[Powered by Google Translate] [Seminar: Overlevende Internettet] [Esmond Kane-Harvard University] [Dette er CS50.-CS50.TV] Hej, og velkommen til "Overlevende internettet." Det er et af de seminarer, der omfatter en del af denne CS50 studieordning. Mit navn er Esmond Kane. Mit navn og adresse er på denne slide dæk foran dig. Det er esmond_kane@harvard.edu. I mit daglige arbejde er jeg en af ​​de it-sikkerhed direktører for HUIT, men jeg må erkende, at jeg i dag er på et væk mission hvilket er hvorfor jeg iført en rød skjorte. Dette kommer ikke til at omfatte alt, der kan henføres direkte til min dag job, så dette er ikke om it-sikkerhed til Harvard. Dette er mere bare personlige oplysninger, det er sådan, når Du er - disse er den slags færdigheder, som du vil erhverve at forsøge at hjælpe dig hærde dit arbejde stationer og dine omgivelser hele din karriere. Men noget, som jeg nævner i dag bør anvendes på nogen af ​​dine universitet materiale dine servere, eller dine arbejdsstationer uden at kontakte din lokale it-support. Og faktisk, hvis jeg nævne nogen programmer eller hændelser som en del af dette tale eller diskussion rapporterer ikke noget, at jeg er så privilegeret at rapportere. Det er normalt offentligt Og i øvrigt heller ikke bør enhver omtale af enhver ansøgning indebærer nogen påtegning gennem Harvard eller nogen fordømmelse. 

Så i dag, hvorfor vi er her - nu vi er færdig med forbehold - Vi er her i dag for at tale om at overleve på internettet. Og hvorfor er det så vigtigt et emne lige nu? Så for at parafrasere Perry Hewitt, der arbejder i Harvard Presse og Kommunikation kontor - Jeg undskylder for at læse dette lige nu - hun har udtalt: "Vi lever i et atmosfære af eskalerende risiko, men også en af ​​enestående innovation. Den hurtige stigning af internettet, Cloud og sociale teknologier har resulteret i mange flere mennesker, der har offentlige profiler online med faktisk adgang til et stadigt stigende udbud af information. Og det betyder, at alle og deres sammenslutninger har aldrig været mere synlige. Som Harvard digitale fodspor - sin digitale netværk udvider sig, vi tiltrækker et bredere publikum. Vi håber til gavn, men nogle gange vil vi tiltrække en vis negativ opmærksomhed. Så som en repræsentant for Harvard ", og det omfatter alle ser derhjemme eller endog nogen her, "vores fakultet, vores studerende, vores medarbejdere, vores forskere, risikoen for kompromis for dig, og ja til Deres tilknyttede netværk har aldrig været højere. " 

Så ofte i informationssikkerhed, når vi forsøger at balancere dette risikere det er en kompliceret afvejning mellem sikkerhed og brugeroplevelsen. I en tid med umiddelbarhed vi nødt til at gøre gennemtænkte beslutninger om, hvad der vil øge sikkerheden, uden en væsentlig ulempe. Vi får at vide nogle gange en ounce af forebyggelse er værd dobbelte kur, men når du vælger at gennemføre sikkerhedsforanstaltninger for at mindske din risiko vi nødt til at erkende, at det aldrig vil mindske den potentielle risiko for nul. Så sagt - vi er her i dag for at diskutere nogle enkle og ikke så enkelt sikkerhedsmæssige forholdsregler, du kan tage lige nu. Jeg bør også tilføje - hvis du har spørgsmål i hele præsentationen bare hæve din hånd. Så det første emne - vi får ofte at vide at vælge en god adgangskode. En adgangskode er din første og bedste forsvar. Det er ofte den eneste, der er til rådighed for dig når du vælger at bruge en online ressource. Men som vi har set i hele denne sommer og faktisk det foregående år vi har set angreb som LinkedIn, eHarmony. Vi har set RockYou. Vi har haft nogle alt 70 millioner passwords kompromitteret og konti. Og når disse passwords blev frigivet i det offentlige domæne de også omfattede password hash. 

Så dybest set i disse dage, hvis nogen henter en konto hive de behøver ikke at knække et password længere,. de behøver ikke at brute force et password fordi de har denne massive guldgrube af frigivet oplysninger om, hvad folk vælger. De har allerede fået adfærdsmæssige data til at tænke på, hvad folk har tendens til at bruge. Og de har brudt det ned til en liste på omkring tusind passwords der omfatter næsten 80 til 90% af de passwords, som vi vælger i almindelig brug. Så en hurtig eksempel - nogen ønsker at vove, hvad du troede Bashar al-Assad, der anvendes til sit password, da det blev kompromitteret sidste år? Dette er en herre, som er underkastet intense kontrol. Og hans password var 12345. Okay - så disse er erfaringer, vi har lært, vi har brug for at flytte end blot at tænke på en adgangskode. Vi får at vide at begynde at bruge en adgangskode. Der er en stor tegneserie fra eller faktisk en web tegneserie fra Randy Monroe der går med at vælge en adgangskode, han bruger - Jeg vil sige - batteri, hæfte, begrænsning af eller noget lignende - du ved - bare - eller ja der er joke, at nogen, der plukkes Fedtmule, Nemo, Pluto - alle disse forskellige tegn og London, fordi han blev fortalt at plukke 8 tegn og kapital. Men - så vi lærer vi nødt til at gå at tænke videre end blot en adgangskode. 

Der er faktisk en Ezine i Boston kaldet Ars Technica. Der er en herre ved navn Dan Goodin der gør en serie om dette skiftende omfang - enten fra angriberen plads, hvor vi har denne massive guldgrube tilgængelige for os til enten at tænke vi ikke længere nødt til at generere ting gennem regnbue tavler; vi har 70 millioner adgangskoder. Men også vi har haft - du ved - en foranderlig scape i faktiske revner plads, fordi GPU cards har gjort dette næsten tæt på realtid. Og der er en gentleman i Def Con i august, som tilsammen 12 af disse kort til en handelsvare PC. Han gjorde det for omkring $ 2.000 eller $ 3.000 og han var i stand til at knække LinkedIn guldgrube i - du ved - nær realtid. Det var ret skræmmende. Dan Goodin s artikel - jeg stærkt anbefale det, hvis du ønsker at gå læse den. En herre ved navn Sean Gallagher - morges - også udgivet en hurtig opdatering på det, en masse af deres arbejde er bygget på - fra materiale til rådighed fra Bruce Schneier, men også fra Cormac Herely fra Microsoft Research. De slags oplyst omkring 5-6 år siden, at vi er nødt til at begynde at tænke over passwords. Forslagene dengang var ting som pass sætninger, gestikulerende grænseflader - den slags ting. Du ved - hvis noget du kender, er ikke længere tilstrækkeligt på dette punkt; det er en af ​​de ting, jeg ønsker at kommunikere i dag. Hvis du behøver at bruge en adgangskode, så lad os ikke være genert i, bør du stadig vælge en god en, det skal være forhåbentlig noget ud over 10 tegn. Det bør variere mellem store og små bogstaver. 

Jeg vil stærkt opfordre dig til ikke at genbruge adgangskoder. Jeg kan tale til flere tilfælde, hvor vi har set en konto får kompromitteret og nogen hoppede og sprang - den dominoeffekt. De minen hver konto på hvert trin i processen for dette data, og så gå videre til at bruge disse data, de udvindes i hvert enkelt tilfælde mod en anden legitimationsoplysninger kilde. Så - igen - vælge en god adgangskode. Gør det unikt. Du ønsker måske at tænke på at bruge en password manager service. Der er dem derude fra - de er alle i app stores. Der er en der hedder OnePass, KeePass, LastPass - det er en dejlig måde for at hjælpe dig med at skabe unikke legitimationsoplysninger, stærke legitimationsoplysninger, men også lette arkiv og journalføring for dig. Den ned side til det er du nødt til at bringe det til et password butik; du nødt til at sørge for, at denne password manager, som du stoler er værdig til din tillid så godt. 

Så sørg for de fyre bruger også nogle gyldige password mekanismer. Især den ene jeg vil nævne lige nu er multi-faktor-autentificering. Så multi-faktor-autentificering - og der er flere tilfælde vil jeg gå igennem snart - Det er den enkle middel at tage noget du kender som din brugernavn og din adgangskode og tilføje til det - du tilføjer en anden faktor. Så den første faktor, at vi vil nævne i dag, er disse dem i bestyrelserne. Det er noget, du har i dine ejendele, så det er enten en ansøgning , der kører på din smartphone eller endog på selve telefonen. Og du kan være i stand til at modtage en SMS. Pas på, hvis du rejser i udlandet, der ikke nødvendigvis kommer til at følge dig. En ansøgning kan arbejde større i dette tilfælde. Eller faktisk den anden faktor, du måske ønsker at tænke på er noget du er. 

Nu er det er stadig slags meget meget skunkworks. Vi ser ikke alt for meget vedtagelse af det. Dette er - du ved - Mission Impossible stil - du ved - en blodåre print, tommelfingeren print, din nethinde print. Det er slags længere ud, de er ikke rigtig meget gyldige authentication faktorer. Vi ser - når jeg taler med mine sikkerhedsindstillinger kolleger - mere pres der du lægger på et tastatur, din særlige skrive mønster, er formentlig direkte på horisonten - meget mere end de andre biometriske identifikatorer. Men dem i dag er applikationer eller SMS tekst eller bare en Udfordringen svar e-mail, du kommer til at få at validere at du rent faktisk vælger at logge på dette tidspunkt. Så der er et link lige der, jeg har sendt ud slide dæk morges. Det vil være på Wiki. 

Både Gmail og Google gør det, Yahoo vil gøre det. Paypal har det, Paypal har også en lidt faktiske hardware nøgle, som gør en roterende nummer. Men du kan også vælge at bruge et telefonnummer. Facebook også gør en log i godkendelsen, så du vælger at godkende den, de er også arbejder hen imod mere gyldige hårdt styrke sikkerheden. Dropbox har 2-trins verifikation samt, du kan også bare købe en hardware nøgle for dem. Vi ser også i Gmail ene eller den Google en, en masse mennesker er faktisk selvsupplering Googles godkenderen, så - for eksempel - Jeg bruger LastPass - det er ikke ensbetydende med nogen godkendelse - men de kan genbruge Googles 2-trins verifikation, så det betyder at jeg ikke behøver at gå rundt med 2 programmer på min telefon. Men også forskning computing inden Harvard eller bruge en analogi til Googles 2-trins-godkendelse, fordi den ene gang password algoritme blev åbent købes der omkring 10 år siden. Eventuelle spørgsmål? Godt. 

Så en anden faktor overvejelse over passwords er, når du er bruge disse ressourcer være opmærksom på, hvilke data, du forpligte sig til dem. Bare begrænse, hvad du rent faktisk sætte op dér. Så vi er opmærksomme på, at disse mennesker, som leverer en service for os på Internettet - disse cloud-udbydere - de har en interesse i dig ikke er så sikker som du potentielt kan. De har tendens til at stille et absolut minimum af sikkerhed, og så er der en masse andre dem, der er valgfrie, at du skal vælge at tilmelde. Den slags tager væk fra denne snak er sikkerhed er et fælles ansvar. Det er mellem dig og partnerne, du foretager - de alliancer, som du danner. Du er nødt til at tage en aktiv rolle. Vælg at tilvælge det. Du ved - tage tid nu, gøre den mere sikker. Alternativet er, at der allerede er folk, validering og afprøvning disse sikkerhedsmæssige faktorer mod dig, jo mere du kan vælge at tilmelde til det bedre forberedt du er til den endelige kompromis. Og det er eventuel. 

Men den anden faktor til at tænke over, er, som jeg nævnte disse Internet partier, som du stoler med dine legitimationsoplysninger - med din identitet. Jeg vil give dig 2 analogier, Larry Ellison og Mark Zuckerberg - de er begge på rekord angivelse privatliv er i vid udstrækning en illusion. Og at alder af privatlivets fred er forbi. Det er lidt af en trist anklage, at vi virkelig nødt til at vente for regeringen til at træde til for at tvinge disse parter til at være mere sikker, at indføre mere lovgivning, fordi når vi forsøger at arbejde med disse leverandører for eksempel nogle af disse Dropbox som fester, de er i færd med at levere ydelser til forbrugeren. De er ikke direkte interesseret i at have enterprise-grade sikkerhedskontrol. Forbrugerne stemte med deres tegnebog, og de har allerede accepteret et minimum lønklasse. Det er på tide at ændre det tænkning. Så når vi giver vores data til disse parter, er vi nødt til at selvsupplering vores eksisterende tillid mekanismer, så vi er sociale væsener som standard. 

Så hvorfor alle de pludselig, når vi begynder at sætte data online har vi nu adgang til den samme beskyttelse, vi gør personligt? Så når jeg kan læse dit kropssprog, når jeg kan vælge at netværk med en omgangskreds og faktisk til denne cirkel videregive netop de oplysninger, jeg vil. Så vi har adgang til denne kropssprog, udtryk, at vocalize, vi har adgang til disse identitet nærhed beskyttelser i en fysisk placering, de er stadig under udvikling online. Vi har ikke adgang til dem, men vi er begyndt at se dem. Så vi har facetter i Facebook - for eksempel - lignende grupper. Vi har adgang til ting i Google+ som cirkler. Absolut bruge dem. Så den sidste ting du ønsker at se, er i dette rum, navnlig når du gå for at få et job, du har nu lavet en masse af din personlighed offentligheden. Og når nogen ønsker at - hvis de vælger at - det kunne være en del af virksomhedens politik eller ej - det er bestemt ikke en del af Harvard's - men de kan vælge at gøre en Google-søgning. Og når de gør det - hvis du har givet - lad os sige nogle oplysninger som du ville have svært ved at stå bag - du har gjort dig selv en bjørnetjeneste. Og faktisk som jeg nævnte - disse sociale virksomheder, de har en interesse i at gøre det offentligt - du ved - de har brug for at udvinde dine data. De sælger dine demografi og din markedsføring materiale til nogen. Den slags analogi i dette rum er - hvis du ikke betaler for en vare er du produktet? Så opret cirkler for dine venner, være forsigtige, er flittig, prøv ikke at gøre alting offentligheden. 

En anden analogi vil jeg gøre, er slutbruger licensaftaler ændre sig, de kommer til at fortælle dig, hvad de kan gøre med dine data, og de kommer til at begrave den i en 50-siders klikke sig igennem. Og de kan vælge at ændre det, og de bare sende dig en hurtig e-mail. Men du er ikke en advokat, det er meget i juridiske aftaler. Du er nødt til at være forsigtig med, hvad du laver. De kan eje dine billeder, de kan eje din intellektuelle ejendom. Du ved - bare øvelse flid. Et andet eksempel Library of Congress er arkivering hver eneste tweet, man kender. Alting. Hvert 10. år nogenlunde kroppen af ​​materiale, der er genereret i at 10 års regnskaber eller i høj grad udkonkurrerer alt, hvad vi har oprettes i hele menneskets historie. Library of Congress har en interesse i at bevare disse oplysninger for eftertiden, for fremtidige arkivarer, for fremtidens forskere og historikere så alt, hvad du lægger derude er der. Det vil faktisk gøre en enorm ressource på et tidspunkt når folk begynder at udvinde social engineering eller sociale netværkssider. Så holde underrettet om den beskyttelse under de enkelte ansøgning. 

Der er noget, jeg vil nævne, samt, at der er en tredjepart værktøj kaldet Privacyfix, og det kan sætte lige ind i nogle af disse social networking-applikationer. Og det kan kontrollere at se, hvor du er med hensyn til beskyttelse der er tilgængelige på dem, hvis du kan vælge at skralde dem op yderligere. Der er værktøjer som data Befrielsesfront fra Google hvor du kan vælge at eksportere eller udtrække dine data. Der er ting som internettet Suicide Machine, som vil logge på til nogle af dine profiler og faktisk slet hver eneste attribut en ad gangen, fjerne mærket hver enkelt forening venner i dit netværk ville have gjort. Og det vil fortsætte til iterativt udrense alt om dig at denne lokalitet ville vide. Hvis jeg bare kan udøve en vis forsigtighed der såvel, der var et eksempel for et par år siden i Tyskland, hvor en borger har besluttet at udøve sin ret til fri information rettigheder og bede Facebook for at give hvilke oplysninger de havde på rekord for ham, selv efter han slettede sin konto. De gav ham en CD med 1.250 sider med information selvom hans konto teoretisk ikke længere eksisterede. Der er konceptet i dette rum en masse at nogle af disse enheder vil fastholde nogle data om dig at gøre med din foreninger og dine netværk. De siger, at de ikke kan have kontrol over det, det er lidt af et stræk i min mening. De skaber disse skyggekonti - skyggen personas. Bare vær forsigtig. Begrænse, hvad du kan. På en faktisk enhed niveau, når du lige er tale om - du ved - hardware - din smartphone, dine tabletter, din arbejdsstation, din bærbare computer, måske en server, som du er ansvarlig for. 

Du har sikkert hørt om begreber som drift, system opdateringer, programopdateringer, antivirus, du har hørt om ting som firewalls, disk kryptering og op igen. Den ene ting, du bør være opmærksom på er, at du ikke hører om den slags beskyttelse i mobiltelefonen plads. De er lige så modtagelige for de samme trusler. Vi havde - Jeg vil sige - en million smartphones vil være aktiveres ved udgangen af ​​denne måned. Det har langt overhalet - inden for kort tid, at de har været til rådighed, har det langt overhalet væksten i PC, laptop, arbejdsstationen markedet. Men vi har ikke adgang til de samme kontroller, og jeg vil tale om det om lidt. Så før vi kommer til mobiltelefonen plads lad os tale om hvad der er tilgængeligt der, at jeg lige kort gik over. Så antivirus software - her er nogle frie valg. Microsoft giver væk deres - du ved - Sophos giver væk deres for OSX samt Patch din computer - bare være opmærksom på hvad din sælgers nuværende patch niveau, og du bør ikke være en betydelig delta fra der. Der er en dejlig værktøj fra et firma kaldet Secunia. Og Secunia vil køre i baggrunden, og det vil fortælle dig, hvis der er en opdateret til rådighed, og hvis du har brug for at anvende den. 

Aktiver automatiske opdateringer - både Apple og Microsoft vil have nogle aspekter af dette. De vil advare dig om, at der er en opdatering tilgængelig. Og Secunia - du ved - er lidt af en dejlig sikkerhedsnet at have så godt - falde tilbage mekanisme. På værten lag - ikke komme til smartphones endnu. Aktivere firewallen indfødte til operativsystemet. Der er nogle oplysninger om Windows i OSX én. Test din firewall, ikke bare lade det der og tror, ​​at det er en sikker mekanisme. Tag en aktiv rolle, og der er et program der fra GRC - Steve Gibson. Wi-Fi-sikkerhed i dette rum - det kan også gælde for smartphone og tablet - når du vælger at gå på den vej, du skal være opmærksom at der er forskellige klasser af trådløse netværk. Og i særdeleshed ikke vælge den mest almindeligt tilgængelige én. Det kan være lave omkostninger, men der kan være en grund til det. Måske de er minedrift dine data. Vi ser dette mere, når du rejser internationalt. Der er nogle virkelig meget effektive cyber kriminelle syndikater der er i stand til at udnytte det, vi typisk ser i nationalstaterne 'spionage. En faktor, hvor de er decideret injicere sig selv i et netværk stream. De trækker ting ud af der, og de injicerer applikationer på dine arbejdsstationer. 

Det er - det andet aspekt, som jeg kender blev nævnt i nogle af disse sikkerhed seminarer - eller ej seminarer CS50 seminarer - er et værktøj kaldet Firesheep. Og Firesheep var en bestemt angreb i mobiltelefonen plads hvor nogle af disse sociale networking-applikationer sendte legitimationsoplysninger som almindelig tekst. Og dette var ganske almindeligt accepteret, fordi alle dengang tænkte, at der ikke var nogen appetit i forbrugernes plads til det, at bruge højere styrke kryptering indebar en performance byrde på serveren, hvis så de ikke behøver at gøre det - de havde ikke lyst til. Og så alle de pludselig, når denne sikkerhedsekspert gjorde angrebet trivielle meget hurtigt - du ved - vi begyndte at se den slags forbedring, som alle i sikkerhed rummet havde været klager over en længere tid. Så - i særdeleshed - Firesheep var i stand til at hente Facebook, Twitter legitimationsoplysninger fra Wi-Fi-stream. Og fordi det var i almindelig tekst, og de var i stand til at injicere. 

Igen, hvis du vil bruge Wi-Fi vælger at bruge en, er tilstrækkeligt beskyttet - WPA2 hvis du kan. Hvis du nødt til at bruge ukrypterede Wi-Fi - og især jeg taler til nogen, der bruger Harvard University trådløs - kan du ønsker at tænke på at bruge VPN. Jeg stærkt opfordre det. Andre faktorer, du måske ønsker at tænke på er, hvis du ikke har tillid til Wi-Fi at du er på, kan du ønsker at begrænse brugen. Ikke gør nogen e-handel, gør ikke nogen bank. Må ikke få adgang til dit universitet legitimationsoplysninger. Der er en stor sejr i dette rum, hvis nogen betyder stjæle dine legitimationsoplysninger - du ved - har de din mobiltelefon? Så - du ved - det er en anden faktor, at de ikke nødvendigvis kan kapre eller bare gør deres angreb mere kompliceret. Krypter din harddisk. Vi er på en æra lige nu - kryptering, der anvendes til at være en big deal for 10 år siden. Det var en betydelig indvirkning på ydeevnen. Det er ikke længere - i virkeligheden - de fleste af de mobiltelefoner og den slags ting de gør det i hardware, og du behøver ikke engang mærke - udførelsen er så ubetydelig. 

Hvis du taler om en arbejdsstation, taler vi om BitLocker. Vi taler om File Vault, aktivere den - tage sig tid nu. I Linux plads selvfølgelig rigtigt Cryptocoryner kan arbejde på tværs af begge disse. Du ønsker måske at tænke - i Linux rum - der er dm-crypt, der er Luxcrypt - der er en masse andre muligheder - også sandt Crypt. Andre hurtig måde at beskytte dig selv ved arbejdsstationen niveau sikkerhedskopiere din harddisk. Og en lille rynke her - det er ikke tilstrækkeligt at bruge en af disse cloudsynkronisering udbydere, så Dropbox eller G-Drive eller noget andet Det er ikke en back up løsning. Hvis nogen sletter noget på en af ​​disse enheder fordi de indsatte selv en eller anden måde det går - at sletning bliver replikeret hele din persona. Det er ikke en back up, det er bare en opformering mekanisme. Så det er godt at have en back up løsning. Der er nogle forslag her for nogle mennesker, nogle af dem er gratis - Kapacitet baseret - 2 gigs back up - du kan gøre det. Hvis du bruger universitets G-mail - universitet Google på college og co, G-Drive hvis det ikke allerede er - det vil snart være tilgængelige. Det er en god erstatning. Vi vil også se på disse ting som Mozy Home. Det er godt at have 2 løsninger. Har du ikke alle dine æg i én kurv. Hvis du smider noget, eller endog hvis du er i færd for at sende noget fortroligt - nogle forslag her sikkert slette en enhed. Darik s Boot og Nuke - det er en slags mere for IT kyndige. Du ønsker måske at tænke over bare at give det til nogle af disse kommercielle udbydere, hvis du kan. 

Kryptering email - hvis du skal - der er nogle tjenester på campus kaldet Accellion, du er off-campus eller til personligt brug vil jeg anbefale Hushmail. Vi ser det meget brugt i whistleblower, det er en af ​​de vigtigste mekanismer for WikiLeaks samt Tor og nogle andre ækvivalenter. Og - nu til at tale om i telefon-niveau - så problemet her er Der er ikke så meget af en appetit endnu. Desværre har de fleste af de smartphones og tablet Oss de er stadig baseret på nogle af de principper, som vi så i 1990'erne. De har ikke rigtig indarbejdet nogle af forbedringerne at vi ser på arbejdsstationen niveau. De ikke gør varmebeskyttelse. De ikke gør - du ved - lags randomisering. De ikke gør adresse beskyttelse. De gør ikke udføre beskyttelse - den slags ting. Men også selve enheden af ​​defacto ikke vil have nogen slutpunkt sikkerhed bygget ind i det. Så vi er begyndt at se denne ændring - igen - det meste af smartphone fabrikanter - Android, Apple og Windows - appetitten bare var der ikke, benchmark var Blackberry. Men Blackberry har slags mistet sin trækkraft på markedet på dette tidspunkt. Og Apple har virkelig forskydninger i. Ca 2 år siden var der en skelsættende øjeblik, hvor de begyndte at bygge i en masse mere enterprise typen kontrol. Og - ja - i august gjorde de en præsentation på Def Con, som var blot uhørt. 

Så de vil gøre de mindstekrav kontroller, som jeg beskrev. De vil gøre en stærk adgangskode, de vil gøre en prompt for at password på tomgang - enheden - du glemme alt om det, og efter 15 minutter den aktiverer. De vil gøre kryptering, og de vil også gøre, hvad der kaldes remote aftørring. I Android og Windows rummet disse er stadig TBD - der skal fastlægges. Android har adgang til nogle programmer kaldet Prey og Lookout. Og faktisk nogle af slutpunktet sikkerhedsværktøjer som f.eks Kaspersky jeg kender gør det. Jeg ved ESET gør det så godt De vil lade dig sende en SMS og udrense enheden. Windows-telefon på dette tidspunkt er det primært orienteret mod corporate typografi - det, der kaldes exchange. Exchange er en robust mail infrastruktur, og det kan pålægge nogle af disse kontroller. Windows 8 netop afsendt i sidste uge, så jeg ikke kan tale til det endeligt. Windows 6.5 var den store sikkerhedsenhed. Windows 7 Mobile var en katastrofe, de ikke gøre alle disse indfødte kontroller obligatorisk på tværs af de forskellige leverandører. Så du måtte ratificere hver Windows Mobile 7 telefon én ad gangen. 

Android - eftersom 3,0 rummet har haft en stor forbedring samt. Honeycomb, Ice Cream Sandwich, Jellybean - de vil støtte disse minimumskrav kontroller, og faktisk vil de støtte nogle af virksomhedens kontrol, du kan gøre det så godt. I din personlige konto plads der er en Google personlig sync der kan du aktivere, hvis du har din egen Google plads samt. Så hvad gør man, når det hele går grueligt galt? Og hvis jeg kan - endnu en takeaway fra dette virkelig er, når - det er ikke hvis. Dette kommer til at ske for os alle på et tidspunkt. Hvad kan du gøre? Så hvad du kan gøre - og der er en slide - det næste dias vil henvise dig til nogle af de FTC ressourcer til det, men et absolut minimum sted et bedrageri alarm på dit kreditkort. Hvis jeg kan opfordre dig til at tænke over, når du bruger et kreditkort i en online kapacitet - afhængigt af den transaktion, du laver betalingskort - evnen til at hævde eller evnen til at trække en svigagtig krav på et betalingskort er faktisk en langt mindre vindue end det er på et kreditkort. Så når du får din rapport om et betalingskort, du kun har en vis tidsramme - og det er meget lavt - at meddele banken en svigagtig transaktion. Kreditkort det er meget større, og der har tendens til at være en grænse op til omkring $ 50,000 før de virkelig vil være i stand til at refundere dig. Så det er en hel del penge, de rumlede det op fra omkring $ 13,000 eller 18,000 dollars der for ganske nylig. Så - du ved - når du tænker at bruge et kreditkort online, kan du tænke på at bruge en top up kort eller en engangs kreditkort, en brænder kort? 

Hvis du kan se noget - og jeg vil vise dig, hvordan du kan få adgang til kort - lukke eventuelle svigagtige konti, hvis du bliver gjort opmærksom på det. Indgive en politianmeldelse, hvis du er på campus. Nå ud til HUPD - lad dem vide. Tænk en identitet overvågning. Hvis du som en del af - hvis du bliver kompromitteret - du kan blive nødt til - de kan finansiere identitet beskyttelse service. Hvis de ikke gør måske skulle du gøre det. Indsamle og opbevare alle beviser - særligt eventuelle diskussioner du har haft med eventuelle kriminelle myndigheder især for forsikrings formål. Ændre alle dine passwords. Skift svar på eventuelle sikkerhedsmæssige spørgsmål, der kan bruges til at nulstille din adgangskode. Deaktiver eventuelle tidligere identitet services. Så, hvis du genbruger din Facebook-konto til at logge på Twitter eller omvendt, bryde, hvis det kompromis er involveret din email-konto check for at se, om noget er ved at blive videresendt. Fordi ellers de stadig har adgang til dine data. Og hvis tyveriet omfatter din Harvard-konto bedes du meddele IThelp@harvard.edu. Jeg kan ikke sige, at nok, men i særdeleshed også, hvis enheden bliver væk eller stjålet og det havde adgang til dine universitetsstudier data og måske ikke har nogle af disse beskyttelser være respektive, så lad os vide - HUPD og IT Hjælp på Harvard. 

Så det link, jeg lige har nævnt, der går ind i det med flere detaljer FTC.gov / identitytheft. Den Postal Service har også nogle svig eller identitet beskyttelse tjenester - du bare sætte et hold eller et stop på kreditkort går igennem eller ting som. FBI har et link så godt, det er i noterne for de dias, som jeg sendte ud. Og faktisk Massachusetts Better Business Bureau og Consumer Protection Bureau har nogle retningslinjer samt, det er i noterne. Tag tid nu, gør dig opmærksom på, hvad du kan gøre, og tage handling. Princippet - som jeg nævnte tidligere - er, hvis du ikke har en plan for din identitet bliver stjålet er du straks kommer til at være underlagt en masse arbejde, når det sker, og det er, når. Men selv når man tager disse forholdsregler - lad mig lige tilføje et svag lille advarsel - ingen plan overlever første kontakt med fjenden. Så selv på, at vi stadig tror, ​​at der kan være nogle subversion - du ved - din bank for eksempel, hvem du har bygget alle disse beskyttelser rundt de kan få kompromitteret, disse betroede parter, som du har givet dine data til. Så du er din egen bedste forsvar. Du ved - være på vagt - være opmærksomme. Tag dig tid nu til at vælge at tilvælge disse, forhåbentlig socialisere dette tal med det med dine venner. Pick gode adgangskoder, bruge unikke adgangskoder til dine konti. Og ikke genbruge adgangskoder - i særdeleshed - omkring nogle af dine mest følsomme aktiver, ikke bruger dit universitet konto andetsteds. Brug ikke dit kreditkort konto andetsteds. Password beskytte din mobile enhed lige nu. Og ved mobilenhed mener jeg smartphone, jeg mener din tablet. 

Tænke på at bruge gode sikkerheds reset spørgsmål og jeg vil tale om dette kort hvorfor, tjekke din kredit rapport. En anden måde at du kan være en god borger i dette rum er regeringen tvang de 3 bureauer Experian, transunion, og Equifax at frigive kredit rapporter. For nogle af Harvard samfund, især i elevens rummet, dette kan være nyt for dem, men du får lov til at trække dem agenturer mindst en gang om året. God forsigtighed - gå videre til dette websted, og det er tilgængelig på FTC én. Og gør det hver 4. måned i stedet, og du er i stand til at holde faner på hvem der hverve anmodninger om dine kreditkortoplysninger, eller hvis ja, hvis nogen åbner svigagtige konti. Og - generelt - vejledningen er at være opmærksom. Og jeg vil give dig et konkret eksempel snart, men det er hovedsagelig kød og kartofler af diskussionen. 

Så hvorfor dette er vigtigt lige nu, er i løbet af sommeren var der en herre ved navn Matt Honan - hvis du er derude tak for at være så kommende med dine informationer. Men hvad skete der med Matt er han arbejdede for Wired Magazine, og nogle cyperhacktivists gik efter sin Twitter-konto. Og de brugte nogle af disse ressourcer - nogle af den offentlige persona at han har gjort tilgængelige. Og de byggede et kort, de vidste, hvor at angribe og hvornår. Så fra at de begyndte at opdele og de oplysninger, han gjorde tilgængelige, og de fandt, at han havde en Gmail-konto. Så han var ved hjælp af en mindre end klog adgangskode til sin Gmail, og han havde ikke nogen multi-faktor-autentificering på det. Så de kompromitteret sin Gmail, når de havde adgang til sin Gmail de så alle disse andre konti, at han havde tilsluttet ind i hans Gmail. Faktisk havde de adgang til hele hans hele Gmail eller Google persona. Og - ikke mindst - de begyndte at lægge mærke til, at han havde en Amazon-konto fordi der var nogle e-mails bliver indberettet til ham. Så de fik på sin Amazon, og de fik på sin Amazon ved blot at nulstille sit password, fordi det gik til sit Gmail. Han havde ikke - han slags havde en dominoeffekt eller legitimationsoplysninger kæde foregår her hvor når de fik sin Gmail, de havde nøglerne til riget. Så når de fik på sin Amazon - og det var gennem ingen fejl til disse andre fyre - det var - du ved - Matt ikke havde valgt at tilvælge disse mere sikre mekanismer, der kun disse mennesker havde stillet til rådighed og alle disse Internet kilder. 

Så når de fik på sin Amazon de havde adgang - det ikke vise dem sit kreditkort, men det viste dem de sidste 4 cifre bare så han vidste, hvad det var, og det viste dem sin leveringsadresse. Det viste dem nogle andre oplysninger, som han gjort på nogle ordrer. Og derefter fra, at de besluttede at angribe hans Apple-konto. Og de sociale manipuleret Apple helpdesk. Apple burde ikke have gjort det, men baseret på denne information, de var i stand til at udvinde fra de andre 2 konti. Du ved - den fyr ved helpdesk formentlig troede, han var ved at blive en god borger - du ved - jeg er hjælpsom, og der er en Apple kunde derude, der er strandet derude på egen hånd, og jeg er nødt til at hjælpe ham. Men det var ikke den rigtige Apple kunden. Så de nulstille sin Apple-konto, og de sendte oplysningerne til Gmail. Når angriberne havde adgang til hans Apple-konto Matt havde alle sine enheder bundet ind i hans iCloud, og de er begyndt at udstede mened sæt og tørrer alting. Igen, havde han bare sine data opformeret han brugte iCloud som synkroniseringen mekanisme. Så når de har slettet den alt gik brag. De stadig havde adgang på dette punkt til sin Twitter-konto, som er, hvad de havde forsøgt at angribe. Jeg ved ikke, hvis de brugte Maltego eller nogle af disse andre mekanismer at opbygge sin Internet persona, men - du ved - i løbet af få Selvfølgelig fik de adgang til 4 forskellige persongrupper tjenester, før de fik til hans Twitter, og det kostede Matt - Matt var helt heldig han så det ske, fordi hans børn kom til ham når iPad låste sig selv. Og de sagde - du ved, "Far, der er noget at gå videre med iPad." Og han lukkede alt ned, fordi han bemærket det foregik overalt. Og han begyndte at kalde Apple for at se, hvad fanden der lige var sket. Og Apple virkelig troede, at der var noget foregår at iCloud var gået slyngelstater, indtil de regnet ud - han faktisk regnet ud, at de var at sende information, og de begyndte at kalde ham det forkerte navn. Fordi Apple havde på filoplysninger, at angriberen havde undergravet. 

Okay - så det er den slags oplysninger, som vi bruger til at bygge dette slags bedste praksis, vi bruger dette som en del af en hel serie af seminarer til oktober - National Cybersikkerhed Awareness Month. Det er blevet stillet til rådighed for jer. Jeg vil sørge for, at jeg har sendt det ud i Wiki, da David gør den tilgængelig for mig så godt. Men der er råd og vejledning i der meget mere granularly end Jeg kan opsummere i denne korte tid, jeg har til rådighed. omkring, hvad der kaldes, Overskyet med en chance for identitetstyveri: Picking Gode brugernavne og adgangskoder. Er det nogensinde ikke social? Og svaret er nej, er det altid sociale, men du skal være klar over, hvad det betyder. Og det er Taming Løver, tigre og Windows, der er omkring hærdende operativsystemer med nogle af de oplysninger, vi gik til i dag. Og den sidste var omkring, have enhed, Will Travel at tale om at gå mobil med disse slags datakilder. Så andre end, at hvis du har spørgsmål min email adresse er der, og hvis nogen i rummet har spørgsmål kan du hæve din hånd. Andre end det, jeg kommer til at stoppe optagelsen. Ok. Udført. [CS50.TV]