[Powered by Google Translate] [Seminari: Sobreviure a Internet] [Esmond Universitat Kane-Harvard] [Aquesta és CS50.-CS50.TV] Hola i benvinguts a "Sobreviure a la Internet." És un dels seminaris que formen part d'aquest pla d'estudis CS50. El meu nom és Esmond Kane. El meu nom i direcció estan en aquest conjunt de diapositives al davant de vostè. És esmond_kane@harvard.edu. En el meu treball jo sóc un dels directors de seguretat de TI per HUIT, però he de reconèixer que avui estic en una missió a l'exterior pel que estic usant una samarreta vermella. Això no va a comprendre qualsevol cosa que és atribuïble directament a la meva feina del dia, així que no es tracta de la seguretat de TI a Harvard. Aquesta és la informació més justa personal, així és com quan tu ets - aquests són el tipus d'habilitats que adquirirà per tractar d'ajudar a tanqueu els vostres llocs de treball i el seu entorn al llarg de la seva carrera. Però res del que he dit avui ha de ser aplicat a qualsevol del seu material de la universitat, els seus servidors o estacions de treball sense contacte amb el centre de suport de TI. I de fet si esmento les aplicacions o qualsevol incident com a part d'aquest xerrada o discussió que no ofereix dades tot el que tinc el privilegi d'informar. En general, és públic I com tampoc d'esmentar de qualsevol aplicació implica cap suport a través de Harvard o de qualsevol condemna. 

Així que avui per què som aquí - ara que hem acabat amb l'exempció de responsabilitat - avui estem aquí per parlar de sobreviure a la Internet. I per què és un tema tan important en aquest moment? Així, parafrasejant Perry Hewitt que treballa a la Universitat de Harvard Premsa i Comunicacions - Em disculpo per llegir això ara mateix - ha declarat: "Vivim en una atmosfera de creixent risc, però també una de la innovació sense precedents. El ràpid creixement d'Internet, el núvol i les tecnologies socials ha donat lloc a moltes més persones que tenen perfils públics en línia amb efecte l'accés a un conjunt cada vegada més gran d'informació. I això vol dir que tothom i les seves associacions mai han estat més visible. Com l'empremta digital de la Universitat de Harvard - la xarxa digital s'expandeix, atraiem a un públic més ampli. Esperem pel bé, però de vegades es atreure alguna atenció negativa. Així com a representant de Harvard ", i això inclou a tothom veient a casa o fins i tot a ningú aquí ", els nostres professors, els nostres estudiants, el nostre personal, nostres investigadors, el risc de comprometre la veritat i que a seva xarxa associada mai ha estat més gran ". 

Molt sovint en seguretat de la informació, quan tractem d'equilibrar aquesta risc és un ofici complicat entre la seguretat i l'experiència de l'usuari. En l'era de la immediatesa que hem de prendre decisions ben pensades sobre el que va a millorar la seguretat sense un gran inconvenient. Se'ns diu de vegades una unça de prevenció val el doble de la cura, però al triar per posar en pràctica les mesures de seguretat per reduir el risc hem de reconèixer que mai va a reduir el risc potencial de zero. Així que va dir - estem aquí avui per parlar d'algunes senzilles i no tan simple precaucions de seguretat que vostè pot prendre ara mateix. També m'agradaria afegir - si vostè té qualsevol pregunta a tot el presentació només aixecar la mà. Així que el primer tema - ens diuen sovint que triar una bona contrasenya. Una contrasenya és la seva primera i millor defensa. Sovint és l'única que està disponible per a vostè quan vostè està triant per utilitzar un recurs en línia. Però, com hem vist al llarg d'aquest estiu i de fet l'any anterior hem vist atacs com LinkedIn, eHarmony. Hem vist RockYou. Hem tingut una mica de total de 70 milions de contrasenyes i comptes compromeses. I quan aquestes contrasenyes van ser alliberats en el domini públic també componen el hash de la contrasenya. 

Així que, bàsicament, en aquests dies, si algú obté un rusc compte que no és necessari per trencar una contrasenya més,. no és necessari a la força bruta la contrasenya perquè tenen aquest enorme tresor d'informació donada a conèixer sobre el que la gent està triant. Ja tenen dades sobre el comportament a la ment el que la gent tendeix a utilitzar. I han trencat aquesta a una llista de prop d'un miler de contrasenyes que comprenen gairebé el 80 a 90% de les contrasenyes que triem d'ús comú. Així, un exemple ràpid - Algú vol aventurar el que pensava Bashar al-Assad va utilitzar per la contrasenya quan es va comprometre l'any passat? Aquest és un senyor que està subjecte a un intens escrutini. I la contrasenya era 12.345. Bé - pel que aquestes són lliçons que hem après, hem d'avançar més enllà de pensar en una contrasenya. Se'ns diu que comenci a utilitzar una frase de pas. Hi ha un gran còmic de fins i tot un còmic web de Randy Monroe que va en l'elecció d'una frase, que utilitza - Vull dir - bateria, grapa, límit o alguna cosa així - vostè sap - només - o, de fet no és la broma que algú que va prendre Goofy, Nemo, Pluto - tots aquests personatges i Londres ja que es va assenyalar per recollir 8 caràcters i un capital. Però - el que aprenem que hem de pensar en anar més enllà d'una contrasenya. 

En realitat, hi ha una publicació electrònica a Boston anomenat Ars Technica. Hi ha un senyor anomenat Dan Goodin que està fent una sèrie de aquest abast canviant - ja sigui des de l'espai atacant on tenim aquest enorme tresor disponible per a nosaltres ja sigui la ment que ja no necessitem per generar coses a través de les taules de l'arc iris; comptem amb 70 milions de contrasenyes. Però també hem tingut - vostè sap - un canvi en el paisatge real craqueig espai perquè les targetes GPU han fet d'aquest pràcticament gairebé en temps real. I hi ha un cavaller en Def Amb l'agost que va posar junts 12 d'aquestes targetes en un PC mercaderia. Ho va fer per prop de $ 2.000 o $ 3.000 i ell va ser capaç de trencar la troballa de LinkedIn a - vostè sap - en temps real proper. Va ser bastant aterridor. L'article de Dan Goodin - Recomano encaridament que si vols anar a llegir-lo. Un cavaller anomenat Sean Gallagher - aquest matí - també va publicar un ràpida actualització en ell, una gran part del seu treball es basa en - a partir de material disponible de Bruce Schneier, sinó també des Cormac Herely de Microsoft Research. Ells van afirmar tipus de fa uns 5-6 anys que hem de començar a pensar més enllà de les contrasenyes. Els suggeriments que en aquell moment eren coses com frases codificades, les interfícies gestuals - aquest tipus de coses. Vostè sap - si és una cosa que vostè sap ja no és suficient en aquest punt; que és una de les coses que vull comunicar avui. Si ha d'utilitzar una contrasenya, no siguem tímids a afirmar que encara ha triar un de bo, sinó que ha de ser amb sort una mica més enllà de 10 caràcters. Ha variar entre majúscules i minúscules. 

Em animo a no tornar a utilitzar contrasenyes. Jo puc parlar de diversos casos en els quals hem vist arribar un compte compromesa i algú va saltar i va saltar - l'efecte dòmino. Ells minen cada compte en cada etapa en el procés per aquesta de dades, i després es procedeix a utilitzar aquestes dades que s'extreuen en cada cas contra una altra font de credencials. Així que - una vegada més - triar una bona contrasenya. Ho fan únic. És possible que vulgueu considerar l'ús d'un servei d'administrador de contrasenyes. N'hi ha per aquí de - tots estan a les botigues d'aplicacions. Hi ha un anomenat OnePass, KeePass, LastPass - és una bona manera perquè t'ajudi a crear credencials úniques, credencials forts, sinó també facilitar l'arxiu i registre per a vostè. El costat negatiu d'això és que vostè ha de portar això a un magatzem de contrasenyes; vostè necessita per assegurar-se que aquest gestor de contrasenyes que vostè està confiant és digne de la seva confiança també. 

Així que assegureu-vos que els nois també estan utilitzant alguns mecanismes contrasenya vàlids. En particular, la qual parlaré en aquest moment és l'autenticació multi-factor. Així autenticació de múltiples factors - i hi ha diversos casos que passaran per poc - És el simple expedient de prendre alguna cosa que saps que el teu Nom d'usuari i la contrasenya i afegir-hi - que està afegint un altre factor. Així que el primer factor que anem a esmentar avui són aquests els dels taulers. És una cosa que té a les seves possessions, pel que és o bé una aplicació que s'està executant al telèfon intel · ligent o fins i tot en el seu propi telèfon. I és possible que pugui rebre un text d'SMS. Compte si viatges a l'estranger que no necessàriament es va a seguir. Una aplicació pot treballar més en aquesta instància. O fins i tot l'altre factor és possible que vulgueu pensar en alguna cosa que ets. 

Ara bé, això és encara tipus de moltíssim Skunkworks. No veiem molt l'adopció de la mateixa. Això és - vostè sap - Mission Impossible estil - ja saps - la impressió de la vena, el polze d'impressió, la impressió de retina. Són classe de més lluny, en realitat no són factors d'autenticació molt vàlides. Veiem - quan parlo amb els meus col · legues de seguretat - més pressió que es posa en un teclat, el seu patró d'escriptura en particular, és probable que directament a l'horitzó - molt més que aquests identificadors biomètrics. Però els que avui dia són les aplicacions o els SMS de text o fins i tot una desafiament correu electrònic de resposta que va a aconseguir per validar que de fet tria iniciar la sessió en aquest punt en el temps. Així que hi ha una relació aquí, he enviat per correu la coberta lliscant aquest matí. Serà a la Wiki. 

Tant Gmail i Google fan això, Yahoo farà. Paypal el té; Paypal també té una petita clau de maquinari real que fa una sèrie de rotació. Però també es pot optar per utilitzar un número de telèfon. Facebook també fa un registre en l'aprovació, pel que opten per aprovar-lo, sinó que també estan treballant cap a una major capacitat de seguretat vàlida dur. Dropbox té verificació de 2 passos, així, també pot simplement comprar una clau de maquinari per a ells. També veiem al Gmail o Google un, una gran quantitat de persones són en realitat cooptació autenticador de Google, de manera que - per exemple - Jo ús LastPass - no implica l'aprovació - però poden reutilitzar Verificació de 2 passos de Google pel que significa que no cal que caminar amb 2 aplicacions en el meu telèfon. Però també computing investigació a Harvard o l'ús d'una analogia l'autenticació de 2 passos de Google ja que la contrasenya d'un sol cop algorisme va ser oberta prové allà fa uns 10 anys. Alguna pregunta? Bé. 

Així que un altre factor aliè a la consideració contrasenyes és quan vostè està l'ús d'aquests recursos sigui conscient de les dades que s'està comprometent a ells. Només limitar el que en realitat s'està posant allà. Així que som conscients que aquestes persones que estan prestant un servei per nosaltres a Internet - aquests proveïdors del núvol - que tenen un interès personal en què no ser tan segur com vostè possiblement pot. Ells tendeixen a posar a disposició d'un conjunt mínim de seguretat, i després hi ha un munt d'altres que són opcionals que ha de triar a optar per. La classe de treure d'aquesta xerrada és la seguretat és una responsabilitat compartida. És entre vostè i els socis que es realitzen - les aliances que vostè forma. Vostè necessita prendre un paper actiu. Trieu d'optar per això. Vostè sap - prendre el temps ara, que sigui més segur. L'alternativa és que ja hi ha gent de validació i proves aquests factors de seguretat contra tu, com més poden optar per no participar en el més preparat estigui per l'eventual compromís. I és possible. 

Però l'altre factor a considerar és com he esmentat aquestes parts d'Internet que vostè està confiant en les seves credencials - amb la seva identitat. Et vaig a donar 2 analogies, Larry Ellison i Mark Zuckerberg - que són alhora constància indicant privacitat és en gran part una il · lusió. I que l'era de la privacitat ha acabat. Això és una espècie de trist acusació que realment hem d'esperar perquè el govern intervingui per obligar els partits a ser més segur, introduir més legislació, perquè quan tractem de treballar amb aquests proveïdors, per exemple alguns d'aquests Dropbox com festes, que estan en el negoci de prestar serveis als consumidors. Ells no estan interessats directament en tenir els controls de seguretat de nivell empresarial. Els consumidors van votar amb la seva cartera, i ja han acceptat una qualificació mínima. És hora de canviar aquest pensament. Així que quan ens oferim els nostres dades per a aquests partits, hem de cooptar nostra mecanismes de confiança existents, pel que són criatures socials per defecte. 

Per què, de sobte, quan vam començar a posar les dades en línia què ara tenim accés a les mateixes proteccions que fem personalment? Així que quan puc llegir el llenguatge corporal, quan puc triar xarxa amb un cercle social i de fet a aquest cercle divulgar només la informació que vull. Així que tenim accés a aquest llenguatge corporal, expressió, a vocalitzar, tenim accés a aquestes proteccions proximitat d'identitat en un lloc físic, sinó que encara s'estan desenvolupant en línia. Nosaltres no tenim accés, però estem començant a veure. Així que tenim facetes a Facebook - per exemple - com a grups. Tenim accés a les coses a Google+ com cercles. Absolutament utilitzar-los. Així que l'última cosa que vull veure és en aquest espai en particular, quan vostè va a aconseguir una feina és que ara han fet una gran quantitat de la seva pública personalitat. I quan algú vol - si opten per - que podria ser part de la política de l'empresa o no - que certament no és part de Harvard s - però poden optar per fer una cerca a Google. I quan ho fan - si vostè va proporcionar - diguem una mica d'informació el que hauria dificultat per aturar-se darrere - vostè ha fet un flac favor. I de fet, com he esmentat - aquestes empreses socials que tenen un interès personal en el que és públic - vostè sap - que necessiten per extreure les dades. Estan venent la seva demografia i el seu material de màrqueting per a algú. El tipus d'analogia en aquest espai és - si vostè no està pagant per un producte ets el producte? Per tant crear cercles per als seus amics, anar amb compte, ser diligent, tracti de no fer que tot sigui públic. 

Una altra analogia que faré són els acords de llicència d'usuari final canvien, sinó que es dirà el que poden fer amb les seves dades, i van a enterrar en un 50 pàgines de clics. I poden optar per canviar això, i simplement li enviarà un correu electrònic ràpid. Però no és un advocat, sinó que està molt en argot legal. Cal anar amb compte amb el que estàs fent. Poden tenir les seves imatges, que poden ser amo de la seva propietat intel · lectual. Vostè sap - només diligència exercici. Un altre exemple de la Biblioteca del Congrés està arxivant cada tweet només conegut per l'home. Tot. Cada 10 anys més o menys el cos de material que es genera en què els 10 anys de comptes o supera àmpliament el tot el que hem creat al llarg de la història humana. La Biblioteca del Congrés té un gran interès en la preservació de la informació per a la posteritat, per als futurs arxivers, per a futurs investigadors i historiadors, així que tot el que estan posant per aquí està. En realitat, es crea un recurs immens en algun moment una vegada que la gent comença a minar l'enginyeria social o dels llocs de xarxes socials. Per tal de mantenir al corrent de les proteccions disponibles dins de cada aplicació. 

No és una cosa que vaig a parlar així, no és una eina de tercers diu Privacyfix, sinó que pot connectar a la dreta en alguns d'aquests aplicacions de xarxes socials. I es pot comprovar per veure on es troba en relació amb la protecció que estan disponibles en ells si pot optar per trinquet ells encara més. Hi ha eines com el Front d'Alliberament de Dades de Google on es pot optar per exportar o extreure'n les dades. Hi ha coses com la Suicide Machine Internet que connectar a alguns dels perfils i de fet eliminar tots els atributs sola un a la vegada, desmarcarà tots i cadascun dels amics de l'associació a la xarxa hauria fet. I seguirà per depurar iterativament tot sobre tu que aquest lloc sabria. Si pogués exercir certa cautela allà també, no hi havia una instància fa un parell d'anys a Alemanya, on un ciutadà va decidir exercir el seu dret de llibertat d'informació i demanar Facebook per proporcionar quina informació tenien constància que ell fins i tot després d'eliminar el seu compte. Ells li van proporcionar un CD amb 1.250 pàgines d'informació tot i que el seu compte teòricament ja no existia. No és el concepte en aquest espai un munt que alguns d'aquests entitats mantindran algunes dades sobre vostè a veure amb les seves associacions i les seves xarxes. Diuen que no poden tenir control sobre ella, és a dir una mica exagerat al meu entendre. Ells creen aquests comptes ombra - els personatges ombra. Només vagi amb compte. Límit el que pugui. A nivell real del dispositiu quan s'està parlant - vostè sap - maquinari - el telèfon intel ligent, els comprimits, l'estació de treball, l'ordinador portàtil, potser un servidor que vostè és responsable de. 

Vostè probablement ha sentit parlar de conceptes com el funcionament, les actualitzacions del sistema, actualitzacions d'aplicacions, antivirus, vostè ha sentit parlar de coses com tallafocs, encriptació de disc i còpies de seguretat. L'única cosa que vostè ha de tenir en compte és que no se sent parlar aquest tipus de proteccions en l'espai mòbil. Ells són tan susceptibles a les mateixes amenaces. Teníem - Vull dir - un milió de smartphones seran activa a finals d'aquest mes. Això ha superat àmpliament el - en el curt període de temps que han estat disponibles, que ha superat àmpliament el creixement de PC, l'ordinador portàtil, el mercat de treball. Però nosaltres no tenim accés als mateixos controls, i parlarem d'això en breu. Així que abans d'arribar a l'espai mòbil parlem de el que està disponible allà que me'n vaig anar breument. Així que el programari antivirus - aquí hi ha algunes opcions lliures. Microsoft regala les seves - saps - Sophos regala les seves per OSX, així Pegat ordinador - tot just ser conscient del que el seu proveïdor de nivell de pegat actual és, i no ha de ser un delta important d'això. No és una bona eina d'una empresa anomenada Secunia. I Secunia s'executarà en segon pla i li dirà si hi ha una actualitzada disponible i si vostè necessita per la seva aplicació. 

Habiliteu les actualitzacions automàtiques - Apple i Microsoft tindran algun aspecte d'aquest. Se li avisarà que hi ha una actualització disponible. I Secunia - vostè sap - és una espècie de bona xarxa de seguretat per tenir així - mecanisme de caure de nou. A la capa de host - no arribar a smartphones encara. Habilitació del servidor de seguretat del sistema operatiu nadiu. Hi ha una mica d'informació sobre les finestres de la OSX un. Posa a prova la teva tallafocs, no deixar-ho aquí i pensar que es tracta d'un mecanisme d'assegurança. Prengui un paper actiu, no és una aplicació allà de GRC - Steve Gibson. La seguretat Wi-Fi en aquest espai - això també es pot aplicar al telèfon intel · ligent i la tauleta - quan vostè està triant per anar en el camí que ha de ser conscient que hi ha diferents classes de xarxa sense fils. I en particular, no triar el més comunament disponibles. Pot ser que sigui de baix cost, però pot haver-hi una raó per a això. Potser s'estan extraient les dades. Veiem això més quan viatja a l'estranger. Hi ha algunes organitzacions criminals cibernètics molt alta eficiència que són capaços d'aprofitar el que normalment veiem en l'espionatge dels Estats-nació. Un factor on són francament injectant en un corrent de xarxa. Ells estan tirant coses d'allà, i ells estan injectant aplicacions per a estacions de treball. 

És - l'altre aspecte que jo sàpiga s'ha esmentat en alguns d'aquests seminaris de seguretat - o no CS50 seminaris seminaris - és una eina anomenada Firesheep. I Firesheep va ser un atac en particular en l'espai mòbil on algunes d'aquestes aplicacions de xarxes socials estaven enviant les credencials en text pla. I això va ser acceptat amb força freqüència perquè tothom en aquest moment pensava que no hi havia gana en l'espai dels consumidors perquè, d'utilitzar el xifrat de major resistència que suportar uns costos rendiment al servidor, pel que si ells no han de fer-ho - que no volen. I llavors, de sobte, quan aquest investigador de seguretat van fer l'atac trivial ràpidament - vostè sap - que va començar a veure que tipus de millora que tothom en l'espai de seguretat té es queixen per un període significatiu de temps. Per tant - en particular - Firesheep va poder recuperar Facebook, Twitter credencials del corrent de Wi-Fi. I pel fet que es trobava en text pla, i van ser capaços d'injectar. 

Un cop més, si vostè va a utilitzar Wi-Fi optar per utilitzar un que està prou protegida - WPA2 si és possible. Si vostè ha d'utilitzar sense xifrar Wi-Fi - i en particular em refereixo a ningú que utilitzeu la Universitat de Harvard fils - és possible que vulgueu considerar l'ús de VPN. Jo animo a això. Altres factors que vostè pot voler pensar en que si vostè no confia en el Wi-Fi que està en és possible que vulgueu limitar el seu ús. No feu cap e-commerce, no facis cap bancari. No accedir als seus credencials universitàries. Hi ha una gran victòria en aquest espai si algú no robar les seves credencials - vostè sap - no tenen el seu telèfon mòbil? Així que - vostè sap - és un altre dels factors que no necessàriament poden segrestar o simplement fa el seu atac més complicat. Xifrar el disc dur. Estem en una era en aquest moment - xifrat que solia ser un gran problema fa 10 anys. Va ser un impacte en el rendiment significativa. Ja no és - de fet - la majoria dels telèfons mòbils, i aquest tipus de coses ho estan fent en el maquinari, i ni s'adonen - el rendiment és tan insignificant. 

Si vostè està parlant d'una estació de treball, estem parlant de BitLocker. Estem parlant de magatzem d'arxius, permetre que - prendre el temps ara. A l'espai Linux òbviament cert criptes poden treballar a través de dos d'ells. És possible que vulgueu pensar - en l'espai de Linux - no és dm-crypt, hi Luxcrypt - hi ha un munt d'altres opcions - també és cert cripta. Una altra forma ràpida de protegir-se en el nivell d'estació de treball còpia de seguretat del disc dur. I una lleugera arruga aquí - no és suficient per utilitzar un aquests proveïdors de sincronització del núvol, pel que Dropbox o G-Drive o alguna cosa més Això no és una solució a l'esquena. Si algú elimina alguna cosa en un d'aquests dispositius perquè es van inserir alguna manera es va - que la supressió es replica en tota la seva persona. Això no és una còpia de seguretat, això és només un mecanisme de propagació. Així que és bo tenir una solució fins a l'esquena. Hi ha alguns suggeriments aquí per a algunes persones, alguns d'ells són gratuïts - Capacitat obtinguda - 2 gigues de còpia de seguretat - vostè pot fer-ho. Si utilitzeu universitari G-mail - Universitat Google a la universitat i col, G-Drive si no ho és ja - que estarà disponible en breu. És un bon reemplaçament. També anem a veure aquestes coses com Mozy Home. És bo tenir 2 solucions. No tens tots els ous en una sola cistella. Si va a rebutjar alguna cosa o fins i tot si vostè està en el procés de d'enviar alguna cosa confidencial - alguns suggeriments per esborrar de forma segura un dispositiu. Boot i Nuke Darik - que és una espècie de més per l'IT intel · ligent. És possible que vulgueu pensar en només donar a alguns d'ells proveïdors comercials, si pots. 

Xifrat de correu electrònic - si has de - hi ha alguns serveis al campus anomenat Accellion, vostè és fora de l'escola o per a l'ús personal que li recomanarà Hushmail. Ho veiem molt usat en denunciant, sinó que és un dels principals mecanismes de WikiLeaks així com Tor i alguns altres equivalents. I - ara parlar sobre el nivell del telèfon - de manera que el problema és encara no és molt d'un gana. Desafortunadament, la majoria dels telèfons intel · ligents i la tauleta SO que encara es basen en alguns dels principis que vam veure en la dècada de 1990. Realment no han incorporat algunes de les millores que veiem en el pla de treball. Ells no estan fent la protecció de la calor. Ells no estan fent - ja saps - l'assignació a l'atzar capa. Ells no estan fent la protecció d'adreces. Ells no estan fent executar protecció - aquest tipus de coses. Però també el propi dispositiu de facto no tindrà cap punt final de seguretat incorporat. Així que estem començant a veure aquest canvi - de nou - la majoria dels telèfons intel · ligents - Fabricants d'Android, Apple i Windows - la gana només No hi era, el benchmark era Blackberry. Però Blackberry ha perdut el seu tipus de tracció en el mercat en aquest moment. I Apple realment ha intensificat polz Fa aproximadament 2 anys es va produir un punt d'inflexió en què començat a construir en molts controls de tipus més empresarial. I - de fet - a l'agost ho van fer una presentació a Def Amb la qual cosa era una cosa inaudita. 

Així que van a fer els controls mínims que he descrit. Que van a fer una contrasenya segura, sinó que van a fer una sol · licitud perquè la contrasenya d'inactivitat - el dispositiu - que oblidar-se'n, i després de 15 minuts que s'activi. Faran xifrat, i també fer el que s'anomena neteja amb remotes. En l'Android i l'espai de Windows són encara per determinar - que es determinaran. Android té accés a algunes aplicacions anomenades Prey i Lookout. I, de fet algunes de les eines de seguretat de punt final com Kaspersky conec fa. Sé que ESET ho fa així Que li permetrà enviar un SMS i purgar el dispositiu. Telèfon de Windows en aquest moment és principalment orientada cap estil de signatura - el que s'anomena intercanvi. Exchange és una infraestructura de correu robusta, i pot ordenar alguns d'aquests controls. Windows 8 només va enviar la setmana passada, així que no puc parlar d'això definitivament. Windows 6.5 va ser el gran dispositiu de seguretat. Windows 7 Mobile va ser un desastre, no van fer tots aquests controls nadius obligatòria en els diferents proveïdors. Així que havia de ratificar cada Windows Mobile 7 telèfon d'un en un. 

Android - des de l'espai 3.0 ha tingut una important millora també. Honeycomb, Ice Cream Sandwich, Jellybean - que donarà suport aquests controls mínims, i de fet van a donar suport part del control de l'empresa que pot fer-ho també. En el seu espai compte personal hi ha una sincronització personal que Google pot habilitar si vostè té el seu propi espai Google també. Així que, què fer quan tot va molt malament? I si puc - una altra menjar per portar de tot això és quan realment - no és si. Això passarà a tots nosaltres en algun moment. Què es pot fer? Així que el que pot fer - i hi ha una diapositiva - la diapositiva Pots identificar dels recursos de la FTC per a això, sinó un lloc mínim un avís de frau en les seves targetes de crèdit. Si puc animar que pensi en quan s'utilitza una targeta de crèdit en qualitat de línia - en funció de l'operació que està fent targetes de dèbit - la capacitat de reclamar o la capacitat de retreure una fraudulenta reclamació en una targeta de dèbit és en realitat una finestra molt més petita del que és a la targeta de crèdit. Així que una vegada que obtingui el seu informe sobre una targeta de dèbit només té una certa marc de temps - i és molt baix - a notificar al banc d'una transacció fraudulenta. Les targetes de crèdit és molt més gran, tendeix a haver un límit de fins a 50.000 $ abans que realment serà capaç de reemborsament. Així que és un bon munt de diners, sinó que van xocar cap amunt d'uns 13.000 dòlars o 18.000 $ no fa molt poc. Així que - vostè sap - quan es pensa sobre l'ús d'una targeta de crèdit en línia, es pot considerar l'ús d'una targeta de recàrrega o una targeta de crèdit disponible, una targeta del cremador? 

Si vostè veu qualsevol cosa - i jo et mostraré com vostè pot tenir accés en breu - tancament dels comptes fraudulentes si se li informa de la mateixa. Presentar un informe de la policia si vostè és al campus. Arribar a HUPD - fer-los saber. Penseu en un servei de monitorització de la identitat. si com a part de - si no et vas comprometre - potser hagi de - poden finançar serveis de protecció d'identitat. Si no ho fan potser hauria de fer. Recopilar i mantenir totes les proves - en particular, les discussions que ha tingut amb les autoritats penals sobretot per l'assegurança. Canvieu totes les seves contrasenyes. Canviar les respostes a les preguntes de seguretat que es poden utilitzar per restablir la contrasenya. Desactiveu els serveis d'identitat en el passat. Així que si torna a utilitzar el seu compte de Facebook per iniciar sessió a Twitter, o viceversa, trencar això, si el compromís involucrat el seu compte de correu electrònic comprovi si s'està remetent res. Perquè del contrari, segueixen tenint accés a les dades. I si el robatori inclou el compte de Harvard, per favor notifiqui IThelp@harvard.edu. No puc dir que prou, sinó també, en particular, si el dispositiu es perd o robat i tenia accés a les dades de la universitat i potser no tenen algunes d'aquestes proteccions siguin respectiva, si us plau contacteu amb nosaltres - HUPD i IT Help a Harvard. 

Així que l'enllaç que acabo d'esmentar que es dedica a això amb més detall FTC.gov / identitytheft. El Servei Postal té també una mica de frau o de serveis de protecció d'identitat - vostè acaba de posar un celler o un stop en les targetes de crèdit passant per o coses per l'estil. L'FBI té un vincle així, és en les notes de les diapositives que em va enviar. I, en efecte Massachusetts Better Business Bureau i Oficina de Protecció al Consumidor té alguna orientació, així, és en les notes. Preneu-vos el temps ara, et fas conscient del que pot fer, i prendre l'acció. El principi - com vaig dir abans - és que si vostè no té un pla per haver robat la seva identitat que immediatament serà subjecte a una gran quantitat de treball quan passa, i és quan. Però fins i tot quan es prenen aquestes precaucions - Permeteu-me afegir un petita paraula d'advertència - no hi ha pla sobreviu el primer contacte amb l'enemic. Així que fins i tot en aquest seguim pensant que pot haver certa subversió - vostè sap - seu banc, per exemple, que ha construït totes aquestes proteccions voltant que poden quedar en entredit; aquestes parts de confiança que li ha donat els seus dades. Així que vostè és el seu propi millor defensa. Vostè sap - no abaixar la guàrdia - estar alerta. Prengui el temps per triar a optar per ells, tant de bo socialitzar això, parlar amb els amics. Tria una bona contrasenya, l'ús de contrasenyes úniques per als seus comptes. I no tornar a utilitzar contrasenyes - en particular - al voltant d'alguns dels seus actius més sensibles i no utilitzi el seu compte de la universitat en un altre lloc. No utilitzeu la targeta de crèdit en un altre lloc. La contrasenya protegeix el dispositiu mòbil en aquest moment. I pel dispositiu mòbil Em refereixo telèfon intel · ligent, em refereixo al teu tablet. 

Penseu en utilitzar bones preguntes restabliment de seguretat, i parlaré d' això en breu per què, revisar el seu informe de crèdit. Una altra forma en què pot ser un bon ciutadà en aquest espai és el govern va obligar a les 3 agències de Experian, Transunion i Equifax per alliberar els informes de crèdit. Per a alguns de la comunitat de Harvard, especialment en l'espai estudiant, això podria ser nou per a ells, però se li permet tirar dels agències, almenys, un cop l'any. Ben cuidat - anar a aquest lloc, que està disponible a la FTC un. I fer-ho cada 4 mesos en lloc, i que són capaços de mantenir alerta sobre els que està sol · licitant sol · licituds d'informació de la targeta de crèdit, o si és que si algú obre els comptes fraudulentes. I - en general - la guia és ser conscient. I vaig a donar un exemple específic en breu, però que és essencialment la carn i les patates de la discussió. 

Per què això és important en aquest moment és durant l'estiu hi va haver un cavaller anomenat Matt Honan - si és que hi ha moltes gràcies per ser tan propera amb la seva informació. Però el que va passar amb Matt va treballar per a la revista Wired, i alguns cyperhacktivists ser després del seu compte de Twitter. I van utilitzar alguns d'aquests recursos - una mica d'aquest personatge públic que es va posar a disposició. I construir un mapa, sabien per on atacar i quan. Així que des que van començar a examinar minuciosament la informació que va fer disponibles, i es va trobar que tenia un compte de Gmail. Així que ell estava usant una contrasenya de menys de savi per la seva Gmail, i ell no tenia cap tipus d'autenticació de factors múltiples sobre el mateix. Així es van comprometre al seu Gmail, un cop havien accedir al seu Gmail veure aquests altres relats que havia connectats al seu Gmail. En efecte, no tenien accés a tot el seu conjunt Gmail o Google personatge. I - en particular - que van començar a notar que tenia un compte d'Amazon perquè hi havia alguns missatges de correu electrònic que se li informe. Llavors es portaven al seu Amazon, i van arribar a l'Amazònia amb només restablir la contrasenya, ja que va ser al seu Gmail. No tenia - que d'alguna manera tenia un efecte dòmino o cadena credencial passant aquí on una vegada que van arribar al seu Gmail que tenien les claus del regne. Així que una vegada que van arribar al seu Amazon - i això va ser sense culpa a aquests altres nois - va ser - saps - Matt no havia decidit optar a aquests mecanismes més segurs que només aquestes persones s'havien posat a disposició i totes aquestes fonts d'Internet. 

Així que una vegada que van arribar a l'Amazònia tenien accés - que no els mostrés la seva targeta de crèdit, però els va mostrar els últims 4 dígits només perquè ell sabia el que era, sinó que els va mostrar la seva adreça d'enviament. Se'ls va mostrar alguna altra informació que li ha fet en algunes ordres. I després d'això, van decidir atacar el seu compte d'Apple. I enginyeria social, la taula d'ajuda d'Apple. Apple no hauria d'haver fet, però en base a aquesta informació que van ser capaços d'extreure de les altres 2 comptes. Ja saps - el tipus de la taula d'ajuda probablement va pensar que estava sent un bon ciutadà - vostè sap - que estic sent útil, no és un client d'Apple per aquí que està encallat allà pel seu compte, i necessito la seva ajuda. Però no va ser el client d'Apple real. Així que restableixin el seu compte d'Apple, i enviar la informació a la de Gmail. Una vegada que els atacants van tenir accés al seu compte d'Apple Matt tenia tots els seus dispositius de lligat en el seu iCloud, i van començar a emetre sèries perjuri i netejant tot. Un cop més, acabava les seves dades propagats, estava usant iCloud com el mecanisme de sincronització. Així que quan s'eliminen que tot va ser explosió. Encara tenien accés a aquest moment al seu compte de Twitter que és el que que havien tractat d'atacar. No sé si s'utilitzen Maltego o alguns d'aquests altres mecanismes per construir el seu personatge d'Internet, però - saps - en qüestió de Per descomptat que van aconseguir accés a 4 serveis d'identitat diferents abans arribar al seu Twitter, i costen Matt - Matt era bastant afortunat que va veure el que va passar, perquè els seus fills es van apropar a ell quan l'iPad bloquejat per si sol. I ells van dir: - ja saps, "Papa, hi ha alguna cosa que fer amb l'iPad." I tancar tot perquè es va adonar del que estava passant a tot arreu. I ell va començar a trucar a Apple per veure què dimonis havia passat. A més, Apple realment va pensar que hi havia alguna cosa que iCloud s'havia convertit en corrupte fins que es van adonar - en realitat va descobrir que estaven enviant informació, i començar a cridar el nom equivocat. A causa que Apple tenia en la informació d'arxiu que l'atacant havia subvertit. 

Bé - pel que és el tipus d'informació que utilitzem per construir aquest classe de les millors pràctiques; fem servir això com a part de tot un seguit de seminaris a octubre - Mes Nacional de Conscienciació sobre la seguretat cibernètica. S'ha posat a disposició de vostès. M'asseguraré que el vaig enviar al Wiki quan David el fa disponible per a mi també. Però hi ha assessorament i orientació en allà molt més granular que Sóc capaç de resumir en aquest curt període de temps que tinc disponible. tot el que es diu, ennuvolat amb possibilitat de robatori d'identitat: Bona selecció de noms d'usuari i contrasenyes. Pot ser que no social? I la resposta és no, sempre és social, però cal ser conscient del que això significa. I és Taming Lleons, tigres, i finestres que és de voltant sistemes operatius d'enduriment amb algunes de les informacions que ens vam anar al dia d'avui. I l'últim que s'acosta, que Device, Will Travel per parlar sobre anar mòbil amb aquest tipus de fonts de dades. Així que a part d'això si vostè té qualsevol pregunta meva adreça de correu electrònic és allà, i si algú a la sala té alguna pregunta, si us plau aixequin la mà. A part d'això, vaig a deixar de gravar. Està bé. Fet. [CS50.TV]