[Powered by Google Translate] [Семінар: Выжыванне ў інтэрнэце] [Esmond Кейн-Гарвардскі універсітэт] [Гэта CS50.-CS50.TV] Добры дзень і дабро запрашаем на "Выжыванне ў інтэрнэце". Гэта адзін з семінараў, якія складаюць частку гэтай CS50 вучэбнай праграмы. Мяне клічуць Esmond Кейна. Маё імя і адрас знаходзяцца на той слайды перад вамі. Гэта esmond_kane@harvard.edu. У мой дзень працы я адзін з ІТ-дырэктараў бяспеку HUIT, але я павінен прызнаць, што сёння я на выязным місіі Менавіта таму я ў чырвонай кашулі. Гэта не збіраецца ўключаць ўсё, што звязана прама на мой дзень працы, так што гэта не пра ІТ-бяспекі ў Гарвард. Гэта больш за ўсё асабістую інфармацыю, гэта, як калі you're - гэтыя віды навыкаў, якія вы будзеце набываць, каб паспрабаваць дапамагчы вам загартоўвае вашых працоўных станцый і ваша асяроддзе на працягу ўсёй кар'еры. Але нічога, што я сёння ўжо не павінны прымяняцца да любой з вашых Універсітэт матэрыялу, сервераў або рабочых станцый без звярнуўшыся ў мясцовы ІТ-падтрымкі. І на самай справе, калі я згадваю любога прыкладання або любыя інцыдэнты, як частка гэтага гутаркі або дыскусіі не перадае ўсё, што я маю гонар паведаміць. Як правіла, грамадскія І ні сапраўды павінны Любое згадванне аб любых прыкладанняў мае на ўвазе якіх-небудзь адабрэнне праз Гарвардскі або любога асуджэння. 

Так што сёння, чаму мы тут - Цяпер, калі мы скончылі з Адмова ад адказнасці - Мы сёння тут, каб казаць пра тых, хто выжыў у Інтэрнэт. І чаму гэта такі важнай тэме, прама цяпер? Таму можна перафразаваць Пэры Х'юіт, які працуе ў Гарвардскім прэсы і грамадскіх сувязях - Я прашу прабачэння за чытае гэта прама цяпер - яна заявіла: "Мы жывем у атмасферы эскалацыі рызыкі, але і адным з беспрэцэдэнтныя інавацыі. Хуткі рост Інтэрнэту, воблака і сацыяльныя тэхналогіі прывяло да яшчэ многія людзі, якія маюць агульныя профілі онлайн з сапраўды доступ да пастаянна пашыраецца спектр інфармацыі. А гэта значыць, што кожны чалавек і іх аб'яднанняў ніколі не былі больш прыкметнымі. Як лічбавай Сусвету Гарварда - яго лічбавая сетка пашыраецца, мы прыцягваем больш шырокай аўдыторыі. Спадзяемся на паляпшэнне, але часам мы будзем прыцягнуць некаторых негатыўных ўвагу. Так як прадстаўнік Гарварда ", і гэта ўключае ў сябе ўсе назіраў у сябе дома або ці сапраўды тут хто-небудзь, "наш факультэт, нашы студэнты, нашы супрацоўнікі, нашы даследчыкі, рызыка кампраметацыі да вас і на самай справе ваша сетка асацыіраваных ніколі не была вышэй. " 

Так часта ў галіне інфармацыйнай бяспекі, калі мы спрабуем збалансаваць гэтую рызыкуюць гэта складаны кампраміс паміж бяспекай і карыстацкі досвед. У эпоху непасрэднасці мы павінны зрабіць прадуманыя рашэнні пра тое, што прывядзе да ўмацавання бяспекі без сур'ёзных нязручнасцяў. Нам кажуць, часам ўнцыя прадухілення каштуе ў два разы лячэнне, але пры выбары для забеспячэння бяспекі меры засцярогі, каб знізіць рызыку Мы павінны прызнаць, што яна ніколі не будзе паменшыць патэнцыйны рызыка да нуля. Такім чынам, што сказаў - мы тут сёння, каб абмеркаваць некаторыя простыя і не вельмі простыя меры засцярогі, якія можна зрабіць прама цяпер. Я павінен таксама дадаць - калі ў вас ёсць якія-небудзь пытанні на працягу Прэзентацыя проста падніміце руку. Такім чынам, першая тэма - мы часта казалі, каб выбраць добры пароль. Пароль Ваш першы і лепшая абарона. Вельмі часта адзіным, што даступна для Вас калі вы выбіраеце, каб выкарыстоўваць інтэрнэт-рэсурс. Але, як мы бачылі на працягу ўсяго гэтага лета і сапраўды папярэдняга года мы бачылі нападаў, такіх як LinkedIn, Eharmony. Мы бачылі RockYou. У нас былі некаторыя агульнай складанасці 70000000 паролі і ўліковыя запісы пад пагрозай. І калі гэтыя паролі былі вызваленыя ў грамадзкі набытак Яны таксама складаюцца хэш пароля. 

Таму ў асноўным у гэтыя дні, калі хто-то атрымлівае рахунак вулля ім не трэба, каб узламаць пароль больш;. ім не трэба, каб грубая сіла пароль таму што ў іх ёсць гэтая масіўная скарб апублікавала інфармацыю пра тое, што людзі выбіраюць. Яны ўжо атрымалі дадзеныя аб паводзінах на розум, што людзі схільныя выкарыстаць. І яны парушылі, што аж да спіс каля тысячы пароляў якія складаюць амаль 80 да 90% пароляў, якія мы выбіраем у агульным карыстанні. Так невялікі прыклад - хто-небудзь хоча рызыкаваць, што вы думалі Башар аль-Асад выкарыстаў для сваіх пароль, калі ён быў скампраметаваны ў мінулым годзе? Гэта джэнтльмен, які з'яўляецца прадметам пільнай увагі. І яго пароль быў 12345. Добра - так што гэтыя ўрокі мы навучыліся, мы павінны рухацца за межы проста думаць аб пароля. Нам кажуць, каб пачаць выкарыстоўваць фразу-пароль. Існуе вялікі камічны ці нават ад вэб-камічнай ад Рэндзі Манро якая ідзе ў выбары фразы, ён выкарыстоўвае - Я хачу сказаць, - батарэі, асноўны, абмежаваць або што-то ў гэтым родзе - Вы ведаеце, - як раз - ці сапраўды ёсць жарт, што хтосьці, хто абраў Гуфі, Nemo, Плутон - усе гэтыя розныя характары і Лондане, таму што яму сказалі, падабраць 8 сімвалаў і капіталу. Але - так мы даведаемся, мы павінны пайсці думаць не толькі пароль. 

Існуе на самой справе электроннага часопіса ў Бостане называюць Ars Technica. Існуе джэнтльмен па імі Дэн Гудзіно, які робіць серыю на гэта змена сферы - ці то ад атакавалага прасторы, дзе ў нас ёсць гэта масіўнае скарб даступны для нас альбо галаву, што мы больш не трэба, каб стварыць матэрыял праз вясёлкавыя табліцы; у нас ёсць 70 мільёнаў пароляў. Але і ў нас былі - вы ведаеце - які змяняецца пейзаж у фактычныя парэпання прасторы, таму што GPU карты зрабілі гэта практычна ў рэжыме рэальнага часу. І ёсць джэнтльмен у Def Con ў жніўні які сабраў 12 з гэтых карт ў тавар ПК. Ён зрабіў гэта па кошце каля $ 2000 або $ 3000, і ён быў у стане ўзламаць скарб у LinkedIn - Вы ведаеце, - у рэжыме рэальнага часу. Гэта было даволі страшна. Артыкул Дэна Гудзіно - я настойліва рэкамендую, калі вы хочаце пайсці чытаць. Джэнтльмен па імені Шон Галахер - сёння раніцай - таксама апублікаваны Хуткае абнаўленне на ім, шмат іх праца пабудавана на - з матэрыялаў, якія ёсць Брус Шнайер, але і ад Кормак Herely ад Даследаванні Microsoft. Яны накшталт заявілі каля 5-6 гадоў таму, што мы павінны пачаць думаць не толькі паролі. Прапановы ў той час былі такія рэчы, як ідэнтыфікацыйныя фразы, інтэрфейсы жэстаў - у такім жа родзе. Вы ведаеце - калі што-то вы ведаеце, ужо не дастатковым на дадзены момант; , Якая з'яўляецца адной з рэчаў, якія я хачу мець зносіны сёння. Калі вы павінны выкарыстоўваць пароль, давайце не будзем саромецца, заявіўшы, вы ўсё роўна павінны выбраць добры, ён павінен быць, мы спадзяемся, нешта большае, чым 10 знакаў. Яна павінна вагацца ў межах верхняга і ніжняга рэгістра. 

Я б настойліва рэкамендуем вам не паўторна выкарыстоўваць паролі. Я магу гаварыць з некалькі выпадкаў, калі мы бачылі запіс даведайцеся скампраметаваны і хто-то скакаў і прапусціў - эфект даміно. Яны мае кожнаму рахунку на кожным этапе ў працэсе гэтай дадзеных, а затым яны працягваюць выкарыстоўваць гэтыя дадзеныя, што яны здабывалі ў кожным экзэмпляры супраць іншай крыніцы уліковых дадзеных. Так што - зноў жа - выбраць добры пароль. Зрабіць яго унікальным. Вы можаце падумаць аб выкарыстанні службы мэнэджара пароляў. Ёсьць сярод іх там ад - усе яны знаходзяцца ў крамах прыкладанняў. Існуе адна званыя OnePass, KeePass, LastPass - гэта добры шлях для таго, каб дапамагчы Вам стварыць унікальныя паўнамоцтвы, моцныя паўнамоцтвы, але і будзе спрыяць архіва і справаводства для вас. Зваротным бокам, якая вам патрэбна, каб давесці гэта да пароля сховішчы; Вы павінны пераканацца, што гэта менеджэр пароляў, які вы давяраючы з'яўляецца годным вашага даверу, а таксама. 

Таму пераканайцеся, што гэтыя хлопцы таксама выкарыстоўваюць некаторыя сапраўдныя механізмы пароля. У прыватнасці той, які я хачу згадаць прама цяпер з'яўляецца шматфактарнага аўтэнтыфікацыі. Так шматфактарнага аўтэнтыфікацыі - і ёсць некалькі выпадкаў, я пайду праз Карацей - Гэта простае мэтазгодна ўзяць што-то вы ведаеце, як ваша імя карыстальніка і пароль і даданне да яго - вы дадаеце яшчэ адзін фактар. Такім чынам, першы фактар, які мы згадаем сёння гэта тыя, на дошкі. Гэта тое, што ў вас у вашых уладанняў, так што альбо дадатак якія працуюць на Вашым смартфоне ці нават на сам тэлефон. І вы маглі б мець магчымасць атрымліваць тэкставыя SMS. Сцеражыцеся, калі вы падарожнічаеце за мяжой, якія не абавязкова будуць ісці за вамі. Дадатак можа працаваць больш у гэтым экзэмпляры. Ці сапраўды іншы фактар, які вы можаце думаць пра тое, што вы ёсць. 

Зараз гэта яшчэ выгляд вельмі скунса. Мы не бачым занадта шмат прыняцце яго. Гэта - вы ведаеце - Місія невыканальная стыль - вы ведаеце - вашы вены друку, пальцам друку, у сятчатцы друку. Тыя віды далей, яны на самой справе не вельмі сапраўдным фактарам аўтэнтыфікацыі. Мы бачым, - калі я кажу з маімі калегамі бяспекі - больш ціску, якое вы паклалі на клавіятуры, вашы набраўшы пэўны шаблон, верагодна, непасрэдна на гарызонце - значна больш, чым гэтыя іншыя біяметрычныя ідэнтыфікатары. Але тыя сёння прыкладанняў або тэксце SMS ці нават проста E-mail адказам на запыт, што вы збіраецеся атрымаць для пацверджання, што Вы і на самай справе вырашылі увайсці ў гэты момант часу. Так што ёсць спасылка тут жа: я разасланыя слайды сёння раніцай. Гэта будзе на тутэйшыя артыкулы. 

Абодва Gmail і Google зрабіць гэта, Yahoo зробіць. Paypal мае; Paypal таксама мае мала фактычнага апаратны ключ, які робіць колькасці абаротаў. Але вы таксама можаце выкарыстоўваць нумар тэлефона. Facebook таксама робіць увайсці ў зацвярджэнні, што Вы вырашылі зацвердзіць яго, яны таксама працуюць у напрамку больш жорсткай бяспекі сапраўдныя сілы. Dropbox мае 2 двухэтапной аўтэнтыфікацыі, а таксама, вы таксама можаце проста набыць апаратны ключ для іх. Мы таксама бачым, у адным або Gmail Google адзін, шмат людзей фактычна кооптации аўтэнтыфікацыі Google, так - напрыклад - Я выкарыстоўваю LastPass - гэта не мае на ўвазе якую-небудзь падтрымку - але яны могуць паўторна 2 двухэтапной аўтэнтыфікацыі Google, так што азначае, што я не трэба хадзіць з 2 прыкладанняў на маім тэлефоне. Але і ў Навукова-даследчым вылічальным Гарвард або з дапамогай аналогій у 2-х ступеністы аўтэнтыфікацыі Google, таму што аднаразовы пароль Алгарытм з адкрытым зыходным кодам там каля 10 гадоў таму. Ёсць пытанні? Добра. 

Так што яшчэ адзін фактар ​​за межамі разгляду пароляў, калі вы знаходзіцеся выкарыстання гэтых рэсурсаў ведаць, што дадзеныя, якія вы здзяйсняеце на іх. Проста абмежаваць тое, што вы на самай справе пакласці там. Такім чынам, мы разумеем, што гэтыя людзі, якія забяспечваюць падтрымку для нас у Інтэрнэце - гэтых хмарных паслуг - у іх ёсць асабістая зацікаўленасць у вас не гэтак жа бяспечным, як вы патэнцыйна можаце. Яны, як правіла, падаюць мінімальны набор бяспекі, і тады ёсць куча іншых тыя, якія не з'яўляюцца абавязковымі, што вам трэба выбраць зрабіць выбар на карысць. Выгляд забраць з гэтага размовы бяспекі з'яўляецца агульнай адказнасцю. Гэта паміж вамі і партнёрамі, што вы робіце - саюзы, якія вы фармуеце. Вы павінны гуляць актыўную ролю. Выберы зрабіць выбар на карысць гэтага. Вы ведаеце, - знайдзіце час, зараз, зрабіць яго больш бяспечным. У якасці альтэрнатывы ужо ёсць людзі праверкі і тэсціравання гэтыя фактары бяспекі супраць вас, тым больш вы можаце адмовіцца ў каб лепш вы падрыхтаваныя для магчымага кампрамісу. І гэта ў канчатковым рахунку з'яўляецца. 

Але іншы фактар, каб падумаць аб тым, як я ўжо казаў гэтыя інтэрнэт-партыі, якія вы давяраеце, выкарыстоўваючы вашыя дадзеныя - з вашай асобы. Я дам вам 2 аналогій; Лары Элісан і Марк Цукерберг - яны абодва запіс аб тым, на недатыкальнасць прыватнай жыцця ў значнай ступені ілюзія. І што ўзрост прыватнасці скончылася. То бок, нібыта сумнае абвінаваўчае заключэнне, што нам сапраўды трэба чакаць для ўрада ўмяшацца, каб прымусіць гэтыя партыі быць больш бяспечнай, ўвесці больш заканадаўству, таму што, калі мы спрабуем працаваць з гэтыя вытворцы, напрыклад некаторыя з гэтых бакоў, як Dropbox, яны знаходзяцца ў бізнэсе прадастаўлення паслуг спажыўцу. Яны непасрэдна не зацікаўленыя ў тым, карпаратыўнага ўзроўню кіравання бяспекай. Спажыўцы прагаласавалі кашалёк, і яны ўжо прынялі мінімальным балам. Пара змяніць гэта мысленне. Таму, калі мы прадстаўляем нашых дадзеных гэтых бакоў, мы павінны кааптаваць нашай існуючыя механізмы даверу, так што мы сацыяльныя істоты па змаўчанні. 

Так чаму ўсё раптам, калі пачнем ажыццяўляць дадзеныя ў Інтэрнэце у нас зараз ёсць доступ да той жа абаронай мы асабіста? Таму, калі я магу чытаць мову цела, калі я магу выбраць сеткі з сацыяльным вакол і на самай справе, што кола выдаваць толькі тую інфармацыю, якую я хачу. Таму ў нас ёсць доступ да гэтай мовай цела, выказвання, агучыць, мы маем доступ да гэтых сродкаў абароны ідэнтычнасці блізкасці ў фізічным месцы, яны па-ранейшаму развіваецца ў Інтэрнэце. У нас няма доступу да іх, але мы пачынаем бачыць іх. Таму ў нас ёсць аспекты ў Facebook - напрыклад, - падобныя групы. У нас ёсць доступ да рэчаў ў Google+, як кругі. Абсалютна іх выкарыстоўваць. Такім чынам, апошняе, што вы хочаце ўбачыць у гэтай прасторы, у прыватнасці, калі вы ідзяце, каб атрымаць заданне вы ўжо зрабілі шмат хто з вашых асобу грамадскасці. І калі хто-небудзь хоча - калі яны жадаюць - гэта можа быць часткай палітыкі кампаніі ці не - гэта, вядома, не з'яўляецца часткай Harvard's - але яны могуць выбраць, каб зрабіць пошук Google. І калі яны робяць так - калі вы падалі - скажам, некаторая інфармацыя якія вам прыйдзецца цяжка стаяць ззаду - Вы зрабілі сабе мядзведжую паслугу. І сапраўды, як я ўжо казаў - гэта сацыяльная кампаній, якія яны маюць асабістую зацікаўленасць У яго апублікавання - Вы ведаеце, - яны павінны здабываць дадзеныя. Яны прадаюць вашыя дэмаграфіі і вашых маркетынгавых матэрыялаў для кагосьці. Выгляд аналогіі ў гэтай прасторы - калі вы не плаціце за прадукт Ты прадукт? Такім чынам, стварыце колы для Вашых сяброў, быць асцярожнымі, быць руплівым, стараюся не рабіць усё, грамадскасці. 

Іншая аналогія, я зраблю гэта пагаднення з канчатковым карыстальнікам ліцэнзіі зменіцца, яны скажуць вам, што яны могуць рабіць з вашымі дадзенымі, і яны збіраюцца пахаваць яго ў 50-старонкавы клікаў. І яны могуць выбраць, каб змяніць гэта, і яны проста адправіць вам хуткую электронную пошту. Але вы не юрыст, гэта вельмі шмат юрыдычнай мовай. Вы павінны быць асцярожныя, што вы робіце. Яны могуць валодаць фатаграфій, яны могуць валодаць інтэлектуальнай уласнасці. Вы ведаеце - проста практыкаванне абачлівасці. Іншы прыклад Бібліятэка Кангрэса архівавання кожны твіт, вядомых чалавеку. Ўсё. Кожныя 10 гадоў прыкладна цела матэрыял, які генеруецца у 10 гадоў, што рахункі або значна апярэджвае ўсе, што мы стварыў на працягу ўсёй чалавечай гісторыі. Бібліятэка Кангрэса мае асабістую зацікаўленасць у захаванні гэтай інфармацыі для нашчадкаў, для будучых архівістаў, для будучых даследчыкаў і гісторыкаў, так што ўсе вы ставіце там ёсць. Гэта фактычна зробіць велізарны рэсурс у пэўны момант Як толькі людзі пачынаюць здабываць сацыяльнай інжынерыі або сайты сацыяльных сетак. Так што трымаеце азнаёмленыя абароны, даступных у межах кожнага прыкладання. 

Існуе тое, што я буду згадваць, а таксама, ці ёсць іншы інструмент Privacyfix называецца, ён можа падлучыць прама ў некаторых з гэтых прыкладання для сацыяльных сетак. І ён можа праверыць, дзе вы знаходзіцеся ў адносінах да абароны , Якія даступныя на іх, калі вы можаце выбраць паглыбіць іх далей. Ёсць інструменты, такія як Фронт вызвалення дадзеных ад Google дзе вы можаце выбраць для экспарту або атрымаць дадзеныя. Ёсць такія рэчы, як машына Самагубства Інтэрнэт, якія будуць уваходзіць у сістэму на некаторыя з вашых профіляў і фактычна выдаліць кожны атрыбут па адным за раз, зьняць адзнакі, кожны Асацыяцыя аматараў у вашай сеткі зрабілі б. І яна будзе імкнуцца, каб итеративно ачысціць ўсё пра Вас , Што гэты сайт будзе ведаць. Калі я магу проста праяўляць пэўную асцярожнасць там жа; Быў выпадак Пару гадоў таму ў Германіі, дзе грамадзянін вырашыў ажыццяўляць сваю свабоду інфармацыі правы і папрасіць прадаставіць Facebook тое, што інфармацыя, якую яны мелі на запіс для яго нават пасля таго як ён выдаліў свой уліковы запіс. Яны далі яму кампакт-дыск з 1250 старонак інфармацыі хоць тэарэтычна яго рахунак больш не існавала. Існуе паняцце ў гэтай прасторы шмат, што некаторыя з гэтых асобаў будзе падтрымліваць некаторыя дадзеныя аб Вас, каб зрабіць з вашай асацыяцыі і вашых сетак. Яны кажуць, што яны не могуць мець кантроль над ім, гэта значыць нешта накшталт працягу, на мой погляд. Яны ствараюць гэтыя ценявыя ўліковыя запісы - цень шпалеры. Толькі будзьце асцярожныя. Абмежаваць тое, што вы можаце. У фактычным узроўні прылады, калі вы толькі што казалі пра - Вы ведаеце - апаратна - смартфон, вашы таблеткі, працоўнай станцыі, ваш ноўтбук, магчыма, сервер, які вы несяце адказнасць за. 

Вы, напэўна, чулі пра паняцці, як аперацыя, абнаўленняў сістэмы, абнаўлення прыкладанняў, антывірус, вы чулі пра рэчы, як брандмаўэр, шыфраванне дыска і рэзервовага капіявання. Адна рэч, вы павінны быць дасведчаныя аб тым, вы не чулі пра тыя з абарон ў мабільным прасторы тэлефоне. Яны гэтак жа схільныя тым жа пагрозам. У нас было - я хачу сказаць - мільён смартфонаў будуць актывуецца ў канцы гэтага месяца. Гэта мае значна апярэджваў - на працягу кароткага перыяду часу, што яны былі даступныя, які значна апярэджваў рост ПК, ноўтбук, рынак працоўных станцый. Але ў нас няма доступу да тых жа кантроль, і я будзем казаць пра гэта ў бліжэйшы час. Таму, перш чым мы пяройдзем да мабільнага тэлефона прасторы давайце пагаворым аб тое, што даступна, што я проста коратка падышоў. Так што антывіруснае праграмнае забеспячэнне - вось некаторыя свабодныя выбары. Microsoft аддае іх - вы ведаеце - Sophos аддае іх для OSX, а Патч кампутара - проста быць у курсе любога пастаўшчыка Твая бягучы ўзровень карэкціроўкі ёсць, і вы не павінны быць значнай дэльта ад гэтага. Існуе добры інструмент ад кампаніі пад назвай Secunia. І Secunia будзе працаваць у фонавым рэжыме, і ён скажа вам, калі ёсць абнаўляецца, і, калі вам трэба, каб прымяніць яго. 

Ўключыць аўтаматычныя абнаўлення - і Apple, і Microsoft будзе мець некаторы аспект гэтага. Яны будуць папярэджвае аб наяўнасці даступных абнаўленняў. І Secunia - Вы ведаеце, - гэта свайго роду добрай падстрахоўкі мець таксама - адступіць механізму. На прымаючага пласта - не атрымоўваць на смартфоны яшчэ. Ўключыць брандмаўэр роднай для аперацыйнай сістэмы. Існуе некаторая інфармацыя аб Windows, OSX ў адну. Праверце свой брандмаўэр, не проста пакінуць яго там, і думаю, што гэта бяспечны механізм. Гуляць актыўную ролю; ёсць прыкладанне, там ад GRC - Стыў Гібсан. Wi-Fi бяспекі ў гэтай прасторы - гэта таксама можа прымяняцца на смартфон і планшэт - калі вы выбіраеце, каб пайсці на дарозе, вы павінны ведаць, што існуюць розныя класы бесправадной сеткі. І, у прыватнасці, не выбіраюць найбольш шырока даступныя адзін. Гэта можа быць нізкі кошт, але там могуць быць прычыны для гэтага. Магчыма, яны здабываюць вашы дадзеныя. Мы бачым гэта больш, калі вы падарожнічаеце на міжнародным узроўні. Ёсць некаторыя сапраўды высокаэфектыўныя кібер-злачынных сіндыкатаў , Якія здольныя ўзмацніць тое, што мы звычайна бачым у шпіянажы нацыянальных дзяржаў. Фактарам, дзе яны прама ін'екцыйных сябе ў сеткавай струмень. Яны цягнуць рэчы з там, і яны з'яўляюцца спажыўцамі ін'екцыйных прыкладанняў на працоўных станцыях. 

Гэта - іншы аспект, які я ведаю, было згадана ў некаторых з гэтых бяспекі семінары - семінары ці не CS50 семінары - гэта інструмент пад назвай Firesheep. І Firesheep была канкрэтная атака ў мабільным прасторы тэлефон дзе некаторыя з гэтых сацыяльных сетак пасылалі уліковых дадзеных у просты тэкст. І гэта было даволі шырока прынята, таму што ўсё ў той час думаў, што не было ніякага апетыту на спажывецкім месца для яго, што для выкарыстання больш высокай трываласцю шыфравання мае на ўвазе прадукцыйнасць цяжар на серверы, так што калі ў іх не было гэта зрабіць - яны не хочуць. А потым усё раптоўна, калі гэта зрабіў даследчык бяспекі трывіяльныя атакі вельмі хутка - вы ведаеце - мы пачалі бачыць, што выгляд паляпшэння, што ўсё ў прасторы бяспекі былі скардзіліся на значнае час. Так што - у прыватнасці - Firesheep змог аднавіць Facebook, Twitter даверчыя граматы ад Wi-Fi струмень. І таму што гэта было ў выглядзе звычайнага тэксту, і яны змаглі надаць. 

Зноў жа, калі вы збіраецеся выкарыстоўваць Wi-Fi, выбраць адзін, што дастаткова абаронены - WPA2, калі можна. Калі вы павінны выкарыстоўваць незашыфраваны Wi-Fi - і ў прыватнасці, я маю на ўвазе для любога, хто выкарыстоўвае бесправадной Гарвардскага універсітэта - вы можаце падумаць аб выкарыстанні VPN. Я настойліва рэкамендую яго. Іншыя фактары, вы можаце думаць аб тым, калі вы не давяраеце Wi-Fi што вы знаходзіцеся на вы можаце абмежаваць выкарыстанне. Не рабіце любой электроннай камерцыі, не рабіце любыя банкаўскія. Не заходзьце ў уліковых дадзеных універсітэта. Існуе буйны выйгрыш у гэтай прасторы, калі хто-то нічога скрасці вашы ўліковыя дадзеныя - вы ведаеце - у іх ёсць мабільны тэлефон? Так што - вы ведаеце - што з'яўляецца яшчэ адным фактарам, што яны не заўсёды можа захапіць ці проста робіць сваю атаку складаней. Шыфраванне жорсткага дыска. Мы знаходзімся ў эпосе прама цяпер - шыфраванне выкарыстоўваецца для быць вялікая справа 10 гадоў таму. Гэта было значны ўплыў на прадукцыйнасць. Ён больш не з'яўляецца - на самай справе - вялікая частка мабільных тэлефонаў і ў такім жа родзе яны робяць гэта на апаратным узроўні, і вы нават не заўважаеце, - прадукцыйнасць настолькі нязначная. 

Калі вы кажаце аб рабочай станцыі, мы гаворым пра BitLocker. Гаворка ідзе пра сховішча файлаў; ўключыць яго - знайдзіце час, цяпер. У Linux прасторы відавочна, дакладна грабніцы можа працаваць на абодвух з іх. Вы можаце думаць пра - у прасторы Linux - ёсць DM-склеп, ёсць Luxcrypt - ёсць куча іншых варыянтаў - таксама дакладна склеп. Іншы хуткі спосаб абараніць сябе на ўзроўні працоўнай станцыі рэзервовае капіраванне жорсткага дыска. І адна невялікая маршчын тут - гэта не дастаткова, каб выкарыстоўваць адзін з гэтыя пастаўшчыкі Воблака сінхранізацыі, так што Dropbox або G-Drive ці нешта яшчэ Гэта не рэзервовую копію рашэння. Калі хто-то выдаляе што-то на адно з гэтых прылад таму што яны устаўленыя сябе як-то ідзе - што дзялок реплицируется ўсёй вашай персонай. Гэта не рэзервовае капіяванне, гэта значыць проста механізм распаўсюджвання. Так што добра мець рэзервовую копію рашэння. Ёсць некаторыя прапановы, тут для некаторых людзей, некаторыя з іх з'яўляюцца бясплатнымі - на аснове прапускной здольнасці - 2 гігабайтамі аператыўнай рэзервовае капіраванне - вы можаце зрабіць гэта. Калі вы выкарыстоўваеце універсітэта G-Mail - Універсітэт Google ў каледжы, і са, G-Drive Калі ён яшчэ не - яна будзе даступная ў бліжэйшы час. Гэта добрае замены. Мы таксама будзем глядзець на гэтыя рэчы, як Mozy дома. Гэта добра, каб есьці 2 рашэння. Не маю ўсе яйкі ў адзін кошык. Калі вы вырашылі пазбавіцца ад чагосьці ці на самай справе, калі вы знаходзіцеся ў працэсе адпраўкі нешта канфідэнцыйнае - некаторыя прапановы тут, каб надзейна сціраць прылады. Дарык загрузкі і Nuke - што гэта свайго роду больш для ІТ-падкаваных. Вы можаце думаць аб тым, каб проста даць ёй некаторыя з гэтых камерцыйных правайдэраў, калі можна. 

Шыфраванне электроннай пошты - калі вы павінны - ёсць некаторыя паслугі на тэрыторыі кампуса Accellion называецца, ты па-за кампуса або для асабістага карыстання я буду рэкамендаваць Hushmail. Мы бачым, што многія выкарыстоўваюцца ў свіст вентылятара, яно з'яўляецца адным з асноўных механізмы для WikiLeaks а таксама Тор і некаторыя іншыя аналагі. І - зараз казаць пра тэлефон узроўні - так што праблема тут няма так шмат апетыт яшчэ. На жаль, большасць смартфонаў і планшэтных АС яны па-ранейшаму заснаваныя на некаторыя прынцыпы, якія мы бачылі ў 1990 годзе. Яны на самай справе не ўключаны некаторыя паляпшэнні , Якія мы бачым на ўзроўні рабочай станцыі. Яны не робяць термозащитой. Яны не робяць - вы ведаеце - пласт рандомизации. Яны не робяць адрас абарону. Яны не робяць выканаць абарону - у такім жа родзе. Але і само прылада на дэ-факта не збіраецца мець ніякіх канчатковай кропкі бяспекі, убудаваныя ў яе. Такім чынам, мы пачынаем бачыць гэта змена - зноў - большасць смартфонаў вытворцаў - Android, Apple, і вокны - толькі апетыт не было там; бенчмарка Blackberry. Але Blackberry была як бы страціў сваю цягу на рынку на дадзены момант. І Apple сапраўды ўмяшалася Каля 2 гадоў таму быў пераломны момант, дзе яны пачалі будаваць у значна больш кіравання прадпрыемствам тыпу. І - больш за тое - у жніўні яны зрабілі прэзентацыю на Def Con, якое было проста нечувана. 

Так што яны будуць рабіць мінімальныя элементы кіравання, якія я апісаў. Яны будуць рабіць надзейныя паролі, яны зробяць запыт на пароль, што на халастых - прылада - вы забыліся пра гэта, і праз 15 хвілін ён актывуе. Яны будуць рабіць шыфраванне, і яны таксама будуць рабіць тое, што называецца выдаленым выдаленнем. У Android і прасторы вокнаў яны ўсё яшчэ TBD - не вызначана. Android мае доступ да некаторых прыкладанням называецца Prey і Lookout. І сапраўды, некаторыя з канчатковай кропкі бяспекі інструменты, такія як Kaspersky Я ведаю, гэта робіць. Я ведаю, ESET робіць гэта, а Яны дазволяць вам адправіць тэкст SMS і ачысціць прыладу. Windows Phone на дадзены момант гэта ў першую чаргу арыентаваны на Фірмовы стыль - тое, што называецца абмену. Біржа з'яўляецца надзейнай інфраструктуры пошце, і ён можа даручыць некаторыя з гэтых элементаў кіравання. Windows 8 проста адпраўленыя на мінулым тыдні, так што я не магу гаварыць з гэтым канчаткова. АС Windows 6.5 была вялікай прылады бяспекі. Windows 7 Мабільны была катастрофа, яны не робяць усе гэтыя ўласныя сродкі кіравання абавязковае праз розных пастаўшчыкоў. Таму, трэба было ратыфікаваць кожная Windows Mobile 7 тэлефонаў па адным за раз. 

Android - паколькі прастору 3,0 аказала значнае паляпшэнне, а таксама. Сотавы, Ice Cream Sandwich, Мармелад - яны будуць падтрымліваць гэтыя мінімальныя кантролю, ды і наогул яны будуць падтрымліваць некаторыя з кіравання прадпрыемствам, што вы можаце зрабіць таксама. У вашым асабістым прасторы рахунку ёсць Google Персанальны сінхранізацыі, Вы можаце ўключыць калі ў вас ёсць сваё ўласнае месца, а Google. Так што ж вы робіце, калі ўсё гэта ідзе жудасна няправільна? І калі я магу - яшчэ адзін вынас з гэтага на самай справе, калі - ня калі. Гэта адбудзецца з усімі намі ў нейкі момант. Што вы можаце зрабіць? Так што вы можаце зрабіць - і ёсць слайд - наступны слайд паказаць Вам на некаторыя з FTC рэсурсы для гэтага, а голае месца мінімальнага папярэджанне аб магчымым махлярстве крэдытных карт. Калі я магу заахвочваць, каб вы думалі пра тое, калі вы выкарыстоўваеце крэдытную карту у онлайн магутнасці - у залежнасці ад здзелкі вы робіце дэбетавых карт - магчымасць прэтэндаваць або здольнасць адмовіцца ашуканскіх прэтэнзіі на дэбетавых карт на самай справе значна менш, чым гэта акно знаходзіцца на крэдытнай карце. Таму, як толькі вы атрымаеце ваш справаздачу аб дэбетавых карт ў вас ёсць толькі пэўныя тэрміны - і гэта вельмі нізкі - паведаміць банк ашуканскай здзелкі. Крэдытныя карты, гэта нашмат больш, там, як правіла, мяжа, да каля $ 50 000 перш чым яны будуць сапраўды быць у стане пакрыць вам. Так што гэта даволі шмат грошай, яны ўдарылі яго ў параўнанні з прыкладна $ 13 000 або $ 18 000 ёсць зусім нядаўна. Так што - вы ведаеце - калі вы думаеце аб выкарыстанні крэдытнай карты онлайн, Вы можаце падумаць аб выкарыстанні даліць карты або аднаразовыя крэдытныя карты, гарэлкі карту? 

Калі вы бачыце што заўгодна - і я пакажу вам, як вы можаце атрымаць доступ неўзабаве - зачыніць любыя ашуканскія рахунку, калі вы былі дасведчаныя аб ім. Падаць паліцэйскі справаздачу, калі вы знаходзіцеся на тэрыторыі кампуса. Звярніцеся да HUPD - паведаміце ім. Падумайце аб службе маніторынгу ідэнтычнасці. Калі ў складзе - калі вы атрымаеце пагрозу - магчыма, прыйдзецца - яны могуць фінансаваць службы абароны асобы. Калі яны не робяць, магчыма, вы павінны гэта зрабіць. Збіраць і захоўваць усе доказы, - у прыватнасці, любыя дыскусіі ў вас было з любымі крымінальнымі аўтарытэтамі асабліва для мэт страхавання. Змяніць усе вашыя паролі. Зменіце адказы на любыя пытанні бяспекі, якія могуць быць выкарыстаны для аднаўлення пароля. Адключыце ўсе мінулыя заслугі ідэнтычнасці. Так што калі вы паўторнага выкарыстання вашых Facebook рахунак для ўваходу на Twitter ці наадварот, пакончыць з гэтай, калі кампраміс якія ўдзельнічаюць ўліковага запісу электроннай пошты праверыць, каб глядзець, што накіроўваюцца. Таму што ў адваротным выпадку яны могуць мець доступ да вашых дадзеных. І калі крадзеж ўключае ваш кошт Гарвардскага калі ласка, паведаміце IThelp@harvard.edu. Я не магу сказаць, што дастаткова, але і, у прыватнасці, калі прылада губляецца або скрадзеныя і ён меў доступ да вашых дадзеных універсітэта і, магчыма, вы не было некаторых з гэтых абарон быць адпаведнай, калі ласка, дайце нам ведаць - HUPD і IT Help ў Гарвардзе. 

Так па спасылцы, якую я толькі што казаў, што ўваходзіць у гэта з вялікай колькасцю дэталяў FTC.gov / identitytheft. Паштовая служба таксама мае некаторыя махлярства або паслугі Identity Protection - вы проста пакладзеце труме або прыпынак на крэдытных карт перажывае ці таму падобнае. ФБР мае спасылку, а, гэта ў заўвагах слайды, якія я разаслаў. І сапраўды Масачусэтс Better Business Bureau і Бюро па абароне правоў спажыўцоў мае некаторыя кіраўніцтва, а таксама, гэта ў заўвагах. Выдаткуйце час, зараз, зрабіць сабе ведаць тое, што вы можаце зрабіць, і прыняць меры. Прынцып - як я ўжо згадваў - гэта калі ў вас няма плану для вашай асобы крадзяжу вы адразу ж будзе падлягаюць шмат працы, калі гэта адбудзецца, і гэта калі. Але нават калі вы прымаеце гэтыя меры засцярогі - дазвольце мне дадаць невялікае слова засцярогі - ня выжывае план першага кантакту з ворагам. Так што нават у гэтым мы ўсё яшчэ думаем, што могуць быць некаторыя Subversion - вы ведаеце - ваш банк, напрыклад, які вы пабудавалі ўсе гэтыя здольныя абараніць яны могуць атрымаць пад пагрозу, гэтыя давераныя боку, што вы аддалі свае дадзеныя. Так вы самі сабе лепшая абарона. Вы ведаеце, - захоўваць пільнасць - захоўваць пільнасць. Выдаткуйце час, зараз выбіраць адмовіцца ў гэтыя; спадзяюся пагутарыць гэта, пагаворыце з гэтым са сваімі сябрамі. Выбраць добрыя паролі, выкарыстоўвайце унікальныя паролі для уліковых запісаў. І не дапускаць паўторнага выкарыстання пароляў - у прыватнасці - вакол некаторых з вашыя больш адчувальным актывах, не выкарыстоўвайце ваш універсітэт рахункі ў іншым месцы. Не выкарыстоўвайце свой кошт крэдытнай карты ў іншым месцы. Абараніць паролем мабільнага прылады прама цяпер. І на мабільным прыладзе я маю на ўвазе смартфон, я маю на ўвазе планшэта. 

Падумайце аб выкарыстанні добрых пытанняў скіду бяспекі, а я буду казаць пра Неўзабаве гэта чаму, праверыць ваш крэдытны справаздачу. Яшчэ адзін спосаб, што вы можаце быць добрым грамадзянінам у гэтай прасторы з'яўляецца ўрад вымусіў 3 агенцтва Experian, TransUnion і Equifax выпусціць крэдытных справаздач. Для некаторых з супольнасці Гарварда, асабліва ў студэнт прасторы, гэта можа быць новым для іх, але вы маеце права цягнуць гэтыя агенцтвамі, як мінімум раз у год. Добра асцярожнасцю - пайсці на гэтым сайце; яна даступная на FTC адзін. І рабіць гэта кожныя 4 месяцы замест гэтага, і вы ў стане трымаць Ўкладкі аб тым, хто запытвае запыты на інфармацыю аб крэдытнай карце, або калі, вядома, калі хто-то адкрывае любыя ашуканскія рахунку. І - у агульным - кіраўніцтва павінна быць вядома. І я збіраюся даць вам канкрэтны прыклад у бліжэйшы час, але гэта, па сутнасці, мяса і бульба абмеркавання. 

Дык чаму гэта важна менавіта зараз, на працягу лета было джэнтльмен па імі Мэт Хэнань - калі вы там вялікі дзякуй за тое, што маючы адбыцца з вашай інфармацыяй. Але што здарылася з Мэтам ён працаваў на часопіс Wired, і некаторыя пайшлі пасля cyperhacktivists сваім Твітары. І яны выкарыстоўвалі некаторыя з гэтых рэсурсаў - частка гэтай публічнай персонай што ён зрабіў даступныя. І ён пабудаваў карту, яны ведалі, дзе і калі атакаваць. Так што з гэтага яны пачалі падоўжныя і папярочныя зрэзы інфармацыі, што ён зрабіў даступныя, і яны выявілі, што ў яго была Gmail рахунак. Так ён выкарыстаў менш мудры пароль для свайго Gmail, і ён не мае шматфактарнага аўтэнтыфікацыю на ім. Такім чынам, яны скампраметаваныя сваім Gmail, як толькі яны мелі доступ да сваіх Gmail яны бачылі ўсе гэтыя іншыя рахункі, што ён падлучаны да яго Gmail. На самай справе, у іх быў доступ да яго цэлы ўвесь Gmail ці Google персонай. І - у прыватнасці - яны пачалі заўважаць, што ён меў кошт Amazon , Таму што былі некаторыя электронныя лісты, пра якія паведамляюць яго. Такім чынам яны дабраліся да яго Amazon, і яны дабраліся да яго Amazon , Проста скінуць свой пароль, паколькі ён пайшоў да свайго Gmail. У яго не было - ён накшталт быў эфект даміно або уліковых ланцужкі адбываецца тут дзе толькі яны атрымалі яго Gmail у іх былі ключы ад царства. Таму, як толькі яны дабраліся да яго Amazon - і гэта было не па віне гэтыя іншыя хлопцы - гэта было - вы ведаеце - Мэт не абраны адмовіцца ў гэтыя больш надзейныя механізмы, што толькі гэтыя людзі зрабілі даступныя і ўсе гэтыя Інтэрнэт крыніц. 

Таму, як толькі яны дабраліся да яго Amazon яны мелі доступ - гэта не паказаць ім, яго крэдытнай карты, але ён паказаў ім апошнія 4 лічбы менавіта так, ён ведаў, што гэта было, ён паказаў ім адрас дастаўкі. Ён паказаў ім некаторую іншую інфармацыю, што ён зрабіў на некалькі парадкаў. А то ад гэтага яны вырашылі напасці на яго рахунку кампаніі Apple. І яны сацыяльная інжынерыя ў службу падтрымкі Apple. Apple, не павінен быў гэтага рабіць, але, грунтуючыся на гэтай інфармацыі, яны былі ў стане здабываць ад іншых рахункаў 2. Вы ведаеце, - хлопец у службу падтрымкі, верагодна, думаў, што ён у цяперашні час добры грамадзянін - Вы ведаеце, - я тое, што карысна, ёсць кліент кампаніі Apple там, які сеў там сам па сабе, і мне трэба, каб дапамагчы яму. Але гэта быў не рэальны кліент Apple. Такім чынам, яны скінуць яго Apple, рахункі, і яны адправілі інфармацыю ў Gmail. Як толькі тыя, хто нападаў мелі доступ да яго рахунку Apple, Мэт быў усё яго прылады прывязаныя да сваіх Icloud, і яны пачалі выдаваць наборы ілжэсьведчаньне і выціраючы ўсё. Зноў жа, ён толькі яго дадзеных, якія перадаюцца; ён выкарыстаў Icloud як механізм сінхранізацыі. Таму, калі яны выдалілі ўсё пайшло Выбуху. Яны па-ранейшаму маюць доступ у гэты момант сваім Твітары якіх з'яўляецца тое, што яны спрабавалі атакаваць. Я не ведаю, калі б яны выкарыстоўвалі Maltego ці некаторыя з гэтых іншых механізмаў пабудаваць свой інтэрнэт-персонай, але - вы ведаеце - на працягу некалькіх Вядома, яны атрымалі доступ да розных паслуг 4 асобы, перш чым яны дабраліся да яго Twitter, і гэта каштавала Matt - Мэт быў вельмі пашанцавала, ён убачыў, гэта адбылося таму, што яго дзеці прыходзілі да яго калі Ipad заблакаваныя выключаецца. І яны сказалі: - Вы ведаеце, "Тата, нешта адбываецца з IPad". І ён зачыніць усе ўніз, таму што ён заўважыў, што гэта адбываецца ва ўсім свеце. І ён стаў называць Apple, каб убачыць, што, чорт вазьмі, толькі што адбылося. І Apple сапраўды думаў, што там нешта адбываецца што Icloud сышоў ізгояў, пакуль яны не зразумелі, - ён на самай справе зразумеў, што яны пасылалі інфармацыю, і яны сталі называць яго няправільным назвай. Паколькі Apple меў на інфармацыю аб файле, што зламыснік перакручвацца. 

Добра - так што гэта тая інфармацыя, якую мы выкарыстоўваем, каб пабудаваць гэтую віды перадавой практыкі, мы выкарыстоўваем гэта як частка цэлай серыі семінары па кастрычнік - нацыянальны месяц дасведчанасці CyberSecurity. Гэта стала даступным для вас, хлопцы. Я паклапачуся, каб я паслаў яго ў вікі, калі Дэвід робіць яго даступным для мяне таксама. Але ёсць парады і рэкамендацыі там значна больш, чым грануляваны Я магу падвесці вынік у гэтым кароткі прамежак часу я меў у распараджэнні. вакол таго, што называецца, Воблачна, магчымы крадзяжу асабістых дадзеных: Для атрымання добрых імёнаў карыстальнікаў і пароляў. Заўсёды ледзь не сацыяльны? І адказ будзе адмоўным, гэта заўсёды сацыяльны, але вы павінны ведаць, што гэта значыць. І гэта Утаймаванне Львы, тыгры, і вокны, якая складае каля ўмацавання аперацыйнай сістэмы з некаторай інфармацыі, мы пайшлі сёння. І апошні быў о, у прылад, Will Travel казаць аб мабільных збіраецца з такога роду крыніц дадзеных. Так акрамя таго, што калі ў вас ёсць якія-небудзь пытанні мой электронны адрас там, і калі хто-то ў пакоі ёсць якія-небудзь пытанні, калі ласка, падніміце руку. Акрамя гэтага, я збіраюся спыніць запіс. Добра. Гатова. [CS50.TV]