[Powered by Google Translate] [Seminario: Surviving the Internet] [Esmond Kane-Harvard University] [É dicir CS50.-CS50.TV] Ola e benvido ao "Sobrevivindo á Internet." É un dos seminarios que compoñen parte deste CS50 currículo. O meu nome é Esmond Kane. O meu nome e enderezo están no conxunto de diapositivas que diante de ti. É esmond_kane@harvard.edu. No meu traballo eu son un dos directores de seguridade de TI para HUIT, pero eu teño que recoñecer que hoxe estou nunha misión para lonxe é por iso que eu estou a levar posto unha camisa vermella. Isto non incluirá todo o que é atribuível directamente para o meu día de traballo, polo que non se trata de seguridade de TI para Harvard. Esta é unha información máis xusta persoal, é dicir como cando está - estes son o tipo de habilidades que vai adquirir para tratar de axudar endureçais os vosos postos de traballo eo seu ambiente en toda a súa carreira. Pero nada que eu falar hoxe debe ser aplicado a calquera dos seus material de universidade, os seus servidores ou estacións de traballo sen contacto co soporte das TIC local. E, de feito, se eu mencionar calquera aplicacións ou calquera incidentes como parte deste conversación ou discusión non está relatando todo o que teño o privilexio de informar. Xeralmente é público E nin sequera no caso de calquera mención de calquera aplicación implica calquera endoso través de Harvard ou mesmo calquera condena. 

Entón, hoxe por que estamos aquí - agora que estamos a facer co aviso - estamos aquí hoxe para falar sobre a supervivencia de Internet. E por que é un tema tan importante agora? Entón, parafraseando Perry Hewitt, que traballa na oficina de Harvard Prensa e Comunicacións - Pido desculpas por lendo isto agora - ela dixo: "Nós vivimos nunha atmosfera de risco crecente, senón tamén de innovación sen precedentes. O rápido crecemento de Internet, a nube, e tecnoloxías sociais resultou moitas máis persoas con perfís públicos en liña co mesmo acceso a un abano cada vez maior de información. E isto significa que todo e as súas asociacións nunca foron máis visibles. Como pegada dixital de Harvard - súa rede dixital se expande, atraímos un público máis amplo. Esperamos para o ben, pero ás veces temos ganas atraer unha atención negativa. Así como representante de Harvard ", e iso inclúe todos asistir na casa ou en realidade ninguén aquí ", o noso corpo docente, os nosos alumnos, os nosos empregados, os nosos investigadores, o risco de poñer en perigo a ti e tamén aos súa rede asociada nunca foi maior ". 

Entón, moitas veces en seguridade da información cando tentamos equilibrar esta arriscar un trade off complicado entre a seguridade ea experiencia do usuario. Na era da inmediatez que debemos tomar decisións ponderadas sobre o que vai aumentar a seguridade sen un gran inconveniente. Somos informados, por veces, un gramo de prevención val dúas veces a cura, pero cando se escolle para aplicar medidas de seguridade para reducir o risco debemos recoñecer que iso nunca pode reducir o risco potencial de cero. Entón o que dixo - estamos aquí hoxe para discutir algunhas simple e non tan sinxelo precaucións de seguridade que pode tomar agora. Quere tamén de engadir - se ten algunha dúbida en todo o presentación só levante a man. Así, o primeiro tema - que moitas veces están orientados a escoller un bo sinal. O contrasinal é a súa primeira e mellor defensa. Moitas veces, é o único que está dispoñible para ti cando está escollendo para usar un recurso en liña. Pero, como vimos ao longo deste verán, e de feito o ano anterior vimos ataques como LinkedIn, eHarmony. Vimos RockYou. Tivemos algúns total de 70 millóns de contrasinais e contas comprometidas. E cando esas claves foron liberados ao dominio público eles tamén comprendeu o hash de contrasinal. 

Entón, basicamente, nos días de hoxe, se alguén recupera unha colmea conta non precisan romper un contrasinal máis,. non precisan de forza bruta de un contrasinal porque eles teñen ese tesouro enorme de informacións difundidas sobre o que a xente está escollendo. Eles xa ten datos de comportamento á mente o que as persoas tenden a usar. E eles teñen roto que para unha lista de preto de mil contrasinais que comprenden preto de 80 a 90% das claves que escollemos de uso común. Así, un exemplo rápido - ninguén quere arriscar o que penso Bachar ao Asade usa para a súa contrasinal cando foi comprometida o ano pasado? Este é un cabaleiro que está suxeita a escrutinio intenso. E o seu contrasinal era 12345. Ok - Entón, estas son leccións que aprendemos, necesitamos mover ademais de só pensar en un contrasinal. É-nos dito para comezar a usar unha frase secreta. Hai unha gran banda deseñada ou mesmo de un cómic web de Randy Monroe que vai para a elección dunha frase de paso, que usa - quero dicir - batería, grapa, límite ou algo parecido - vostede sabe - só - ou de feito hai a broma que alguén que colleu Goofy, Nemo, Plutón - todos estes diferentes personaxes e Londres porque lle se dixo para escoller 8 personaxes e unha capital. Pero - así aprendemos que necesitamos ir máis alá de pensar só un código. 

Hai realmente unha Ezine en Boston chamado Ars Technica. Hai un señor chamado Dan Goodin quen está a facer unha serie sobre Neste ámbito a cambiar - ou a partir do espazo dianteiro, onde temos este enorme tesouro dispoñible para nós a calquera mente non necesitamos máis para xerar cousas a través de táboas do arco da vella; temos 70 millóns de contrasinais. Pero tamén tivemos - vostede sabe - un cambio no Scape real fendas espazo porque as tarxetas de GPU fixeron esta practicamente case en tempo real. E hai un cabaleiro en Def Con, en agosto, que xuntos 12 destes tarxetas nun PC commodity. Fíxoo por preto de US $ 2.000 ou US $ 3.000, e foi capaz de romper o tesouro en LinkedIn - vostede sabe - en tempo real preto. Foi moi asustado. O artigo de Dan Goodin - Eu recomendo que se quere ir lelo. Un cabaleiro chamado Sean Gallagher - esta mañá - tamén publicou un rápida actualización sobre iso, unha morea de seu traballo baséase se - a partires de material dispoñible de Bruce Schneier, pero tamén dende Cormac Herely de Microsoft Research. Eles medio que declarou uns 5-6 anos, que necesitamos comezar a pensar alén de contrasinais. As suxestións que naquela época eran cousas como frases secretas, Interfaces de signos - este tipo de cousas. Vostede sabe - algo que sabe xa non é suficiente neste momento; que é unha das cousas que quero comunicar hoxe. Se ten que usar un contrasinal, non sexamos tímidos en afirmar que aínda que escoller un bo, pero debe ser espero que algo máis alá de 10 caracteres. Debe variar entre maiúsculas e minúsculas. 

Eu altamente animou a non volver utilizar contrasinais. Podo falar con varios casos en que vimos unha conta obter comprometido e alguén saltou e saltou - o efecto dominó. Eles minar cada conta en cada fase do proceso para este datos e, a continuación, eles pasan a utilizar eses datos que extraído en cada instancia contra unha outra fonte de credencial. Entón - unha vez máis - elixir unha boa contrasinal. Facelo único. Pode querer pensar en usar un servizo xestor de contrasinais. Hai quen aí dende - todos eles son nas tendas de aplicacións. Hai un OnePass chamado, KeePass, LastPass - é unha boa forma para que poida axudar a crear credenciais exclusivas, credenciais fortes, senón tamén facilitar o arquivo e rexistro de información para ti. O lado negativo para que é o que ten que levar isto para unha tenda de contrasinal; ten que estar seguro de que este xestor de contrasinais que está confiando é digno de confianza tamén. 

Polo tanto, asegúrese de que estes faces tamén está a usar algúns mecanismos contrasinal válida. En particular, o que eu vou falar agora é a identificación multi-factor. Entón identificación multi-factor - e hai varios casos I pasará pronto - É o sinxelo expediente de facer algo que sabe como a súa nome de usuario e contrasinal e engadindo a el - está engadindo outro factor. Así, o primeiro factor que imos falar hoxe son eses os nas placas. É algo que ten nas súas posesións, para que sexa unha aplicación que está a ser executado no seu teléfono ou mesmo no seu propio teléfono. E pode ser capaz de recibir un SMS. Coidado, se viaxar ao exterior, que non é necesariamente vai seguilo. Unha aplicación pode traballar máis nese caso. Ou mesmo outro factor que pode querer pensar é algo que é. 

Agora, esta aínda é unha especie de moi moi skunkworks. Nós non vemos moito a adopción do mesmo. É dicir - vostede sabe - Mission Impossible estilo - sabe - a súa impresión vea, polgar impresión, a impresión retina. Aqueles que son unha especie de máis lonxe, xa que non son realmente factores de autenticación moi válidas. Vemos - cando falo cos meus compañeiros de seguridade - máis presión que pór un teclado, o seu estándar de escritura particular, é, probablemente, directamente no horizonte - moito máis que estes outros identificadores biométricos. Pero os que hoxe son aplicacións ou de SMS de texto ou mesmo só un reto e-mail de resposta que está indo para obter para validar o que fixo de feito decide iniciar sesión neste momento. Polo tanto, hai unha ligazón alí, eu teño enviado para fóra do conxunto de diapositivas, esta mañá. Será no Wiki. 

Tanto o Gmail e Google facelo, Yahoo! ha facelo. Paypal ten; Paypal tamén ten unha pequena chave de hardware real que fai unha serie de rotación. Pero tamén se pode optar por usar un número de teléfono. Facebook tamén fai un rexistro de aprobación, así que escoller aprobalo la, porque eles tamén están a traballar no sentido máis válido seguridade forza dura. Dropbox ten verificación de 2 etapas, así como, tamén se pode simplemente adquirir unha chave de hardware para eles. Vemos tamén en un Gmail ou Google un, unha morea de xente está a en realidade, co-optando Autenticador de Google, por iso - por exemplo - Eu uso o LastPass - non implica calquera endoso - pero poden reutilizar Corrección de Google, 2-step o que significa que eu non teño andar por aí con dúas aplicacións no meu teléfono. Pero tamén computing investigación dentro Harvard ou unha analoxía autenticación 2-step de Google porque o contrasinal one-time algoritmo foi de código aberto hai uns 10 anos. Algunha pregunta? Bo 

Entón, outra consideración factores ademais contrasinais é cando está usar estes recursos ser consciente de que os datos que se están a cometer a eles. Só limitar o que está realmente poñendo alí enriba. Polo tanto, estamos conscientes de que estas persoas que están prestando un servizo a nós en Internet - estes provedores de nube - eles teñen un interese en ti non ser tan seguro como posiblemente pode. Tenden a facilitar un conxunto mínimo de seguridade, e entón hai unha morea de outros que son opcionais que cómpre optar por dentro. O tipo de aproveitar esa conversa é a seguridade é unha responsabilidade compartida. É entre vostede e os socios que fai - as alianzas que forman. Debe ter un papel activo. Elixa a optar por isto. Vostede sabe - ter tempo agora, facelo máis seguro. A alternativa é que xa hai xente de validación e proba estes factores de seguridade contra ti, canto máis lle pode optar por en ao mellor está preparado para o eventual compromiso. E é posible. 

Pero o outro factor a pensar é como eu mencionen estas partes de internet que está confiando en súas credenciais - coa súa identidade. Vou che dar dúas analoxías, Larry Ellison e Mark Zuckerberg - ambos son no rexistro indicando privacidade é en gran parte unha ilusión. E que a era da privacidade rematou. Isto é unha especie de acusación triste que nós realmente necesitamos esperar para o goberno a intervir para forzar esas partes para ser máis seguro, introducir máis lexislación, porque cando tratamos de traballar con estes provedores, por exemplo, algúns destes Dropbox como festas, están na empresa de prestación de servizos ao consumidor. Eles non están directamente interesados ​​en ter controis de seguridade de nivel empresarial. Os consumidores votaron coa súa carteira, e xa aceptaron a nota mínima. É hora de cambiar ese pensamento. Entón, cando nos fornecen os nosos datos para eses partidos, hai que cooptar noso mecanismos de confianza existente, de forma que somos criaturas sociais por defecto. 

Entón, por que de súpeto cando comezamos a poñer os datos en liña que agora temos acceso ás mesmas proteccións que facemos en persoa? Entón, cando podo ler a súa linguaxe corporal, cando podo escoller rede cun círculo social e de feito para que o círculo difundir só a información que quero. Polo tanto, temos acceso a esa linguaxe corporal, expresión, a vocalizar, temos acceso a esas proteccións proximidade de identidade nun lugar físico, xa que aínda están en desenvolvemento liña. Nós non temos acceso a eles, pero estamos empezando a velos. Polo tanto, temos facetas en Facebook - por exemplo - como grupos. Temos acceso a cousas como círculos no Google+. Absolutamente usalos. Entón a última cousa que quero ver é neste espazo, en particular cando vai conseguir un emprego é que xa fixo unha chea de seu pública personalidade. E cando alguén quere - eles deben elixir a - pode ser parte da política de empresa ou non - que certamente non forma parte do Harvard 's - pero pode optar por facer unha procura en Google. E cando o fan - se ten solicitado - digamos unha información que tería dificultade de pé detrás - fixo-se un desserviço. E, de feito, como mencionei - estas empresas sociais que teñen interese en facelo público - sabe - precisan para extraer os seus datos. Están a ver a súa demografía e seu material de marketing para alguén. O tipo de analoxía neste espazo é - se non está pagando por un produto é o produto? Polo tanto, crear círculos para os seus amigos, ser cauteloso, sexa dilixente, non tente facer todo público. 

Outra analoxía que farei e contratos de licenza de usuario final cambiar, eles van che dicir que poden facer cos seus datos, e eles van enterralo lo nun de 50 páxinas de click. E poden optar por cambiar isto, e eles só enviar un correo-e rápido. Pero non é avogado, está moi en juridiquês. Ten que ser cauteloso co que está facendo. Poden ter as súas fotos, xa que poden ter a súa propiedade intelectual. Vostede sabe - só un exercicio dilixencia. Outro exemplo da Biblioteca do Congreso está arquivando toda único tweet coñecido polo home. Todo. Cada 10 anos aproximadamente o corpo de material que se xera en que 10 contas de anos ou moi supera todo o que temos creado ao longo da historia humana. A Biblioteca do Congreso ten interese en conservar a información para a posteridade, para arquivistas futuras, para os futuros investigadores e historiadores, entón todo o que está poñendo por aí, está aí. Que vai realmente facer un recurso inmenso, nalgún momento xa que as persoas comezan a mina de enxeñería social, ou sitios de redes sociais. Entón, manterse informado das proteccións dispoñibles dentro de cada aplicación. 

Non é algo que eu vou mencionar, así como, hai unha ferramenta de terceiros Privacyfix chamado, pode chamar á súa dereita para algúns destes aplicacións de redes sociais. E pode comprobar a ver onde está en relación coas proteccións que están dispoñibles on-lles se pode optar por catraca-los aínda máis. Existen ferramentas como a Fronte de Liberación de datos de Google onde pode optar por exportar ou extraer os seus datos. Hai cousas, como o suicidio Máquina Internet que pode facer sesión para algúns dos seus perfís e realmente borrar todos os atributos simple un de cada vez, desmarcar cada única Asociación dos Amigos na súa rede faría. E vai buscar a iterativa expurgar todo sobre ti que ese sitio sabería. Se eu só podo exercer algún coidado alí tamén, non había unha instancia un par de anos, en Alemaña, onde un cidadán decidiu exercer a súa liberdade de dereitos de información e solicitar Facebook para ofrecer a información que había no rexistro para el, mesmo despois de ter eliminado a súa conta. Eles prepararon-lle un CD con 1250 páxinas de información a pesar da súa conta, en teoría, xa non existía. Existe o concepto nese espazo moito que algúns deses entidades van manter algúns datos sobre vostede facer súas asociacións e as súas redes. Din que non se pode ter control sobre el, que é un pouco de esaxeración na miña opinión. Crean estas contas sombra - as personas de sombra. Só ten que ter coidado. Limitar o que pode. Nun nivel dispositivo real cando está só falando - sabe - hardware - o seu teléfono, os seus comprimidos, súa estación de traballo, o seu portátil, é posible que un servidor que é responsable. 

Probablemente xa escoitou falar sobre conceptos como operación, actualizacións do sistema, actualizacións de aplicacións, antivirus, xa escoitou falar de cousas como firewalls, cifrado de disco, e back-up. O único que ten que ser consciente de que non oe sobre este tipo de protección no espazo móbil. Son tan susceptibles ás mesmas ameazas. Tivemos - quero dicir - un millón de teléfonos intelixentes van ser activado ata finais deste mes. Isto ten moito superou o - no curto espazo de tempo que estiveron dispoñibles, que ten moito superou o crecemento de seu PC, o ordenador portátil, o mercado de traballo. Pero nós non temos acceso aos mesmos controis, e eu vai falar sobre iso en breve. Entón, antes de chegar ao espazo móbil imos falar o que está dispoñible alí que eu só brevemente pasou. Entón, o software antivirus - aquí están algunhas opcións libres. Microsoft dá afastado deles - vostede sabe - Sophos dá afastado deles para OSX ben Resolver o seu ordenador - pode ser consciente de todo o que o seu provedor de nivel de parche actual é, e non debe ser un delta significativo do que iso. Non é unha boa ferramenta de unha empresa chamada Secunia. E Secunia executarase en segundo plano, e el lle dirá se hai unha actualizado dispoñible e se precisa aplicala lo. 

Activar as actualizacións automáticas - Apple e Microsoft terán algún aspecto deste. Van advertir que hai unha actualización dispoñible. E Secunia - vostede sabe - é unha especie de unha boa rede de seguridade para ter ben - mecanismo de caer para atrás. Na capa de acollida - e non chegar a smartphones aínda. Active o firewall nativo do sistema operativo. Hai algunha información sobre o Windows en OSX un. Proba o seu firewall, non só deixar lo alí e creo que é un mecanismo seguro. Asumir un papel activo, non é unha aplicación alí de GRC - Steve Gibson. Seguridade WiFi neste espazo - que tamén pode aplicar para o smartphone eo tablet - cando está escollendo para ir á estrada que ten que ser consciente de que existen diferentes clases de rede sen fíos. E, en particular, non escoller o máis comunmente dispoñibles. Pode ser de baixo custo, pero pode haber unha razón para iso. Quizais eles están minando os seus datos. Vemos iso máis cando está viaxando internacional. Existen algunhas organizacións criminais virtuais realmente altamente eficientes que son capaces de aproveitar o que se adoita ver en espionaxe da nación estados. Un factor onde son definitivas inxectado-se en un fluxo de rede. Están tirando cousas de alí, e eles están inxectado para aplicacións nas súas estacións de traballo. 

É - o outro aspecto que sei que foi mencionado nalgúns destes seminarios de seguridade - ou non seminarios CS50 seminarios - unha ferramenta chamada Firesheep. E Firesheep foi un ataque en particular no espazo móbil onde algúns destas aplicacións de redes sociais foron o envío de credenciais en texto simple. E iso foi moi comunmente aceptado, porque todo o mundo naquela época pensaba que non había apetito no espazo do consumidor para iso, que utilizar o cifrado de forza maior implica unha carga de rendemento no servidor, por iso, se non ten que facelo - que non quería. E entón, de súpeto, cando este investigador de seguridade feito o ataque trivial moi rápido - vostede sabe - nós comezamos a ver que tipo de mellora que todo o mundo no espazo de seguridade tivo se queixado por un período significativo de tempo. Polo tanto - en particular - Firesheep soubo recuperarse Facebook, Twitter credenciais do fluxo de Wi-Fi gratuíto. E por que era en texto simple, e eles foron capaces de inxectar. 

De novo, se está indo a usar WiFi optar por usar un que é suficientemente protexidos - WPA2, se poida. Se tes que usar as redes Wi-Fi - e en particular que estou falando a ninguén que está a usar a Harvard University wireless - pode querer pensar sobre o uso de VPN. Eu altamente incentivos-lo. Outros factores que pode querer pensar é se non confiar no WiFi que está en pode querer limitar o seu uso. Non faga calquera e-commerce, non facer calquera operación bancaria. Non acceda súas credenciais universitarias. Hai unha gran vitoria neste espazo, se alguén non roubar as súas credenciais - vostede sabe - é que eles teñen o seu teléfono móbil? Entón - vostede sabe - que é outro factor que non poden necesariamente secuestrar ou só fai o seu ataque máis complicado. Cifrar o seu disco duro. Estamos nunha era agora - encriptación usada para ser un gran negocio hai 10 anos. Foi un impacto significativo na súa función. Xa non é - de feito - a maioría dos teléfonos móbiles e este tipo de cousas están a facer iso en hardware, e non entende - o rendemento é tan insignificante. 

Se está falando dunha estación de traballo, estamos falando BitLocker. Estamos a falar sobre o File Vault, activalas-lo - ter tempo agora. No espazo Linux obviamente Crypts certos poden traballar en ambos. Pode querer pensar - no espazo Linux - hai dm-crypt, hai Luxcrypt - hai unha morea de outras opcións - tamén Certa Crypt. Outra forma rápida de protexerse ao nivel da estación de traballo facer backup do seu disco duro. E unha lixeira engurra aquí - non é suficiente para utilizar unha das estes prestadores de sincronización nube, así Dropbox ou G-Drive ou calquera outra cousa Iso non é unha solución se volta. Se alguén borra algo nun destes dispositivos porque se insire dalgún xeito vai - que a supresión é replicado en toda a súa persona. Isto non é un back-up, isto é só un mecanismo de propagación. Por iso, é bo ter unha solución se volta. Existen algunhas suxestións aquí para algunhas persoas, algúns deles son gratuítos - capacidade con base - 2 GB de copia de seguridade - podes facelo. Se está usando universidade G correo - Universidade Google na facultade e co, G-Drive se non é xa - que estará dispoñible en breve. É un bo substituto. Imos tamén ollar para estas cousas como Mozy Home. É bo ter dúas solucións. Non teño todos os seus ovos na mesma cesta. Se é tirar algo, ou aínda se está no proceso de de enviar algo confidencial - algunhas suxestións aquí eliminar con seguridade un dispositivo. Boot and Nuke Darik - que é unha especie de máis para o experimentado TI. Pode querer pensar só dando a algúns destes provedores comerciais, se poida. 

Cifrar correo-e - se ten que - hai algúns servizos no campus chamado Accellion, está fóra do campus ou para uso persoal Vou recomendar Hushmail. Vémolo moi usado en delator, é un dos principais mecanismos para a WikiLeaks así como Tor e algúns outros equivalentes. E - agora a falar do nivel de teléfono - para o problema aquí é aínda non é moi de un apetito. Por desgraza a maioría dos smartphones e tablet OSS eles aínda están baseadas en algúns dos principios que vimos na década de 1990. Eles non teñen realmente incorporou algunhas das melloras que podemos ver ao nivel da estación de traballo. Eles non están facendo protección contra a calor. Eles non están a facer - vostede sabe - capa de randomização. Eles non están facendo a protección enderezo. Eles non están facendo executar protección - este tipo de cousas. Senón tamén do propio aparello por defacto non vai ter ningún acabar coa seguridade punto incorporada. Entón, nós estamos comezando a ver ese cambio - unha vez máis - a maioría dos smartphones fabricantes - Android, Apple e Windows - o apetito só non estaba alí, o benchmark foi Blackberry. Pero Blackberry medio perdeu a súa forza no mercado neste momento. E a Apple ten realmente pisou dentro Preto de 2 anos, houbo un divisor de augas, onde comezou a construír nun lote controis do tipo máis empresariais. E - de feito - en agosto fixeron unha presentación no Def Con, que era só inédito. 

Entón, eles van facer os controis mínimos que eu describe. Eles van facer de contrasinal forte, eles van facer unha petición para que o contrasinal en idle - o teléfono - vostede esquece-lo e despois de 15 minutos el activa. Eles van facer o cifrado, e eles tamén van facer o que se chama de limpeza remotos. Nas Android e do espazo de Windows estes son aínda a determinar - para ser determinada. Android ten acceso a algúns programas chamados Prey e Lookout. E, de feito algunhas das ferramentas de seguridade de punto final, como Kaspersky que coñezo fai iso. Sei ESET fai ben Eles van deixar vostede enviar un texto SMS e limpar o dispositivo. Windows Phone neste momento é basicamente orientado estilo corporativo - o que se chama cambio. Exchange é unha infraestrutura de correo robusto, e pode obrigar algúns deses controis. Windows 8 só enviado a semana pasada, polo que non podo falar sobre iso definitivamente. Windows 6.5 foi o gran dispositivo de seguridade. Windows 7 Mobile foi un desastre, porque eles non fixeron todos estes controis nativos obrigatoria a través dos diferentes provedores. Entón tiña que ratificar cada Windows Mobile 7 de teléfono, un de cada vez. 

Android - xa que o espazo de 3.0 tivo unha gran mellora, así. Honeycomb, Ice Cream Sandwich, Jellybean - van apoiar estes controis mínimos, e, de feito van apoiar algún do control da empresa que pode facer tan ben. No seu espazo conta persoal hai unha sincronía persoal de Google que pode activar se ten o seu propio espazo de Google tamén. Entón, o que facer cando todo dá mal? E se eu puider - outro takeaway con iso é realmente cando - non é así. Iso vai ocorrer con todos nós nalgún momento. O que podes facer? Entón, o que pode facer - e hai unha foto - o seguinte foto vontade apuntar-lle algúns dos recursos do FTC para el, senón un lugar mínimo unha alerta de fraude na súa tarxeta de crédito. Se podo incentivos-lo a pensar sobre cando está usando unha tarxeta de crédito nunha capacidade liña - dependendo da operación que está facendo tarxetas de débito - a capacidade de reivindicar ou a capacidade de retratar unha fraudulenta reivindicación de unha tarxeta de débito é realmente unha fiestra moito menor que a tarxeta de crédito. Entón, cando recibir o seu informe sobre unha tarxeta de débito só ten unha certa período de tempo - e iso é moi baixo - notificar a base dunha transacción fraudulenta. As tarxetas de crédito é moito maior, tende a haber un límite de ata preto de $ 50.000 antes de que eles van realmente ser capaz de reembolso-lo. Entón, iso é unha chea de diñeiro, crucei-lo enriba dos preto de 13000 dólares ou 18 mil dólares alí moi recentemente. Entón - vostede sabe - cando pensa sobre o uso de unha tarxeta de crédito en liña, pode pensar en usar unha tarxeta top up ou unha tarxeta de crédito dispoñible, unha tarxeta gravador? 

Se ves calquera cousa - e eu vou amosar-lle como pode acceder en breve - pechar todas as contas fraudulentas, se está consciente diso. Rexistrar unha ocorrencia policial, se está no campus. Estenda a man para HUPD - que saiban. Debería un servizo de vixilancia de identidade. se como parte - se queda comprometida - pode ter que - poden financiar servizos de protección de identidade. Se non o fan, é posible, ten que facelo. Recoller e manter todas as probas - en especial as discusións que tiven con calquera autoridades penais sobre todo para fins de seguro. Cambie as súas claves. Cambie as respostas a todas as cuestións de seguridade que se poden usar para reiniciar o seu contrasinal. Desactivar todos os servizos de identidade pasadas. Entón, se está reutilizando a túa conta de Facebook para facer sesión en Twitter ou viceversa, romper que, se o acordo participa a súa conta de correo electrónico comprobar a ver se algo está a ser encamiñado. Porque doutro xeito eles aínda teñen acceso aos seus datos. E se o roubo inclúe conta Harvard, por favor aviso IThelp@harvard.edu. Non podo afirmar que o suficiente, pero tamén, en especial se o dispositivo está perdido ou roubo e tiña acceso aos seus datos de universidades e quizais Non ten algunha destas proteccións ser respectivo, por favor, deixe-nos saber - HUPD de TI e Axuda en Harvard. 

Así, a ligazón que eu acaba de mencionar que para iso con máis detalle FTC.gov / identitytheft. O servizo de correos tamén ten algunha fraude ou servizos de protección de identidade - acaba de poñer un soto ou unha parada en tarxetas de crédito pasando ou cousas así. O FBI ten unha ligazón ben, é nas notas das diapositivas que eu enviei. E, de feito Massachusetts better Business Bureau e Defensa do Consumidor Bureau ten algunha orientación, así como, que está nas notas. Aproveitar o tempo, agora, facerse consciente do que pode facer, e tomar as medidas. O principio - como xa mencionei - é que se non ten un plan de á súa identidade ser roubado é inmediatamente será suxeito a unha chea de traballo, cando isto acontecer, e é cando. Pero aínda cando tomar estas precaucións - déixeme engadir unha lixeiro palabra de cautela - Ningún plan sobrevive ao primeiro contacto co inimigo. Así, mentres que no que aínda cre que pode haber algunha subversión - vostede sabe - súa base, por exemplo, que construíu todas estas proteccións arredor de poden estar comprometidos, estes partidos de confianza que deu os seus datos. Así, é o seu propio mellor defensa. Vostede sabe - permanecer vixiantes - manter-se alerta. Aproveitar o tempo agora para escoller a optar por estes, espero socializar iso, falar con iso cos seus amigos. Escolla boas contrasinais, usa contrasinais únicas para as súas contas. E non volver utilizar contrasinais - en particular - en torno dalgúns seus activos máis sensibles, non empregue a túa conta universidade noutro lugar. Non use súa tarxeta de crédito en outro lugar. Protexer con contrasinal dispositivo móbil agora. E por teléfono móbil Quero dicir smartphone, quero dicir o seu tablet. 

Pense sobre o uso de boas preguntas de redefinición de seguridade, e vou falar de iso en breve porque, comprobar o seu informe de crédito. Outra forma que pode ser un bo cidadán neste espazo é o goberno obrigou as tres axencias Experian, TransUnion, e Equifax para liberar informes de crédito. Para algúns membros da comunidade de Harvard, sobre todo no espazo de estudante, isto pode ser novo para eles, pero tes permiso para tirar os axencias, polo menos unha vez ao ano. Boa cautela - ir ao sitio web, que está dispoñible na FTC un. E facelo cada 4 meses, en vez, e vostede é capaz de manter abas en que está solicitando peticións de información da súa tarxeta de crédito, ou se, de feito, se alguén abre as contas fraudulentas. E - en xeral - a orientación é estar atento. E eu vou te dar un exemplo específico pronto, pero que é, esencialmente, a carne e as patacas da discusión. 

Entón, por que iso é importante agora é durante o verán, houbo un cabaleiro chamado Matt Honan - se está aí fóra, moitas grazas por ser tan próxima coa súa información. Pero o que pasou con Matt é el traballou para a revista Wired, e algúns cyperhacktivists seguiu a súa conta en Twitter. E utilizaban algúns destes recursos - un pouco desa persona pública que facilitado. E construíron un mapa, porque eles sabían onde atacar e cando. Así, a partir do que eles comezaron a cortar e cortar as informacións que fixo dispoñibles, e descubriron que tiña unha conta de Gmail. Entón, estaba usando un menos de contrasinal intelixente para o seu Gmail, e el non ten ningún tipo de identificación multi-factor nel. Entón eles comprometida seu Gmail, xa que eles tiñan acceso ao seu Gmail viron todas estas outras contas que tiña plug no seu Gmail. En realidade, eles tiñan acceso a todo o seu todo Gmail ou Google persona. E - en particular - eles comezaron a entender que tiña unha conta en Amazon porque había uns correos electrónicos que está a ser informar a el. Entón eles teñen sobre o seu Amazon, e eles teñen sobre o seu Amazon por só axustar o teu contrasinal porque foi para o Gmail. Non tiña - tiña unha especie de efecto dominó ou encadeamento credencial pasando aquí onde, xa que ten o seu Gmail tiñan as chaves do reino. Así, unha vez que ten para o seu Amazon - e esta foi sen culpa para os outros caras - que foi - sabe - Matt non tiña escollido para decide estes mecanismos máis seguros que só estas persoas tiñan facilitado e todas estas fontes de Internet. 

Así, unha vez que ten para o seu Amazon tiñan acceso - non amosar-lles súa tarxeta de crédito, pero mostrou-lles os últimos 4 díxitos só así el sabía o que era, el mostrou-lles o seu enderezo de entrega. Mostrou-lles algunha outra información que fixo nalgunhas ordes. E despois de que decidiron atacar a túa conta de Apple. E sociais enxeñaría do help desk Apple. Apple non debería ter feito isto, pero derivada información que eles foron capaces de extraer das outras dúas contas. Vostede sabe - a cara na mesa de axuda probablemente pensou que estaba sendo un bo cidadán - vostede sabe - eu estou sendo útil, non é un cliente de Apple aí fóra, que está preso alí fóra, por conta propia, e eu teño axudar. Pero non foi o cliente de Apple real. Entón eles reiniciar a túa conta de Apple, e eles enviaron a información para Gmail. Xa que os atacantes tiñan acceso á súa conta de Apple Matt tivo todos os seus dispositivos amarre no seu iCloud, e eles comezaron a emitir actuacións perxurio e limpar todo. Unha vez máis, el acabara de seus datos propagados; estaba usando iCloud como o mecanismo de sincronización. Entón, cando eles borrou todo foi estrondo. Eles aínda tiveron acceso a esta altura a súa conta en Twitter que é o que tentaran atacar. Non sei se utilizaban Maltego ou algúns destes outros mecanismos para construír a súa persona Internet, pero - vostede sabe - dentro dunha cuestión de Claro que eles teñen acceso a catro servizos de identidade diferentes antes chegaron ao seu Twitter, e custou Matt - Matt era bastante sorte, el viu o que pasou, xa que os seus fillos se aproximaron del cando o iPad bloqueado-se. E eles dixeron: - vostede sabe, "Pai, hai algo suceder co iPad." E pechar todo, porque el entendeu o que estaba a suceder en todas as partes. E empezou a chamar a Apple para ver o que diaños acontecera. E a Apple realmente penso que había algo suceder iCloud que había ir pillabáns ata que descubrín - el de feito descubrín que eles estaban enviando información, e eles comezaron a chamar-lle o nome incorrecto. Como Apple tiña en información de ficheiro que o dianteiro había subvertido. 

Ok - entón ese é o tipo de información que usan para construír esta tipo de prácticas; usan iso como parte dunha serie de seminarios e outubro - mes nacional da conciencia cibernética. Foi facilitado para vós. Vou ter a certeza de que eu mandei o Wiki cando David fai dispoñible para min tamén. Pero hai asesoramento e orientación alí moito máis granular que Eu son capaz de resumir neste curto espazo de tempo que teño dispoñible. en torno ao que se chama, Cloudy with a Chance of Identity Theft: Escoller bos nomes de usuario e contrasinais. É sempre non social? E a resposta é non, sempre é social pero ten que ser consciente do que iso significa. E é domesticar leóns, tigres, e Windows, que é en torno a sistemas operativos de endurecemento con algunhas das informacións que fun hoxe. E a última foi sobre, ter un teléfono, viaxará para falar de ir móbil con este tipo de fontes de datos. Así, ademais de que, se ten algunha dúbida meu enderezo de correo electrónico é alí, e se alguén na sala ten algunha dúbida, por favor, levante a man. Fóra iso, eu vou deter a gravación. Todo ben. Feito. [CS50.TV]