[Powered by Google Translate] [研讨会:生存互联网] [李建英凯恩哈佛大学] [这是CS50. CS50.TV] 你好,欢迎到“生存的互联网。” 它研讨会这CS50课程的组成部分之一。 我是李建英凯恩。我的名字和地址,幻灯片在你的面前。 是esmond_kane@harvard.edu。 在我的日常工作​​中,我是一个IT安全董事HUIT, 但我不得不承认,今天我上一个客场的使命 这就是为什么我穿着一件红色T恤。 这是不会包括任何占 直接到我的日常工作​​,所以这是不是IT安全哈佛。 这是更多的个人信息,这是怎么当无处藏 - 这是什么样的技能,你会收购尝试,并帮助你 强化您的工作地点,在您的职业生涯中您的环境。 但是什么,我今天提应适用于您的任何 读大学的料,你的服务器或工作站 没有联系您当地的IT支持。 事实上,如果我提到任何应用程序或任何事件作为这项工作的一部分 谈话或讨论,它没有报告任何东西,我很荣幸地报告。 它通常是公众 也不确实应该任何提及的任何应用程序意味着任何 通过哈佛或代言确实是任何谴责。 所以,今天我们为什么在这里 - 现在,我们正在做的免责声明 - 我们今天在这里谈论幸存互联网。 以及为什么它是这样一个重要的话题,现在呢? 所以套用佩里·休伊特,谁在哈佛新闻和通信办公室工作 - 很抱歉,我现在读这种权利 - 她曾表示,“我们生活在一个 气氛不断升级的风险,但也无与伦比的创新之一。 迅速崛起的互联网,云计算,社会技术 已导致越来越多的人网上公开档案 确实访问不断增加的一系列信息。 这意味着,每个人都和他们的协会从未更加明显。 其数字网络作为哈佛的数字足迹 - 扩大, 我们吸引更广泛的受众。 我们希望为改善,但有时我们会 吸引一些负面的关注。 因此,作为哈佛大学的代表“,这包括大家 在家里看确实有人在这里,“我们的教师,我们的学生,我们的工作人员, 我们的研究人员,向你妥协的风险确实 相关网络从来就越高。“ 所以往往在信息安全,当我们试图平衡这 风险它是一个复杂的安全性和用户体验之间的权衡。 在紧迫的时代,我们必须做出周到的决定 什么将增强安全性没有出现大的不便。 我们被告知,有时一盎司的预防值得治愈的两倍, 但是当选择落实安全防范措施,以降低风险 我们必须承认,它永远不会降低潜在的风险降到零。 所以说 - 我们今天在这里讨论一些简单的,不是那么简单 安全预防措施,你现在就可以采取。 我还要补充 - 如果你有任何问题,在整个 演示只是举起你的手。 因此,第一个主题 - 我们经常被告知,选择一个好的密码。 密码是你的第一个和最好的防御。 它往往是唯一一个提供给您 当你选择使用在线资源。 但是,正如我们已经看到整个今年夏天,确实是上一年度 我们已经看到像LinkedIn,eHarmony的攻击。 我们已经看到了RockYou的。 我们已经有一些共70万的密码和帐户受到损害。 当这些密码被释放到公共领域 他们还包括密码的哈希值。 所以基本上这些天,如果有人获取帐户蜂巢 他们并不需要破解密码了,他们并不需要一个密码蛮力 发布信息的人选择什么,因为他们有这个巨大的宝库。 他们已经有了介意人们倾向于使用行为数据。 他们已经打破下降到约一千密码的列表 其中包括几乎为80%至90%,我们选择在共同使用的密码。 所以,一个简​​单的例子 - 有人愿意冒险你想什么 巴沙尔·阿萨德当它用于自己的密码被攻破去年? 这是一个绅士,谁是受到严格审查。 他的密码就是12345。 好了 - 所以这些都是我们所学到的经验教训,我们需要移动 不仅仅是思考的密码。 我们被告知要开始使用密码短语。 有一个伟大的喜剧或从兰迪·梦露确实是一个网络漫画 进入选择一个密码短语,他使用 - 我想说的是 - 电池,主食,限制或类似的东西 - 你知道 - 只是 - 确实有笑话,有人拿起冷笑话,尼莫, 冥王星 - 因为他被告知所有这些不同的字符和伦敦 挑选8个字符和资本。 但是 - 让我们学习,我们需要去思考不仅仅是一个密码。 其实是有名为Ars Technica的电子杂志在波士顿。 有一位叫丹·古丁是谁做一系列 这种不断变化的范围 - 无论是从攻击者的空间,在那里我们有 这个巨大的宝库,为我们提供 介意,我们不再需要通过彩虹表生成的东西; 我们有70万的密码。 但是,我们也有 - 你知道 - 在一个变化的景观 实际开裂的空间,因为有这样的GPU卡 几乎接近实时。 而且还有一个绅士八月谁放在一起,在DEF CON 12这些存储卡插入PC的商品。 他这样做是为了约2,000元或3,000元,而他能够破解 LinkedIn的宝库 - 你知道 - 近实时。 这是相当可怕的。 丹·古丁的文章 - 我强烈推荐它,如果你想去读它。 一位叫肖恩·加拉格尔 - 今天早晨 - 也发表了 快速更新了很多他们的工作是建立在 - 从材料可从布鲁斯,但也从 科马克Herely从微软研究院。 他们说大约5-6年前,我们需要开始思考超越密码。 当时的建议是像密码短语, 手势界面 - 那种东西。 你知道 - 如果你知道的东西不再是足以在这一点上; 就是我今天要传达的东西之一。 如果你必须使用一个密码,让我们不要害羞,说明你还是应该 挑一个,它应该是希望的东西超过10个字符。 它应该大写和小写之间变化。 我会强烈建议您不要重复使用密码。 我可以讲一些情况下,我们已经看到了一个帐户 妥协和,有人跳上跳过 - 多米诺骨牌效应。 他们挖掘每个帐户在每个阶段的过程 数据,然后将它们继续使用这些数据,在每个实例中开采 对另一个凭据源。 所以 - 再 - 挑一个好的密码。 它独特的。想想,你可能想使用一个密码管理服务。 还有的在那里 - 他们都是在应用程序商店。 有一个所谓的OnePass,KeePass的,LastPass的 - 它是一个很好的方式,它可以帮助您创建独特的凭据,凭据强, 但也有利于保持你的归档和记录。 一面,你需要带的密码存储; 你需要确保该密码管理器,你信任 是值得您的信赖。 所以一定要确保那些家伙也使用一些有效的密码机制。 尤其是我现在要提 是多因素身份验证。 因此,多因素身份验证 - 不久我将通过几个实例 - 这是简单的权宜之计,像你的东西,你知道 用户名和密码,并增加它 - 你添加另一个因素。 因此,今天,我们将提到的第一因素是在篮板上这些的。 这是你有你的财产,所以这是一个应用程序 您的智能手机上运行确实对手机本身。 你可能会对能够接收的短信。 当心,如果你出国旅行,不一定要跟着你。 应用程序可以工作在该实例中。 或什至其他的因素,你可能要考虑的是你的东西。 现在,这仍然是一种非常臭鼬。 我们没有看到太多采纳。 这是 - 你知道 - 碟中谍风格 - 你知道 - 你的静脉打印, 您的拇指印,你的视网膜打印。 这些都是样的进一出,他们是不是真的很有效的身份验证因素。 我们看到 - 当我跟我的保安同事 - 更多的压力, 你把键盘上的,尤其是打字模式,可能是 直接在地平线上 - 远远超过了其他生物识别。 但是,今天的应用程序或短信,甚至只是一个 挑战回复的电子邮件,你会得到 验证其实,你没有选择在这个时间点登录。 因此,有一个链接,我已经寄出幻灯片早晨。 这将是对维基。 Gmail和谷歌都做到这一点,雅虎将做到这一点。 贝宝,支付宝也有一点点的实际硬件密钥做旋转数。 但你也可以选择使用一个电话号码。 Facebook也做了日志批准,所以你选择 同意,他们也朝着更有效的硬实力安全工作。 Dropbox的有2步骤验证;用户也可以直接 购买硬件密钥。 我们也看到,很多人的Gmail或谷歌 实际上转而选择谷歌的身份验证,所以 - 例如 - 我用LastPass的 - 这并不意味着任何背书 - 但他们可以重复使用 谷歌的两步骤验证,所以这意味着我不需要 走动2我的手机上的应用。 但也内哈佛大学的研究计算,或使用一个比喻 谷歌的2步骤验证,因为一次性密码 算法是开源有大约10年前。 有什么问题吗?好。 ,所以另一个因素考虑之外密码是当你 使用这些资源知道你犯什么样的数据给他们。 只要限制你实际上把。 因此,我们都知道,这些人谁是我们在互联网上提供服务 - 这些云服务提供商 - 他们有你的既得利益 安全的,因为你可能不作为。 他们往往提供一个光秃秃的最起码的安全措施, 再有就是其他那些都是可选的,你需要选择选择到了一堆。 从这个演讲拿走的那种安全是共同的责任。 这是你和你的合作伙伴 - 联盟,形成。 你需要采取了积极的作用。选择选择。 你知道 - 花时间,使其更安全。 另一种方法是,已经有人验证和测试 这些安全因素对你越多,你可以选择退出 更好的准备,你是为最终的妥协。 ,它是最终的。 但是其他的因素要考虑的是,正如我所提到的 这些互联网各方信任与您的凭据 - 以您的身份。 我给你2个类比,拉里·埃里森(Larry Ellison)和马克·扎克伯格 - 他们都是 记录说明隐私很大程度上是一种错觉。 年龄的隐私。 这是一个悲惨的控诉,我们真的需要等待 为政府介入,以迫使这些政党更安全, 引入更多的立法,因为当我们尝试与 例如这些供应商一些喜欢聚会这些Dropbox的, 他们是在向消费者提供服务的业务。 他们不直接拥有具有企业级的安全控制。 消费者与他们的钱包投票, 他们已经接受最低级。 现在是时候改变这种思维。 因此,当我们为我们的数据,我们需要这些政党增选 现有的信任机制,所以默认情况下,我们是社会动物。 那么,为什么所有的突然,当我们开始把网上的数据 我们现在已经进入到我们亲自做相同的保护? 所以,当我能读你的身体语言,当我可以选择 网络与社交圈,的确是那个圈子泄露 只是我想要的信息。 因此,我们必须进入这个身体语言,表达,发声, 我们有机会到这些身份接近保护 在一个物理位置,他们仍然在开发网上。 我们没有对它们的访问,但我们开始看到他们。 因此,我们必须在Facebook方面 - 例如 - 团状。 我们已经进入到Google+中的圈子一样的东西。 绝对使用它们。 所以你想看到的最后一件事,尤其是在这个空间 当你去找到一份工作,现在你已经做了很多你的 个性的公众。 当有人想 - 如果他们选择 - 这可能是部分 公司政策或不是 - 它肯定是不是Harvard's的一部分 - 但他们可能会选择做一个谷歌搜索。 而当他们这样做 - 如果你提供了 - 让我们说的一些信息 你将不得不站在后面的困难 - 你做了自己帮倒忙。 事实上,正如我所提到的 - 这些社会企业,他们有既得利益 公开 - 你知道 - 他们需要你的数据挖掘。 他们是卖你的人口统计学和你的营销材料的人。 在这个空间里的一种比喻 - 如果你不支付的产品 你的产品吗? 因此,创建你的朋友圈,谨慎,勤奋, 尽量不要把一切都公开。 另一个比喻,我必使最终用户许可协议 改变,他们会告诉你,他们可以做什么与您的数据, 他们要埋在一份50页的点击通过。 他们可以选择改变这种状况,他们只是给你一个快速的电子邮件。 但你不是律师,这是非常在法律术语。 你在做什么,你必须要谨慎。 他们可能拥有自己的图片,他们可能拥有你的知识产权。 你知道 - 只是行使勤奋。 另一个例子美国国会图书馆归档人类已知的每一个鸣叫。一切。 大约每10年身体产生的材料 在那10年账目或大大超过了我们的一切 在整个人类历史中创建。 美国国会图书馆有既得利益在维护信息 为子孙后代,为未来的档案工作者,为未来的研究者和历史学家, 所以你把一切有就是有。 在某些时候,它实际上使一个巨大的资源 一旦人们开始挖掘社会工程或社交网站。 所以随时注意每个应用程序内提供的保障。 也有一些是我会提到,是一个第三方工具 已称为Privacyfix,它可以插入其中一些 社交网络应用程序。 它可以检查看看你在哪里,就保护 可他们,如果你可以选择棘轮他们进一步上升。 从谷歌“数据解放阵线有这样的工具 在那里你可以选择导出或提取数据。 有很多事情喜欢上网自杀机将登录 一些您的个人资料,并删除每一个属性 一次一个,untag的每一个关联的朋友,在您的网络中会作出。 ,它会追求反复清除你的一切 该网站会知道。 如果我可以只小心谨慎那里也有实例 一对夫妇几年前在德国公民决定 信息权利的行使他的自由,并要求Facebook上提供 什么样的信息,他们对他的记录,即使在他删除了他的帐户。 他们为他提供了1,250页信息的CD 尽管他的帐户,理论上不再存在。 有在此空间中的特定的概念,其中一些 实体将维持一些关于你的资料,做你的协会和网络。 他们说他们不能拥有控制权;舒展在我看来这是一个位。 他们创造这些影子账户 - 的影子人物角色。 只是要小心。 限制你。 在实际设备的水平,当你只是在谈论 - 你知道 - 硬件 - 您的手机,您的平板电脑, 您的工作站,笔记本电脑,也许你是负责服务器。 你可能已经听说过的概念,如操作,系统更新, 应用程序的更新,防病毒,你听说过的东西,如防火墙, 磁盘加密和备份。 有一件事你应该知道的是你没有听说过 那些在手机空间的保护。 他们一样受到同样的威胁。 我们 - 我想说的 - 100万智能手机将要 本月底启动。 这已经大大超过了 - 在很短的时间内, 他们一直在用,已经大大超过了增长 PC,笔记本电脑,工作站市场。 但是我们没有获得相同的控制,和我 将不久谈谈。 所以在我们的手机空间,让我们谈谈 什么是可用的,我只是简单地走了过去。 所以杀毒软件 - 这里有一些免费的选择。 微软给出了他们 - 你知道 - ,SOPHOS给他们的OSX 修补您的计算机 - 只知道无论你的供应商的 当前补丁级别,你不应该是一个显着的增量。 从一家名为Secunia公司有一个很好的工具。 Secunia公司将在后台运行,它会告诉你,如果有一个 可用的更新,如果你需要将它应用于。 启用自动更新 - 苹果和微软都将有一些这方面。 他们会提醒你,有可用的更新。 Secunia的 - 你知道 - 是一个很好的安全网,以及种 - ,依傍机制。 在主机层 - 没有得到智能手机。 启用本地操作系统的防火墙。 有一些有关Windows OSX。 测试你的防火墙,不只是离开那里,并认为这是一个安全的机制。 采取了积极的作用,有一个应用程序从GRC - 史蒂夫·吉布森。 在这个空间里的Wi-Fi安全 - 这也适用于智能手机和平板电脑 - 当你选择走在路上,你需要知道 的无线网络有不同的类。 ,尤其不要选择最常用的一个。 这可能是成本低,但有可能是一个原因。 也许他们正在挖掘数据。 我们看到更多的时候你是国际旅行。 有一些真正高效的网络犯罪团伙 能够利用我们通常看到国家的间谍。 他们在那里夺标注入自己在网络流的一个因素。 他们拉东西离开那里,他们所注入 您的工作站上的应用程序。 - 中提到一些其他的方面,我知道 安全研讨会 - 研讨会CS50研讨会 - 名为Firesheep的是一个工具。 Firesheep的是一个特定的攻击在手机空间 在这些社交网络应用程序发送凭据以纯文本格式。 这是相当普遍的接受,因为大家当时 被认为是没有食欲的消费空间, 使用较高强度的加密意味着性能负担 在服务器上,因此,如果他们没有做到这一点 - 他们不想。 然后,所有的突然当此安全研究员作了 我们开始看到那种琐碎的攻击速度非常快 - 你知道 - 大家在安全领域有改善 一直在抱怨一个相当长的时间。 所以 - 特别 - Firesheep的是能够检索到Facebook,Twitter的 凭据的Wi-Fi数据流。 因为它是纯文本,他们能够注入。 同样,如果你要使用Wi-Fi选择使用一个 充分的保护 - 如果你能WPA2。 如果你必须使用未加密的无线网络连接 - 特别是我说的 有人正在使用无线哈佛大学 - 想想,你可能想使用VPN。我非常鼓励。 其他因素,你可能要考虑的是,如果你不信任的Wi-Fi 你是,你可能想要限制使用。 不要做任何电子商务,不做任何银行。 不要访问您的大学凭证。 在这个空间里有一个重大胜利,如果有人 窃取您的凭据 - 你知道 - 他们有你的手机吗? 所以 - 你知道 - 那是另一个因素,他们不一定能够劫持 或只是让他们的攻击更加复杂。 加密您的硬盘。 我们现在在一个时代 - ,加密10年前曾经是一个大问题。 这是一个显着的性能影响。 它不再是 - 事实 - 大多数手机和那种东西 他们正在做硬件,你甚至不会注意到 - 的表现是如此的微不足道。 如果你正在谈论的工作站,我们正在谈论的BitLocker。 我们所谈论的文件库,启用它 - 现在走的时候。 在Linux空间可以跨越那些真隐窝明显。 您可能要思考的问题 - 在Linux空间 - 为dm-crypt, 有Luxcrypt的 - 还有一堆其他的选择 - 也真地穴。 其他快速的方法来保护自己在工作站级别 备份您的硬盘。 一个轻微的皱纹在这里 - 它是不是足够使用 这些云同步提供,所以Dropbox或G-驱动器或别的东西 这不是一个备份解决方案。 如果有人删除了一些对这些设备之一 因为他们插入自己不知它是怎么回事 - 在您的整个人物被复制,删除。 这不是一个备份,这仅仅是一种传播机制。 所以这是好事,有一个备份解决方案。 这里有一些建议,对一些人来说,他们有些是免费的 - 基于容量 - 2备份音乐会 - 你可以做到这一点。 如果您使用的是大学G-邮件 - 大学学院和合作,谷歌在G-驱动器 如果它不是已经 - 它也将很快面市。 这是一个很好的替代。 我们也将看这些东西像Mozy的首页。 这是好事,有2个解决方案。 不要所有的鸡蛋放在一个篮子里。 如果你正在出售的东西,或如果你确实是在这个过程中 发送保密的东西 - 这里的一些建议 安全擦除设备。 Darik的引导和Nuke - 这是一种更多的IT精明。 想想,你可能想只是给它一些 商业供应商,如果你能。 加密电子邮件 - 如果你有 - 有一些服务在校园 称为Accellion的,你是校外或个人使用,我会建议Hushmail。 我们看到了很多告密者中使用,它是一个主要的 维基解密机制 Tor和一些其他的现金等价物。 - 现在谈论手机水平 - 所以这里的问题是 是不是有那么多的胃口。 不幸的是,大多数的智能手机和平板电脑操作系统 他们仍然是基于在20世纪90年代,我们看到的一些原则。 他们还没有真正纳入一些改进 我们看到在工作站级别。他们都没有做热保护。 他们都没有做 - 你知道 - 层随机化。 他们不这样做地址保护。 他们不这样做,执行保护 - 那种东西。 而且设备本身的事实是不会有任何 端点安全把它建成。 因此,我们开始看到这种变化 - 再 - 大部分智能手机 制造商 - 安卓,苹果和Windows - 食欲 是不存在的基准是黑莓。 但黑莓那种失去了其在市场的牵引在这一点上。 苹果真的走了进来。 大约2年前,他们是一个分水岭的时刻 开始建立了很多越来越多的企业类型控制。 - 事实上 - 在8月,他们做了一个介绍DEF CON是闻所未闻。 所以,他们会做,我所描述的最低控制。 他们会做的强密码,他们会做一个提示,密码闲置 - 设备 - 你忘掉它,并在15分钟后启动。 他们会做加密,而他们也将做什么叫做远程擦拭。 这些都是在Android和Windows空间仍然待定 - 待确定。 Android有猎物和山的一些应用程序的访问。 的确有些端点安全工具,如卡巴斯基,我知道它。 我知道ESET​​它的的 他们会让你发送短信和清除设备。 Windows手机在这一点上,它主要是面向 企业风格 - 什么叫做交换。 交易所是一个强大的电子邮件基础设施,它可以委托一些这些控件。 Windows 8中,上周刚刚运,所以我不能讲,明确。 Windows 6.5的是极大的安全装置。 Windows 7移动是一场灾难,他们没有做所有这些原生控制 必须跨越不同的供应商。 所以你不得不,追认的Windows Mobile 7手机每次一个。 - 因为Android的3.0空间已经有了重大改进。 蜂窝,软糖,冰淇淋三明治 - 他们将支持这些最低控制 而事实上,他们会支持的一些企业的控制,你可以做的一样好。 在您的个人账户空间有一个谷歌个人同步 您可以启用,如果你有自己的谷歌空间。 所以,你会怎么做时,一切都可怕的错误呢? 如果我能 - 这从另一个外卖是真的 - 它是不是如果。 这是我们所有的人在某些时候会发生。你可以做什么? 所以你可以做的 - 有一个滑动 - 下一张幻灯片 你指出FTC的资源, 但最低限度你的信用卡欺诈警报。 如果我能鼓励你想想,当你使用信用卡 在网上的能力 - 这取决于你的交易 借记卡 - 权利要求的能力或能力收回欺诈 索赔借记卡实际上是一个更小的窗口,它是比信用卡。 所以一旦你借记卡,你让你的报告仅具有一定的 时间框架 - 这是非常低的 - 通知银行欺诈交易。 信用卡大得多,往往是有限制约50,000 之前,他们将真正能够给你报销。 所以这是一个相当大量的资金,他们碰上了最近从约$ 13,000 $ 18,000有相当。 所以 - 你知道 - 当你想到使用信用卡在线 你能想到使用充值卡或一次性信用卡,燃烧器卡? 如果你看到任何东西 - 我会告诉你如何能在短期内获得 - 关闭任何欺诈帐户,如果你意识到这一点。 文件一份警方报告,如果你是在校园。 伸出到HUPD - 让他们知道。 想想身份监控服务。 如果一部分 - 如果你得到妥协 - 你可能有 - 他们可能资助身份保护服务。 如果他们不这样做,也许你应该这样做。 收集和保存所有的证据 - 尤其是任何讨论,你有 与任何刑事当局 特别是为了保险起见。 更改您的密码。 更改重置您的密码,可用于任何安全问题的答案。 禁用任何过去的身份服务。 所以,如果你正在使用你的Facebook帐户登录到Twitter或反之亦然, 打破;若涉及您的电子邮件帐户的妥协 检查是否有任何被转发。 否则他们仍然可以访问您的数据。 而且如果盗窃包括哈佛帐户的请通知IThelp@harvard.edu“。 能没有说明是不够的,还要特别是,如果该设备丢失或 被盗,它获得了你的大学,数据,也许你 没有这些保护各自的,请让我们知道 - HUPD和IT帮助哈佛大学。 所以,我刚才提到的链接进入更多的细节 FTC.gov / identitytheft的。 邮政服务也有一些欺诈或身份保护服务 - 你只是暂时搁置或停止信用卡经历或类似的东西。 联邦调查局(FBI)有一个链接,它是在幻灯片的音符,我送出。 事实上,美国马萨诸塞州商业改进局和 消费者保护局具有一定的指导以及它是在票据。 现在走的时候,让自己知道你可以做什么,并采取行动。 原则 - 正如我前面提到的 - 如果你没有计划 你的身份被盗,你会立即将是 受了很多工作,当它发生,它是什么时候。 但是,即使你采取这些预防措施 - 让我只需添加 轻微字谨慎 - 没有计划生存与敌人的第一次接触。 因此,即使在我们仍然认为可以有一些颠覆 - 你知道 - 例如你的银行,你已经建立各地所有这些保护 他们可能会受到影响,这些受信任的人士,你已经给你的数据。 所以,你是你自己最好的防守。 你知道吗 - 保持警觉 - 保持警觉。 就拿现在的时间选择选择到这些,希望社交 ,这与你的朋友交谈。 挑选好的密码,使用唯一的密码,您的帐户。 不要重复使用密码 - 特别是 - 周围的一些 更敏感的资产,不要使用您的大学帐户别处。 不要使用您的信用卡帐户在别处。 密码保护您的移动设备。 而通过移动设备,我的意思是,我的意思是智能手机平板电脑。 想想使用良好的安全性复位的问题,我会谈谈 不久为什么,检查你的信用报告。 另一种方式,你可以在这个空间里做个好公民 政府强制3机构益百利,环联,和Equifax 释放信用报告。 对于一些哈佛社区,尤其是在学生的空间, 这可能是新的,但是你却可以拉那些 机构每年至少进行一次。 好小心 - 去该网站可在FTC之一。 做每4个月,而不是,你都能够保持 标签谁征求您的信用卡信息的请求, 如果确实,如果有人打开任何欺诈账户。 - 一般 - 的指导,就是要了解。 我会在短期内给你一个具体的例子, 但是,这本质上是肉和土豆的讨论。 那么,为什么这一点很重要,现在是暑假期间有一个 一位叫马特 - 河南 - 如果你是在那里非常感谢你 那么即将到来的与您的信息。 但发生了什么事与马特的是,他曾在“连线”杂志, 和一些cyperhacktivists去后,他的Twitter帐户。 他们用一些资源 - 一些公众人物 他提供。 他们建立了一个地图,他们知道在哪里时攻击。 所以,他们开始切片和切块的信息,他 有的,而且发现他有一个Gmail帐户。 所以他用不到明智的密码,他的Gmail, 他没有任何多因素身份验证。 因此,他们损害自己的Gmail,一旦他们访问自己的Gmail 他们看到所有这些账目,他已经插入他的Gmail。 事实上,他们不得不进入他的整个Gmail或谷歌的人物。 - 特别 - 他们开始注意到他有一个Amazon帐户 因为有一些邮件向他汇报。 于是,他们得到了他的Amazon,他们得到了他的Amazon 他只是重置密码,因为它去了他的Gmail。 他没有 - 他那种多米诺骨牌效应或证书链怎么回事 一旦他们得到了他的Gmail,他们有钥匙的王国。 所以一旦他们得到了他的亚马逊 - 这是通过无故障 这些家伙 - 这是 - 你知道 - ,马特已经没有选择 选择这些更安全的机制,只有这些人提供 所有这些网路资源​​。 所以一旦他们得到了 - 它没有向他们展示他们获得了他的Amazon 他的信用卡,但它显示了他们的最后4位数字 只是让他知道这是什么,这表明他的送货地址。 这表明他们其他的一些信息,他做了一些订单。 然后,他们决定攻击他的苹果帐户。 和苹果帮助台社会工程。 苹果应该没有这样做,而是根据这些信息, 他们能够从其他账户开采。 你知道 - 在帮助台的家伙可能以为他是 一个好公民 - 你知道 - 我是有帮助的;有一个苹果客户 被滞留在那里,有他自己的,我需要帮助他。 但是,这不是真正的苹果客户。 因此,他们重置他的苹果帐户,他们的Gmail信息发送到。 一旦攻击者有机会到他的苹果帐户 马特他的设备都绑到他的iCloud, 他们开始发行伪证集和擦拭一切。 同样,他刚刚传播他的数据,他使用的iCloud同步机制。 所以,当他们把它删除一切都一声巨响。 他们仍然有机会在这一点上他的Twitter帐户,而这正是 他们曾试图攻击。 我不知道他们是用Maltego或一些其他机制 打造出了自己的互联网人物,但之内的事情 - 你知道 - 当然,他们获得前4个不同的身份认证服务 他们得到了他的Twitter,它的成本马特 - 马特是很幸运,他目睹了这一切,因为他的孩子向他走来 当iPad锁定自行关闭。 他们说 - 你知道,“爸爸,有一些事情与iPad。” 他关闭了一切了,因为他注意到它的发生无处不在。 他开始叫苹果来看看什么是地狱,刚刚发生。 和苹果真正认为有一些事情 iCloud中了流氓,直到他们想通了 - 他居然想通了,他们发送信息,并 他们就开始叫他错了名字。 由于苹果对文件信息,攻击者颠覆。 好了 - 所以这是样的信息,我们用它来构建 一种最佳的实践,我们用这个作为整个系列的一部分 通过10月的研讨会 - 国家网络安全意识月。 它已经提供给你们。 我把它在Wiki大卫使得它提供给我,我会确保。 但有意见和指导,有更精细 我能够总结,在这短短的时间,我有可用。 围绕什么是所谓的,多云,有一个可能的身份盗窃: 采摘良好的用户名和密码。 它曾经是不是社会?答案是否定的,它始终是社会, 但你必须要知道这意味着什么。 它被驯服的狮子,老虎,和Windows左右 硬化操作系统的一些信息,我们就到了今天。 和最后一个,有设备,将旅游 谈移动这些类型的数据源。 所以,如果您有任何问题,我的电子邮件地址以外 那里,如果在房间的任何人有任何疑问,请举起你的手。 除此之外,我要停止录制。 好的。完成。 [CS50.TV]