[Powered by Google Translate] [研討會:生存互聯網] [李建英凱恩哈佛大學] [這是CS50. CS50.TV] 你好,歡迎到“生存的互聯網。” 它研討會這CS50課程的組成部分之一。 我是李建英凱恩。我的名字和地址,幻燈片在你的面前。 是esmond_kane@harvard.edu。 在我的日常工作​​中,我是一個IT安全董事HUIT, 但我不得不承認,今天我上一個客場的使命 這就是為什麼我穿著一件紅色T卹。 這是不會包括任何佔 直接到我的日常工作​​,所以這是不是IT安全哈佛。 這是更多的個人信息,這是怎麼當無處藏 - 這是什麼樣的技能,你會收購嘗試,並幫助你 強化您的工作地點,在您的職業生涯中您的環境。 但是什麼,我今天提應適用於您的任何 讀大學的料,你的服務器或工作站 沒有聯繫您當地的IT支持。 事實上,如果我提到任何應用程序或任何事件作為這項工作的一部分 談話或討論,它沒有報告任何東西,我很榮幸地報告。 它通常是公眾 也不確實應該任何提及的任何應用程序意味著任何 通過哈佛或代言確實是任何譴責。 所以,今天我們為什麼在這裡 - 現在,我們正在做的免責聲明 - 我們今天在這裡談論倖存互聯網。 以及為什麼它是這樣一個重要的話題,現在呢? 所以套用佩里·休伊特,誰在哈佛新聞和通信辦公室工作 - 很抱歉,我現在讀這種權利 - 她曾表示,“我們生活在一個 氣氛不斷升級的風險,但也無與倫比的創新之一。 迅速崛起的互聯網,雲計算,社會技術 已導致越來越多的人網上公開檔案 確實訪問不斷增加的一系列信息。 這意味著,每個人都和他們的協會從未更加明顯。 其數字網絡作為哈佛的數字足跡 - 擴大, 我們吸引更廣泛的受眾。 我們希望為改善,但有時我們會 吸引一些負面的關注。 因此,作為哈佛大學的代表“,這包括大家 在家裡看確實有人在這裡,“我們的教師,我們的學生,我們的工作人員, 我們的研究人員,向你妥協的風險確實 相關網絡從來就越高。“ 所以往往在信息安全,當我們試圖平衡這 風險它是一個複雜的安全性和用戶體驗之間的權衡。 在緊迫的時代,我們必須做出周到的決定 什麼將增強安全性沒有出現大的不便。 我們被告知,有時一盎司的預防值得治愈的兩倍, 但是當選擇落實安全防範措施,以降低風險 我們必須承認,它永遠不會降低潛在的風險降到零。 所以說 - 我們今天在這裡討論一些簡單的,不是那麼簡單 安全預防措施,你現在就可以採取。 我還要補充 - 如果你有任何問題,在整個 演示只是舉起你的手。 因此,第一個主題 - 我們經常被告知,選擇一個好的密碼。 密碼是你的第一個和最好的防禦。 它往往是唯一一個提供給您 當你選擇使用在線資源。 但是,正如我們已經看到整個今年夏天,確實是上一年度 我們已經看到像LinkedIn,eHarmony的攻擊。 我們已經看到了RockYou的。 我們已經有一些共70萬的密碼和帳戶受到損害。 當這些密碼被釋放到公共領域 他們還包括密碼的哈希值。 所以基本上這些天,如果有人獲取帳戶蜂巢 他們並不需要破解密碼了,他們並不需要一個密碼蠻力 發布信息的人選擇什麼,因為他們有這個巨大的寶庫。 他們已經有了介意人們傾向於使用行為數據。 他們已經打破下降到約一千密碼的列表 其中包括幾乎為80%至90%,我們選擇在共同使用的密碼。 所以,一個簡單的例子 - 有人願意冒險你想什麼 巴沙爾·阿薩德當它用於自己的密碼被攻破去年? 這是一個紳士,誰是受到嚴格審查。 他的密碼就是12345。 好了 - 所以這些都是我們所學到的經驗教訓,我們需要移動 不僅僅是思考的密碼。 我們被告知要開始使用密碼短語。 有一個偉大的喜劇或從蘭迪·夢露確實是一個網絡漫畫 進入選擇一個密碼短語,他使用 - 我想說的是 - 電池,主食,限制或類似的東西 - 你知道 - 只是 - 確實有笑話,有人拿起冷笑話,尼莫, 冥王星 - 因為他被告知所有這些不同的字符和倫敦 挑選8個字符和資本。 但是 - 讓我們學習,我們需要去思考不僅僅是一個密碼。 其實是有名為Ars Technica的電子雜誌在波士頓。 有一位叫丹·古丁是誰做一系列 這種不斷變化的範圍 - 無論是從攻擊者的空間,在那裡我們有 這個巨大的寶庫,為我們提供 介意,我們不再需要通過彩虹表生成的東西; 我們有70萬的密碼。 但是,我們也有 - 你知道 - 在一個變化的景觀 實際開裂的空間,因為有這樣的GPU卡 幾乎接近實時。 而且還有一個紳士八月誰放在一起,在DEF CON 12這些存儲卡插入PC的商品。 他這樣做是為了約2,000元或3,000元,而他能夠破解 LinkedIn的寶庫 - 你知道 - 近實時。 這是相當可怕的。 丹·古丁的文章 - 我強烈推薦它,如果你想去讀它。 一位叫肖恩·加拉格爾 - 今天早晨 - 也發表了 快速更新了很多他們的工作是建立在 - 從材料可從布魯斯,但也從 科馬克Herely從微軟研究院。 他們說大約5-6年前,我們需要開始思考超越密碼。 當時的建議是像密碼短語, 手勢界面 - 那種東西。 你知道 - 如果你知道的東西不再是足以在這一點上; 就是我今天要傳達的東西之一。 如果你必須使用一個密碼,讓我們不要害羞,說明你還是應該 挑一個,它應該是希望的東西超過10個字符。 它應該大寫和小寫之間變化。 我會強烈建議您不要重複使用密碼。 我可以講一些情況下,我們已經看到了一個帳戶 妥協和,有人跳上跳過 - 多米諾骨牌效應。 他們挖掘每個帳戶在每個階段的過程 數據,然後將它們繼續使用這些數據,在每個實例中開採 對另一個憑據源。 所以 - 再 - 挑一個好的密碼。 它獨特的。想想,你可能想使用一個密碼管理服務。 還有的在那裡 - 他們都是在應用程序商店。 有一個所謂的OnePass,KeePass的,LastPass的 - 它是一個很好的方式,它可以幫助您創建獨特的憑據,憑據強, 但也有利於保持你的歸檔和記錄。 一面,你需要帶的密碼存儲; 你需要確保該密碼管理器,你信任 是值得您的信賴。 所以一定要確保那些傢伙也使用一些有效的密碼機制。 尤其是我現在要提 是多因素身份驗證。 因此,多因素身份驗證 - 不久我將通過幾個實例 - 這是簡單的權宜之計,像你的東西,你知道 用戶名和密碼,並增加它 - 你添加另一個因素。 因此,今天,我們將提到的第一因素是在籃板上這些的。 這是你有你的財產,所以這是一個應用程序 您的智能手機上運行確實對手機本身。 你可能會對能夠接收的短信。 當心,如果你出國旅行,不一定要跟著你。 應用程序可以工作在該實例中。 或什至其他的因素,你可能要考慮的是你的東西。 現在,這仍然是一種非常臭鼬。 我們沒有看到太多採納。 這是 - 你知道 - 碟中諜風格 - 你知道 - 你的靜脈打印, 您的拇指印,你的視網膜打印。 這些都是樣的進一出,他們是不是真的很有效的身份驗證因素。 我們看到 - 當我跟我的保安同事 - 更多的壓力, 你把鍵盤上的,尤其是打字模式,可能是 直接在地平線上 - 遠遠超過了其他生物識別。 但是,今天的應用程序或短信,甚至只是一個 挑戰回复的電子郵件,你會得到 驗證其實,你沒有選擇在這個時間點登錄。 因此,有一個鏈接,我已經寄出幻燈片早晨。 這將是對維基。 Gmail和谷歌都做到這一點,雅虎將做到這一點。 貝寶,支付寶也有一點​​點的實際硬件密鑰做旋轉數。 但你也可以選擇使用一個電話號碼。 Facebook也做了日誌批准,所以你選擇 同意,他們也朝著更有效的硬實力安全工作。 Dropbox的有2步驟驗證;用戶也可以直接 購買硬件密鑰。 我們也看到,很多人的Gmail或谷歌 實際上轉而選擇谷歌的身份驗證,所以 - 例如 - 我用LastPass的 - 這並不意味著任何背書 - 但他們可以重複使用 谷歌的兩步驟驗證,所以這意味著我不需要 走動2我的手機上的應用。 但也內哈佛大學的研究計算,或使用一個比喻 谷歌的2步驟驗證,因為一次性密碼 算法是開源有大約10年前。 有什麼問題嗎?好。 ,所以另一個因素考慮之外密碼是當你 使用這些資源知道你犯什麼樣的數據給他們。 只要限制你實際上把。 因此,我們都知道,這些人誰是我們在互聯網上提供服務 - 這些雲服務提供商 - 他們有你的既得利益 安全的,因為你可能不作為。 他們往往提供一個光禿禿的最起碼的安全措施, 再有就是其他那些都是可選的,你需要選擇選擇到了一堆。 從這個演講拿走的那種安全是共同的責任。 這是你和你的合作夥伴 - 聯盟,形成。 你需要採取了積極的作用。選擇選擇。 你知道 - 花時間,使其更安全。 另一種方法是,已經有人驗證和測試 這些安全因素對你越多,你可以選擇退出 更好的準備,你是為最終的妥協。 ,它是最終的。 但是其他的因素要考慮的是,正如我所提到的 這些互聯網各方信任與您的憑據 - 以您的身份。 我給你2個類比,拉里·埃里森(Larry Ellison)和馬克·扎克伯格 - 他們都是 記錄說明隱私很大程度上是一種錯覺。 年齡的隱私。 這是一個悲慘的控訴,我們真的需要等待 為政府介入,以迫使這些政黨更安全, 引入更多的立法,因為當我們嘗試與 例如這些供應商一些喜歡聚會這些Dropbox的, 他們是在向消費者提供服務的業務。 他們不直接擁有具有企業級的安全控制。 消費者與他們的錢包投票, 他們已經接受最低級。 現在是時候改變這種思維。 因此,當我們為我們的數據,我們需要這些政黨增選 現有的信任機制,所以默認情況下,我們是社會動物。 那麼,為什麼所有的突然,當我們開始把網上的數據 我們現在已經進入到我們親自做相同的保護? 所以,當我能讀你的身體語言,當我可以選擇 網絡與社交圈,的確是那個圈子洩露 只是我想要的信息。 因此,我們必須進入這個身體語言,表達,發聲, 我們有機會到這些身份接近保護 在一個物理位置,他們仍然在開發網上。 我們沒有對它們的訪問,但我們開始看到他們。 因此,我們必須在Facebook方面 - 例如 - 團狀。 我們已經進入到Google+中的圈子一樣的東西。 絕對使用它們。 所以你想看到的最後一件事,尤其是在這個空間 當你去找到一份工作,現在你已經做了很多你的 個性的公眾。 當有人想 - 如果他們選擇 - 這可能是部分 公司政策或不是 - 它肯定是不是Harvard's的一部分 - 但他們可能會選擇做一個谷歌搜索。 而當他們這樣做 - 如果你提供了 - 讓我們說的一些信息 你將不得不站在後面的困難 - 你做了自己幫倒忙。 事實上,正如我所提到的 - 這些社會企業,他們有既得利益 公開 - 你知道 - 他們需要你的數據挖掘。 他們是賣你的人口統計學和你的營銷材料的人。 在這個空間裡的一種比喻 - 如果你不支付的產品 你的產品嗎? 因此,創建你的朋友圈,謹慎,勤奮, 盡量不要把一切都公開。 另一個比喻,我必使最終用戶許可協議 改變,他們會告訴你,他們可以做什麼與您的數據, 他們要埋在一份50頁的點擊通過。 他們可以選擇改變這種狀況,他們只是給你一個快速的電子郵件。 但你不是律師,這是非常在法律術語。 你在做什麼,你必須要謹慎。 他們可能擁有自己的圖片,他們可能擁有你的知識產權。 你知道 - 只是行使勤奮。 另一個例子美國國會圖書館歸檔人類已知的每一個鳴叫。所有的一切。 大約每10年身體產生的材料 在那10年賬目或大大超過了我們的一切 在整個人類歷史中創建。 美國國會圖書館有既得利益在維護信息 為子孫後代,為未來的檔案工作者,為未來的研究者和歷史學家, 所以你把一切有就是有。 在某些時候,它實際上使一個巨大的資源 一旦人們開始挖掘社會工程或社交網站。 所以隨時注意每個應用程序內提供的保障。 也有一些是我會提到,是一個第三方工具 已稱為Privacyfix,它可以插入其中一些 社交網絡應用程序。 它可以檢查看看你在哪裡,就保護 可他們,如果你可以選擇棘輪他們進一步上升。 從谷歌“數據解放陣線有這樣的工具 在那裡你可以選擇導出或提取數據。 有很多事情喜歡上網自殺機將登錄 一些您的個人資料,並刪除每一個屬性 一次一個,untag的每一個關聯的朋友,在您的網絡中會作出。 ,它會追求反复清除你的一切 該網站會知道。 如果我可以只小心謹慎那裡也有實例 一對夫婦幾年前在德國公民決定 信息權利的行使他的自由,並要求Facebook上提供 什麼樣的信息,他們對他的記錄,即使在他刪除了他的帳戶。 他們為他提供了1,250頁信息的CD 儘管他的帳戶,理論上不再存在。 有在此空間中的特定的概念,其中一些 實體將維持一些關於你的資料,做你的協會和網絡。 他們說他們不能擁有控制權;舒展在我看來這是一個位。 他們創造這些影子賬戶 - 的影子人物角色。 只是要小心。 限制你。 在實際設備的水平,當你只是在談論 - 你知道 - 硬件 - 您的手機,您的平板電腦, 您的工作站,筆記本電腦,也許你是負責服務器。 你可能已經聽說過的概念,如操作,系統更新, 應用程序的更新,防病毒,你聽說過的東西,如防火牆, 磁盤加密和備份。 有一件事你應該知道的是你沒有聽說過 那些在手機空間的保護。 他們一樣受到同樣的威脅。 我們 - 我想說的 - 100萬智能手機將要 本月底啟動。 這已經大大超過了 - 在很短的時間內, 他們一直在用,已經大大超過了增長 PC,筆記本電腦,工作站市場。 但是我們沒有獲得相同的控制,和我 將不久談談。 所以在我們的手機空間,讓我們談談 什麼是可用的,我只是簡單地走了過去。 所以殺毒軟件 - 這裡有一些免費的選擇。 微軟給出了他們 - 你知道 - ,SOPHOS給他們的OSX 修補您的計算機 - 只知道無論你的供應商的 當前補丁級別,你不應該是一個顯著的增量。 從一家名為Secunia公司有一個很好的工具。 Secunia公司將在後台運行,它會告訴你,如果有一個 可用的更新,如果你需要將它應用於。 啟用自動更新 - 蘋果和微軟都將有一些這方面。 他們會提醒你,有可用的更新。 Secunia的 - 你知道 - 是一個很好的安全網,以及種 - ,依傍機制。 在主機層 - 沒有得到智能手機。 啟用本地操作系統的防火牆。 有一些有關Windows OSX。 測試你的防火牆,不只是離開那​​裡,並認為這是一個安全的機制。 採取了積極的作用,有一個應用程序從GRC - 史蒂夫·吉布森。 在這個空間裡的Wi-Fi安全 - 這也適用於智能手機和平板電腦 - 當你選擇走在路上,你需要知道 的無線網絡有不同的類。 ,尤其不要選擇最常用的一個。 這可能是成本低,但有可能是一個原因。 也許他們正在挖掘數據。 我們看到更多的時候你是國際旅行。 有一些真正高效的網絡犯罪團伙 能夠利用我們通常看到國家的間諜。 他們在那裡奪標注入自己在網絡流的一個因素。 他們拉東西離開那裡,他們所注入 您的工作站上的應用程序。 - 中提到一些其他的方面,我知道 安全研討會 - 研討會CS50研討會 - 名為Firesheep的是一個工具。 Firesheep的是一個特定的攻擊在手機空間 在這些社交網絡應用程序發送憑據以純文本格式。 這是相當普遍的接受,因為大家當時 被認為是沒有食慾的消費空間, 使用較高強度的加密意味著性能負擔 在服務器上,因此,如果他們沒有做到這一點 - 他們不想。 然後,所有的突然當此安全研究員作了 我們開始看到那種瑣碎的攻擊速度非常快 - 你知道 - 大家在安全領域有改善 一直在抱怨一個相當長的時間。 所以 - 特別 - Firesheep的是能夠檢索到Facebook,Twitter的 憑據的Wi-Fi數據流。 因為它是純文本,他們能夠注入。 同樣,如果你​​要使用Wi-Fi選擇使用一個 充分的保護 - 如果你能WPA2。 如果你必須使用未加密的無線網絡連接 - 特別是我說的 有人正在使用無線哈佛大學 - 想想,你可能想使用VPN。我非常鼓勵。 其他因素,你可能要考慮的是,如果你不信任的Wi-Fi 你是,你可能想要限制使用。 不要做任何電子商務,不做任何銀行。 不要訪問您的大學憑證。 在這個空間裡有一個重大勝利,如果有人 竊取您的憑據 - 你知道 - 他們有你的手機嗎? 所以 - 你知道 - 那是另一個因素,他們不一定能夠劫持 或只是讓他們的攻擊更加複雜。 加密您的硬盤。 我們現在在一個時代 - ,加密10年前曾經是一個大問題。 這是一個顯著的性能影響。 它不再是 - 事實 - 大多數手機和那種東西 他們正在做硬件,你甚至不會注意到 - 的表現是如此的微不足道。 如果你正在談論的工作站,我們正在談論的BitLocker。 我們所談論的文件庫,啟用它 - 現在走的時候。 在Linux空間可以跨越那些真隱窩明顯。 您可能要思考的問題 - 在Linux空間 - 為dm-crypt, 有Luxcrypt的 - 還有一堆其他的選擇 - 也真地穴。 其他快速的方法來保護自己在工作站級別 備份您的硬盤。 一個輕微的皺紋在這裡 - 它是不是足夠使用 這些雲同步提供,所以Dropbox或G-驅動器或別的東西 這不是一個備份解決方案。 如果有人刪除了一些對這些設備之一 因為他們插入自己不知它是怎麼回事 - 在您的整個人物被複製,刪除。 這不是一個備份,這僅僅是一種傳播機制。 所以這是好事,有一個備份解決方案。 這裡有一些建議,對一些人來說,他們有些是免費的 - 基於容量 - 2備份音樂會 - 你可以做到這一點。 如果您使用的是大學G-郵件 - 大學學院和合作,谷歌在G-驅動器 如果它不是已經 - 它也將很快面市。 這是一個很好的替代。 我們也將看這些東西像Mozy的首頁。 這是好事,有2個解決方案。 不要所有的雞蛋放在一個籃子裡。 如果你正在出售的東西,或如果你確實是在這個過程中 發送保密的東西 - 這裡的一些建議 安全擦除設備。 Darik的引導和Nuke - 這是一種更多的IT精明。 想想,你可能想只是給它一些 商業供應商,如果你能。 加密電子郵件 - 如果你有 - 有一些服務在校園 稱為Accellion的,你是校外或個人使用,我會建議Hushmail。 我們看到了很多告密者中使用,它是一個主要的 維基解密機制 Tor和一些其他的現金等價物。 - 現在談論手機水平 - 所以這裡的問題是 是不是有那麼多的胃口。 不幸的是,大多數的智能手機和平板電腦操作系統 他們仍然是基於在20世紀90年代,我們看到的一些原則。 他們還沒有真正納入一些改進 我們看到在工作站級別。他們都沒有做熱保護。 他們都沒有做 - 你知道 - 層隨機化。 他們不這樣做地址保護。 他們不這樣做,執行保護 - 那種東西。 而且設備本身的事實是不會有任何 端點安全把它建成。 因此,我們開始看到這種變化 - 再 - 大部分智能手機 製造商 - 安卓,蘋果和Windows - 食慾 是不存在的基準是黑莓。 但黑莓那種失去了其在市場的牽引在這一點上。 蘋果真的走了進來。 大約2年前,他們是一個分水嶺的時刻 開始建立了很多越來越多的企業類型控制。 - 事實上 - 在8月,他們做了一個介紹DEF CON是聞所未聞。 所以,他們會做,我所描述的最低控制。 他們會做的強密碼,他們會做一個提示,密碼閒置 - 設備 - 你忘掉它,並在15分鐘後啟動。 他們會做加密,而他們也將做什麼叫做遠程擦拭。 這些都是在Android和Windows空間仍然待定 - 待確定。 Android有獵物和山的一些應用程序的訪問。 的確有些端點安全工具,如卡巴斯基,我知道它。 我知道ESET​​它的的 他們會讓你發送短信和清除設備。 Windows手機在這一點上,它主要是面向 企業風格 - 什麼叫做交換。 交易所是一個強大的電子郵件基礎設施,它可以委託一些這些控件。 Windows 8中,上週剛剛運,所以我不能講,明確。 Windows 6.5的是極大的安全裝置。 Windows 7移動是一場災難,他們沒有做所有這些原生控制 必須跨越不同的供應商。 所以你不得不,追認的Windows Mobile 7手機每次一個。 - 因為Android的3.0空間已經有了重大改進。 蜂窩,軟糖,冰淇淋三明治 - 他們將支持這些最低控制 而事實上,他們會支持的一些企業的控制,你可以做的一樣好。 在您的個人賬戶空間有一個谷歌個人同步 您可以啟用,如果你有自己的谷歌空間。 所以,你會怎麼做時,一切都可怕的錯誤呢? 如果我能 - 這從另一個外賣是真的 - 它是不是如果。 這是我們所有的人在某些時候會發生。你可以做什麼? 所以你可以做的 - 有一個滑動 - 下一張幻燈片 你指出FTC的資源, 但最低限度你的信用卡欺詐警報。 如果我能鼓勵你想想,當你使用信用卡 在網上的能力 - 這取決於你的交易 借記卡 - 權利要求的能力或能力收回欺詐 索賠借記卡實際上是一個更小的窗口,它是比信用卡。 所以一旦你借記卡,你讓你的報告僅具有一定的 時間框架 - 這是非常低的 - 通知銀行欺詐交易。 信用卡大得多,往往是有限制約50,000 之前,他們將真正能夠給你報銷。 所以這是一個相當大量的資金,他們碰上了最近從約$ 13,000 $ 18,000有相當。 所以 - 你知道 - 當你想到使用信用卡在線 你能想到使用充值卡或一次性信用卡,燃燒器卡? 如果你看到任何東西 - 我會告訴你如何能在短期內獲得 - 關閉任何欺詐帳戶,如果你意識到這一點。 文件一份警方報告,如果你是在校園。 伸出到HUPD - 讓他們知道。 想想身份監控服務。 如果一部分 - 如果你得到妥協 - 你可能有 - 他們可能資助身份保護服務。 如果他們不這樣做,也許你應該這樣做。 收集和保存所有的證據 - 尤其是任何討論,你有 與任何刑事當局 特別是為了保險起見。 更改您的密碼。 更改重置您的密碼,可用於任何安全問題的答案。 禁用任何過去的身份服務。 所以,如果你正在使用你的Facebook帳戶登錄到Twitter或反之亦然, 打破;若涉及您的電子郵件帳戶的妥協 檢查是否有任何被轉發。 否則他們仍然可以訪問您的數據。 而且如果盜竊包括哈佛帳戶的請通知IThelp@harvard.edu“。 能沒有說明是不夠的,還要特別是,如果該設備丟失或 被盜,它獲得了你的大學,數據,也許你 沒有這些保護各自的,請讓我們知道 - HUPD和IT幫助哈佛大學。 所以,我剛才提到的鏈接進入更多的細節 FTC.gov / identitytheft的。 郵政服務也有一些欺詐或身份保護服務 - 你只是暫時擱置或停止信用卡經歷或類似的東西。 聯邦調查局(FBI)有一個鏈接,它是在幻燈片的音符,我送出。 事實上,美國馬薩諸塞州商業改進局和 消費者保護局具有一定的指導以及它是在票據。 現在走的時候,讓自己知道你可以做什麼,並採取行動。 原則 - 正如我前面提到的 - 如果你沒有計劃 你的身份被盜,你會立即將是 受了很多工作,當它發生,它是什麼時候。 但是,即使你採取這些預防措施 - 讓我只需添加 輕微字謹慎 - 沒有計劃生存與敵人的第一次接觸。 因此,即使在我們仍然認為可以有一些顛覆 - 你知道 - 例如你的銀行,你已經建立各地所有這些保護 他們可能會受到影響,這些受信任的人士,你已經給你的數據。 所以,你是你自己最好的防守。 你知道嗎 - 保持警覺 - 保持警覺。 就拿現在的時間選擇選擇到這些,希望社交 ,這與你的朋​​友交談。 挑選好的密碼,使用唯一的密碼,您的帳戶。 不要重複使用密碼 - 特別是 - 周圍的一些 更敏感的資產,不要使用您的大學帳戶別處。 不要使用您的信用卡帳戶在別處。 密碼保護您的移動設備。 而通過移動設備,我的意思是,我的意思是智能手機平板電腦。 想想使用良好的安全性復位的問題,我會談談 不久為什麼,檢查你的信用報告。 另一種方式,你可以在這個空間裡做個好公民 政府強制3機構益百利,環聯,和Equifax 釋放信用報告。 對於一些哈佛社區,尤其是在學生的空間, 這可能是新的,但是你卻可以拉那些 機構每年至少進行一次。 好小心 - 去該網站可在FTC之一。 做每4個月,而不是,你都能夠保持 標籤誰徵求您的信用卡信息的請求, 如果確實,如果有人打開任何欺詐賬戶。 - 一般 - 的指導,就是要了解。 我會在短期內給你一個具體的例子, 但是,這本質上是肉和土豆的討論。 那麼,為什麼這一點很重要,現在是暑假期間有一個 一位叫馬特 - 河南 - 如果你是在那裡非常感謝你 那麼即將到來的與您的信息。 但發生了什麼事與馬特的是,他曾在“連線”雜誌, 和一些cyperhacktivists去後,他的Twitter帳戶。 他們用一些資源 - 一些公眾人物 他提供。 他們建立了一個地圖,他們知道在哪裡時攻擊。 所以,他們開始切片和切塊的信息,他 有的,而且發現他有一個Gmail帳戶。 所以他用不到明智的密碼,他的Gmail, 他沒有任何多因素身份驗證。 因此,他們損害自己的Gmail,一旦他們訪問自己的Gmail 他們看到所有這些賬目,他已經插入他的Gmail。 事實上,他們不得不進入他的整個Gmail或谷歌的人物。 - 特別 - 他們開始注意到他有一個Amazon帳戶 因為有一些郵件向他匯報。 於是,他們得到了他的Amazon,他們得到了他的Amazon 他只是重置密碼,因為它去了他的Gmail。 他沒有 - 他那種多米諾骨牌效應或證書鏈怎麼回事 一旦他們得到了他的Gmail,他們有鑰匙的王國。 所以一旦他們得到了他的亞馬遜 - 這是通過無故障 這些傢伙 - 這是 - 你知道 - ,馬特已經沒有選擇 選擇這些更安全的機制,只有這些人提供 所有這些網路資源。 所以一旦他們得到了 - 它沒有向他們展示他們獲得了他的Amazon 他的信用卡,但它顯示了他們的最後4位數字 只是讓他知道這是什麼,這表明他的送貨地址。 這表明他們其他的一些信息,他做了一些訂單。 然後,他們決定攻擊他的蘋果帳戶。 和蘋果幫助台社會工程。 蘋果應該沒有這樣做,而是根據這些信息, 他們能夠從其他賬戶開採。 你知道 - 在幫助台的傢伙可能以為他是 一個好公民 - 你知道 - 我是有幫助的;有一個蘋果客戶 被滯留在那裡,有他自己的,我需要幫助他。 但是,這不是真正的蘋果客戶。 因此,他們重置他的蘋果帳戶,他們的Gmail信息發送到。 一旦攻擊者有機會到他的蘋果帳戶 馬特他的設備都綁到他的iCloud, 他們開始發行偽證集和擦拭一切。 同樣,他剛剛傳播他的數據,他使用的iCloud同步機制。 所以,當他們把它刪除一切都一聲巨響。 他們仍然有機會在這一點上他的Twitter帳戶,而這正是 他們曾試圖攻擊。 我不知道他們是用Maltego或一些其他機制 打造出了自己的互聯網人物,但之內的事情 - 你知道 - 當然,他們獲得前4個不同的身份認證服務 他們得到了他的Twitter,它的成本馬特 - 馬特是很幸運,他目睹了這一切,因為他的孩子向他走來 當iPad鎖定自行關閉。 他們說 - 你知道,“爸爸,有一些事情與iPad。” 他關閉了一切了,因為他注意到它的發生無處不在。 他開始叫蘋果來看看什麼是地獄,剛剛發生。 和蘋果真正認為有一些事情 iCloud中了流氓,直到他們想通了 - 他居然想通了,他們發送信息,並 他們就開始叫他錯了名字。 由於蘋果對文件信息,攻擊者顛覆。 好了 - 所以這是樣的信息,我們用它來構建 一種最佳的實踐,我們用這個作為整個系列的一部分 通過10月的研討會 - 國家網絡安全意識月。 它已經提供給你們。 我把它在Wiki大衛使得它提供給我,我會確保。 但有意見和指導,有更精細 我能夠總結,在這短短的時間,我有可用。 圍繞什麼是所謂的,多雲,有一個可能的身份盜竊: 採摘良好的用戶名和密碼。 它曾經是不是社會?答案是否定的,它始終是社會, 但你必須要知道這意味著什麼。 它被馴服的獅子,老虎,和Windows左右 硬化操作系統的一些信息,我們就到了今天。 和最後一個,有設備,將旅遊 談移動這些類型的數據源。 所以,如果您有任何問題,我的電子郵件地址以外 那裡,如果在房間的任何人有任何疑問,請舉起你的手。 除此之外,我要停止錄製。 好的。完成。 [CS50.TV]