[Powered by Google Translate] [Seminar: Surviving the Internet] [Esmond Kane-Harvard University] [Dit is CS50.-CS50.TV] Hallo, en welkom bij "Surviving het internet." Het is een seminar dat deel van CS50 programma omvatten. Mijn naam is Esmond Kane. Mijn adresgegevens zijn op die dia dek voor je. Het esmond_kane@harvard.edu. In mijn dagelijkse werk ben ik een van de IT-beveiliging bestuurders voor HUIT, maar ik moet toegeven dat ik vandaag ben op een verkenningsmissie dat is de reden waarom ik het dragen van een rode shirt. Dit is niet van plan om iets dat is toe te rekenen bestaan direct naar mijn baan, dus dit gaat niet over IT-beveiliging naar Harvard. Dit is meer gewoon persoonlijke informatie, dit is hoe wanneer je bent - dit zijn de soort vaardigheden die je zult krijgen om te proberen en je te helpen verhardt uw werkplekken en uw omgeving in uw carrière. Maar niets dat ik vandaag moet melding worden toegepast op elk van uw universiteit materiaal, uw servers of werkstations zonder contact met uw lokale IT-ondersteuning. En inderdaad, als ik ook van eventuele toepassingen of eventuele incidenten als onderdeel van deze gesprek of discussie is het niet iets te melden dat ik ben bevoorrecht te melden. Het is meestal openbare En evenmin mag geen melding van een applicatie bevat enige goedkeuring door Harvard of enige veroordeling. 

Dus vandaag waarom we hier zijn - nu dat we klaar zijn met de disclaimer - we zijn hier om te praten over het overleven van de Internet. En waarom is het zo'n belangrijk onderwerp op dit moment? Zo te parafraseren Perry Hewitt die werkt in de Harvard Pers en office Communicatie - Ik verontschuldig me voor het lezen van dit recht nu - zij heeft gezegd, "We leven in een sfeer van escalerende risico, maar ook een van ongeëvenaarde innovatie. De snelle opkomst van het internet, de cloud en sociale technologieën heeft geleid tot veel meer mensen met het openbaar profielen online met inderdaad toegang tot een steeds groter scala aan informatie. En dat betekent dat iedereen en hun verenigingen niet meer zichtbaar zijn. Zoals digitale voetafdruk Harvard's - haar digitale netwerk uitbreidt, We trekken een breder publiek. Wij hopen voor de verbetering, maar soms zullen we aantrekken van een aantal negatieve aandacht. Dus als vertegenwoordiger van Harvard, "en dit omvat iedereen kijken thuis of zelfs iemand hier, "onze faculteit, onze studenten, onze medewerkers, onze onderzoekers, de kans op een compromis om u en zelfs voor je bijbehorende netwerk is nog nooit zo hoog geweest. " 

Zo vaak in informatiebeveiliging als we proberen om dit evenwicht riskeren het is een ingewikkelde afweging tussen veiligheid en de gebruikerservaring. In het tijdperk van directheid moeten we doordachte beslissingen te nemen wat zal de veiligheid verbeteren, zonder een groot ongemak. We zijn soms te horen een ounce van preventie is tweemaal de genezing waard, maar bij de keuze om veiligheidsmaatregelen implementeren om uw risico te verminderen We moeten erkennen dat het nooit de potentiële risico zal verminderen tot nul. Zodat gezegd - we zijn hier om te praten over een aantal eenvoudige en niet zo eenvoudig veiligheidsmaatregelen die je nu kunt nemen. Ik moet ook toevoegen - als u vragen hebt over de hele presentatie gewoon uw hand opsteken. Dus het eerste onderwerp - we worden vaak verteld om een ​​goed wachtwoord te kiezen. Een wachtwoord is uw eerste en beste verdediging. Het is vaak de enige die voor u beschikbaar is wanneer u er voor kiezen om een ​​online bron gebruiken. Maar als we het voorgaande jaar hebben gezien gedurende deze zomer en inderdaad we hebben aanvallen zoals LinkedIn, eHarmony gezien. We hebben RockYou gezien. We hebben een aantal totaal van 70 miljoen wachtwoorden en accounts gecompromitteerd hadden. En toen die wachtwoorden werden vrijgegeven in het publieke domein ze omvatte ook het wachtwoord hash. 

Dus eigenlijk deze dagen als iemand haalt een account bijenkorf ze niet nodig om een ​​wachtwoord te kraken;. ze niet nodig om brute kracht een wachtwoord omdat ze deze enorme schat aan informatie vrijgegeven over wat mensen kiezen. Ze hebben al gedragsgegevens kreeg te letten op wat mensen de neiging om te gebruiken. En zij hebben gebroken dat neer op een lijst van ongeveer duizend wachtwoorden die bijna 80 tot 90% van de wachtwoorden die we kiezen gemeenschappelijk gebruik zijn. Dus een snelle voorbeeld - iedereen wil gevaar wat je dacht Bashar al-Assad gebruikt voor zijn wachtwoord toen het vorig jaar werd gecompromitteerd? Dit is een man die is onderworpen aan intensieve controle. En zijn wachtwoord was 12.345. Oke - dus dit zijn lessen die we hebben geleerd, we moeten verhuizen verder dan alleen het denken van een wachtwoord. Er wordt ons verteld om te beginnen met een wachtwoordzin. Er is een grote komische uit of inderdaad een grappig web van Randy Monroe die gaat in het kiezen van een pass phrase, hij gebruikt - ik wil zeggen - batterij, nieten, beperken of iets dergelijks - u weet - gewoon - of er inderdaad de grap dat iemand die Goofy, Nemo geplukt, Pluto - al deze verschillende personages en Londen omdat hij werd verteld tot 8 tekens en een kapitaal te plukken. Maar - zo leren we dat we moeten gaan denken dan alleen een wachtwoord. 

Er is eigenlijk een e-zine in Boston genaamd Ars Technica. Er is een man genaamd Dan Goodin, die is bezig met een serie over deze veranderende scope - hetzij van de aanvaller ruimte waar we deze enorme schat beschikbaar voor ons om ofwel letten we niet meer nodig om spullen via rainbow tables genereren; We hebben 70 miljoen wachtwoorden. Maar ook wij hebben gehad - u weet - een veranderende landschap in de werkelijke kraken ruimte omdat GPU kaarten dit hebben gemaakt vrijwel bijna real-time. En er is een heer in Def Con in augustus, die samen 12 van deze kaarten in een commodity-pc. Hij deed het voor ongeveer $ 2.000 of $ 3.000, en hij was in staat om te kraken de LinkedIn schat in - u weet - in de buurt van real-time. Het was heel eng. Dan Goodin's artikel - ik sterk aanbevelen als je wilt gaan lezen. Een man genaamd Sean Gallagher - vanmorgen - publiceerde ook een snelle update op het; veel van hun werk is gebouwd op - uit materiaal beschikbaar van Bruce Schneier, maar ook uit Cormac Herely van Microsoft Research. Ze soort van ongeveer 5-6 jaar geleden gezegd dat we moeten gaan denken meer dan wachtwoorden. De suggesties in die tijd waren dingen als wachtzinnen, gebaren interfaces - dat soort dingen. Weet je - als iets wat je weet is niet meer voldoende op dit punt; dat is een van de dingen die ik wil vandaag communiceren. Als je wel een wachtwoord wilt gebruiken, laat ons niet verlegen te zijn door te stellen moet je nog steeds kies een goede, maar moet hopelijk iets meer dan 10 tekens zijn. Het moet variëren tussen hoofdletters en kleine letters. 

Ik zou u aanmoedigen niet om wachtwoorden hergebruiken. Ik kan aan meerdere gevallen waar we hebben gezien een account te krijgen spreken gecompromitteerd en iemand sprong en overgeslagen - het domino-effect. Ze mijne elke rekening in elke fase van het proces voor deze gegevens, en dan verder ze naar die gegevens gebruiken die zij gewonnen in elk geval tegen een andere referentie bron. Dus - nogmaals - kies een goed wachtwoord. Maken het uniek. Wilt u misschien denken over het gebruik van een password manager service. Er zijn degenen die er uit - ze zijn allemaal in de app stores. Er is een zogenaamde OnePass, KeePass, LastPass - het is een leuke manier om het te helpen unieke referenties, sterke referenties te creëren, maar ook het archiveren en bijhouden voor u te vergemakkelijken. De keerzijde is dat je nodig hebt om te brengen die om een ​​wachtwoord te slaan; moet u ervoor zorgen dat dat password manager die jij vertrouwt is uw vertrouwen waard ook. 

Dus zorg ervoor dat die jongens maken ook gebruik van een aantal geldig wachtwoord mechanismen. In het bijzonder degene die ik ga nu meteen vermelden is multi-factor authenticatie. Dus multi-factor authenticatie - en er zijn meerdere gevallen Ik zal gaan door kort - Het is de eenvoudige uitweg van het nemen van iets wat je weet als je gebruikersnaam en uw wachtwoord in en toe te voegen aan het - u bent het toevoegen van een andere factor. Dus de eerste factor die we zullen noemen vandaag de dag zijn deze die op de planken. Het is iets wat je in je bezittingen, dus dat is ofwel een toepassing dat wordt uitgevoerd op uw smartphone of zelfs op de telefoon zelf. En je zou in staat zijn om een ​​SMS te ontvangen. Pas op als je naar het buitenland reizen, die niet per se gaat om je te volgen. Een toepassing kan grotere werken in dat geval. Of zelfs de andere factor die u zou willen denken over iets is wat je bent. 

Nu is dit nog een beetje heel erg skunkworks. We zien niet te veel goedkeuring van het. Dit is - je weet wel - Mission Impossible stijl - je weet wel - uw ader print, uw duimafdruk, je netvlies print. Dat zijn soort van verder weg, ze zijn niet echt heel geldige authenticatie factoren. We zien - als ik praat met mijn collega's de veiligheid - meer druk dat je op een toetsenbord, uw specifieke typen patroon, is waarschijnlijk direct aan de horizon - veel meer dan die andere biometrische kenmerken. Maar degene die vandaag zijn applicaties of SMS of zelfs maar een challenge response e-mail die je gaat krijgen om te bevestigen dat u wel degelijk kiezen om in te loggen op dit punt in de tijd. Er is dus een verband daar, Ik heb de slide deck vanmorgen via de post verzonden. Het zal zijn op de Wiki. 

Zowel Gmail en Google doet dit; Yahoo zal het doen. Paypal heeft het, Paypal heeft ook een kleine feitelijke hardware sleutel die een roterende nummer doet. Maar u kunt er ook voor kiezen om een ​​telefoonnummer te gebruiken. Facebook doet ook een log bij goedkeuring, dus je kiest om goedkeuren, ze werken ook naar meer geldig harde sterkte beveiliging. Dropbox heeft 2-step verificatie als goed, je kan ook gewoon de aanschaf van een hardware sleutel voor hen. We zien ook in de Gmail een of de Google ene, veel mensen zijn eigenlijk coöptatie van Google authenticator, zodat - bijvoorbeeld - Ik gebruik LastPass - het maakt geen goedkeuring - maar ze kunnen hergebruiken 2-step verificatie Google's dus dat betekent dat ik niet hoeft te rondlopen met 2 applicaties op mijn telefoon. Maar ook voor onderzoek computergebruik binnen Harvard of met behulp van een analogie tot 2-step verificatie van Google omdat het een eenmalig wachtwoord algoritme werd er open afkomstig ongeveer 10 jaar geleden. Nog vragen? Goed. 

Dus een andere factor overweging meer dan wachtwoorden is wanneer u het gebruik van deze middelen bewust zijn van welke gegevens u te verbinden aan hen. Enkel beperken wat je eigenlijk daar zetten. Dus we zijn ons bewust dat deze mensen die het verstrekken van een dienst voor ons op het Internet - deze Cloud providers - ze hebben een belang bij u niet zijnde zo veilig als je potentieel kunt. Ze hebben de neiging tot een minimum set van veiligheid ter beschikking te stellen, en dan is er een heleboel andere die optioneel zijn die je nodig hebt om te kiezen voor opt-in aan. De aard van de te nemen weg van dit gesprek is veiligheid een gedeelde verantwoordelijkheid. Het is tussen jou en de partners die je maakt - de allianties die je vormen. Je nodig hebt om een ​​actieve rol te spelen. Kies ervoor om te kiezen voor die. U weet - de tijd nu, maak het veiliger. Het alternatief is er al mensen valideren en testen deze beveiliging factoren tegen u, hoe meer je kunt kiezen om te kiezen in aan de beter je voorbereid bent voor de uiteindelijke compromis. En het is uiteindelijk. 

Maar de andere factor om na te denken over is zoals ik al zei deze Internet partijen die u vertrouwt met uw referenties - met uw identiteit. Ik geef je 2 analogieën; Larry Ellison en Mark Zuckerberg - ze zijn allebei op verslag waarin staat privacy is grotendeels een illusie. En dat de leeftijd van de privacy is voorbij. Dat is een soort van een trieste aanklacht dat we echt moeten wachten voor de overheid om in te stappen te dwingen deze partijen om een ​​goede beveiliging, om meer wetgeving in te voeren, want als we proberen te werken met deze verkopers bijvoorbeeld een aantal van deze Dropbox zoals feesten, ze zijn in het bedrijf van het verlenen van diensten aan de consument. Ze zijn niet direct geïnteresseerd zijn in het hebben van enterprise-grade security controls. De consumenten stemden met hun portemonnee, en ze hebben al een minimum Grade geaccepteerd. Het is tijd om dat denken te veranderen. Dus toen wij onze gegevens aan deze partijen, moeten we coöpteren onze bestaande trust mechanismen, dus we zijn sociale wezens standaard. 

Dus waarom opeens wanneer we beginnen met het opzetten van de gegevens online hebben we nu toegang tot dezelfde bescherming we persoonlijk doen? Dus als ik kan je lichaamstaal te lezen, als ik kan kiezen om netwerk met een sociale kring en inderdaad tot die kring bekend te maken alleen de informatie die ik wil. Dus hebben we toegang tot deze lichaamstaal, expressie, om vocalize, we toegang tot deze identiteit nabijheid beveiligingen hebben op een fysieke locatie, ze zijn nog steeds online te ontwikkelen. We hebben geen toegang tot hen hebben, maar we beginnen om ze te zien. Dus we hebben facetten in Facebook - bijvoorbeeld - als groepen. Wij hebben toegang tot dingen in Google+ zoals cirkels. Absoluut gebruik ze. Dus het laatste wat je wilt zien is in deze ruimte in het bijzonder als je naar een baan te krijgen is heb je nu een stuk van uw persoonlijkheid publiek. En als iemand wil - moet zij ervoor kiezen om - het zou onderdeel zijn van het bedrijfsbeleid of niet - het is zeker geen deel uit van Harvard's - maar ze kunnen ervoor kiezen om een ​​Google-zoekopdracht doen. En als zij dit doen - als je die - laten we zeggen wat informatie waar u moeite achter zou hebben - u zelf hebt gedaan een slechte dienst. En inderdaad zoals ik al zei - deze sociale ondernemingen hebben zij een belang in het maken van het openbaar - u weet - ze nodig hebben om uw gegevens te ontginnen. Ze verkoopt uw ​​demografie en uw marketing materiaal voor iemand. De aard van de analogie in deze ruimte is - als je niet betaalt voor een product bent u het product? Dus maak cirkels voor uw vrienden, wees voorzichtig, wees ijverig, Probeer niet alles openbaar te maken. 

Een andere analogie die ik zal maken is end-user licentie-overeenkomsten veranderen, ze gaan om u te vertellen wat ze kunnen doen met uw gegevens, en ze gaan om het te begraven in een 50-pagina doorklikken. En ze kunnen kiezen om dat te veranderen, en ze sturen je gewoon snel een e-mail. Maar je bent geen advocaat, het is heel erg in juridisch jargon. Je moet voorzichtig zijn van wat je doet. Zij kunnen uw foto's bezitten, ze kunnen uw intellectuele eigendom bezitten. Je weet - net oefening diligence. Een ander voorbeeld Library of Congress is archivering elke tweet die de mens kent. Alles. Elke 10 jaar ongeveer lichaam van materiaal dat wordt gegenereerd in die 10 jaar rekeningen of sterk overtreft alles wat we hebben gemaakt in de menselijke geschiedenis. De Library of Congress heeft een belang bij het behoud van die informatie voor het nageslacht, voor toekomstige archivarissen, voor toekomstige onderzoekers en historici, dus alles wat je zetten die er zijn is er. Het zal eigenlijk maken een enorme bron op een bepaald punt zodra mensen beginnen aan social engineering of social networking sites mijne. Dus houd op de hoogte van de beschikbare binnen elke applicatie beveiligingen. 

Er is iets wat ik zal ook noemen, er is een derde partij gereedschap riep Privacyfix, het kan recht sluiten op een aantal van deze social networking-toepassingen. En het kan controleren om te zien waar je bent ten opzichte van de beveiligingen die beschikbaar zijn op hen zijn als je kunt kiezen om verder ratel ze op. Er zijn tools zoals de Data Liberation Front van Google waar u kunt kiezen om te exporteren of uittreksel van uw gegevens. Er zijn dingen als het internet Suicide Machine, die zal u in te loggen om een ​​deel van uw profielen en elk attribuut daadwerkelijk verwijderen een tegelijk, verwijderen bij elke vereniging vrienden in je netwerk zou hebben gemaakt. En het zal nastreven om iteratief zuiveren alles over je dat die site zou weten. Als ik gewoon kan uitoefenen enige voorzichtigheid daar ook, er was een geval een paar jaar geleden in Duitsland, waar een burger beslist om uitoefening van zijn vrijheid van informatie rechten en vragen Facebook te bieden welke informatie ze hadden op record voor hem, zelfs nadat hij verwijderd zijn rekening. Ze gaf hem een ​​cd met 1250 pagina's met informatie ook al zijn account theoretisch niet meer bestond. Er is het concept in deze ruimte veel dat sommige entiteiten zal een aantal gegevens over u te onderhouden te maken met uw verenigingen en uw netwerken. Ze zeggen dat ze geen controle over kan hebben, dat is een beetje een stuk in mijn mening. Ze creëren deze schaduw rekeningen - de schaduw personas. Wees voorzichtig. Beperken wat je kunt. Op een daadwerkelijke niveau apparaat als je alleen over - je weet - hardware - uw smartphone, uw tabletten, uw werkplek, uw laptop, misschien een server die u verantwoordelijk voor bent. 

U hebt waarschijnlijk gehoord over begrippen als bediening, systeemupdates, applicatie-updates, antivirus, je hebt gehoord van dingen zoals firewalls, disk encryptie, en een back-up. Het enige wat u moet zich bewust van is dat je niet horen over dat soort bescherming in de mobiele telefoon de ruimte. Ze zijn net zo gevoelig voor dezelfde bedreigingen. We hadden - ik wil zeggen - een miljoen smartphones zullen zijn geactiveerd door het einde van de maand. Dat is enorm overtrof het - binnen de korte tijd dat ze beschikbaar zijn geweest, dat is enorm overtrof de groei van de pc, de laptop, de workstation markt. Maar we hebben geen toegang tot dezelfde controles te hebben, en ik zal spreken over dat kort. Dus voordat we bij de mobiele telefoon de ruimte laten we praten over wat er beschikbaar is daar dat ik net even voorbij ging. Dus antivirussoftware - hier zijn enkele vrij keuzes. Microsoft verraadt hen - u weet - Sophos verraadt hunne voor OSX ook Patchen uw computer - net bewust van wat uw leverancier huidige patch-niveau is, en je moet een belangrijke delta uit dat niet zijn. Er is een leuke tool van een bedrijf genaamd Secunia. En Secunia zal draaien in de achtergrond, en het zal u vertellen of er een beschikbare bijgewerkt en als je nodig hebt om het te passen. 

Automatische updates inschakelen - zowel Apple en Microsoft zal enige aspect van deze hebben. Zij zal u waarschuwen dat er een update beschikbaar is. En Secunia - u weet - is een soort van een mooi vangnet te hebben, alsmede - terugvallen mechanisme. Op de host laag - niet om naar smartphones nog. Schakel de firewall inheems aan het besturingssysteem. Er is wat informatie over de Windows in de OSX ene. Test uw firewall, niet alleen laat het daar en denk dat het een veilig mechanisme. Een actieve rol spelen, er is een toepassing er van GRC - Steve Gibson. Wi-Fi-beveiliging in deze ruimte - dit kan ook van toepassing op de smartphone en de tablet - wanneer u het kiezen om te gaan op de weg die u moet zich bewust zijn dat er verschillende soorten draadloze netwerk. En in het bijzonder niet kiezen voor de meest gebruikte is. Het is misschien goedkoop zijn, maar er zou een reden voor zijn. Misschien zijn ze mijnbouw uw gegevens. We zien dit meer als je naar het buitenland reist. Er zijn een aantal echt zeer efficiënte cybercrimineel syndicaten die in staat zijn om gebruik te maken wat we meestal zien in spionage de natiestaten '. Een factor waar ze ronduit injecteert zichzelf in een netwerk stream. Ze zijn trekken spullen uit daar, en ze zijn het injecteren toepassingen op uw werkstations. 

Het is - het andere aspect dat ik weet is in een aantal van deze genoemde veiligheid seminars - of niet seminars CS50 seminars - is een tool genaamd Firesheep. En Firesheep was een bijzondere aanval in de mobiele telefoon de ruimte waar een aantal van deze social networking-toepassingen zijn het verzenden van referenties in gewone tekst. En dit werd vrij algemeen aanvaard, omdat iedereen op dat moment dacht dat er geen honger in de ruimte van de consument voor het, die tot hogere sterkte encryptie te gebruiken impliciet een optreden last op de server, dus als ze niet hoefden te doen - ze niet willen. En dan opeens bij deze security-onderzoeker gemaakt de aanval zeer snel onbelangrijk - weet je - we begonnen om dat soort te zien verbetering die iedereen in de beveiliging ruimte had geklaagd over voor een langere tijd. Dus - in het bijzonder - Firesheep was in staat om Facebook, Twitter ophalen geloofsbrieven van de Wi-Fi-stream. En omdat het in platte tekst, en ze waren in staat om te injecteren. 

Nogmaals, als je gaat om Wi-Fi te gebruiken kiezen voor een die gebruiken wordt voldoende beschermd - WPA2 als je kunt. Als je moet gebruiken ongecodeerde WiFi - en in het bijzonder heb ik het voor iedereen die gebruik maakt van de universiteit draadloze Harvard - wilt u misschien denken over het gebruik van VPN. Ik zou het sterk aanmoedigen. Andere factoren wilt u misschien denken over bent als je niet vertrouwen op de Wi-Fi dat u op wilt u misschien gebruik te beperken. Gebruik geen e-commerce niet doen, geen enkele bank niet doen. Heeft geen toegang tot uw universiteit referenties. Er is een belangrijke overwinning in deze ruimte als iemand doet steelt uw referenties - u weet - hebben ze je mobiele telefoon? Dus - je weet - dat is een andere factor die ze niet per se kunnen kapen of maakt hun aanval ingewikkelder. Versleutel uw harde schijf. Wij zijn in een tijdperk nu - encryptie gebruikt om een ​​groot probleem te zijn 10 jaar geleden. Het was een significant effect optreden. Het is niet meer - in feite - de meeste van de mobiele telefoons en dat soort dingen ze doen het in de hardware, en je hoeft niet eens merken - de voorstelling is zo verwaarloosbaar. 

Als je het over een werkstation, hebben we het over BitLocker. We hebben het over File Vault, zodat het - neem de tijd nu. In de Linux-ruimte kan uiteraard True crypten werken in deze beide. Wilt u misschien denken over - in de Linux ruimte - er is dm-crypt, er is Luxcrypt - er zijn een heleboel andere opties - ook True Crypt. Andere snelle manier om jezelf te beschermen op het niveau werkstation back-up van uw harde schijf. En een lichte rimpel hier - het is niet voldoende om een ​​van te gebruiken deze cloud-synchronisatie aanbieders, zodat Dropbox of G-Drive of iets anders Dat is niet een back-up oplossing. Als iemand wist iets over een van deze apparaten omdat ze zelf een of andere manier ingebracht het gaat - dat de schrapping wordt gerepliceerd in uw hele persoonlijkheid. Dat is niet een back-up, dat is gewoon een vermeerdering mechanisme. Dus het is goed om een ​​back-up oplossing te hebben. Er zijn een aantal suggesties hier voor sommige mensen, sommige van hen zijn vrij - capaciteit gebaseerde - 2 optredens van de back-up - je kunt het doen. Als u gebruik maakt van universitaire G-mail - universitair Google op de universiteit en co, G-Drive als het niet nu al - het beschikbaar zal zijn binnenkort. Het is een goede vervanger. We zullen ook kijken naar deze dingen zoals Mozy Thuis. Het is goed om 2 oplossingen. Heb al je eieren niet in een mand. Als je iets weggooit of zelfs als je in het proces van het verzenden van iets vertrouwelijk - hier enkele suggesties om een apparaat veilig wissen. Darik's Boot and Nuke - dat is een soort van meer voor de IT-savvy. Wilt u misschien denken over enkel het geven aan een aantal van deze commerciële aanbieders als je kunt. 

Versleutelen van e-mail - als het moet - er zijn een aantal diensten op de campus riep Accellion, je bent off-campus of voor persoonlijk gebruik Ik zal Hushmail aanraden. We zien het veel gebruikt in de klokkenluider, het is een van de belangrijkste mechanismen voor WikiLeaks evenals Tor en andere equivalenten. En - nu te praten over de telefoon-niveau - dus het probleem hier is er is niet veel van een eetlust nog niet. Helaas zijn de meeste van de smartphones en de tablet besturingssystemen ze zijn nog steeds gebaseerd op een aantal van de principes die we in de jaren 1990 zag. Ze hebben niet echt opgenomen een aantal van de verbeteringen die we zien op het niveau werkstation. Ze zijn niet te doen bescherming tegen hitte. Ze zijn niet te doen - je weet wel - layer randomisatie. Ze zijn niet te doen bescherming adres. Ze zijn niet te doen uitvoeren bescherming - dat soort dingen. Maar ook het apparaat zelf door defacto is niet van plan om zijn eindpunt beveiliging ingebouwd. Dus we beginnen om deze verandering te zien - opnieuw - het merendeel van de smartphone fabrikanten - Android, Apple en Windows - de eetlust net was er niet, de benchmark was Blackberry. Maar Blackberry heeft soort verloor zijn grip op de markt op dit moment. En Apple heeft echt stapte naar binnen Ongeveer 2 jaar geleden was er een keerpunt waar zij begon te bouwen in een veel meer enterprise soort controles. En - inderdaad - in augustus deden ze een presentatie op Def Con die was gewoon ongehoord. 

Dus zullen ze de minimale controles die ik beschreef doen. Zij zullen sterk wachtwoord doen, ze zullen een prompt doen voor die vergeten op inactief - het apparaat - je vergeet het en na 15 minuten het activeert. Zij zullen encryptie doen, en zij zullen ook doen wat afgelegen vegen genoemd. In de Android en de Windows-ruimte deze zijn nog steeds TBD - te bepalen. Android heeft toegang tot een aantal applicaties genaamd Prey en Lookout. En inderdaad een aantal van het eindpunt security tools zoals Kaspersky ik weet doet het. Ik weet ESET doet het zo goed Zij zullen u laten een SMS versturen en zuiveren van het apparaat. Windows-telefoon op dit moment is het vooral gericht op huisstijl - wat wordt genoemd uitwisseling. Exchange is een robuuste mail infrastructuur, en het kan een aantal van deze controles verplicht. Windows 8 alleen verzonden vorige week, dus ik kan niet spreken om dat definitief. Windows 6.5 was het geweldig veiligheidsapparaat. Windows 7 Mobile was een ramp, ze niet al deze inheemse controles maken verplicht over de verschillende leveranciers. Dus je moest elke Windows Mobile 7 telefoon een ratificeren tegelijk. 

Android - sinds de 3,0 ruimte heeft een grote verbetering als goed. Honeycomb, Ice Cream Sandwich, Jellybean - zij zullen steunen deze minimale controles, en inderdaad zullen ze ondersteunen een aantal van de onderneming controle die je net zo goed kunt doen. In uw persoonlijke account ruimte is er een Google persoonlijke sync dat u kunt inschakelen als u uw eigen Google-ruimte ook. Dus wat doe je als alles gaat vreselijk mis? En als ik kan - een afhaalmaaltijd van dit is echt wanneer - het is niet zo. Dit gaat gebeuren om ons allemaal op een bepaald punt. Wat kunt u doen? Dus wat je kunt doen - en er is een glijbaan - de volgende dia zal u wijzen op een aantal van de middelen FTC voor het, maar een absoluut minimum plaats een fraude alert op uw creditcard. Als ik kan u aanmoedigen om na te denken over wanneer u gebruik maakt van een creditcard in een online capaciteit - afhankelijk van de transactie die je maakt debetkaarten - de mogelijkheid te krijgen of de mogelijkheid om een ​​frauduleuze trekken vordering op een debetkaart is eigenlijk een veel kleiner scherm dan is het op een creditcard. Dus zodra u uw verslag krijgen over een debetkaart u slechts een bepaald tijdsbestek - en het is zeer laag - aan de bank van een frauduleuze transactie te melden. Credit cards is veel groter, neigt er een grens worden tot ongeveer $ 50.000 voordat ze echt in staat zal zijn om u te vergoeden. Dus dat is heel veel geld, ze botste het omhoog van ongeveer $ 13.000 of $ 18.000 er vrij recent. Dus - je weet - als u denkt over het gebruik van een credit card online, kunt u denken over het gebruik van een herlaadkaart of een wegwerp creditcard, een brander card? 

Als je dat doet zie niets - en ik zal u tonen hoe u binnenkort kunt krijgen toegang - frauduleuze rekeningen af ​​te sluiten als je bewust worden gemaakt. Aangifte bij de politie als je op de campus. Reik uit naar HUPD - laten weten. Denk na over een identiteit monitoring service. indien in het kader van - als je het gekraakt - je kan hebben om - zij kunnen de identiteit bescherming dienst te financieren. Als ze dat niet misschien moet je het doen. Elke discussie die je hebt gehad in het bijzonder - te verzamelen en te houden al het bewijsmateriaal met eventuele strafrechtelijke autoriteiten vooral voor de verzekering. Verander al uw wachtwoorden. Verander de antwoorden op beveiligingsvragen die gebruikt kunnen worden om uw wachtwoord opnieuw in te stellen. Schakel alle afgelopen identiteit diensten. Dus als je het hergebruik van uw Facebook-account in te loggen op Twitter of vice versa, breken dat, als het compromis betrokken uw e-mailaccount controleren om te zien of er iets wordt doorgestuurd. Want anders ze hebben nog steeds toegang tot uw gegevens. En als de diefstal omvat uw Harvard-account meldt IThelp@harvard.edu. Ik kan niet zeggen dat genoeg is, maar ook in het bijzonder wanneer het apparaat verloren of gestolen en dat de toegang tot uw gegevens universiteit gehad en misschien had geen enkele van deze beveiligingen te onderscheiden; laat het ons weten - HUPD en IT Hulp aan Harvard. 

Dus de link die ik net noemde dat gaat in dat met meer detail FTC.gov / identitytheft. De Postal Service heeft ook enkele fraude of identiteit bescherming diensten - je gewoon een wacht zetten of een stop op creditcards doormaakt of dat soort dingen. De FBI heeft een link als goed, het is in de toelichting van de dia's die ik gestuurd. En inderdaad Massachusetts Better Business Bureau en Consumer Protection Bureau heeft wat begeleiding als goed, het is in de toelichting. Neem de tijd, maak je bewust van wat je kunt doen, en neem de actie. Het principe - zoals ik al eerder gezegd - is als u niet beschikt over een plan voor uw identiteit wordt gestolen je meteen gaat worden onderworpen aan een hoop werk wanneer het gebeurt, en het is als. Maar zelfs wanneer u deze voorzorgsmaatregelen nemen - laat ik voeg gewoon een lichte woord van voorzichtigheid - geen plan overleeft het eerste contact met de vijand. Dus ook op dat we nog steeds denken dat er sommige subversie kan zijn - u weet - uw bank bijvoorbeeld wie je al deze beveiligingen zijn opgebouwd rond zij kan krijgen aangetast; deze vertrouwde partijen dat u uw gegevens hebt gegeven aan. Dus je bent je eigen beste verdediging. Je weet wel - waakzaam blijven - alert blijven. Neem de tijd om te kiezen om in kiezen om deze; hopelijk socialiseren deze, praat met dit met je vrienden. Pick goede wachtwoorden, gebruik unieke wachtwoorden voor uw accounts. In het bijzonder - - en wachtwoorden niet opnieuw rond een aantal van je gevoeliger activa; niet je universiteitsaccount elders te gebruiken. Niet uw credit card account elders te gebruiken. Wachtwoord beveiligen uw mobiele apparaat nu. En door mobiele apparaat Ik bedoel smartphone, bedoel ik uw tablet. 

Denk na over het gebruik van een goede beveiliging reset vragen, en ik zal spreken over Dit kort waarom; controleren uw credit verslag. Een andere manier dat je een goede burger in deze ruimte kan worden is de overheid gedwongen de 3 bureaus Experian, TransUnion, en Equifax om krediet rapporten vrij te geven. Voor sommige van de Harvard gemeenschap, vooral in de student de ruimte, dit misschien nieuw voor hen, maar je mag die trekken agentschappen ten minste eenmaal per jaar. Goede voorzichtigheid - gaan op naar die site, het is beschikbaar op de FTC een. En doe het elke 4 maanden in plaats, en je bent in staat om te houden lipjes op die vragen om aanvragen voor uw credit card informatie, of als het inderdaad als iemand opent frauduleuze rekeningen. En - in het algemeen - de begeleiding is om bewust te zijn. En ik ga je een specifiek voorbeeld binnenkort geven, maar dat in wezen het vlees en aardappelen van de discussie. 

Dus waarom dit belangrijk moment is in de zomer was er een gentleman genaamd Matt Honan - als je daar heel erg bedankt voor zijn zo behulpzaam met uw informatie. Maar wat gebeurde er met Matt is hij werkzaam voor Wired Magazine, en sommige cyperhacktivists ging na zijn Twitter-account. En ze gebruikte een aantal van deze middelen - een aantal van deze publieke persoon dat hij beschikbaar. En zij bouwden een kaart, ze wisten waar aan te vallen en wanneer. Dus vanaf dat ze begonnen om de informatie die hij maakte verslepen en neerzetten beschikbaar zijn, en zij vonden dat hij een Gmail-account. Dus werd hij met behulp van een minder dan wijs wachtwoord voor zijn Gmail, en hij had geen multi-factor authenticatie op. Dus ze gecompromitteerd zijn Gmail, zodra ze hadden toegang tot zijn Gmail ze zagen al die andere accounts die hij had aangesloten op zijn Gmail. Sterker nog, ze hadden toegang tot zijn hele hele Gmail of Google persona. En - in het bijzonder - ze begon te merken dat hij een Amazon-account want er waren een aantal e-mails worden aan hem gemeld. Dus dan kregen ze op aan zijn Amazon, en ze aan zijn Amazon kreeg door gewoon zijn wachtwoord resetten omdat het ging naar zijn Gmail. Hij had niet - hij soort had een domino-effect of credential chaining hier aan waar zodra ze kreeg zijn Gmail ze de sleutels moesten het koninkrijk. Dus zodra ze kreeg op zijn Amazon - en dit was niet de schuld om deze andere jongens - dit was - u weet - Matt had niet gekozen om ervoor kiezen om deze veiliger mechanismen die alleen deze mensen beschikbaar had gesteld en al deze internetbronnen. 

Dus zodra ze kreeg op zijn Amazon zij toegang hadden - het hen niet zien zijn credit card, maar het liet hen de laatste 4 cijfers net dus hij wist wat het was, het toonde hen zijn verzendadres. Het toonde hen een aantal andere informatie die hij gedaan op een aantal orders. En dan van dat ze besloot om zijn Apple-account aan te vallen. En zij sociaal geconstrueerde de Apple helpdesk. Apple zou het niet gedaan hebben, maar op basis van deze informatie dat zij waren in staat om de mijne uit de andere 2 accounts. U weet - de man bij de helpdesk waarschijnlijk dacht dat hij zijn een goede burger - u weet - ik ben zijn behulpzaam zijn, er is een Apple-klant die er zijn dat is gestrand daar op zijn eigen, en ik moet hem helpen. Maar het was niet de echte Apple-klant. Dus ze reset zijn Apple-account, en ze de informatie die naar de Gmail. Zodra de aanvallers toegang had tot zijn Apple-account Matt had al zijn apparaten gebonden in zijn iCloud, en ze begonnen met de uitgifte meineed sets en vegen alles. Nogmaals, hij had net zijn gegevens doorgegeven, hij werd met behulp van iCloud als de synchronisatie mechanisme. Dus als ze hem verwijderd ging alles bang. Zij toegang op dit moment nog steeds op zijn Twitter-account dat is wat ze had geprobeerd aan te vallen. Ik weet niet of ze gebruikt Maltego of sommige van deze andere mechanismen uit te bouwen zijn Internet persona, maar - u weet - binnen een kwestie van Natuurlijk kregen ze toegang tot 4 verschillende identity services voordat ze ging op zijn Twitter, en het kostte Matt - Matt was heel gelukkig dat hij zag het gebeuren omdat zijn kinderen kwamen om hem te wanneer de iPad vergrendeld zichzelf uit. En zij zeiden - je weet wel, "Papa, er is iets aan de hand met de iPad." En hij sloot alles op omdat hij merkte dat het was gebeurt overal. En hij begon te roepen Apple om te zien wat er in hemelsnaam gebeurd was. En Apple dacht oprecht dat er was iets aan de hand dat iCloud schurk was gegaan totdat ze erachter - hij eigenlijk bedacht dat ze informatie stuurden, en begonnen ze noemen hem de verkeerde naam. Omdat Apple had in het dossier informatie die de aanvaller had ontwricht. 

Oke - dus dat is de aard van de informatie die wij gebruiken om dit te bouwen soort van beste praktijken; gebruiken we dit als onderdeel van een hele reeks seminars en met oktober - Nationale Cyberveiligheid Awareness Month. Het is beschikbaar voor jullie gemaakt. Ik zal ervoor zorgen dat ik stuurde het uit in de Wiki toen David maakt evenals het voor mij beschikbaar. Maar er is advies en begeleiding in er veel meer verfijndere dan Ik ben in staat om samen te vatten in deze korte hoeveelheid tijd die ik ter beschikking heb. rond wat genoemd wordt, bewolkt met een kans van Identity Theft: Picking goede gebruikersnamen en wachtwoorden. Is het ooit niet sociaal? En het antwoord is nee, het is altijd sociaal, maar u moet zich bewust zijn van wat dat betekent. En het is Taming Leeuwen, Tijgers, en Windows dat is ongeveer verharding besturingssystemen met een aantal van de informatie die we gingen naar vandaag. En de laatste was over, Heb Device, Will Travel om te praten over mobiel te gaan met dit soort bronnen. Zo anders dan dat als je vragen hebt mijn e-mailadres is daar, en als er iemand in de kamer heeft vragen heeft kunt u uw hand opsteken. Anders dan dat, ik ga stoppen met opnemen. Oke. Gereed. [CS50.TV]