset e bën atë si të mirë Ata do të ju lejojnë të dërgoni një tekst SMS dhe spastrim pajisjen. Windows Phone në këtë pikë ai është kryesisht i orientuar drejt Stili i korporatave - atë që quhet këmbimit. Shkëmbimi është një infrastrukturë të fuqishme mail, dhe ajo mund të mandatojnë disa prej këtyre kontrolleve. Windows 8 transportohen vetëm javën e kaluar, kështu që unë nuk mund të flas për atë përfundimisht. Dritaret 6.5 ishte pajisje e madhe të sigurisë. Mobile Windows 7 ishte një fatkeqësi, ata nuk kanë bërë të gjitha këto kontrolle amtare detyrueshëm të gjithë shitësit të ndryshme. Pra, keni pasur për të ratifikojë çdo Mobile Windows Phone 7 në një kohë. 

Android - që nga hapësira 3.0 ka pasur një përmirësim të madh si. Huall mjalti, Ice Cream Sandwich, Jellybean - ata do të mbështesin këto kontrolle minimale, dhe në të vërtetë ata do të mbështesë disa prej kontrollit të ndërmarrjes që ju mund të bëni si. Në hapësirën personale në logarinë tuaj nuk është një sync Google personal që ju mund të mundur në qoftë se ju keni vet hapësirën tuaj të Google si. Pra, çfarë bëni kur gjithçka shkon tmerrshëm të gabuar? Dhe në qoftë se unë mund të - një tjetër takeaway nga kjo është me të vërtetë, kur - në qoftë se ajo nuk është. Kjo do të ndodhë për të gjithë ne në një pikë. Çfarë mund të bëni? Pra, çfarë ju mund të bëni - dhe nuk është një rrëshqitje - slide ardhshëm do të të ju pikë në disa nga burimet FTC për të, por një vend i zhveshur minimale një alarm mashtrim mbi kartat e kreditit tuaj. Në qoftë se unë mund të ju inkurajojmë që të mendoni rreth kur ju jeni duke përdorur një kartë krediti në një kapacitet në internet - në varësi të transaksionit që ju jeni duke e bërë Kartat e debitit - aftësinë për të pretendojnë apo aftësinë për të tërhequr një mashtruese pretendim mbi një kartë debiti në fakt është një dritare shumë më e vogël se ajo është në një kartë krediti. Pra, sapo ju të marrë raportin tuaj në një kartë debiti ju keni vetëm një të caktuar kornizë kohë - dhe kjo është shumë e ulët - të njoftojë bankën e transaksionit mashtruese. Kartat e kreditit ajo është shumë më e madhe, ka tendencë të jetë një kufi deri në rreth 50,000 dollarë para se ata do të vërtetë të jetë në gjendje për t'ju zhdëmtojë. Pra, kjo është mjaft e një shumë të holla, ata bumped atë deri nga rreth $ 13.000 ose 18.000 $ ka mjaft kohët e fundit. Pra, - ju e dini - kur ju mendoni rreth duke përdorur një kartë krediti online, ju mund të mendoni për duke përdorur një kartë të lartë deri ose një kartë e disponueshme, një kartë krediti ndezjes? 

Nëse ju bëni të shihni asgjë - dhe unë do të ju tregojnë se si ju mund të merrni qasje menjëherë - mbyllë çdo llogari mashtruese në qoftë se ju janë bërë të vetëdijshëm për këtë. Të paraqesë një raport të policisë, nëse ju jeni në kampus. Arrijnë nga të HUPD - le ta dinë. Mendoni për një shërbim monitorimin e identitetit. nëse si pjesë e - nëse ju nuk merrni komprometuar - ju mund të keni për të - ata mund të financojnë shërbimin e mbrojtjes të identitetit. Nëse ata nuk e bëjnë ndoshta ju duhet ta bëjë atë. Mblidhni dhe për të mbajtur të gjitha provat - në veçanti asnjë diskutim që ju keni pasur me çdo autoritetet penale veçanërisht për qëllime të sigurimit. Ndryshojë të gjitha fjalëkalimet tuaja. Ndryshimi përgjigjet për çdo pyetje të sigurisë që mund të përdoren për të rivendosni fjalëkalimin tuaj. Disable ndonjë shërbime kaluara identitetit. Pra, nëse ju jeni të ripërdorimin llogarinë tuaj Facebook të hyni në Twitter ose anasjelltas, thyer se, në qoftë se kompromisi i përfshirë llogarinë tuaj email kontrolloni për të parë nëse çdo gjë është duke u përcjellë. Sepse përndryshe ata ende kanë qasje në të dhënat tuaja. Dhe në qoftë se vjedhja e Harvardit përfshin llogarinë tuaj, lutemi njoftoni IThelp@harvard.edu. Unë nuk mund të themi se të mjaftueshme, por edhe në veçanti nëse pajisja humbet ose vjedhur dhe kjo ka pasur qasje në të dhënat tuaja universitare dhe ndoshta ju nuk e kanë disa prej këtyre mbrojtjeve të jetë përkatës; lutem na tregoni - HUPD dhe IT Ndihmë në Harvard. 

Pra lidhja që unë sapo përmenda që shkon në se me më shumë detaje FTC.gov / identitytheft. Shërbimi Postar gjithashtu ka disa mashtrim ose shërbime mbrojtjen e identitetit - ju vetëm vënë një të mbajë ose një ndalesë mbi kartat e kreditit duke shkuar nëpër apo stuff like that. FBI ka një lidhje, si dhe, ajo është në shënimet e slides që kam dërguar jashtë. Dhe me të vërtetë Massachusetts Better Business Bureau dhe Mbrojtjes së Konsumatorit Byroja ka disa udhëzime, si dhe, ajo është në shënimet shpjeguese. Merrni kohë tani, të bëjë veten të vetëdijshëm për atë që ju mund të bëni, dhe të ndërmarrë veprime. Parimi - siç e përmenda më herët - është në qoftë se ju nuk keni një plan për identitetin tuaj të vjedhur ju menjëherë do të jetë nënshtrohet një punë shumë e kur kjo nuk ndodh, dhe kjo është kur. Por edhe kur ju keni marrë këto masa paraprake - më lejoni të vetëm të shtoni një Fjala e lehtë e kujdes - nuk ka plan mbijeton kontaktit e parë me armikun. Pra, edhe në se ne ende mendojmë se nuk mund të ketë disa përmbysje - ju e dini - banka juaj për shembull që ju keni ndërtuar të gjitha këto mbrojtje rreth ata mund të merrni të komprometuar; këto parti të besuar se ti më ke dhënë të dhënat tuaja për të. Pra, ju jeni mbrojtja tuaj më të mirë. Ju e dini - mbetet vigjilente - mbetet vigjilent. Merrni kohë tani të zgjedhin të zgjedhin në për këto; shpresojmë bisedoj kjo, bisedoni për këtë me miqtë tuaj. Pick fjalëkalimet mira; përdorni fjalëkalime unike për llogaritë tuaja. Dhe mos ripërdorimin fjalëkalimet - në veçanti - rreth disa prej pasuritë tuaja më të ndjeshme, mos e përdorni llogarinë tuaj universitar diku tjetër. Mos përdorni llogarinë kartën tuaj të kreditit diku tjetër. Fjalëkalimin mbrojtur pajisjen tuaj mobile tani. Dhe nga pajisje të lëvizshme smartphone Unë do të thotë, unë do të thotë tabletë tuaj. 

Mendoni në lidhje me përdorimin pyetje të mira të sigurisë reset, dhe unë do të flas në lidhje me kjo pak pse; kontrolloni raportin tuaj të kreditit. Një tjetër mënyrë që ju mund të jetë një qytetar i mirë në këtë hapësirë po reagon qeveria detyruan 3 agjencitë Experian, TransUnion, dhe Equifax të lëshojë raportet e kreditit. Për disa prej komunitetit të Harvardit, sidomos në hapësirën e studentit, kjo mund të jetë e re për ta, por ju jeni i lejuar për të tërhequr ato agjencive të paktën një herë në vit. Kujdes Mirë - shkoni për në atë vend, por është në dispozicion në një FTC. Dhe të bëjë atë çdo 4 muaj në vend, dhe ju jeni në gjendje për të mbajtur Tabs on kush është nxisni kërkesa për informacion kartën tuaj të kreditit, ose në qoftë se me të vërtetë në qoftë se dikush hap ndonjë llogari mashtruese. Dhe - në përgjithësi - udhëzimi është që të jetë i vetëdijshëm. Dhe unë jam duke shkuar për të ju jap një shembull specifik shpejti, por kjo është në thelb mish dhe patate e diskutimit. 

Pra, pse kjo është e drejtë e rëndësishme tani është gjatë verës ka pasur një zotëri i quajtur Matt Honan - në qoftë se ju jeni atje thank you very much për të qenë kaq i ardhshëm me të dhënat tuaja. Por çfarë ndodhi me Matt është ai punoi për Wired Magazine, dhe disa cyperhacktivists shkuan pas llogarinë e tij Twitter. Dhe ata kanë përdorur disa prej këtyre burimeve - disa nga ky personalitet publik që ai ka bërë në dispozicion. Kështu ata i ndërtuan një hartë, ata e dinin se ku dhe kur për të sulmuar. Pra, nga që ata filluan për fetë dhe zare informacion që ai ka bërë në dispozicion, dhe ata zbuluan se ai kishte një llogari në Gmail. Pra, ai ishte duke përdorur më pak se një fjalëkalim të mençur për Gmail e tij, dhe ai nuk kishte asnjë multi-faktor authentication mbi të. Pra, ata komprometuar Gmail tij, pasi ata kishin qasje në Gmail e tij panë të gjitha këto llogaritë tjera që ai kishte mbyllën në Gmail e tij. Në të vërtetë, ata kishin qasje në Gmail e tërë e tij të gjithë ose Google Persona. Dhe - në veçanti - ata filluan të konstatoj se ai kishte një llogari Amazon sepse ka pasur disa email duke u raportuar atij. Pra, atëherë ata mori për në Amazon e tij, dhe ata që mori në Amazon tij vetëm nga resetting fjalëkalimin e tij, sepse ai shkoi në Gmail e tij. Ai nuk kishte - ai lloj i kishte një efekt domino apo chaining kredenciale ndodh këtu ku dikur ata patën Gmail e tij kishin çelësat e mbretërisë. Pra, një herë ata patën për në Amazon tij - dhe kjo ishte pa fajin për këta djemtë e tjera - kjo ishte - ju e dini - Matt nuk e kishte zgjedhur për të të zgjedhin për të këtyre mekanizmave më të sigurta se vetëm këta njerëz kishin vënë në dispozicion dhe të gjitha këto burime të internetit. 

Pra, një herë ata patën për në Amazon tij ata kishin qasje - kjo nuk ua tregoi atyre kartën e tij të kreditit, por ajo tregoi atyre fundit 4 shifra vetëm kështu ai e dinte se çfarë ishte, ajo tregoi atyre adresën e tij të anijeve. Ajo tregoi atyre disa informata të tjera që ai bërë në disa urdhrave. Dhe pastaj nga ata që vendosën për të sulmuar llogarinë e tij Apple. Dhe ata social engineered ndihmën tavolinë Apple. Apple nuk duhet të ketë bërë atë, por bazuar në këtë informacion që ata ishin në gjendje për të minave nga 2 llogarive të tjera. Ju e dini - djalë në tavolinë të ndihmojë ndoshta mendoi se ai ishte duke u një qytetar i mirë - ju e dini - Unë jam duke u dobishme, nuk është një klient të Apple atje që është bllokuar atje në të vetët, dhe kam nevojë për të ndihmuar atë. Por kjo nuk ishte e vërtetë konsumatori Apple. Pra, ata të rivendosur llogarinë e tij Apple, dhe ata dërguan informacion në Gmail. Pasi sulmuesit kanë pasur qasje në llogarinë e tij Apple Matt kishte të gjitha pajisjet e tij të lidhur në iCloud e tij, dhe ata filluan lëshimin e vendos dëshmi të rreme dhe gëlltit çdo gjë. Përsëri, ai sapo kishte propaganduar të dhënat e tij, ai ishte duke përdorur iCloud si mekanizëm sinkronizimit. Pra, kur ata fshihen ajo gjithçka shkoi zhurmë. Ata ende kanë pasur qasje në këtë pikë për të Twitter llogarinë e tij e cila është ajo ata ishin përpjekur për të sulmuar. Unë nuk e di nëse ata kanë përdorur Maltego ose disa nga këto mekanizma të tjerë për të ndërtuar nga personalitet e tij në internet, - por ju e dini - brenda një çështje e Kursi ata patën qasje në 4 shërbimeve të ndryshme të identitetit para ata patën në Twitter e tij, dhe kjo kosto Matt - Matt ishte mjaft me fat ai e pa atë të ndodhë për shkak se fëmijët e tij erdhën tek ai kur iPad mbyllur veten jashtë. Dhe ata i thanë - ju e dini, "Babi, nuk është diçka që ndodh me iPad." Dhe ai mbylli gjithçka poshtë për shkak se ai vuri re se po ndodhte kudo. Dhe ai filloi duke e quajtur Apple për të parë se çfarë dreqin kishte ndodhur vetëm. Dhe Apple mendonte sinqerisht se nuk ishte diçka ndodh iCloud që kishte shkuar mashtrues deri sa ata me motive jashtë - ai në fakt artistikisht se ata ishin të dërguar informacion, dhe ata filluan duke e quajtur atë me emrin e gabuar. Sepse Apple kishte në informacionet e fotografisë se sulmuesi kishte shkatërruar. 

Mirë - kështu që është lloji i informacionit që ne përdorim për të ndërtuar këtë lloj i praktikës më të mirë, ne përdorim këtë si pjesë e një seri e tërë e seminare deri në tetor - National Ndërgjegjësimi Kibernetike muaj. Ajo ka qenë vënë në dispozicion për ju djema. Unë do të bëni të sigurtë që kam dërguar atë në Wiki kur David e bën atë në dispozicion për mua si të mirë. Por nuk është këshillë dhe udhëzim në të ka shumë më tepër se granularly Unë jam në gjendje për të përmbledhur në këtë periudhë të shkurtër kohe kam në dispozicion. rreth asaj që është quajtur, Cloudy me një shans i vjedhjes së identitetit: Picking emrat e mirë të përdoruesit dhe fjalëkalimet. A është ndonjëherë nuk sociale? Dhe përgjigja është jo, ajo është gjithmonë e sociale, por ju duhet të jenë të vetëdijshëm se çka do të thotë. Dhe kjo është Taming luanëve, tigrat dhe kataraktet e cila është rreth sistemet operative forcim me disa prej informatave shkuam për sot. Dhe e fundit është rreth, Have Device, do të udhëtojë për të folur për të shkuar celular me këto lloj të burimeve të të dhënave. Pra, përveç se në qoftë se ju keni ndonjë pyetje adresa ime email është atje, dhe në qoftë se dikush në dhomë ka ndonjë pyetje, ju lutem ngrini dorën tuaj. Other than that, unë jam duke shkuar për të ndaluar regjistrimin. Dakord. Done. [CS50.TV]