[Powered by Google Translate] [Seminar: Surviving the Internet] [Esmond Kane-Harvard University] [Dies ist CS50.-CS50.TV] Hallo, und herzlich willkommen zum "Surviving the Internet." Es ist eines der Seminare, die Teil dieses CS50 Lehrplan enthalten. Mein Name ist Esmond Kane. Mein Name und Adresse sind auf der Folie Deck vor Ihnen. Es ist esmond_kane@harvard.edu. In meinem Job bin ich einer der Direktoren für IT-Sicherheit HUIT, aber ich muss zugeben, dass ich heute auf einer Mission entfernt weshalb ich ein rotes Hemd trägt mich. Das wird nicht alles, was zurückzuführen ist enthalten direkt an meinem Job, so ist dies nicht über IT-Sicherheit nach Harvard. Das ist mehr nur persönliche Informationen, das ist wie wenn du bist - Dies sind die Art von Fähigkeiten, die Sie erwerben, um zu versuchen und helfen Sie verhärtet eure Arbeitsplätze und Ihre Umgebung in Ihrer Karriere. Aber nichts, was ich erwähnen sollte heute zu einem Ihrer angewendet werden Universität Material, Ihren Servern, Workstations oder Ihre ohne sich mit Ihrem lokalen IT-Support. Und in der Tat, wenn ich erwähne alle Anwendungen oder alle Vorfälle als Teil dieses Diskussion oder Gespräch er meldet alles, was ich zu berichten, bin privilegiert. Es ist in der Regel öffentlich Und in der Tat noch sollte jeder beliebigen Anwendung erwähnen implizieren eine Billigung durch Harvard oder auch jede Verurteilung. 

Also heute, warum wir hier sind - jetzt, da wir mit dem Haftungsausschluss fertig sind - wir sind heute hier, um zu überleben das Internet sprechen. Und warum ist es so ein wichtiges Thema gerade jetzt? So zu paraphrasieren Perry Hewitt, die in der Harvard Presse und Kommunikation Büro arbeitet - Ich zum Lesen dieses Recht jetzt entschuldigen - sie hat gesagt: "Wir leben in einem Atmosphäre der eskalierenden Risiko, sondern auch eine beispiellose Innovation. Der schnelle Aufstieg des Internet, die Cloud und soziale Technologien hat in viel mehr Menschen mit öffentlichen Profile online geführt mit der Tat zu einer ständig wachsenden Palette von Informationen zuzugreifen. Und das bedeutet, dass jeder und ihre Verbände haben noch nie so sichtbar. Als digitalen Fußabdruck Harvard - seinem digitalen Netz erweitert, ziehen wir ein breiteres Publikum. Wir hoffen, dass für die Verbesserung, aber manchmal werden wir Besucher einige negative Aufmerksamkeit. So wie ein Vertreter der Harvard, "und dazu gehört auch jeder gerade zu Hause oder in der Tat jemand hier, "unserer Fakultät, unseren Studierenden, Mitarbeitern, unsere Forscher, die das Risiko einer Verletzung zu Ihnen und in der Tat um Ihr Netzwerk verbunden war noch nie höher. " 

So oft in der Informationssicherheit, wenn wir versuchen, dieses Gleichgewicht riskieren es ist eine komplizierte Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit. In der Ära der Unmittelbarkeit müssen wir nachdenklich Entscheidungen zu treffen darüber, was Sicherheit ohne größere Unannehmlichkeiten zu verbessern. Wir sind manchmal eine Unze Prävention lohnt zweimal erzählt die Heilung, aber bei der Auswahl, Sicherheitsmaßnahmen zu implementieren, um Ihr Risiko zu reduzieren Wir müssen anerkennen, dass es nie zu reduzieren das potenzielle Risiko auf Null. So dass die - wir sind heute hier, um über einige einfache und nicht so einfach Sicherheitsvorkehrungen, die Sie sofort ergreifen können. Ich sollte auch hinzufügen - wenn Sie irgendwelche Fragen haben in der gesamten Präsentation nur die Hand heben. So das erste Thema - sind wir oft gesagt, ein gutes Passwort zu pflücken. Ein Passwort ist Ihre erste und beste Verteidigung. Es ist oft das einzige, das Ihnen zur Verfügung steht wenn Sie entscheiden sich für eine Online-Ressource zu verwenden. Aber wie wir schon in diesem Sommer zu sehen und zwar im Vorjahr wir haben Angriffe wie LinkedIn, eHarmony gesehen. Wir haben RockYou gesehen. Wir hatten einige von insgesamt 70 Millionen Passwörter und Konten kompromittiert. Und wenn diese Passwörter wurden in die Public Domain freigegeben sie auch die Passwort-Hash besteht. 

Also im Grunde in diesen Tagen, wenn jemand ruft ein Konto Bienenstock sie nicht brauchen, um ein Passwort zu knacken mehr;. sie nicht auf rohe Gewalt benötigen Sie ein Passwort weil sie diese massive Fundgrube von veröffentlichten Informationen auf, was die Menschen sich entscheiden. Sie haben bereits Verhaltensdaten bekam in den Sinn, was die Leute zu bedienen neigen. Und sie haben das kaputt zu einer Liste von über tausend Passwörter die umfassen fast 80 bis 90% der Passwörter, die wir wählen in gemeinsamen Nutzung. So ein kleines Beispiel - jeder will wagen, was Sie dachten Bashar al-Assad nach seinem Passwort verwendet, wenn es kompromittiert wurde im letzten Jahr? Dies ist ein Gentleman, der unter intensiver Beobachtung ist. Und sein Passwort war 12345. Ok - so sind Lektionen, die wir gelernt haben, wir brauchen zu bewegen darüber hinaus gerade an einem Passwort. Uns wird gesagt, zu beginnen mit einer Passphrase. Es ist ein großer Comic aus oder in der Tat ein Web-Comic von Randy Monroe was geht in der Wahl einer Passphrase, er nutzt - ich möchte sagen - Batterie, heften, Limit oder so ähnlich - Sie wissen - nur - oder in der Tat gibt es den Witz, dass jemand, der Goofy, Nemo abgeholt, Pluto - all diese verschiedenen Charaktere und London, weil ihm gesagt wurde, bis 8 Zeichen und eine Kapitalerhöhung holen. Aber - so lernen wir, wir gehen müssen, denken über nur einem Passwort. 

Es ist eigentlich ein Ezine in Boston namens Ars Technica. Es ist ein Herr namens Dan Goodin, die dabei eine Reihe an diese Änderung Geltungsbereich - entweder aus dem Angreifer Raum, wo wir diese massive Fundgrube für uns entweder dagegen müssen wir nicht mehr zu stopfen durch Rainbow-Tabellen zu erzeugen; Wir haben 70 Millionen Passwörter. Aber auch wir hatten - Sie wissen - ein Wandel in der scape tatsächlichen Rissbildung Platz, weil diese GPU-Karten haben praktisch nahezu in Echtzeit. Und es ist ein Gentleman in Def Con im August, die gemeinsam 12 dieser Karten in einem PC Ware. Er tat es für etwa $ 2.000 oder $ 3.000, und er war in der Lage zu knacken die LinkedIn Fundgrube in - Sie wissen - nahezu in Echtzeit. Es war ziemlich beängstigend. Dan Goodin der Artikel - ich kann es nur empfehlen, wenn Sie gehen es lesen wollen. Ein Herr namens Sean Gallagher - heute Morgen - auch eine veröffentlichte kurzes Update darauf, ein Großteil ihrer Arbeit baut auf - von Material, das von Bruce Schneier, aber auch aus Cormac Herely von Microsoft Research. Sie Art von ca. 5-6 Jahren, dass wir anfangen, über Passwörter müssen angegeben. Die Vorschläge waren damals Dinge wie Kennwortsätze gestischen Schnittstellen - solche Sachen. Sie wissen - wenn etwas, das Sie wissen, ist nicht mehr ausreichend an dieser Stelle; das ist eines der Dinge, die ich kommunizieren möchte heute. Wenn Sie ein Kennwort verwenden, lassen Sie uns nicht in die besagt, sollten Sie noch schüchtern Pick ein gutes, es sollte hoffentlich etwas mehr als 10 Zeichen lang sein. Es sollte zwischen Groß-und Kleinschreibung zu variieren. 

Ich würde sehr empfehlen Ihnen nicht, um Passwörter wiederzuverwenden. Ich kann auf mehrere Fälle, in denen wir gesehen ein Konto bekommen habe sprechen kompromittiert und jemand hüpfte und hüpfte - den Domino-Effekt. Sie abzubauen jedes Konto in jeder Phase des Prozesses für diese Daten, und sie gehen, um diese Daten zu verwenden, dass sie jeweils abgebaut gegen einen anderen Anmeldeinformationen Quelle. Also - wieder - Pick ein gutes Passwort. Machen Sie es einzigartig. Vielleicht möchten Sie über die Verwendung eines Passwort-Manager Service denken. Es gibt da draußen aus - sie sind alle in den App-Stores. Es ist eine sogenannte OnePass, KeePass, LastPass - es ist ein schöner Weg für sie helfen, Sie schaffen einzigartige Anmeldeinformationen, starke Anmeldeinformationen sondern erleichtern auch das Archiv-und Aufzeichnungspflichten für Sie. Der Nachteil, dass ist, müssen Sie die zu einem Kennwortspeicher bringen; Sie müssen sicherstellen, dass Passwort-Manager, dass Sie Vertrauen ist verdient Ihr Vertrauen als gut. 

So stellen Sie sicher, die Jungs sind auch mit ein paar gültiges Passwort-Mechanismen. Insbesondere die, die ich werde jetzt schweigen ist ein Multi-Faktor-Authentifizierung. So Multi-Faktor-Authentifizierung - und es gibt mehrere Instanzen ich durch kurz gehen - Es ist die einfache Hilfsmittel unter etwas, das Sie wissen, wie Ihre Benutzernamen und Ihr Passwort ein und das Hinzufügen, um es - Sie werden das Hinzufügen eines weiteren Faktors. So der erste Faktor, dass wir heute erwähnen sind diese, die auf den Brettern. Es ist etwas, das Sie in Ihrem Besitz, so dass entweder eine Anwendung das ist auf dem Smartphone laufen oder sogar auf dem Handy selber. Und Sie könnten in der Lage sein eine SMS erhalten. Vorsicht, wenn Sie ins Ausland reisen, das nicht notwendigerweise, Ihnen zu folgen. Eine Anwendung kann arbeiten mehr in dieser Instanz. Oder auch der andere Faktor, den Sie wollen, zu denken kann, ist etwas, was Sie sind. 

Nun ist dies immer noch irgendwie sehr skunkworks. Wir sehen nicht zu viel Einsatz von IT. Dies ist - Sie wissen - Mission Impossible-Stil - wissen Sie - Ihre Vene Druck, Ihr Fingerabdruck, Netzhaut Druck. Die sind so eine Art weiter aus, sie sind nicht wirklich sehr gültige Authentifizierung Faktoren. Wir sehen - wenn ich zu meinem Kollegen reden Sicherheit - mehr Druck, Sie setzen auf eine Tastatur, insbesondere Ihre Eingabe-Muster, ist wahrscheinlich direkt am Horizont - viel mehr als diese anderen biometrischen Identifikatoren. Aber die, die heute sind Anwendungen oder SMS oder auch nur ein Challenge-Response-E-Mail, die Sie bekommen werden zu bestätigen, dass Sie in der Tat entscheiden, melden Sie sich an diesem Punkt in der Zeit. So gibt es einen Link genau dort, ich habe das slide deck verschickt an diesem Morgen. Es wird auf der Wiki sein. 

Sowohl Google Mail und Google tun; Yahoo wird es tun. Paypal hat; Paypal hat auch ein wenig tatsächliche Hardware-Schlüssel, die eine rotierende Nummer tut. Aber Sie können auch wählen, um eine Telefonnummer zu verwenden. Facebook tut auch ein Protokoll in Zustimmung, so dass Sie entscheiden, genehmigen, sie arbeiten auch in Richtung mehr gültig hart Stärke Sicherheit. Dropbox bietet 2-Schritt-Verifikation als auch, kann aber auch nur Kauf eines Hardware-Schlüssel für sie. Wir haben auch in der Gmail einen oder Google zu sehen, sind eine Menge Leute tatsächlich kooptieren Google Authenticator, so - zum Beispiel - Ich benutze LastPass - es spielt keine Billigung - aber sie wiederverwenden können Google 2-Schritt-Verifikation, so dass bedeutet, dass ich nicht brauchen, um Spaziergang mit 2-Anwendungen auf meinem Handy. Aber auch die Forschung Computing in Harvard oder mit einer Analogie Googles 2-Schritt-Authentifizierung, da das Einmal-Passwort Algorithmus wurde geöffnet es vor etwa 10 Jahren bezogen. Haben Sie Fragen? Gut. 

Also ein weiterer Faktor berücksichtigt über Passwörter ist, wenn Sie Verwendung dieser Ressourcen bewusst sein, welche Daten Sie sind ihnen zu begehen. Nur zu begrenzen, was Sie tatsächlich setzen dort oben. So sind wir uns bewusst, dass diese Menschen, die Erbringung einer Dienstleistung für uns über das Internet - diese Cloud-Anbieter - sie haben ein ureigenes Interesse an Ihnen nicht als so sicher wie Sie möglicherweise können. Sie neigen zur Verfügung zu stellen ein absolutes Minimum Reihe von Sicherheits-, und dann gibt es eine Reihe von anderen diejenigen, die optional, die Sie wählen, um in zu entscheiden brauchen. Die Art der wegnehmen diesem Vortrag ist die Sicherheit ist eine gemeinsame Verantwortung. Es ist zwischen Ihnen und den Partnern, die Sie - die Allianzen, die Sie bilden. Sie müssen eine aktive Rolle zu übernehmen. Wählen Sie, um zu entscheiden, um die. Sie wissen - die Zeit nehmen jetzt sicherer machen. Die Alternative ist, es gibt schon Leute Validieren und Testen diese Faktoren Sicherheit gegen Sie, je mehr Sie können wählen, in entscheiden der besser Sie vorbereitet sind für den eventuellen Kompromiss. Und es ist schließlich. 

Aber der andere Faktor zu denken ist, wie ich bereits erwähnt diese Internet-Seiten, die Sie mit Ihren Zugangsdaten vertrauen - mit Ihrer Identität. Ich gebe dir 2 Analogien; Larry Ellison und Mark Zuckerberg - sie sind beide auf Rekord Angabe Privatsphäre ist weitgehend eine Illusion. Und dass das Zeitalter der Privatsphäre ist vorbei. Das ist eine Art Armutszeugnis, dass wir wirklich warten müssen für die Regierung auf, in zu zwingen, diese Parteien zu mehr Sicherheit, mehr Rechtsvorschriften zu erlassen, weil, wenn wir versuchen, mit zu arbeiten diese Anbieter zum Beispiel einige dieser Dropbox wie Parteien, sie sind in das Geschäft der Bereitstellung von Dienstleistungen für den Verbraucher. Sie sind nicht direkt in das Enterprise-Klasse Sicherheitskontrollen interessiert. Die Verbraucher stimmte mit ihrer Geldbörse, und sie haben bereits eine Mindestnote akzeptiert. Es ist Zeit, dass das Denken ändern. Also, wenn wir unsere Daten liefern, um diesen Parteien, müssen wir zu kooptieren unsere bestehende Vertrauen Mechanismen, so sind wir soziale Wesen standardmäßig. 

Also, warum ganz plötzlich, wenn wir setzen die Daten online starten wir haben nun Zugang zu den gleichen Schutz tun wir persönlich? Also, wenn ich lesen kann Ihre Körpersprache, wenn ich wählen kann Netzwerk mit einem sozialen Umfeld und in der Tat in diesem Kreis preisgeben nur die Informationen, die ich will. So haben wir Zugang zu dieser Körpersprache, Ausdruck, zu singen, haben wir Zugang zu dieser Identität Nähe Schutz in einem physischen Standort, sie sind noch in der Entwicklung online. Wir haben keinen Zugang zu ihnen, aber wir fangen an, sie zu sehen. So haben wir in Facebook Facetten - zum Beispiel - wie Gruppen. Wir haben Zugang zu den Dingen in Google+ wie Kreise. Absolut nutzen. Also das letzte, was Sie sehen wollen, ist in diesem Raum insbesondere wenn Sie einen Job zu bekommen gehen wird, das Sie nun einen großen Teil Ihrer gemacht Persönlichkeit Öffentlichkeit. Und wenn jemand will - sollte sie wählen, um - es könnte ein Teil sein der Unternehmenspolitik oder nicht - es ist sicherlich nicht Teil Harvard's - aber sie können eine Google-Suche zu tun. Und wenn sie das tun - wenn Sie bereitgestellt - sagen wir einige Informationen was würden Sie Schwierigkeiten haben, die hinter - Sie getan haben, sich selbst einen Bärendienst. Und in der Tat, wie ich bereits erwähnt - diese sozialen Unternehmen, die sie haben ein ureigenes Interesse so dass es in der Öffentlichkeit - Sie wissen - sie benötigen, um Ihre Daten abzubauen. Sie verkaufen Ihre Demografie und Ihre Marketing-Material für jemanden. Die Art der Analogie in diesem Raum ist - wenn Sie nicht zahlen für ein Produkt Sie sind das Produkt? So erstellen Kreisen für Ihre Freunde, vorsichtig sein, fleißig sein, versuchen Sie nicht, machen alles öffentlich. 

Eine weitere Analogie, die ich machen, ist Endnutzer Lizenzvereinbarungen ändern, sie gehen, um Ihnen zu sagen, was sie mit deinen Daten tun, und sie gehen, um es in einem 50-seitigen Klick begraben durch. Und sie können wählen, um das zu ändern, und sie nur senden Sie eine kurze E-Mail. Aber du bist nicht ein Anwalt, es ist sehr viel in Juristendeutsch. Sie müssen vorsichtig sein, von dem, was du tust. Sie können Ihre Bilder besitzen, sie können Ihr geistiges Eigentum zu besitzen. Sie wissen - nur Sorgfaltspflicht. Ein weiteres Beispiel Library of Congress ist die Archivierung jeden einzelnen Tweet auf den Menschen bekannt. Alles. Alle 10 Jahre etwa den Körper des Materials, das erzeugt wird, in, dass 10 Jahre Konten oder stark übertrifft alles, was wir haben erstellt der gesamten Menschheitsgeschichte. Die Library of Congress hat ein begründetes Interesse an der Erhaltung dieser Informationen für die Nachwelt, für zukünftige Archivare, für zukünftige Forscher und Historiker, so alles, was Sie setzen da draußen ist da. Es wird tatsächlich eine immense Ressource an einem bestimmten Punkt wenn die Menschen beginnen, Social Engineering oder Social Networking-Websites abzubauen. So halten benachrichtigt der Schutz innerhalb jeder Anwendung. 

Es ist etwas, was ich als auch erwähnen wird, es ist ein Drittanbieter-Tool genannt Privacyfix, es kann richtig einstecken, einige dieser Social-Networking-Anwendungen. Und es kann zu überprüfen, um zu sehen, wo Sie in Bezug auf den Datenschutz sind das sind auf sie, wenn Sie wählen können, um sie auf weitere Ratsche. Es gibt Werkzeuge, wie der Data Liberation Front von Google wo Sie können wählen, zu exportieren oder zu extrahieren Sie Ihre Daten. Es gibt Dinge, wie das Internet Suicide Machine, die sich einzuloggen werden um einige Ihrer Profile und tatsächlich jedes einzelne Attribut löschen ein zu einer Zeit, untag jeden einzelnen Verein Freunde in Ihrem Netzwerk gemacht hätte. Und es wird zu verfolgen, um iterativ spülen alles über Sie , dass diese Website würde es wissen. Wenn ich nur ausüben kann, eine gewisse Vorsicht auch dort, es war eine Instanz ein paar Jahren in Deutschland, wo ein Bürger beschlossen, Ausübung seiner Rechte die Freiheit der Information und bitten Facebook um welche Informationen sie auf Rekord für ihn hatte, auch nachdem er seinen Account gelöscht. Sie gaben ihm eine CD mit 1.250 Seiten Informationen obwohl sein Konto theoretisch nicht mehr existierte. Es ist das Konzept in diesem Raum eine Menge, dass einige von ihnen Unternehmen wird weiterhin einige Daten über Sie mit Ihrem Verbänden und Ihre Netzwerke zu tun. Sie sagen, dass sie keine Kontrolle über sie; das ist ein bisschen weit hergeholt meiner Meinung nach. Sie schaffen diese Schatten-Konten - der Schatten Personas. Nur vorsichtig sein. Beschränken Sie, was Sie können. Bei einer tatsächlichen Geräte-Ebene, wenn Sie nur darüber zu reden - Sie wissen - Hardware - Ihrem Smartphone, Ihre Tabletten, Ihren Arbeitsplatz, Ihren Laptop, vielleicht ein Server, den Sie verantwortlich sind. 

Wahrscheinlich haben Sie über Konzepte wie Betrieb, System-Updates gehört, Anwendungs-Updates, Antivirus, du hast von Dingen wie Firewalls gehört, Festplattenverschlüsselung und wieder nach oben. Das einzige, was Sie beachten sollten, ist, dass Sie nicht hören diese Art von Schutz in der Handy-Raum. Sie sind genauso anfällig für die gleichen Bedrohungen. Wir hatten - ich möchte sagen - eine Million Smartphones sein werden aktiviert durch die Ende dieses Monats. Das hat sich erheblich stärker als die - innerhalb der kurzen Zeitspanne, die sie wurden zur Verfügung hat, die erheblich stärker als das Wachstum der der PC, den Laptop, den Workstation-Markt. Aber wir haben keinen Zugang zu den gleichen Kontrollen, und ich wird darüber kurz zu sprechen. Also, bevor wir mit dem Mobiltelefon Raum lassen Sie uns darüber reden was ist es, dass ich nur kurz ging. So Antiviren-Software - hier sind einige freie Wahl. Microsoft begeht ihnen - wissen Sie - Sophos begeht für OSX als auch ihre Bessern Sie Ihren Computer - nur bewusst sein, was auch immer Ihre Lieferanten aktuellen Patch-Level ist, und Sie sollten nicht eine signifikante Delta aus, dass sein. Es ist ein nettes Tool von einer Firma namens Secunia. Und Secunia wird im Hintergrund ausgeführt werden, und es wird Ihnen sagen, wenn es eine aktualisiert zur Verfügung und wenn Sie es anwenden müssen. 

Automatische Updates aktivieren - sowohl Apple und Microsoft wird einen Aspekt dieses haben. Sie wird Sie warnen, dass es ein Update verfügbar ist. Und Secunia - Sie wissen - ist eine Art Sicherheitsnetz schön so gut haben - zurückgreifen Mechanismus. Auf dem Host-Schicht - nicht immer auf Smartphones noch. Aktivieren Sie die Firewall-native zu dem Betriebssystem. Es gibt einige Informationen über das Windows in der OSX ein. Testen Sie Ihre Firewall, nicht nur dort lassen und denken, dass es eine sichere Mechanismus ist. Nehmen Sie eine aktive Rolle, es ist eine Anwendung, dort von GRC - Steve Gibson. Wi-Fi-Sicherheit in diesem Raum - dies kann auch auf dem Smartphone und dem Tablet gelten - wenn Sie die Wahl, um auf die Straße gehen, müssen Sie sich bewusst sein, , dass es verschiedene Arten von drahtlosen Netzwerken. Und vor allem nicht wählen Sie die am häufigsten zur Verfügung ein. Es könnte kostengünstig sein, aber es könnte ein Grund dafür sein. Vielleicht sind sie Bergbau Ihrer Daten. Wir sehen dies mehr, wenn Sie ins Ausland reisen. Es gibt einige wirklich hocheffiziente Cyber ​​Verbrechersyndikaten die Lage zu nutzen, was wir in der Regel in den Nationalstaaten "Spionage sehen sind. Ein Faktor, wo sie geradezu injiziert werden sich in einem Netzwerk-Stream. Sie ziehen Zeug raus, und sie sind Injizieren Anwendungen auf den Arbeitsstationen. 

Es ist - die andere Seite, die ich kenne in einige von ihnen erwähnt wurde Sicherheit Seminare - Seminare oder nicht CS50 Seminare - ist ein Tool namens Firesheep. Und Firesheep war ein bestimmter Angriff in der Handy-Raum wo einige dieser Social-Networking-Anwendungen wurden Senden von Anmeldeinformationen im Klartext. Und das war ganz allgemein akzeptiert, weil jeder zu diesem Zeitpunkt dachte, dass es keinen Appetit in den Consumer-Bereich für sie, dass eine höhere Festigkeit Verschlüsselung verwenden implizierte eine Leistung Belastung auf dem Server, so dass, wenn sie nicht, es zu tun - sie wollte nicht. Und dann, ganz plötzlich, wenn dieser Sicherheitsexperte gemacht der Angriff trivial sehr schnell - du weißt schon - haben wir begonnen, diese Art von sehen Verbesserung, dass jeder in der Sicherheit Platz hatte worden beschweren für einen nicht unerheblichen Zeitraum. So - insbesondere - Firesheep konnte Facebook, Twitter abrufen Anmeldeinformationen von der Wi-Fi-Stream. Und weil es im Klartext war, und sie waren in der Lage, zu injizieren. 

Auch, wenn Sie gehen, um Wi-Fi verwenden wählen, eine, die zu verwenden ausreichend geschützt - WPA2 wenn du kannst. Wenn Sie verwenden müssen unverschlüsselte WLAN - und insbesondere ich rede niemanden, der mit der Harvard University Wireless wird - möchten Sie vielleicht über die Verwendung von VPN denken. Ich sehr empfehlen es. Andere Faktoren, die Sie wollen, zu denken können, sind, wenn Sie kein Vertrauen in die Wi-Fi Sie sind auf möchten Sie vielleicht den Einsatz begrenzen. Tun Sie das nicht jede E-Commerce; machen keine Banking. Greifen Sie nicht auf Ihre Universität Anmeldeinformationen. Es ist ein wichtiger Sieg in diesem Raum, wenn jemand nicht stehlen Ihre Anmeldeinformationen - Sie wissen - sie haben dein Handy? Also - Sie wissen - das ist ein weiterer Faktor, dass sie nicht unbedingt können entführen oder macht einfach ihren Angriff komplizierter. Verschlüsseln Sie Ihre Festplatte. Wir sind in einem Zeitalter gerade jetzt - Verschlüsselung verwendet werden, um eine große Sache sein vor 10 Jahren. Es zeigte sich eine signifikante Auswirkung auf die Leistung. Es ist nicht mehr - in der Tat - die meisten Mobiltelefone und solche Sachen sie tun es in der Hardware, und Sie müssen nicht einmal bemerken - die Leistung ist so unbedeutend. 

Wenn Sie über eine Workstation sprechen, sprechen wir über BitLocker reden. Wir freuen uns über File Vault reden; ermöglichen es - die Zeit nehmen jetzt. In der Linux-Raum offensichtlich wahr Krypten können über diese beiden zu arbeiten. Sie können zu denken - in der Linux-Raum - es ist dm-crypt, gibt es Luxcrypt - es gibt eine Reihe anderer Optionen - auch wahr Crypt. Andere schnelle Möglichkeit, sich am Arbeitsplatz zu schützen Ebene eine Sicherungskopie Ihrer Festplatte. Und eine kleine Falte hier - es ist nicht ausreichend, um eine Verwendung diese Wolke Synchronisation Anbieter, so Dropbox oder G-Drive oder etwas anderes Das ist nicht ein Backup-Lösung. Wenn jemand etwas löscht auf eines dieser Geräte weil sie selbst eingefügt irgendwie geht - das Löschen wird in Ihrem gesamten persona repliziert. Das ist nicht ein Backup, das ist nur eine Ausbreitung Mechanismus. So ist es gut, eine Backup-Lösung zu haben. Es gibt einige Vorschläge hier für einige Leute, einige von ihnen sind kostenlos - Kapazität basiert - 2 GB back up - Sie können es tun. Wenn Sie Universität G-mail - Universität Google auf dem College und co, G-Drive wenn es nicht schon - es wird in Kürze verfügbar sein. Es ist ein guter Ersatz. Wir werden auch auf diese Dinge wie Mozy Home aussehen. Es ist gut, 2 Lösungen haben. Haben nicht alle Eier in einen Korb. Wenn Sie etwas entsorgen oder in der Tat, wenn Sie in den Prozess Senden von etwas geheim zu halten - einige Vorschläge hier, um Sicheres Löschen des Geräts. Darik der Boot and Nuke - das ist eine Art mehr für die IT-versierte. Sie können über nur ihm, einige von ihnen denken kommerzielle Anbieter, wenn du kannst. 

Verschlüsseln e-mail - wenn es sein muss - es gibt einige Dienste auf dem Campus genannt Accellion, Sie sind außerhalb des Campus oder für den persönlichen Gebrauch werde ich Hushmail empfehlen. Wir sehen es viele in Whistleblower verwendet, es ist eine der wichtigsten Mechanismen für WikiLeaks sowie Tor und einigen anderen Mitteln. Und - jetzt, über die Telefon-Ebene sprechen - so das Problem hier ist es ist nicht so viel Appetit noch. Leider sind die meisten Smartphones und den Tablet-Betriebssystemen sie sind immer noch auf einige der Prinzipien, die wir in den 1990er Jahren sah basiert. Sie haben nicht wirklich einige Verbesserungen eingebaut die wir sehen am Arbeitsplatz Ebene. Sie sind nicht tut Wärmeschutz. Sie sind nicht zu tun - Sie wissen - Schicht Randomisierung. Sie sind nicht tut Adresse Schutz. Sie tun nicht ausführen Schutz - solche Sachen. Aber auch das Gerät selbst durch defacto wird nicht jeder haben Endpunkt Sicherheit hinein gebaut. Also fangen wir an, diese Änderung zu sehen - mal wieder - die meisten Smartphone Hersteller - Android, Apple und Windows - nur der Appetit war nicht da; war die Benchmark Blackberry. Aber Blackberry hat Art verlor seine Traktion auf dem Markt an dieser Stelle. Und Apple hat wirklich trat in. Vor ca. 2 Jahren gab es einen Wendepunkt, wo sie begonnen, in einem viel mehr Unternehmen Typs Kontrollen zu bauen. Und - in der Tat - im August hatte sie einen Vortrag bei Def Con, die gerade unerhört war. 

So werden sie tun, die minimalen Kontrollen, die ich beschrieben. Sie tun starkes Passwort, sie werden eine Eingabeaufforderung für das Kennwort auf Leerlauf zu tun - das Gerät - Sie vergessen darüber und es nach 15 Minuten aktiviert. Sie tun Verschlüsselung, und sie werden auch das tun, was Remote Wischen genannt. Im Android und Windows Raum sind noch TBD - bestimmt werden. Android hat Zugriff auf einige Anwendungen genannt Prey und Lookout. Und in der Tat einige der Endpunkt-Sicherheits-Tools wie Kaspersky Ich weiß, es tut. Ich weiß, ESET tut es auch Sie lassen Sie senden eine SMS und reinigen Sie das Gerät. Windows phone an dieser Stelle ist es in erster Linie orientiert Corporate Design - was heißt Austausch. Exchange ist ein robuster Mail-Infrastruktur, und es kann einige dieser Kontrollen beauftragen. Windows 8 nur ausgeliefert letzte Woche, also kann ich nicht auf die endgültig zu sprechen. Windows 6.5 war der große Sicherheitseinrichtung. Windows 7 Handy war eine Katastrophe, sie hat nicht alle diese native Steuerelemente zwingend in den verschiedenen Anbietern. So musste man jedes Windows Mobile 7 Telefon ein zu einer Zeit zu ratifizieren. 

Android - seit der 3.0 Raum hat eine wesentliche Verbesserung hatte als gut. Honeycomb, Ice Cream Sandwich, Jellybean - sie werden unterstützt diese Mindestanforderungen Kontrollen und in der Tat werden sie unterstützt einige der Unternehmenssteuerung, dass Sie auch tun können. In Ihrem persönlichen Konto Raum gibt es eine persönliche Google Sync, dass Sie aktivieren, wenn Sie Ihre eigenen Google Raum sowie zu haben. Also, was tun Sie, wenn es geht alles schief? Und wenn ich kann - ein weiterer zum Mitnehmen aus, das ist wirklich, wenn - wenn es nicht. Das wird für uns alle irgendwann passieren. Was können Sie tun? Also, was Sie tun können - und es gibt eine Rutsche - die nächste Folie wird verweisen Sie auf einige der FTC Ressourcen für IT, aber ein Minimum Ort ein Betrug Warnung auf Ihrem Kreditkarten. Wenn ich ermutige Sie, darüber nachzudenken, wenn Sie mit einer Kreditkarte sind in einer Online-Kapazität - je nach Transaktion du machst Debitkarten - die Fähigkeit, zu behaupten oder die Fähigkeit, eine betrügerische einfahren Anspruch auf eine Debit-Karte ist eigentlich ein viel kleineres Fenster, als es auf einer Kreditkarte ist. Also, wenn Sie Ihren Bericht auf einer EC-Karte haben Sie nur eine bestimmte Zeitrahmen - und es ist sehr niedrig - die Bank von einem betrügerische Transaktion zu informieren. Kreditkarten, es ist viel größer, es neigt dazu, eine Grenze, bis sein, um über $ 50.000 bevor sie wirklich in der Lage sein, Ihnen zu erstatten. Also das ist eine ganze Menge Geld, sie stieß es von etwa $ 13.000 oder $ 18.000 gibt es vor kurzem. Also - Sie wissen -, wenn Sie über die Verwendung einer Kreditkarte online zu denken, können Sie über die Verwendung eines Top-up-Karte oder eine Einweg-Kreditkarte, einen Brenner Card? 

Wenn Sie etwas sehen - und ich werde Ihnen zeigen, wie Sie Zugang zu kurz - schließen jegliche betrügerische Konten, wenn Sie aufmerksam gemacht werden es. Stellen Sie eine Anzeige, wenn Sie auf dem Campus sind. Erreichen Sie HUPD - lassen Sie sie wissen. Denken Sie über eine Identität Monitoring-Service. wenn als Teil der - wenn Sie gefährdet zu tun bekommen - möglicherweise müssen Sie - sie finanzieren Identität Schutzdienst. Wenn sie nicht vielleicht tun Sie es tun sollten. Sammeln Sie und halten Sie alle Beweise - insbesondere keine Diskussionen du hattest mit irgendwelchen kriminellen Behörden insbesondere für die Versicherung. Ändern Sie alle Ihre Passwörter. Ändern Sie die Antworten auf alle Fragen der Sicherheit, mit der Sie Ihr Passwort zurücksetzen können. Deaktivieren Sie alle historischen Identität Dienstleistungen. Also, wenn Sie die Wiederverwendung von Ihrem Facebook-Konto zur Anmeldung auf Twitter oder umgekehrt, brechen, dass, wenn der Kompromiss beteiligt Ihre E-Mail-Konto überprüfen, um zu sehen, wenn etwas weitergeleitet wird. Weil sie sonst noch Zugriff auf Ihre Daten. Und wenn der Diebstahl beinhaltet Ihre Harvard Konto benachrichtigen Sie bitte IThelp@harvard.edu. Ich kann das nicht genug, aber auch insbesondere mit, wenn das Gerät verloren geht oder gestohlen und es hatte den Zugriff auf Ihre Daten und Universität vielleicht nicht über einige dieser Schutz sein jeweiligen, bitte lassen Sie uns wissen - HUPD und IT an der Harvard Hilfe. 

Also der Link, den ich gerade erwähnt, die geht in die mit mehr Details FTC.gov / identitytheft. Die Post hat auch einige Betrug oder Identity Protection Services - Sie legen sich lediglich ein Halt oder ein Anschlag auf Kreditkarten gehen durch oder sowas. Das FBI hat einen Link als auch, ist es in den Notizen von den Folien, die ich geschickt. Und in der Tat Massachusetts Better Business Bureau und Consumer Protection Bureau hat einige Leitlinien als auch, ist es in den Erläuterungen. Nehmen Sie jetzt die Zeit, machen Sie sich bewusst, was Sie tun können, und nehmen Sie die Aktion. Das Prinzip - wie ich bereits erwähnt - ist, wenn Sie nicht über einen Plan für Ihre Identität gestohlen werden Sie sofort los zu sein unterliegen einer Menge Arbeit, wenn es geschieht, und es ist, wenn. Aber selbst wenn man diese Vorsichtsmaßnahmen zu ergreifen - lassen Sie mich nur fügen Sie eine leichten Wort der Vorsicht - kein Plan überlebt ersten Kontakt mit dem Feind. So auch bei, dass wir immer noch der Meinung, dass es einige Subversion sein - du weißt schon - Ihre Bank zum Beispiel, die Ihnen all diese Schutzmechanismen gebaut haben um sie beeinträchtigt bekommen; diese vertrauenswürdigen Dritten, dass Sie Ihre Daten gegeben. So sind Sie Ihr eigener beste Verteidigung. Sie wissen - wachsam bleiben - wachsam bleiben. Nehmen Sie jetzt die Zeit, zu wählen, zu entscheiden, in diese, hoffentlich knüpfen dies, um zu sprechen mit Ihren Freunden. Wählen Sie gute Passwörter; verwenden einzigartige Passwörter für Ihre Konten. Und nicht wiederverwenden Passwörter - insbesondere - um einige Ihr empfindlicher Vermögenswerten; verwenden Sie nicht Ihre Uni-Account anderswo. Verwenden Sie nicht Ihr Kreditkartenkonto anderswo. Passwort zum Schutz Ihres mobilen Geräts zeigen. Und Mobilgerät Ich Smartphone bedeuten, ich meine das Tablet. 

Denken Sie über die Verwendung gute Sicherheit Reset Fragen, und ich will reden diese kurz, warum, überprüfen Sie Ihre Kredit-Bericht. Eine weitere Möglichkeit, dass Sie ein guter Bürger in diesem Raum sein wird die Regierung gezwungen die 3 Agenturen Experian, Transunion und Equifax Kredit-Berichte zu veröffentlichen. Für einige der Harvard Gemeinschaft, vor allem in der Schüler-Raum, dies könnte neu sein, aber Sie dürfen diejenigen ziehen Agenturen mindestens einmal im Jahr. Gut Vorsicht - gehen auf dieser Website, es ist auf der FTC ein. Und tun es alle 4 Monate statt, und Sie sind in der Lage zu halten Registerkarten auf die erbittet Anfragen für Ihre Kreditkarten-Informationen, oder wenn in der Tat, wenn jemand öffnet jegliche betrügerische Konten. Und - in der Regel - die Führung ist sich bewusst sein. Und ich werde Ihnen ein konkretes Beispiel kurz, aber das ist im Wesentlichen das Fleisch und Kartoffeln der Diskussion. 

Also warum dies wichtig ist gerade jetzt im Sommer ist es ein Herr namens Matt Honan - wenn Sie draußen sind vielen Dank weil sie so bevorstehenden mit Ihren Informationen. Aber was passiert mit Matt ist er für Wired Magazine, und einige cyperhacktivists ging nach seinem Twitter-Account. Und sie verwendet einige dieser Ressourcen - einige dieser öffentlichen persona dass er zur Verfügung gestellt. Und sie bauten eine Karte, sie wussten, wo sie angreifen und wann. Also davon, dass sie begannen, in Scheiben schneiden und würfeln Sie die Informationen, die er gemacht zur Verfügung, und sie fand, dass er ein Gmail-Konto hatte. So wurde er mit einem weniger als klug Passwort für seine Gmail, und er hatte keine Multi-Faktor-Authentifizierung auf sie. So sie seine Gmail kompromittiert; sobald sie hatte zu seinem Gmail zugreifen sie sahen all diese anderen Konten, die er in seinem Gmail gesteckt. Tatsächlich hatte sie Zugang zu seiner ganzen ganzen Gmail oder Google persona. Und - vor allem - sie begann zu bemerken, dass er ein Amazon-Konto hatte denn es gab einige E-Mails an ihn berichtet. So bekamen sie dann an seine Amazon, und sie haben an seinen Amazon nur durch das Zurücksetzen seines Passworts, weil es zu seinem Gmail ging. Er hatte nicht - er hatte eine Art Domino-Effekt oder Anmeldeinformationen Verkettung geht hier wo sie einst seine Gmail bekam sie hatte die Schlüssel zum Königreich. Also wenn sie einmal an seine Amazon - und dies war ohne Verschulden auf diese anderen Jungs - das war - Sie wissen - Matt hatte nicht gewählt entscheiden in diesen sicherer Mechanismen, dass nur diese Menschen zur Verfügung gestellt hatte und all diese Internet-Quellen. 

Also wenn sie einmal an seine Amazon sie Zugang hatten - es ihnen nicht gezeigt hätte seine Kreditkarte, aber es zeigte ihnen die letzten 4 Ziffern nur damit er wusste, was es war, es zeigte ihnen seine Lieferadresse. Es zeigte ihnen einige andere Informationen, die er auf einige Aufträge erledigt. Und dann aus, dass sie beschloss, seine Apple-Account angreifen. Und sie soziale engineered Apple Helpdesk. Apple sollte es nicht getan haben, aber auf der Grundlage dieser Informationen, die sie waren in der Lage, von den anderen 2 Accounts abzubauen. Sie wissen - der Mann an der Helpdesk wahrscheinlich dachte, er ist ein guter Bürger - Sie wissen - ich bin als hilfreich, es ist ein Apple-Kunde gibt, wird es auf seine eigene gestrandet, und ich brauche, um ihm zu helfen. Aber es war nicht der eigentliche Apple-Kunden. Und sie setzen seine Apple-Account, und sie schickten die Informationen an die Gmail. Sobald die Angreifer hatten Zugriff auf seine Apple-Account Matt hatte alle seine Geräte in seiner iCloud gebunden, und sie begannen die Erteilung Meineid Sets und wischte alles. Wieder hatte er gerade seine Daten weitergegeben, er wurde mit dem Synchronisations-Mechanismus wie iCloud. Also, wenn sie gelöscht es ging alles Knall. Sie hatten noch Zugriff an dieser Stelle auf seinem Twitter-Account, die, was ist sie hatte versucht, anzugreifen. Ich weiß nicht, ob sie Maltego oder eines Teils dieser andere Mechanismen verwendet den weiteren Ausbau seiner Internet persona, aber - Sie wissen - in einer Angelegenheit von Natürlich bekamen sie Zugang zu 4 verschiedene Dienstleistungen Identität vor sie stand auf Twitter, und es kostete Matt - Matt war ganz glücklich sah er es geschehen, weil seine Kinder zu ihm kam wenn das iPad gesperrt selbst aus. Und sie sagte - Sie wissen: "Papa, es ist etwas los mit dem iPad." Und er schloss alles ab, weil er bemerkte, war es passiert überall. Und er begann Aufruf Apfel zu sehen, was zum Teufel gerade geschehen war. Und Apple tatsächlich dachte, dass es etwas los dass iCloud gegangen Schelm, bis sie herausgefunden - er tatsächlich herausgefunden, dass sie die Übermittlung von Informationen und sie nannten ihn den falschen Namen. Da Apple hatte auf Datei-Informationen, dass der Angreifer hatte unterlaufen. 

Ok - damit ist die Art von Informationen, die wir verwenden, um dies zu bauen Art von best practice, wir nutzen dies als Teil einer ganzen Reihe von Seminare bis Oktober - Nationale CyberSecurity Awareness Month. Es wurde Ihnen zur Verfügung gestellt guys. Ich werde dafür sorgen, dass ich es geschickt in der Wiki als David macht es mir zur Verfügung als auch. Aber es gibt Beratung und Anleitung in dort viel mehr als granular Ich bin in der Lage, in dieser kurzen Zeit, die ich zur Verfügung haben zusammenzufassen. um, was heißt, Wolkig mit Aussicht von Identity Theft: Picking gute Benutzernamen und Kennwörter. Ist es überhaupt nicht sozial? Und die Antwort ist nein, es ist immer soziale, aber Sie müssen sich bewusst sein, was das bedeutet. Und es ist Taming Löwen, Tiger und Windows ist die um Härten Betriebssystemen mit einigen der Informationen, die wir bis heute ging. Und der letzte wurde etwa, haben Geräte, Will Travel um zu gehen, mit dieser Art von Datenquellen Handy sprechen. Also anders als dass, wenn Sie irgendwelche Fragen haben, meine E-Mail-Adresse ist dort, und wenn jemand in den Raum irgendwelche Fragen hat bitte die Hand heben. Other than that, ich werde, um die Aufnahme zu stoppen. In Ordnung. Fertig. [CS50.TV]