[Powered by Google Translate] [Seminar: Ellujäänud Internet] [Esmond Kane-Harvard University] [See on CS50.-CS50.TV] Tere, ja tere tulemast "Ellujäänud Internet." See on üks seminari, mis koosnevad osa CS50 õppekava. Minu nimi on Esmond Kane. Minu nimi ja aadress on selle slide teki teie ees. On esmond_kane@harvard.edu. Minu päev tööd ma olen üks IT turvalisuse juhatajad HUIT, kuid ma pean tunnistama, et täna ma olen ära missioon mis on põhjus, miks ma olen seljas punane särk. See ei kavatse sisaldada midagi, mis on tingitud otse minu päev tööd, nii et see ei ole midagi turvalisuse Harvard. See on veel ainult isikuandmeid, see on see, kuidas, kui Sa - need on selliste oskuste, et teil omandada, et proovida ja aidata teil karastama oma töökohtadest ja oma keskkonda kogu oma karjääri. Aga midagi, et ma mainisin, täna tuleb rakendada iga oma ülikooli materjal, oma serverites või oma tööjaamad ilma arstiga kohalik IT-tugi. Ja tõepoolest, kui ma mainisin, kõik rakendused või kõik vahejuhtumid osana sellest jutt või arutelu ei ole aru midagi, et mul on au teatada. See on tavaliselt avalik Ja ega ka tohiks ühtegi viidet mis tahes taotluse tähenda kinnitamist läbi Harvardi või tegelikult mis tahes hukkamõist. 

Nii et täna, miks me oleme siin - nüüd, et me oleme teinud koos disclaimer - me oleme täna siin, et rääkida ellujäänud Internet. Ja miks see on nii oluline teema just nüüd? Nii parafraseerides Perry Hewitt, kes töötab Harvard Press ja kommunikatsiooniminister büroo - Vabandan, et loed seda just nüüd - ta on öelnud: "Me elame atmosfääri suurenev risk, kuid ka üks võrratu innovatsiooni. Kiire tõus Internet, Cloud ja sotsiaalse tehnoloogiaid tulemuseks on palju rohkem inimesi, kellel on avalikud profiilid internetis koos tõepoolest juurdepääsu üha hulgaliselt teavet. Ja see tähendab, et igaüks, ja nende ühendused on kunagi olnud nähtav. Nagu Harvardi digitaalne jalajälg - selle digitaalvõrgu laieneb, me meelitada laiemale publikule. Loodame täiustus, kuid mõnikord me meelitada mõned negatiivne tähelepanu. Nii esindajana Harvard, "ja see hõlmab kõik vaadates kodus või ka keegi siin, "meie õppejõud, meie üliõpilased, meie töötajad, meie teadlastele ohtu kompromiss sulle ja tegelikult oma seotud võrgu ole kunagi olnud suurem. " 

Nii sageli infoturbe kui püüame selle tasakaalustamiseks riskida see on keeruline kompromiss vahel turvalisus ja kasutaja kogemus. Ajastul peatne peame läbimõeldud otsuseid mida suurendab julgeolekut ilma ebamugavuste. Meile öeldakse mõnikord unts ennetustegevus on väärt kaks korda ravida, kuid valides rakendama ohutusabinõusid, et vähendada oma riski peame tunnistama, et see ei saa kunagi vähendama riski nullini. Nii et öelda - me oleme täna siin, et arutada mõningaid lihtsaid ja mitte nii lihtne ohutusabinõud, mida saate teha kohe. Tahaksin ka lisada - kui teil on küsimusi kogu esitlus lihtsalt tõsta oma käsi. Nii et esimene teema - oleme sageli rääkinud, et valida hea parool. Parool on Sinu esimene ja parim kaitse. See on sageli ainus võimalus, mis on teile kättesaadavad kui olete valides kasutada online ressurssi. Kuid nagu me oleme näinud kogu suve ja ka eelmisel aastal oleme näinud rünnakute nagu LinkedIn, eHarmony. Me oleme näinud rockyou. Meil on olnud mõned kokku 70 miljonit paroole ja raamatupidamise ohus. Ja kui need paroolid paiskus üldkasutatav Samuti koosneb parool räsi. 

Nii et põhimõtteliselt nendel päevadel, kui keegi otsib konto taru nad ei pea crack parool enam.; nad ei pea jõuvõtete parooli sest neil on see suur ait väljastatud andmed selle kohta, mida inimesed valivad. Nad on juba saanud andmeid käitumise kohta midagi, mida inimesed kasutavad. Ja nad on lagunenud, et näha nimekirja umbes tuhat paroolid mis koosneb ligi 80 90% paroole, mida me valida ühiskasutuses. Nii kiire näide - keegi tahab ohu, mida sa arvasid Bashar al-Assad kasutada oma parool, kui rünnati eelmisel aastal? See on härrasmees, kelle suhtes suurt kontrolli. Ja tema parool oli 12345. Olgu - nii on need õppetunnid, mida me oleme õppinud, peame liikuma enamat kui lihtsalt mõtlesin parool. Meile on öeldud, et hakata kasutama pääsukood. On suur koomiks või tõepoolest web comic pärit Randy Monroe mis läheb valides Pääsufraas, ta kasutab - ma tahan öelda - aku, staapelkiud, piirata või midagi sellist - sa tead - lihtsalt - või tõesti on nali, et keegi, kes hakkasid tobe, Nemo, Pluuto - kõik need erinevad märgid ja London sest öeldi valida 8 tähemärki ja kapital. Aga - nii õpime me peame minema mõelda kaugemale lihtsalt parool. 

Seal on tegelikult Ezine Boston nimetatakse Ars Technica. On härrasmees nimega Dan goodin kes teeb sarja selles muutuvas ulatus - kas ründaja ruumi, kus meil on see suur ait olemas meile kas midagi ei pea me enam luua asju läbi rainbow tabelid; meil on 70 miljonit paroole. Aga ka meil oli - sa tead - muutuvas Maastik sisse tegelik lõhenemist ruumi, sest GPU kaardid on muutnud selle praktiliselt reaalajas. Ja seal on härrasmees Def Con augustis kes kokku panna 12 neist kaardid kaup PC. Ta tegi seda umbes $ 2000 või $ 3000, ja ta suutis murda LinkedIn ait in - sa tead - peaaegu reaalajas. See oli üsna hirmutav. Dan goodin on artikkel - ma väga soovitada seda kui sa tahad minna seda lugeda. Härrasmees nimega Sean Gallagher - hommikul - ka avaldatud kiire update see, palju oma töö on üles ehitatud - saadaolevast materjalist alates Bruce Schneier, vaid ka Cormac Herely Microsoft Research. Nad omamoodi väitis umbes 5-6 aastat tagasi, et me peame hakkama mõtlema kaugemale paroole. Ettepanekud olid sel ajal asjad liigu lauseid, gestural liidesed - sellist kraami. Tead - kui midagi teada ei ole enam piisav selles punktis; see on üks neist asjadest, mida ma tahan suhelda praegu. Kui sa pead kasutama parooli, ärgem häbelik, väites siis tuleb ikka Pick hea, see peaks olema loodetavasti midagi peale 10 tähemärki. See peaks erinevad ja väiketähti. 

Ma väga soovitame mitte kasutama paroole. Võin rääkida mitmeid juhtumeid, kus me oleme näinud konto saada ohus ja keegi hopped ja vahele - doominoefekti. Nad kaevandada iga konto igal etappi selles andmed, ja siis nad sõita kasutada, et andmed, et nad kaevandatakse igal üksikjuhul teise vastu mandaat allikas. Seega - taas - valida hea parool. Tee ainulaadne. Te võiksite mõelda, kasutades parool manager teenus. On need seal alates - nad kõik on app kauplustes. On üks nn OnePass, KeePass, LastPass - see on kena viis seda mis aitavad teil luua unikaalne volikirja, tugev volikirjad vaid hõlbustavad ka arhiiv ja arvepidamine teile. Alla poole, mis on teil vaja tuua, et parool kauplus; sa pead veenduge, et see parool manager, et sa oled usaldav väärib oma usaldust samuti. 

Seega veenduge, et need kutid kasutavad samuti mõned kehtiv parool mehhanismid. Eriti üks ma mainida kohe on mitme teguri autentimine. Nii mitme teguri autentimine - ja seal on mitmeid juhtumeid, ma lähen läbi varsti - See on lihtne otstarbekas võtta midagi, mida sa tead, et teie kasutajanime ja parooli ning lisades sellele - te lisate teine ​​faktor. Nii et esimene tegur, et me nimetada täna on need need lauad. See on midagi, mis on teie vara, et on kas taotlus mis töötab teie nutitelefoni või isegi oma telefoni ise. Ja sa võiksid saada SMS tekstiga. Ettevaatust, kui sa reisida välismaal, et see ei pruugi kavatse jälgida. Avalduse võib töötada isegi suuremad, et näiteks. Või tõesti muu tegur võiksite mõelda on midagi, mida sa oled. 

Nüüd ei ole see veel mingi väga skunkworks. Me ei näe liiga palju vastu seda. See on - sa tead - Mission Impossible stiilis - sa tead - veeni print, pöidla printida oma võrkkest print. Need on omamoodi kaugemal, nad ei ole tegelikult väga kehtiv autentimise tegurid. Me näeme - kui ma rääkida minu turvalisuse kolleegidega - rohkem survet, et paned klahvid, teie kirjutades muster, on ilmselt otseselt silmapiiril - palju rohkem kui neid teisi biomeetrilisi tunnuseid. Aga need on täna rakenduste või SMS või isegi lihtsalt väljakutse vastuse e-posti, et sa lähed, et saada kinnitada, et sa tegelikult valida sisselogimiseks selles ajahetkel. Seega on link seal, ma olen saatnud välja slide teki hommikul. See saab olema Wiki. 

Mõlemad Gmail ja Google seda teha, Yahoo teen seda. Paypal on see, Paypal on ka veidi tegelik riistvara võtme abil, mis saadakse pöörleva ja number. Aga sa võid valida ka kasutada telefoninumber. Facebook ka ei logi sisse heakskiidu saamisel, et valite heaks kiita, sest nad on ka tööd rohkem kehtiv kõvasti jõudu turvalisust. Dropbox on 2-astmeline kinnitamine samuti, saate ka lihtsalt osta riistvara võti nende jaoks. Näeme ka, et Gmail üks või Google üks, et paljud inimesed on tegelikult koopteerib Google'i authenticator, et - näiteks - Ma kasutan LastPass - see ei tähenda kinnitus - kuid nad ei taaskasutada Google 2-step kontrollimine, et tähendab, et ma ei pea jalutada koos 2 rakenduste mu telefon. Aga ka teadustöö computing jooksul Harvard või kasutades analoogia Google'i 2-astmeline autentimise sest ühekordne parool Algoritm on avatud lähtekoodiga on umbes 10 aastat tagasi. Kas on küsimusi? Hea. 

Nii teine ​​tegur kaaluda kaugemale paroolid on siis, kui te olete nende vahenditega olema teadlik, milliseid andmeid te toime neile. Just piirata mida sa tegelikult panna sinna üles. Nii et me teame, et need inimesed, kes pakuvad teenust meid Internetis - need Cloud pakkujad - neil on oma huvid te ei ole nii turvaline kui sa potentsiaalselt võimalik. Nad kipuvad tegema kättesaadavaks minimaalseim julgeolekumeetmete kogum, ja siis on hunnik muid need, mis on vabatahtlik, et teil on vaja valida, valin. Objekti ära võtta see jutt on julgeolek on jagatud vastutus. See on sinu ja partneritele, et te teete - liidud, et sa moodustavad. Sa pead võtma aktiivse rolli. Vali valima selle. Tead - võtab aega, nüüd, et see oleks turvaline. Alternatiiviks on olemas juba inimeste hindamisel ja testimisel need turvafaktorid teie vastu; rohkem võite valida ka et paremini valmis olete lõplikuks kompromiss. Ja see on lõpuks. 

Aga teine ​​tegur mõelda on nagu mainisin Nende Internet pooled, et sa usaldad oma volikirjad - oma identiteeti. Ma annan sulle 2 analoogiaid, Larry Ellison ja Mark Zuckerberg - nad mõlemad on rekord milles eraelu on suuresti illusioon. Ja vanus privaatsus on möödas. See on omamoodi kurb süüdistus, et meil on tõesti vaja oodata et valitsus sekkuma, et sundida neid isikuid olema turvaline, kehtestada rohkem õigusakte, sest kui me püüame töötada need müüjad näiteks mõned neist Dropbox nagu pooled, nad on teenuste osutamine tarbijale. Nad ei ole otseselt huvitatud, et ettevõte-klassi turvakontrolli. Tarbijad hääletasid rahakott ja nad on juba aktsepteeritud vähemalt klassi. On aeg seda muuta mõtlemist. Nii et kui me pakkuda oma andmed nendele isikutele, peame koopteerib meie olemasolevate usaldus mehhanismid; nii et me oleme sotsiaalsed olendid vaikimisi. 

Miks kõik äkki kui hakkame paneb andmed Internetis meil on nüüd juurdepääs sama kaitsed me isiklikult? Nii et kui ma saan lugeda oma kehakeelt, kui ma saan valida, kas võrgu suhtlusringkonna ja tõepoolest selle ringi avalda lihtsalt info, mida ma tahan. Nii et meil on juurdepääs sellele kehakeel, ilme, Öelda, meil on juurdepääs neile identiteedi lähedus kaitsed füüsilises asukohas, nad on veel arengujärgus online. Meil ei ole neile juurdepääsu, kuid hakkame neid näha. Nii et meil on tahku Facebook - näiteks - nagu rühmad. Meil on ligipääs asju Google+ nagu ringid. Absoluutselt neid kasutada. Nii et viimane asi, mida soovite näha, on selles ruumis eriti kui sa lähed, et saada töö on teil nüüd teha palju oma isikupära avalik. Ja kui keegi tahab - kui nad otsustavad - see võib olla osa firma poliitika või ei - see ei ole kindlasti osa Harvard's - kuid nad võivad valida, mida teha Google otsing. Ja kui nad seda teevad - kui sa ette - ütleme mõned andmed mida oleks raske selja taga - olete teinud ise karuteene. Ja tõepoolest, nagu ma mainisin - need sotsiaalsed ettevõtted nad on huvitatud tegemisel see avalik - sa tead - nad peavad minu oma andmeid. Nad müüvad oma demograafia ja oma turundusmaterjalid keegi. Selline analoogia selles ruumis on - kui sa ei maksa toote eest sa oled toode? Nii looma ringid oma sõpradele, olla ettevaatlik, olema kohusetundlik, püüan mitte teha kõike avalik. 

Teine analoogia teen on lõppkasutaja litsentsilepingute muuta, nad ei kavatse öelda, mida nad saavad teha oma andmed, ja nad ei kavatse matta see 50-leheküljeline kliki kaudu. Ja nad saavad valida, et seda muuta, ja nad lihtsalt saata teile kiire email. Aga te ei ole jurist, see on väga palju legalese. Sa pead olema ettevaatlik, mida sa teed. Nad võivad omada oma pilte, need võivad omada oma intellektuaalne omand. Tead - just kasutamise kontrolli. Teine näide Kongressi Raamatukogu on arhiveerimise iga piiksuma tuntud mees. Kõike. Iga 10 aasta järel ligikaudu materjalide kogumist, mis on loodud aastal, et 10 aastat kontode või oluliselt edestades kõik oleme loodud kogu inimkonna ajaloos. Kongressi Raamatukogu on tekkinud huvi säilitada seda teavet tulevaste põlvede jaoks, tulevase arhivaaride tulevastele uurijatele ja ajaloolastele, nii et kõik olete pannes seal on olemas. See tegelikult teeb tohutu ressurss mingil hetkel kui inimesed hakkavad minu sotsiaalse inseneri või sotsiaalsete võrgustike saite. Nii et hoidke teadlik Kaitsta on võimalik iga rakendus. 

On midagi, mida ma mainin ka, seal on kolmanda osapoole tööriista nimetatakse Privacyfix, see võib ühendada otse, et mõned neist sotsiaalsete võrgustike taotlusi. Ja see on võimalik kontrollida, et näha, kus sa oled suhtes kaitsed mis on kättesaadav neile, kui saate valida hammasratas neid veelgi. On olemas vahendid, nagu andmete Liberation Front Google kus saab valida eksportida või väljavõte oma andmed. On asju, nagu Internet Enesetapp Machine, mis sisse mõnele oma profiilid ja tegelikult kustutada iga atribuut ükshaaval, untag iga ühing sõbrad oma võrku oleks teinud. Ja ta jätkab kuni korduvalt puhastada kõike sa et see sait oleks teada. Kui ma ei saa lihtsalt natuke hoolt seal hästi, seal oli näiteks paar aastat tagasi Saksamaal, kus kodanik otsustas kasutada oma infovabaduse õigused ja küsida Facebook anda millist teavet neil on rekord teda isegi pärast ta kustutatakse tema konto. Nad andsid talle CD koos 1250 lehekülge teave kuigi tema konto teoreetiliselt enam ei eksisteerinud. On mõiste selles ruumis palju, et mõned neist üksused säilitavad teatud andmeid, et sa oma ühingute ja oma võrkudes. Nad ütlevad, et nad ei ole selle üle kontrolli, see on natuke venitada minu arvates. Nad loovad need vari kontod - vari isiksused. Lihtsalt olla ettevaatlik. Limit mida saate. At tegelik seade tasandil, kui te lihtsalt räägime - sa tead - riistvara - Nutitelefoni teie tablette, töölauale, sülearvuti, võibolla server et olete vastutav. 

Te olete ilmselt kuulnud mõisteid nagu operatsiooni süsteemi uuendused, taotluse uuendused, viirusetõrje, olete kuulnud asju nagu tulemüürid ketta krüpteerimise ja varundada. Üks asi, mida sa peaksid teadma, on see, et sa ei kuulnud nende liiki kaitsemeetmeid, mobiiltelefoni ruumi. Need on sama vastuvõtlikud samade ohtudega. Meil oli - ma tahan öelda - miljonit nutitelefonid hakkavad olema aktiveerida selle kuu lõpus. See on tunduvalt kiirem - raames lühikese aja jooksul, et nad on olemas, mis on tunduvalt kiirem kasv PC, sülearvuti, tööjaam turul. Aga meil ei ole juurdepääsu sama kontrolli, ja ma räägib, et varsti. Nii et enne saame mobiiltelefoni ruumi rääkigem mis on saadaval seal, et ma lihtsalt korraks läks üle. Nii viirusetõrje tarkvara - siin on mõned vabad valikud. Microsoft annab ära ise - sa tead - Sophos annab ära nende jaoks OSX samuti Patch arvuti - lihtsalt olema teadlik iganes teie müüja praegune plaaster tasandil on ja sa ei tohiks olla märkimisväärne delta omast. On kena tööriista firma nimega Secunia. Ja Secunia kestab taustal, ja ta ütleb teile, kui seal on ajakohastatud saadaval ja kui teil on vaja rakendada. 

Luba automaatsed uuendused - nii Apple ja Microsoft on mõned aspekt. Need annab teile märku, et uuendus on saadaval. Ja Secunia - sa tead - on selline kena turvavõrk on samuti - taandub mehhanism. Külalisülikoolis kiht - ei saada nutitelefonid veel. Luba tulemüüri emakeelena operatsioonisüsteemi. On mõned teavet Windowsi OSX üks. Testi oma tulemüüri, ei jäta ta sinna ja arvan, et see on turvaline mehhanism. Aktiivselt osaleda; seal on rakendus, seal GRC - Steve Gibson. Wi-Fi turvalisuse selles ruumis - see võib kohaldada ka nutitelefoni ja tablett - kui olete valides minna teedel sa pead olema teadlik, et on olemas eri liiki traadita võrgu. Ja eriti ei vali kõige sagedamini kasutatav üks. See võib olla odav, kuid see võib olla põhjus. Võib-olla nad on raskendatud Sinu andmed. Me näeme seda enam, kui olete reisil rahvusvaheliselt. Leidub tõesti üliefektiivsed küberkurjategijate sündikaadid et on võimalik võimendada, mida me tavaliselt näha rahvusriikide "spionaaži. Tegur, kus nad on lausa süstivad end võrgu oja. Neid tõmbab kraami välja seal, ja nad süstivad rakendusi oma töökohad. 

On - Teine aspekt, mida ma tean, on mainitud mõned neist turvalisus seminarid - või ei seminarid CS50 seminarid - on vahend, mida nimetatakse Firesheep. Ja Firesheep oli eriti rünnaku mobiiltelefoni ruumi kus mõned nende sotsiaalsete võrgustike taotlusi saates volikirjad lihtteksti. Ja see oli üsna üldtunnustatud sest kõik sel ajal mõtlesin, et ei olnud isu tarbija ruumi see, et kasutada kangemat krüpteerimist tähendas täitmise koormus serveris, nii et kui nad ei pea seda tegema - nad ei taha. Ja siis kõik järsku, kui see turvalisuse teadlane tehtud rünnaku triviaalne väga kiiresti - sa tead - hakkasime nägema, et selline parandamine, et kõik julgeoleku-ruum oli kurtnud märkimisväärselt pikaks ajaks. Niisiis - eriti - Firesheep suutis laadida Facebook, Twitter volikirja wifi oja. Ja kuna see oli ainult tekst, ja nad suutsid süstida. 

Jällegi, kui te ei kavatse kasutada Wi-Fi otsustavad kasutada üks, mis on piisavalt kaitstud - WPA2 kui saate. Kui teil on kasutada krüpteerimata Wi-Fi - eriti Räägin et keegi, mis kasutab Harvardi ülikooli traadita - võiksite mõelda, kasutades VPN. Ma väga soodustavad seda. Muud tegurid, võiksite mõelda on, kui te ei usalda Wi-Fi et te olete siis võiksite piirata kasutamist. Ära tee iga e-kaubanduse ei tee ühtegi pangandus. Ärge juurdepääsu oma ülikooli volikirja. See on suur võit selles ruumis, kui keegi ei varasta oma volikirjad - sa tead - nad peavad oma mobiiltelefoni? Niisiis - sa tead - see on veel üks tegur, et nad ei pruugi kaaperdamine või lihtsalt teeb oma rünnaku keerulisem. Krüpti kõvakettal. Oleme ajastu kohe - krüpteerimist kasutatakse olla suur asi, 10 aastat tagasi. See oli märkimisväärne tulemuslikkuse mõju. See ei ole enam - tegelikult - enamik mobiiltelefone ja sellist kraami nad teevad seda riistvara ja sa ei märka - täitmisel on nii tühine. 

Kui te räägite tööjaama, räägime BitLocker. Me räägime Fail Vault; võimaldada - võtab aega. Aastal Linux ruumi ilmselt True Crypts saab tööd üle need mõlemad. Võite mõelda - in Linux ruum - on dm-crypt, on Luxcrypt - seal on hunnik muid võimalusi - ka True Crypt. Muud kiire viis kaitsta ennast Töökoha tasandil varundada kõvakettale. Ja üks kerge korts siin - see ei ole piisav, et kasutada ühte need Cloud sünkroniseerimine pakkujad, nii Dropbox või G-Drive või midagi muud See ei ole varundamise lahendus. Kui keegi kustutab midagi üks nende seadmete sest nad sisestatud end kuidagi ta läheb - et kustutatud saab kopeerida kogu oma persona. See ei ole varundada, see on lihtsalt paljundamine mehhanism. Nii et see on hea, et on varundamise lahendus. Seal on mõned soovitused siin mõned inimesed, mõned neist on tasuta - võimsus baasil - 2 kontserti varundada - sa saad seda teha. Kui kasutate ülikooli G-mail - ülikooli Google kolledžis ja co, G-Drive kui see ei ole juba - see on varsti saadaval. See on hea asendaja. Me vaatame ka need asjad Mozy Kodu. On hea, et on 2 lahendusi. Kas teil ei ole kõik oma munad ühte korvi. Kui viskate midagi või isegi kui teil on protsess saatmise midagi konfidentsiaalset - mõned ettepanekud siia turvaliselt eemaldada seade. Darik saabaste ja Nuke - see on omamoodi rohkem IT-Savvy. Te võite mõelda ainult andes mõnele neist kommertslikud teenuseosutajad, kui saad. 

Krüptimine email - kui teil on - on mõned teenused ülikoolilinnakus nimetatakse Accellion; olete off-campus või isiklikuks kasutamiseks ma soovitan Hushmail. Me näeme seda palju kasutatud vile puhur, see on üks peamisi mehhanismid WikiLeaks samuti Tor ja mõned muud meetodit. Ja - nüüd rääkida telefoni tasandil - nii probleem on selles, seal ei ole, et palju isu veel. Kahjuks enamik nutitelefonid ja tabletid Oss nad põhineb siiski mõned põhimõtted, mida me nägime 1990. Nad ei ole tegelikult lisada mõned parandused et me näeme Töökoha tasandil. Nad ei tee kuumuse eest. Nad ei tee - sa tead - kiht juhu. Nad ei tee aadress kaitse. Nad ei tee täitma kaitse - sellist kraami. Aga ka seadme enda poolt defacto ei kavatse mingit lõpp-punkt turvalisus ehitatud see. Nii et meil on hakanud seda muutust - taas - enamik nutitelefoni tootjad - Android, Apple ja Windows - isu lihtsalt ei olnud seal; võrdlusalus oli Blackberry. Kuid Blackberry on omamoodi kaotanud veojõu turul selles punktis. Ja Apple on tõesti astus sisse Umbes 2 aastat tagasi oli veelahe hetk, kus nad hakkas ehitama palju ettevõtte tüüp kontrolli. Ja - tõepoolest - augustis tegid ettekande Def Con, mis oli lihtsalt ennekuulmatu. 

Nii nad teevad minimaalse kontrolli, et ma kirjeldatud. Nad teevad tugevat parooli, need teen küsima, et parooli jõude - seade - sa unusta see ja 15 minuti pärast see aktiveerib. Nad teevad krüptimine ja nad ka seda, mida nimetatakse serveri pühkides. In Android ja Windows space need on veel TBD - tuleb kindlaks määrata. Android on juurdepääs mõned rakendused nimega Prey ja Lookout. Ja tõepoolest mõned lõpp-punkt turvalisus tööriistad nagu Kaspersky Tean seda teeb. Ma tean, et ESET teeb seda samuti Nad võimaldavad teil saata SMS ja puhastab seade. Windows telefoni siinkohal on esmajärjekorras orienteeritud Firmastiil - on nn vahetada. Exchange on tugev mail infrastruktuuri, ja see võib volitada mõnda neist kontrolli. Windows 8 lihtsalt veetud eelmisel nädalal, nii et ma ei saa rääkida, et lõplikult. Windows 6.5 oli suur turvaseade. Windows 7 Mobile oli katastroof, nad ei tee kõiki neid kohalikke kontroll kohustuslik eri müüjad. Seega pidi ratifitseerima iga Windows Mobile 7 telefoni ühe korraga. 

Android - alates 3,0 pinnast ei ole olnud suur paranemine samuti. Honeycomb, Ice Cream Sandwich, Jellybean - nad toetavad neid minimaalse kontrolli, ja tõepoolest nad toetavad mõned ettevõtte kontrolli, mida saab teha ka. Oma isikliku konto pindasid on Google isiklik sync et saate lubada, kui teil on oma Google ruumi samuti. Nii et mida sa teed, kui see kõik läheb kohutavalt valesti? Ja kui ma ei saa - teise Buffee alates on see tõesti, kui - see ei ole, kui. See juhtub meile kõigile mingil ajahetkel. Mida saab teha? Niisiis, mida saate teha - ja on slide - järgmise slaidi punkt teil mõned FTC ressursse see, kuid minimaalseim koht pettuse teate oma krediitkaarte. Kui ma ei saa kutsun teid üles mõtlema, kui te kasutate krediitkaarti online-võimsus - sõltuvalt tehingu sa teed deebetkaardid - võime väita või võime tõmbuda pettusega nõude deebetkaardiga on tegelikult palju väiksem aken, kui seda on krediitkaardiga. Nii et kui sa saad oma aruande deebetkaardi teil on ainult teatud aja jooksul - ja see on väga madal - teatada panga kuritahtliku tehingu. Krediitkaardid on palju suurem, seal kipub olema piir kuni umbes $ 50,000 enne kui nad on tõesti võimalik hüvita. Nii et on üsna palju raha, nad lõin selle üles umbes $ 13.000 või $ 18.000 seal üsna hiljuti. Niisiis - sa tead - kui sa arvad, kasutades krediitkaarti online, võite mõelda, kasutades top up-kaardi või ühekordselt krediitkaardi põleti kaart? 

Kui sa ei näe midagi - ja ma näitan teile, kuidas saate pääse varsti - sulgeda pettuse kontode kui olete teadlikud sellest. Fail politsei aruande, kui olete campus. Jõuda HUPD - lasta neil teada. Mõtle identiteedi järelevalve teenust. kui osana - kui te ei saada kahjustatud - sa võib-olla - nad võivad rahastada identiteedi kaitse teenust. Kui nad ei ole võib-olla sa peaksid seda tegema. Koguda ja säilitada kõik tõendid - eriti aruteludel olete olnud mis tahes kriminaal-asutused eelkõige kindlustuse jaoks. Muuda kõik oma paroolid. Muutke vastuseid kõikidele julgeoleku küsimused, mida saab kasutada uue parooli. Keela kõik möödunud identiteedi teenuseid. Nii et kui olete taaskasutades oma Facebook konto sisselogimiseks Twitter või vastupidi, murda, et; kui kompromiss seotud e-posti konto vaadake, kas midagi on edastatud. Sest muidu nad ikka on juurdepääs teie andmetele. Ja kui vargus on oma Harvardi konto palun teatada IThelp@harvard.edu. Ma ei saa väita, et piisavalt, kuid ka eriti, kui seade kaob või varastatud ja tal oli juurdepääs oma ülikooli andmed ja võibolla ei ole mõned neist kaitstud olema vastav, palun andke meile teada - HUPD ja IT Abi Harvardi. 

Nii link, mida ma just mainisin, et läheb see, et põhjalikumalt FTC.gov / identitytheft. Postal Service on ka mõned pettuse või identiteedi kaitse teenused - sa lihtsalt panna ootele või stop krediitkaardid läbimas või midagi sellist. FBI on link ka, see on märkmeid slaidid, et ma välja saadetud. Ja tõepoolest Massachusetts Better Business Bureau ja Tarbijakaitseamet juhatus on mõned juhised, samuti, see on lisades. Võtke aega, teha ise teadlik sellest, mida saate teha, ja võtma meetmeid. Põhimõte - nagu varem mainisin - on see, kui sul ei ole plaani oma identiteedi varguse te kohe läheb suhtes palju tööd, kui see ei juhtu, ja see on siis. Aga isegi siis, kui te võtate neid ettevaatusabinõusid - lubage mul lisada kerge Hoiatuseks - ei plaani ellu esimesel kokkupuutel vaenlane. Seega isegi, et me siiski arvan, et ei saa olla mõned õõnestamises - sa tead - Teie pank näiteks kes teil on ehitatud kõik need kaitsed ümber nad võivad saada kahjustatud, neid usaldada isikutele, et olete andnud oma andmeid. Nii et te olete oma parim kaitse. Tead - valvsad - säilitama valvsuse. Võtke aega, et valida, valin need; loodetavasti suhelda see, rääkige seda oma sõpradele. Pick hea paroole, kasutada erinevaid paroole kontodele. Ja ei korduvkasutamise paroole - eriti - umbes mõned teie tundlikumad vara, ärge kasutage oma ülikooli konto mujal. Ärge kasutage oma krediitkaardi konto mujal. Parool kaitsta oma mobiiltelefoni kohe. Ja mobiilseadme mõtlen nutitelefoni, ma mõtlen oma tablett. 

Mõtle kasutades hea turvalisuse reset küsimustele ja räägin see varsti miks; kontrollida oma boonuspunktide aruanne. Teine võimalus, et teil võib olla hea kodanik selles ruumis on valitsus sunnitud 3 ametid Experian Transunion ja Equifax vabastama boonuspunktide aruanded. Mõne Harvardi kogukond, eriti üliõpilaste ruumi see võib olla uus neile, kuid teil on lubatud tõmmata need asutused vähemalt üks kord aastas. Hea ettevaatlik - mine sellele saidile, see on kättesaadav FTC üks. Ja seda iga 4 kuu asemel, ja teil on võimalik hoida sakke, kes palunud taotlused oma krediitkaardi andmed, või kui tõesti, kui keegi avab pettuse kontosid. Ja - üldiselt - juhised on olla teadlik. Ja ma annan teile konkreetse näite varsti, aga see on põhiliselt liha ja kartulit arutelu. 

Miks see on oluline just nüüd on suvel oli härrasmees nimega Matt Honan - kui te olete seal tänan teid väga jaoks on nii eelseisvate oma andmed. Aga mis juhtus Matt on ta töötanud Wired Magazine, ja mõned cyperhacktivists läks järele oma Twitter konto. Ja nad kasutada osa neist vahenditest - mõned selle avalik persona et ta kättesaadavaks. Ja nad ehitasid linna, nad teadsid, kuhu rünnata ja millal. Nii et mis nad hakkasid diferentseeritumalt teavet, et ta tegi olemas, ja nad leidsid, et ta oli Gmaili konto. Nii et tal on vähem kui tark parool oma Gmail, ja ta ei olnud mitme teguri autentimine peal. Nii nad kahjustada oma Gmaili, kui nad ei oleks juurdepääsu Gmail nad nägid kõik need muud kontod, et ta oli ühendatud tema Gmail. Tõepoolest, neil oli juurdepääs kogu tema kogu Gmail või Google persona. Ja - eriti - nad hakkasid märkama, et ta oli Amazon konto sest seal olid mõned kirju talle teatanud. Nii siis sain oma Amazon ja nad sain oma Amazon just ennistamist oma parooli, sest see läks oma Gmaili. Tal ei olnud - ta selline oli doominoefekti või mandaat ühendamine toimub siin kus, kui nad said oma Gmaili neil võtmed kuningriiki. Nii et kui nad sain oma Amazon - ja see oli süül et need teised poisid - see oli - sa tead - Matt ei olnud otsustanud valin neid enam turvalised mehhanismid, et ainult need inimesed olid kättesaadavad ja kõik need Internet allikatest. 

Nii et kui nad sain oma Amazon neil oli juurdepääs - ta ei näita neid tema krediitkaardi, kuid ta näitas neile viimased 4 numbrit just nii ta teadis, mis see oli, see näitas neile oma shipping aadress. Ta näitas neile mõned muud teavet, mida ta teinud on mõned tellimused. Ja siis, et nad otsustasid rünnata oma Apple kontole. Ja nad sotsiaalse insenerirajatis Apple Tehnoabi. Apple ei oleks seda teinud, vaid selle teabe põhjal, et nad suutsid kaevanduse muudest 2 kontosid. Tead - kutt Tehnoabi ilmselt arvas, et ta on hea kodanik - sa tead - ma oleks kasulik, on Apple kliendi seal, mis on sattunud sinna omal, ja ma pean teda aitama. Aga see ei olnud reaalne Apple klient. Nii nad reset oma Apple kontole ja need saadetakse teabe Gmail. Kui ründajad oli juurdepääs oma Apple kontole Matt oli kõik oma seadmed seotud tema iCloud, ja nad hakanud välja andma vande komplekti ja pühkides kõike. Jällegi, ta oli just oma andmed paljundatud; ta kasutas iCloud nagu sünkroniseerimine mehhanism. Nii et kui nad välja see kõik läks pauguga. Nad ikka oli juurdepääs siinkohal oma Twitter konto, mis on see, mida nad püüdsid rünnata. Ma ei tea, kas nad kasutasid Maltego või mõned neist muud mehhanismid ehitada välja oma Internet persona, aga - sa tead - sees küsimus Muidugi nad on saanud juurdepääsu 4 erinevat identiteeti teenused enne nad said oma Twitter ja see maksab Matt - Matt oli üsna õnnelik ta nägi seda juhtuda, sest tema lapsed tulid tema kui iPad lukustatud ise välja. Ja nad ütlesid - sa tead, "Isa, seal on midagi toimub koos iPad." Ja ta kinni kõik alla, sest ta märkas seda juhtub igal pool. Ja ta hakkas helistades Apple vaata mida kuradit oli just juhtunud. Ja Apple tõesti arvasin, et seal oli midagi pooleli et iCloud läinud petturitest kuni nad välja mõelnud - ta tegelikult arvasin, et nad olid saates teavet ja nad hakkasid kutsudes teda vale nimi. Kuna Apple oli faili info, et ründaja oli allajäämine. 

Olgu - nii et on selline info, mida me kasutame, et luua see omamoodi parimate tavade, me kasutame seda osana terve rea seminaride kaudu oktoober - National Küberjulgeoleku Teadlikkuse Kuu. See on tehtud kättesaadavaks, et te kutid. Ma veenduge, et saatsin selle läbi Wiki kui David teeb selle kättesaadavaks mind samuti. Aga seal on nõu ja seal palju granularly kui Võin teha kokkuvõtte selle lühikese aja jooksul on mul olemas. ümber, mida nimetatakse, vahelduva Vihma Identiteedivargus: Valides hea kasutajanimed ja paroolid. Kas see kunagi ei sotsiaalne? Ja vastus on ei, see on alati sotsiaalse, aga sa pead olema teadlik, mida see tähendab. Ja see on taltsutamine Lions, Tigers ja Windows, mis on ümber kõvenemise operatsioonisüsteemide mõned andmed käisime täna. Ja viimane oli umbes, Kas seade, Will Travel rääkida läheb mobiilne Sellised andmeallikaid. Niisiis, va juhul, kui teil on küsimusi oma e-posti aadress on seal, ja kui keegi toas on küsimusi palun tõstke käsi. Muud kui, et ma kavatsen lõpetada salvestamist. Hea küll. Valmis. [CS50.TV]