[Powered by Google Translate] [Seminar: Bertahan Internet] [Esmond Kane-Universitas Harvard] [Ini adalah CS50.-CS50.TV] Halo, dan selamat datang "Bertahan Internet." Ini adalah salah satu seminar yang terdiri bagian dari kurikulum ini CS50. Nama saya Esmond Kane. Nama dan alamat saya berada di bahwa dek geser di depan Anda. Ini adalah esmond_kane@harvard.edu. Dalam pekerjaan saya, saya salah satu direktur keamanan TI untuk HUIT, tapi saya harus mengakui bahwa hari ini saya pada misi pergi itulah sebabnya saya mengenakan kemeja merah. Ini tidak akan terdiri dari apa pun yang disebabkan langsung ke pekerjaan saya, jadi ini bukan tentang keamanan TI untuk Harvard. Ini hanya informasi yang lebih pribadi, ini adalah bagaimana ketika kau - ini adalah jenis keterampilan yang akan Anda mendapatkan untuk mencoba dan membantu Anda mengeras stasiun kerja Anda dan lingkungan Anda sepanjang karir Anda. Tapi tidak ada yang saya sebutkan hari ini harus diterapkan pada setiap Anda Bahan universitas, server, atau workstation tanpa menghubungi lokal Anda TI mendukung. Dan memang jika saya menyebutkan ada aplikasi atau insiden sebagai bagian dari bicara atau diskusi itu tidak melaporkan apapun yang saya istimewa untuk melaporkan. Hal ini biasanya publik Dan atau memang harus ada menyebutkan dari aplikasi apapun menyiratkan dukungan melalui Harvard atau memang kutukan apapun. Jadi hari ini mengapa kita di sini - sekarang bahwa kita selesai dengan disclaimer - kami berada di sini hari ini untuk berbicara tentang hidup Internet. Dan mengapa topik penting sekarang? Jadi untuk parafrase Perry Hewitt yang bekerja di Harvard Pers dan kantor Komunikasi - Saya minta maaf untuk membaca ini sekarang - ia telah menyatakan, "Kita hidup dalam suasana risiko meningkat, tetapi juga salah satu inovasi yang tak tertandingi. Peningkatan pesat dari Internet, Cloud, dan teknologi sosial telah mengakibatkan banyak orang yang memiliki profil publik secara online dengan memang akses ke array yang semakin meningkat dari informasi. Dan itu berarti bahwa setiap orang dan asosiasi mereka tidak pernah lebih terlihat. Sebagai jejak digital Harvard - jaringan digital yang mengembang, kami menarik khalayak yang lebih luas. Kami berharap untuk perbaikan, tapi kadang-kadang kita akan menarik perhatian negatif. Jadi sebagai wakil dari Harvard, "dan ini termasuk semua menonton di rumah atau memang orang di sini, "fakultas kami, siswa kami, staf kami, para peneliti kita, risiko kompromi untuk Anda dan memang untuk jaringan yang terkait tidak pernah lebih tinggi. " Jadi sering dalam keamanan informasi ketika kita mencoba untuk menyeimbangkan ini risiko itu adalah perdagangan yang rumit off antara keamanan dan pengalaman pengguna. Dalam era kedekatan kita harus membuat keputusan bijaksana tentang apa yang akan meningkatkan keamanan tanpa ketidaknyamanan besar. Kita diberitahu kadang-kadang satu ons pencegahan bernilai dua kali obatnya, tapi ketika memilih untuk menerapkan tindakan pengamanan untuk mengurangi risiko kita perlu mengakui bahwa hal itu tidak akan mengurangi potensi risiko nol. Jadi yang mengatakan - kami berada di sini hari ini untuk membahas beberapa sederhana dan tidak begitu sederhana tindakan pencegahan keamanan yang dapat Anda lakukan sekarang. Saya juga harus menambahkan - jika Anda memiliki pertanyaan seluruh presentasi hanya mengangkat tangan Anda. Jadi topik pertama - kita sering diberitahu untuk memilih password yang baik. Sandi adalah pertahanan pertama dan terbaik. Hal ini sering satu-satunya yang tersedia untuk Anda ketika Anda memilih untuk menggunakan sumber daya online. Tapi seperti telah kita lihat sepanjang musim panas ini dan memang tahun sebelumnya kami telah melihat serangan seperti LinkedIn, eHarmony. Kami telah melihat RockYou. Kami telah memiliki beberapa total 70 juta password dan akun dikompromikan. Dan ketika password yang dilepaskan ke dalam domain publik mereka juga terdiri hash password. Jadi pada dasarnya hari ini jika seseorang mengambil sebuah sarang akun mereka tidak perlu crack password lagi,. mereka tidak perlu brute force password karena mereka memiliki harta besar informasi dirilis pada apa yang orang memilih. Mereka sudah punya data perilaku dalam pikiran apa yang orang cenderung menggunakan. Dan mereka telah melanggar yang ke daftar sekitar seribu password yang terdiri dari hampir 80 sampai 90% dari password yang kita pilih umum digunakan. Jadi contoh cepat - orang ingin bahaya apa yang Anda pikir Bashar al-Assad yang digunakan untuk password ketika dikompromikan tahun lalu? Ini adalah pria yang tunduk pada pengawasan ketat. Dan password adalah 12345. Oke - jadi ini adalah pelajaran yang telah kita pelajari, kita perlu bergerak sekedar memikirkan password. Kita diberitahu untuk mulai menggunakan frase lulus. Ada sebuah komik besar dari atau memang komik web dari Randy Monroe yang masuk ke dalam memilih frase lulus, ia menggunakan - saya ingin mengatakan - baterai, pokok, batas atau sesuatu seperti itu - Anda tahu - hanya - atau memang ada lelucon bahwa seseorang yang menjemput Goofy, Nemo, Pluto - semua ini karakter yang berbeda dan London karena dia diberitahu untuk memilih 8 karakter dan modal. Tapi - jadi kita belajar kita harus pergi berpikir di luar hanya sebuah password. Sebenarnya ada sebuah Ezine di Boston disebut Ars Technica. Ada seorang pria yang disebut Dan Goodin yang melakukan seri tentang ini mengubah lingkup - baik dari ruang penyerang mana kita memiliki harta besar ini tersedia bagi kita baik untuk pikiran kita tidak perlu lagi untuk menghasilkan barang-barang melalui tabel pelangi; kita memiliki 70 juta password. Tetapi juga kita punya - Anda tahu - perubahan yang scape di aktual retak ruang karena kartu GPU telah membuat hampir mendekati real-time. Dan ada seorang pria di Def Con pada bulan Agustus yang disatukan 12 kartu ini ke dalam PC komoditas. Dia melakukannya untuk sekitar $ 2.000 atau $ 3.000, dan ia mampu memecahkan harta LinkedIn di - Anda tahu - dekat real-time. Itu cukup menakutkan. Artikel Dan Goodin - saya sangat merekomendasikan hal ini jika Anda ingin pergi membacanya. Seorang pria bernama Sean Gallagher - pagi ini - juga menerbitkan quick update pada itu, banyak pekerjaan mereka dibangun di atas - dari bahan yang tersedia dari Bruce Schneier, tetapi juga dari Cormac Herely dari Microsoft Research. Mereka jenis dinyatakan sekitar 5-6 tahun yang lalu bahwa kita harus mulai berpikir di luar password. Saran-saran pada saat itu hal-hal seperti frase lulus, antarmuka gestural - hal semacam itu. Kau tahu - jika sesuatu yang Anda tahu tidak lagi memadai pada saat ini; yang merupakan salah satu hal yang saya ingin berkomunikasi hari ini. Jika Anda harus menggunakan password, mari kita tidak malu menyatakan Anda masih harus memilih yang baik, melainkan harus mudah-mudahan sesuatu yang melampaui 10 karakter. Ini harus bervariasi antara huruf besar dan kecil. Saya akan sangat mendorong Anda untuk tidak menggunakan kembali password. Saya dapat berbicara dengan beberapa contoh di mana kita telah melihat account mendapatkan dikompromikan dan seseorang melompat dan melewatkan - efek domino. Mereka menambang setiap account pada setiap tahap dalam proses untuk ini data, dan kemudian mereka melanjutkan untuk menggunakan data yang mereka ditambang dalam setiap contoh terhadap sumber credential lain. Jadi - lagi - memilih password yang baik. Membuatnya unik. Anda mungkin ingin untuk berpikir tentang menggunakan layanan password manager. Ada orang di luar sana dari - mereka semua di toko aplikasi. Ada satu disebut OnePass, KeePass, LastPass - itu adalah cara yang bagus untuk itu untuk membantu Anda membuat kredensial unik, mandat yang kuat, tetapi juga memfasilitasi arsip dan pencatatan untuk Anda. Sisi bawah itu adalah Anda harus membawa itu ke toko password; Anda perlu memastikan bahwa password manager yang Anda percaya layak kepercayaan Anda juga. Jadi pastikan orang-orang juga menggunakan beberapa mekanisme password yang valid. Secara khusus yang saya akan menyebutkan sekarang adalah otentikasi multi-faktor. Jadi multi-faktor otentikasi - dan ada beberapa contoh saya akan melalui lama - Ini adalah cara sederhana, yaitu mengambil sesuatu yang Anda tahu seperti Anda nama pengguna dan kata sandi Anda dan menambahkan untuk itu - Anda menambahkan faktor lain. Jadi faktor pertama yang akan kita sebutkan saat ini adalah orang-orang ini di papan. Ini adalah sesuatu yang Anda miliki dalam milik Anda, sehingga bisa berupa aplikasi yang berjalan pada smartphone atau memang pada ponsel Anda sendiri. Dan Anda mungkin dapat menerima teks SMS. Berhati-hatilah jika Anda bepergian ke luar negeri yang belum tentu akan mengikuti Anda. Sebuah aplikasi dapat bekerja lebih besar dalam hal itu. Atau memang faktor lain Anda mungkin ingin untuk berpikir tentang adalah sesuatu yang Anda. Sekarang ini masih sangat banyak jenis skunkworks. Kami tidak melihat terlalu banyak adopsi itu. Ini adalah - Anda tahu - Mission gaya Impossible - Anda tahu - cetak vena Anda, cetak ibu jari Anda, cetak retina. Mereka adalah jenis keluar lanjut, mereka tidak benar-benar faktor otentikasi sangat valid. Kita lihat - ketika saya berbicara kepada rekan-rekan keamanan saya - lebih banyak tekanan yang Anda memakai keypad, pola mengetik tertentu, mungkin langsung di cakrawala - jauh lebih daripada ini pengidentifikasi biometrik lainnya. Tapi yang saat ini adalah aplikasi atau teks SMS atau bahkan hanya email tantangan respon bahwa Anda akan mendapatkan untuk memvalidasi bahwa kau sebenarnya memilih untuk log on pada saat ini dalam waktu. Jadi ada link di sana, aku telah dikirimkan dek geser pagi ini. Ini akan di Wiki. Gmail dan Google melakukan hal ini, Yahoo akan melakukannya. Paypal memiliki itu, Paypal juga memiliki tombol hardware sebenarnya kecil yang yang nomor berputar. Tapi Anda juga dapat memilih untuk menggunakan nomor telepon. Facebook juga melakukan login persetujuan, sehingga Anda memilih untuk menyetujuinya, mereka juga bekerja ke arah yang lebih valid keamanan kekuatan keras. Dropbox memiliki 2-step verification juga, Anda juga bisa hanya membeli kunci hardware untuk mereka. Kita juga melihat dalam satu Gmail atau Google satu, banyak orang yang sebenarnya mengkooptasi authenticator Google, sehingga - misalnya - Saya menggunakan LastPass - itu tidak menunjukkan dukungan apapun - tetapi mereka dapat menggunakan kembali 2-langkah verifikasi google sehingga berarti saya tidak perlu berjalan-jalan dengan 2 aplikasi pada ponsel saya. Tetapi juga komputasi penelitian dalam Harvard atau menggunakan analogi untuk otentikasi 2-langkah Google karena password satu kali algoritma yang bersumber terbuka di sana sekitar 10 tahun yang lalu. Ada pertanyaan? Baik. Jadi pertimbangan lain faktor luar password adalah ketika Anda menggunakan sumber daya ini menyadari data apa yang Anda melakukan kepada mereka. Hanya membatasi apa yang sebenarnya Anda memasang sana. Jadi kita menyadari bahwa orang-orang yang menyediakan layanan bagi kita di Internet - penyedia Cloud - mereka memiliki kepentingan dalam Anda tidak menjadi aman seperti Anda berpotensi bisa. Mereka cenderung untuk menyediakan satu set minimal keamanan, dan kemudian ada sekelompok orang-orang lain yang opsional yang Anda harus memilih untuk memilih untuk. Jenis mengambil dari pembicaraan ini adalah keamanan adalah tanggung jawab bersama. Hal ini antara Anda dan mitra yang Anda buat - aliansi yang terbentuk. Anda perlu mengambil peran aktif. Pilih untuk memilih untuk itu. Kau tahu - meluangkan waktu sekarang, agar lebih aman. Alternatif lain adalah sudah ada orang memvalidasi dan menguji faktor-faktor keamanan terhadap Anda, semakin Anda dapat memilih untuk memilih untuk lebih siap Anda untuk akhirnya kompromi. Dan itu akhirnya. Tapi faktor lain untuk berpikir tentang adalah seperti yang saya sebutkan partai-partai Internet yang Anda percaya dengan kredensial Anda - dengan identitas Anda. Saya akan memberikan 2 analogi, Larry Ellison dan Mark Zuckerberg - mereka berdua pada catatan yang menyatakan privasi sebagian besar ilusi. Dan bahwa usia privasi lebih. Itu adalah jenis dakwaan sedih bahwa kita benar-benar perlu menunggu bagi pemerintah untuk turun tangan untuk memaksa partai-partai ini menjadi lebih aman, untuk lebih memperkenalkan undang-undang karena ketika kita mencoba untuk bekerja dengan penjual ini misalnya beberapa Dropbox ini seperti pesta, mereka berada dalam bisnis penyediaan layanan kepada konsumen. Mereka tidak langsung tertarik untuk memiliki kontrol keamanan kelas perusahaan. Konsumen memilih dengan dompet mereka, dan mereka telah menerima nilai minimum. Ini adalah waktu untuk mengubah pemikiran itu. Jadi ketika kita memberikan data kita ke partai ini, kita perlu mengkooptasi kami mekanisme kepercayaan yang ada, maka kita adalah makhluk sosial secara default. Jadi mengapa semua tiba-tiba ketika kita mulai menempatkan data online kita sekarang memiliki akses ke perlindungan yang sama kita lakukan secara pribadi? Jadi kapan aku bisa membaca bahasa tubuh Anda, ketika saya bisa memilih untuk jaringan dengan lingkaran sosial dan memang ke lingkaran yang membocorkan hanya informasi yang saya ingin. Jadi kita memiliki akses ke tubuh bahasa, ekspresi, untuk menyuarakan, kita memiliki akses ke perlindungan kedekatan identitas ini di lokasi fisik, mereka masih mengembangkan online. Kami tidak memiliki akses kepada mereka, tetapi kita mulai melihat mereka. Jadi kita memiliki aspek di Facebook - misalnya - seperti kelompok. Kami memiliki akses ke hal-hal di Google+ seperti lingkaran. Benar-benar menggunakannya. Jadi hal terakhir yang Anda ingin lihat adalah di ruang ini khususnya ketika Anda pergi untuk mendapatkan pekerjaan yang Anda sekarang telah membuat banyak Anda kepribadian umum. Dan ketika seseorang ingin - harus mereka memilih untuk - mungkin bagian kebijakan perusahaan atau tidak - hal ini tentunya bukan bagian dari Harvard's - tetapi mereka mungkin memilih untuk melakukan pencarian Google. Dan ketika mereka melakukannya - jika Anda memberikan - katakanlah beberapa informasi yang akan Anda mengalami kesulitan berdiri di belakang - telah Anda lakukan sendiri yang merugikan. Dan memang seperti yang saya sebutkan - perusahaan-perusahaan sosial yang mereka memiliki kepentingan dalam membuat publik - Anda tahu - mereka butuhkan untuk menambang data Anda. Mereka menjual demografi dan materi pemasaran Anda untuk seseorang. Jenis analogi dalam ruang ini - jika Anda tidak membayar untuk produk kau produk? Jadi membuat lingkaran untuk teman-teman Anda, berhati-hati, rajin, mencoba untuk tidak membuat segalanya publik. Analogi lain saya akan membuat adalah perjanjian lisensi pengguna akhir berubah, mereka akan memberitahu Anda apa yang dapat mereka lakukan dengan data Anda, dan mereka akan menguburnya dalam satu klik 50-halaman melalui. Dan mereka dapat memilih untuk mengubah itu, dan mereka hanya mengirimkan email cepat. Tapi kau bukan pengacara, sangat banyak legalese. Anda perlu berhati-hati tentang apa yang Anda lakukan. Mereka mungkin sudah memiliki gambar Anda, mereka mungkin memiliki properti intelektual Anda. Kau tahu - hanya latihan ketekunan. Contoh lain Perpustakaan Kongres pengarsipan setiap tweet tunggal yang dikenal manusia. Semuanya. Setiap 10 tahun kira-kira tubuh materi yang dihasilkan dalam 10 tahun atau rekening sangat outpaces segala sesuatu yang kita sudah dibuat sepanjang sejarah manusia. Perpustakaan Kongres memiliki kepentingan dalam menjaga informasi yang untuk anak cucu, bagi para arsiparis masa depan, bagi para peneliti masa depan dan sejarawan, sehingga segala sesuatu yang Anda menempatkan di luar sana ada. Ini benar-benar akan membuat sumber daya yang sangat besar di beberapa titik begitu orang mulai menambang rekayasa sosial atau situs jejaring sosial. Jadi tetap diberitahu tentang perlindungan yang tersedia dalam setiap aplikasi. Ada sesuatu yang saya akan menyebutkan juga, ada alat pihak ketiga disebut Privacyfix, yang dapat plug langsung ke beberapa aplikasi jejaring sosial. Dan itu bisa memeriksa untuk melihat di mana Anda berada sehubungan dengan perlindungan yang tersedia pada mereka jika Anda dapat memilih untuk ratchet mereka lebih lanjut. Ada alat seperti Front Pembebasan Data dari Google di mana Anda dapat memilih untuk mengekspor atau ekstrak data Anda. Ada hal-hal seperti Suicide Machine internet yang akan log on ke beberapa profil Anda dan benar-benar menghapus setiap atribut tunggal satu per satu, UNTAG setiap teman-teman asosiasi tunggal dalam jaringan Anda akan dibuat. Dan itu akan mengejar untuk iteratif membersihkan segala sesuatu tentang Anda bahwa situs yang akan tahu. Kalau aku bisa latihan beberapa hati-hati di sana juga, ada sebuah contoh beberapa tahun yang lalu di Jerman di mana warga negara memutuskan untuk melaksanakan kebebasan hak informasi dan meminta Facebook untuk memberikan informasi apa yang mereka miliki pada catatan untuk dia bahkan setelah ia menghapus account-nya. Mereka menyediakan dia dengan CD dengan 1.250 halaman informasi meskipun akunnya secara teoritis tidak ada lagi. Ada konsep dalam ruang ini banyak bahwa beberapa entitas akan mempertahankan beberapa data tentang Anda untuk melakukan dengan asosiasi dan jaringan Anda. Mereka mengatakan bahwa mereka tidak dapat memiliki kontrol atas itu, itu adalah sedikit peregangan menurut pendapat saya. Mereka menciptakan account tersebut bayangan - personas bayangan. Hanya berhati-hati. Membatasi apa yang Anda bisa. Pada tingkat perangkat yang sebenarnya ketika Anda hanya berbicara tentang - Anda tahu - hardware - smartphone Anda, tablet Anda, workstation, laptop Anda, mungkin server bahwa Anda bertanggung jawab untuk. Anda mungkin pernah mendengar tentang konsep-konsep seperti operasi, pembaruan sistem, update aplikasi, antivirus, Anda pernah mendengar tentang hal-hal seperti firewall, enkripsi disk, dan back up. Satu hal yang Anda harus menyadari adalah Anda tidak mendengar tentang orang-orang semacam perlindungan dalam ruang ponsel. Mereka hanya sebagai rentan terhadap ancaman yang sama. Kami memiliki - saya ingin mengatakan - satu juta smartphone akan menjadi diaktifkan pada akhir bulan ini. Itu telah jauh melampaui - dalam waktu singkat yang mereka telah tersedia, yang telah jauh melampaui pertumbuhan PC, laptop, pasar workstation. Tapi kita tidak memiliki akses ke kontrol yang sama, dan saya akan berbicara tentang hal itu segera. Jadi sebelum kita mendapatkan ruang ponsel mari kita bicara tentang apa yang tersedia di sana bahwa saya hanya sebentar pergi. Jadi perangkat lunak antivirus - di sini adalah beberapa pilihan bebas. Microsoft memberikan menjauh mereka - Anda tahu - Sophos memberikan diri mereka untuk OSX serta Patch komputer Anda - hanya akan menyadari apa vendor Anda tingkat patch saat ini, dan Anda tidak harus menjadi delta yang signifikan dari itu. Ada alat yang bagus dari sebuah perusahaan bernama Secunia. Dan Secunia akan berjalan di latar belakang, dan akan memberitahu Anda jika ada diperbarui tersedia dan jika Anda perlu untuk menerapkannya. Aktifkan pembaruan otomatis - Apple dan Microsoft akan memiliki beberapa aspek ini. Mereka akan mengingatkan Anda bahwa ada update yang tersedia. Dan Secunia - Anda tahu - adalah jenis pengaman yang bagus bersih untuk memiliki juga - jatuh mekanisme kembali. Pada lapisan tuan - tidak mendapatkan untuk smartphone belum. Aktifkan firewall asli sistem operasi. Ada beberapa informasi tentang Windows di OSX satu. Uji coba firewall anda, jangan hanya meninggalkannya di sana dan berpikir bahwa itu adalah mekanisme yang aman. Mengambil peran aktif, ada aplikasi ada dari GRC - Steve Gibson. Keamanan Wi-Fi di ruang ini - ini juga dapat berlaku untuk smartphone dan tablet - ketika Anda memilih untuk pergi di jalan Anda harus menyadari bahwa ada kelas yang berbeda dari jaringan nirkabel. Dan khususnya tidak memilih salah satu yang paling umum tersedia. Mungkin murah, tapi mungkin ada alasan untuk itu. Mungkin mereka pertambangan data Anda. Kami melihat ini lebih ketika Anda bepergian ke luar negeri. Ada beberapa sindikat kejahatan dunia maya benar-benar sangat efisien yang mampu memanfaatkan apa yang biasanya kita lihat di spionase negara bangsa '. Faktor mana mereka langsung menyuntikkan diri mereka dalam aliran jaringan. Mereka menarik barang-barang keluar dari sana, dan mereka menyuntikkan aplikasi pada workstation Anda. Ini adalah - aspek lain yang saya tahu telah disebutkan dalam beberapa seminar keamanan - atau tidak CS50 seminar seminar - sebuah alat yang disebut Firesheep. Dan Firesheep adalah serangan tertentu dalam ruang ponsel di mana beberapa aplikasi jejaring sosial yang mengirimkan mandat dalam teks biasa. Dan ini cukup umum diterima karena semua orang pada waktu itu berpikir bahwa tidak ada nafsu makan di ruang konsumen untuk itu, bahwa untuk menggunakan enkripsi kekuatan yang lebih tinggi tersirat beban kinerja pada server, jadi jika mereka tidak harus melakukannya - mereka tidak mau. Dan kemudian semua tiba-tiba saat ini peneliti keamanan membuat serangan sepele sangat cepat - Anda tahu - kami mulai melihat bahwa jenis perbaikan bahwa semua orang di ruang keamanan telah telah mengeluh tentang untuk jangka waktu yang signifikan. Jadi - khususnya - Firesheep mampu mengambil Facebook, Twitter kredensial dari aliran Wi-Fi. Dan karena itu dalam teks biasa, dan mereka mampu menyuntikkan. Sekali lagi, jika Anda akan menggunakan Wi-Fi memilih untuk menggunakan salah satu yang adalah terlindungi - WPA2 jika Anda bisa. Jika Anda harus menggunakan enkripsi Wi-Fi - dan khususnya saya berbicara kepada siapa saja yang menggunakan Harvard University nirkabel - Anda mungkin ingin untuk berpikir tentang menggunakan VPN. Saya sangat mendorong itu. Faktor lain Anda mungkin ingin untuk berpikir tentang adalah jika Anda tidak mempercayai Wi-Fi bahwa Anda berada di Anda mungkin ingin membatasi penggunaan. Jangan melakukan e-commerce, tidak melakukan perbankan. Jangan mengakses kredensial universitas. Ada kemenangan besar dalam ruang ini jika seseorang tidak mencuri kredensial Anda - Anda tahu - apakah mereka memiliki ponsel Anda? Jadi - Anda tahu - yang adalah faktor lain yang mereka tidak bisa serta merta membajak atau hanya membuat serangan mereka lebih rumit. Mengenkripsi hard disk Anda. Kami berada di era sekarang - enkripsi digunakan untuk menjadi masalah besar 10 tahun yang lalu. Itu adalah dampak kinerja yang signifikan. Hal ini tidak lagi - sebenarnya - sebagian besar ponsel dan hal semacam itu mereka melakukannya dalam perangkat keras, dan Anda bahkan tidak menyadari - kinerja sangat diabaikan. Jika Anda berbicara tentang workstation, kita berbicara tentang BitLocker. Kita berbicara tentang File Vault, mengaktifkannya - meluangkan waktu sekarang. Dalam ruang Linux jelas kriptus Benar dapat bekerja di kedua dari mereka. Anda mungkin ingin untuk berpikir tentang - di ruang Linux - ada dm-crypt, ada Luxcrypt - ada banyak pilihan lain - juga Crypt Benar. Cara cepat lain untuk melindungi diri di tingkat workstation cadangan hard disk Anda. Dan satu kerut sedikit di sini - tidak cukup untuk menggunakan salah satu dari penyedia sinkronisasi Cloud, sehingga Dropbox atau G-Drive atau sesuatu yang lain Itu bukan solusi cadangan. Jika seseorang menghapus sesuatu pada salah satu perangkat karena mereka dimasukkan sendiri entah bagaimana itu akan - bahwa penghapusan akan direplikasi di seluruh persona Anda. Itu bukan back up, itu hanya sebuah mekanisme propagasi. Jadi itu baik untuk memiliki solusi cadangan. Ada beberapa saran di sini untuk beberapa orang, beberapa dari mereka yang bebas - kapasitas berbasis - 2 gigs kembali - Anda dapat melakukannya. Jika Anda menggunakan universitas G-mail - Google universitas di perguruan tinggi dan co, G-Drive jika belum - itu akan segera tersedia. Ini adalah pengganti yang baik. Kami juga akan melihat hal-hal seperti Mozy Home. Adalah baik untuk memiliki 2 solusi. Tidak memiliki semua telur Anda dalam satu keranjang. Jika Anda membuang sesuatu atau memang jika Anda berada dalam proses mengirim sesuatu rahasia - beberapa saran di sini untuk aman menghapus perangkat. Boot Darik dan Nuke - itu adalah jenis lebih untuk IT savvy. Anda mungkin ingin untuk berpikir tentang hanya memberikan kepada beberapa penyedia komersial jika Anda bisa. Enkripsi email - jika Anda harus - ada beberapa layanan di kampus disebut Accellion, Anda adalah off-kampus atau untuk penggunaan pribadi saya akan merekomendasikan Hushmail. Kita melihat banyak digunakan dalam peluit blower, itu adalah salah satu utama mekanisme untuk WikiLeaks serta Tor dan beberapa setara lainnya. Dan - sekarang untuk berbicara tentang tingkat telepon - jadi masalah di sini adalah tidak ada yang banyak nafsu makan belum. Sayangnya sebagian besar smartphone dan tablet OS mereka masih didasarkan pada beberapa prinsip-prinsip yang kita lihat di tahun 1990-an. Mereka belum benar-benar memasukkan beberapa perbaikan yang kita lihat di tingkat workstation. Mereka tidak melakukan perlindungan panas. Mereka tidak melakukan - Anda tahu - lapisan pengacakan. Mereka tidak melakukan perlindungan alamat. Mereka tidak melakukan mengeksekusi perlindungan - hal semacam itu. Tetapi juga perangkat itu sendiri oleh de facto tidak akan memiliki end keamanan titik dibangun ke dalamnya. Jadi kita mulai melihat perubahan ini - lagi - sebagian besar smartphone produsen - Android, Apple, dan Windows - nafsu makan hanya tidak ada, patokan itu Blackberry. Namun Blackberry telah agak hilang traksi di pasar pada saat ini. Dan Apple telah benar-benar melangkah masuk Sekitar 2 tahun yang lalu ada sebuah momen di mana mereka mulai membangun dalam banyak jenis kontrol lebih perusahaan. Dan - memang - pada bulan Agustus mereka melakukan presentasi di Def Con yang hanya pernah terdengar. Jadi mereka akan melakukan kontrol minimal yang saya jelaskan. Mereka akan melakukan password yang kuat, mereka akan melakukan prompt untuk itu password pada menganggur - perangkat - Anda lupa tentang hal itu dan setelah 15 menit akan mengaktifkan. Mereka akan melakukan enkripsi, dan mereka juga akan melakukan apa yang disebut mengelap terpencil. Di Android dan ruang ini Windows masih TBD - harus ditentukan. Android memiliki akses ke beberapa aplikasi yang disebut Prey dan Lookout. Dan memang beberapa titik akhir alat-alat keamanan Seperti Kaspersky aku tahu melakukannya. Aku tahu ESET melakukannya juga Mereka akan membiarkan Anda mengirim teks SMS dan membersihkan perangkat. Windows telepon pada titik ini terutama berorientasi gaya perusahaan - apa yang disebut pertukaran. Exchange adalah infrastruktur surat yang kuat, dan dapat mandat beberapa kontrol ini. Windows 8 hanya dikirim minggu lalu, jadi saya tidak bisa berbicara itu definitif. Windows 6.5 adalah perangkat keamanan besar. Windows 7 Ponsel adalah bencana, mereka tidak membuat semua kontrol asli wajib di seluruh vendor yang berbeda. Jadi Anda harus meratifikasi setiap Windows Mobile 7 telepon satu per satu. Android - karena ruang 3.0 telah memiliki perbaikan besar juga. Honeycomb, Ice Cream Sandwich, Jellybean - mereka akan mendukung kontrol minimum, dan memang mereka akan mendukung beberapa dari kontrol perusahaan yang dapat Anda lakukan juga. Dalam ruang rekening pribadi Anda ada sinkronisasi pribadi Google yang Anda dapat mengaktifkan jika Anda memiliki ruang Google Anda sendiri juga. Jadi apa yang Anda lakukan ketika semuanya berjalan mengerikan salah? Dan jika aku bisa - takeaway lain dari ini adalah benar-benar ketika - itu tidak jika. Ini akan terjadi pada kita semua di beberapa titik. Apa yang dapat Anda lakukan? Jadi apa yang dapat Anda lakukan - dan ada slide - slide berikutnya akan mengarahkan Anda ke beberapa sumber daya FTC untuk itu, tapi minimal tempat telanjang waspada penipuan pada kartu kredit Anda. Jika saya bisa mendorong Anda untuk berpikir tentang ketika Anda menggunakan kartu kredit dalam kapasitas online - tergantung pada transaksi Anda membuat kartu debit - kemampuan untuk mengklaim atau kemampuan untuk menarik sebuah penipuan klaim pada kartu debit sebenarnya adalah sebuah jendela jauh lebih kecil daripada di kartu kredit. Jadi setelah Anda mendapatkan laporan Anda pada kartu debit Anda hanya memiliki tertentu kerangka waktu - dan itu sangat rendah - untuk memberitahukan bank dari penipuan transaksi. Kartu kredit itu jauh lebih besar, ada cenderung batas sampai sekitar $ 50.000 sebelum mereka benar-benar akan dapat mengembalikan uang Anda. Sehingga cukup banyak uang, mereka bertemu itu naik dari sekitar $ 13.000 or $ 18,000 sana cukup baru-baru ini. Jadi - Anda tahu - ketika Anda berpikir tentang menggunakan kartu kredit secara online, Anda dapat berpikir tentang menggunakan top up kartu atau kartu kredit sekali pakai, kartu burner? Jika Anda melihat apa-apa - dan saya akan menunjukkan bagaimana Anda dapat mendapatkan akses tak lama - menutup rekening penipuan jika Anda dibuat menyadari hal itu. Mengajukan laporan polisi jika Anda berada di kampus. Menjangkau HUPD - membiarkan mereka tahu. Pikirkan tentang layanan pemantauan identitas. jika sebagai bagian dari - jika Anda bisa dikompromikan - Anda mungkin harus - mereka dapat membiayai layanan perlindungan identitas. Jika mereka tidak mungkin Anda harus melakukannya. Mengumpulkan dan menyimpan semua bukti - khususnya setiap diskusi Anda sudah dengan otoritas pidana terutama untuk tujuan asuransi. Mengganti semua password Anda. Mengubah jawaban atas pertanyaan keamanan yang dapat digunakan untuk mereset password Anda. Menonaktifkan layanan identitas masa lalu. Jadi jika Anda menggunakan kembali account Facebook Anda untuk log on ke Twitter atau sebaliknya, istirahat yang, jika kompromi yang terlibat akun email Anda periksa untuk melihat apakah ada sesuatu yang sedang diteruskan. Karena jika mereka masih memiliki akses ke data Anda. Dan jika pencurian itu meliputi akun Harvard Anda beritahukan IThelp@harvard.edu. Saya tidak bisa menyatakan bahwa cukup, tetapi juga terutama jika perangkat hilang atau dicuri dan memiliki akses ke data universitas dan mungkin Anda tidak memiliki beberapa perlindungan ini menjadi masing-masing, silakan beritahu kami - HUPD dan IT Help di Harvard. Jadi link yang saya sebutkan yang masuk ke dalam dengan lebih rinci FTC.gov / identitytheft. Layanan Pos juga memiliki beberapa penipuan atau layanan perlindungan identitas - Anda hanya menempatkan terus atau berhenti pada kartu kredit akan melalui atau hal-hal seperti itu. FBI memiliki link juga, itu dalam catatan dari slide yang saya dikirim keluar. Dan memang Massachusetts Better Business Bureau dan Biro Perlindungan Konsumen memiliki beberapa petunjuk juga, itu adalah dalam catatan. Meluangkan waktu sekarang, membuat diri Anda menyadari apa yang bisa Anda lakukan, dan mengambil tindakan. Prinsip - seperti yang saya sebutkan sebelumnya - jika Anda tidak memiliki rencana untuk identitas Anda dicuri Anda segera akan tunduk pada banyak pekerjaan ketika itu tidak terjadi, dan itu adalah ketika. Tetapi bahkan ketika Anda mengambil tindakan pencegahan ini - saya hanya menambahkan sedikit kata dari hati-hati - ada rencana bertahan kontak pertama dengan musuh. Jadi, bahkan pada saat itu kita masih berpikir bahwa ada beberapa subversi - Anda tahu - bank Anda misalnya siapa Anda telah membangun semua perlindungan ini sekitar mereka mungkin bisa dikompromikan, partai-partai dipercaya bahwa Anda telah memberikan data Anda. Jadi Anda pertahanan terbaik Anda sendiri. Kau tahu - tetap waspada - tetap waspada. Luangkan waktu sekarang untuk memilih untuk memilih untuk ini; mudah-mudahan bersosialisasi ini, berbicara dengan hal ini dengan teman-teman Anda. Pilih password yang baik, menggunakan password yang unik untuk account Anda. Dan jangan menggunakan kembali password - khususnya - sekitar beberapa aset lebih sensitif Anda, jangan menggunakan akun universitas Anda di tempat lain. Jangan menggunakan akun kartu kredit Anda di tempat lain. Melindungi sandi perangkat mobile Anda sekarang. Dan oleh perangkat mobile Maksudku smartphone, maksudku tablet. Pikirkan tentang menggunakan pertanyaan keamanan reset yang baik, dan saya akan berbicara tentang ini secepatnya sebabnya, memeriksa laporan kredit Anda. Cara lain yang dapat menjadi warga negara yang baik dalam ruang ini adalah pemerintah memaksa 3 lembaga Experian, Transunion, dan Equifax untuk melepaskan laporan kredit. Untuk beberapa masyarakat Harvard, terutama di ruang mahasiswa, ini mungkin baru bagi mereka, tetapi Anda diijinkan untuk menarik orang-orang lembaga setidaknya sekali setahun. Hati-hati yang baik - pergi ke situs tersebut, melainkan tersedia di FTC satu. Dan melakukannya setiap 4 bulan sebaliknya, dan Anda mampu menjaga tab pada siapa yang meminta permintaan informasi kartu kredit Anda, atau jika memang jika ada yang membuka account penipuan. Dan - pada umumnya - bimbingan adalah menyadari. Dan saya akan memberikan contoh tertentu tak lama, tapi itu pada dasarnya adalah daging dan kentang dari diskusi. Jadi mengapa hal ini penting sekarang adalah selama musim panas ada pria bernama Matt Henan - jika Anda berada di luar sana terima kasih banyak karena begitu datang dengan informasi Anda. Tapi apa yang terjadi dengan Matt adalah ia bekerja untuk Majalah Wired, dan beberapa cyperhacktivists pergi setelah akun Twitter-nya. Dan mereka menggunakan beberapa sumber daya ini - beberapa ini persona publik bahwa ia membuat tersedia. Dan mereka membangun peta, mereka tahu di mana untuk menyerang dan kapan. Maka dari itu mereka mulai memilah-milah informasi yang dia buat tersedia, dan mereka menemukan bahwa ia memiliki akun Gmail. Jadi dia menggunakan kurang dari sandi bijaksana untuk Gmail-nya, dan ia tidak memiliki otentikasi multi-faktor di atasnya. Jadi mereka dikompromikan Gmail-nya, begitu mereka akses ke Gmail-nya mereka melihat semua account lain bahwa ia telah terhubung ke Gmail-nya. Memang, mereka memiliki akses ke seluruh nya Gmail atau Google seluruh persona. Dan - khususnya - mereka mulai melihat bahwa ia memiliki akun Amazon karena ada beberapa email yang dilaporkan kepadanya. Jadi mereka naik ke Amazon, dan mereka naik ke Amazon nya dengan hanya reset password karena pergi ke Gmail-nya. Dia tidak punya - dia jenis memiliki efek domino atau credential chaining terjadi di sini di mana setelah mereka mendapat Gmail-nya mereka memiliki kunci kerajaan. Jadi begitu mereka sampai ke Amazon nya - dan ini bukan karena kesalahan dengan orang-orang lain - ini adalah - Anda tahu - Matt tidak memilih untuk memilih untuk mekanisme ini lebih aman bahwa hanya orang-orang ini telah dibuat tersedia dan semua sumber-sumber internet. Jadi begitu mereka sampai ke Amazon nya mereka memiliki akses - itu tidak menunjukkan kepada mereka kartu kredit, tapi itu menunjukkan mereka 4 digit terakhir hanya supaya dia tahu apa itu, itu menunjukkan mereka alamat pengiriman nya. Ini menunjukkan mereka beberapa informasi lain yang ia lakukan pada beberapa perintah. Dan kemudian dari itu mereka memutuskan untuk menyerang akun Apple-nya. Dan mereka sosial rekayasa help desk Apple. Apel seharusnya tidak melakukan itu, tapi berdasarkan informasi ini bahwa mereka mampu untuk menambang dari 2 akun lain. Anda tahu - orang di help desk mungkin mengira ia sedang warga negara yang baik - Anda tahu - saya sedang membantu; ada pelanggan Apple di luar sana yang terdampar di luar sana sendiri, dan aku harus membantunya. Tapi itu bukan pelanggan Apple nyata. Jadi mereka ulang akun Apple-nya, dan mereka mengirim informasi ke Gmail. Setelah penyerang memiliki akses ke akun Apple-nya Matt memiliki semua perangkat diikat ke iCloud nya, dan mereka mulai mengeluarkan set sumpah palsu dan menyeka segalanya. Sekali lagi, ia baru saja data-nya diperbanyak, ia menggunakan iCloud sebagai mekanisme sinkronisasi. Jadi, ketika mereka dihapus semuanya pergi bang. Mereka masih memiliki akses pada titik ini ke akun Twitter-nya yang adalah apa yang mereka telah mencoba untuk menyerang. Aku tidak tahu apakah mereka menggunakan Maltego atau beberapa mekanisme lain untuk membangun persona internet, tapi - Anda tahu - dalam hitungan Tentu saja mereka punya akses ke 4 layanan identitas yang berbeda sebelum mereka sampai ke Twitter-nya, dan biaya Matt - Matt cukup beruntung dia melihat hal itu terjadi karena anak-anaknya datang kepadanya ketika iPad terkunci dengan sendirinya. Dan mereka mengatakan - Anda tahu, "Ayah, ada sesuatu yang terjadi dengan iPad." Dan dia menutup semuanya karena ia melihat hal itu terjadi di mana-mana. Dan dia mulai memanggil Apple untuk melihat apa sih yang baru saja terjadi. Dan Apple benar-benar berpikir bahwa ada sesuatu yang terjadi bahwa iCloud sudah nakal sampai mereka tahu - ia benar-benar tahu bahwa mereka sedang mengirim informasi, dan mereka mulai memanggilnya dengan nama yang salah. Karena Apple memiliki informasi berkas bahwa penyerang telah ditumbangkan. Oke - jadi itu adalah jenis informasi yang kita gunakan untuk membangun jenis praktek terbaik, kami menggunakan ini sebagai bagian dari seluruh rangkaian seminar sampai Oktober - Nasional CyberSecurity Bulan Kesadaran. Telah dibuat tersedia untuk kalian. Aku akan memastikan bahwa saya dikirim keluar dalam Wiki ketika Daud membuatnya tersedia untuk saya juga. Tapi ada saran dan bimbingan dalam sana jauh lebih daripada granularly Saya bisa meringkas dalam jumlah ini singkat saya telah tersedia. sekitar apa yang disebut, Berawan dengan Diperkirakan Pencurian Identitas: Memilih Nama Pengguna Good dan Sandi. Apakah pernah tidak sosial? Dan jawabannya tidak, itu selalu sosial, tetapi Anda perlu menyadari apa artinya. Dan itu Taming Singa, Macan, dan Windows yaitu sekitar sistem operasi pengerasan dengan beberapa informasi yang kami pergi ke hari. Dan yang terakhir adalah tentang, Memiliki Perangkat, Will Travel untuk berbicara tentang pergi ponsel dengan jenis sumber data. Jadi selain itu jika Anda memiliki pertanyaan alamat email saya adalah sana, dan jika ada orang di ruangan memiliki pertanyaan silahkan angkat tangan. Selain itu, saya akan berhenti merekam. Baiklah. Selesai. [CS50.TV]