[Powered by Google Translate] [Seminario: Surviving the Internet] [Esmond Kane-Harvard University] [Questo è CS50.-CS50.TV] Ciao, e benvenuti a "Sopravvivere in Internet." Si tratta di uno dei seminari che costituiscono parte di questo curriculum CS50. Il mio nome è Esmond Kane. Il mio nome e l'indirizzo sono su quel ponte slitta di fronte a voi. È esmond_kane@harvard.edu. Nel mio lavoro di giorno io sono uno degli amministratori di sicurezza IT per HUIT, ma devo riconoscere che oggi sono in una missione di ricognizione è per questo che sto indossando una camicia rossa. Questo non è andare a comprendere tutto ciò che è attribuibile direttamente al mio lavoro di giorno, quindi non si tratta di sicurezza IT di Harvard. Questo è più solo informazioni personali, questo è il modo in cui tu sei - queste sono il tipo di competenze che si acquisiscono per cercare di aiutarvi indurire le stazioni di lavoro e l'ambiente di tutta la carriera. Ma nulla di ciò che ho detto oggi dovrebbe essere applicato a qualsiasi vostra materiale universitario, i server o le workstation senza contattare il supporto IT locale. E in effetti se ho citato le applicazioni o eventuali incidenti come parte di questo conversazione e di discussione che non sta riportando tutto ciò che ho il privilegio di comunicare. Di solito è pubblico E né anzi dovrebbe alcuna menzione di qualsiasi applicazione implica alcuna avallo attraverso Harvard o qualsiasi condanna. 

Così oggi perché siamo qui - ora che abbiamo finito con la clausola di esclusione - oggi siamo qui per parlare di sopravvivere in Internet. E perché è un tema così importante in questo momento? Quindi, per parafrasare Perry Hewitt che lavora nella Harvard Ufficio Stampa e Comunicazione - Mi scuso per la lettura di questo momento - ha dichiarato: "Viviamo in un atmosfera di rischio crescente, ma anche uno di innovazione senza precedenti. La rapida crescita di Internet, il Cloud, e tecnologie sociali ha portato a molte più persone che hanno profili pubblici on-line anzi con accesso ad una gamma sempre crescente di informazioni. E questo significa che tutti e le loro associazioni non sono mai state più visibile. Come impronta digitale di Harvard - la sua rete digitale si espande, ci sono anche da un pubblico più vasto. Speriamo per il miglioramento, ma a volte ci sarà attirare un po 'di attenzione negativa. Così come rappresentante di Harvard, "e questo include tutti guardando in casa o addirittura qualcuno qui, "la nostra facoltà, i nostri studenti, il nostro staff, i nostri ricercatori, il rischio di compromesso per voi e anzi a la rete associata non è mai stata così alta. " 

Così spesso nella sicurezza delle informazioni quando cerchiamo di bilanciare questo rischiare è un mestiere complicato off tra sicurezza e l'esperienza dell'utente. Nell'era di immediatezza dobbiamo prendere decisioni ponderate su ciò che miglioreranno la sicurezza senza un grande disagio. Ci viene detto a volte un grammo di prevenzione vale il doppio della cura, ma quando si sceglie di implementare misure di sicurezza per ridurre il rischio dobbiamo riconoscere che non potrà mai ridurre il rischio potenziale a zero. Per cui detto - siamo qui oggi per discutere alcuni semplici e non così semplice misure di sicurezza che si possono prendere in questo momento. Dovrei aggiungere anche - se avete domande in tutto il presentazione appena alzi la mano. Quindi il primo argomento - ci viene spesso detto di scegliere una buona password. La password è la prima e migliore difesa. Spesso è l'unico che è disponibile per voi quando si sceglie di utilizzare una risorsa online. Ma, come abbiamo visto per tutta l'estate e infatti l'anno precedente abbiamo visto gli attacchi come LinkedIn, eHarmony. Abbiamo visto RockYou. Abbiamo avuto un po 'di complessivi 70 milioni di password e account compromessi. E quando le password sono stati rilasciati nel pubblico dominio hanno anche compreso l'hash della password. 

Quindi, in pratica in questi giorni se qualcuno recupera un account alveare non hanno bisogno di rompere più di una password,. che non hanno bisogno di forza bruta di una password perché hanno questo enorme tesoro di informazioni rilasciate su quello che la gente sta scegliendo. Hanno già dati comportamentali in mente ciò che le persone tendono ad usare. E loro hanno rotto che fino a una lista di circa un migliaio di password che comprendono quasi l'80-90% delle password che scegliamo di uso comune. Quindi un rapido esempio - nessuno vuole azzardare quello che si pensava Bashar al-Assad ha usato la sua password quando è stata compromessa l'anno scorso? Si tratta di un signore che è oggetto di intenso scrutinio. E la sua parola d'ordine era 12345. Va bene - quindi queste sono le lezioni che abbiamo imparato, abbiamo bisogno di muoversi oltre al solo pensiero di una password. Ci viene detto di iniziare a utilizzare una passphrase. C'è un grande comico o anche un web comic da Randy Monroe che va a scegliere una passphrase, che usa - voglio dire - batteria, fiocco, limite o qualcosa del genere - si sa - solo - o addirittura vi è la battuta che qualcuno che ha preso Pippo, Nemo, Pluto - tutti questi diversi personaggi e Londra perché gli è stato detto a raccogliere 8 caratteri e un capitale. Ma - così impariamo che dobbiamo andare a pensare al di là di una semplice password. 

Vi è in realtà un Ezine di Boston chiamato Ars Technica. C'è un signore chiamato Dan Goodin che sta facendo una serie di questo ambito cambiando - sia dallo spazio attaccante dove abbiamo questo enorme tesoro a disposizione per noi alla mente o non abbiamo più bisogno di generare roba attraverso tabelle arcobaleno; abbiamo 70 milioni di password. Ma anche noi abbiamo avuto - si sa - un cambiamento scape nella effettivo di cracking spazio perché le carte di GPU hanno fatto di questa praticamente quasi in tempo reale. E c'è un signore in Def Con in agosto che ha messo insieme 12 di queste schede in una merce PC. Lo ha fatto per circa $ 2.000 o 3.000 dollari, ed è stato in grado di rompere il tesoro LinkedIn in - si sa - in tempo reale vicino. E 'stato abbastanza spaventoso. Articolo di Dan Goodin - lo consiglio vivamente se si vuole andare leggerlo. Un signore di nome Sean Gallagher - questa mattina - ha anche pubblicato una rapido aggiornamento su di esso, un sacco del loro lavoro è costruito su - dal materiale disponibile da Bruce Schneier, ma anche da Cormac Herely da Microsoft Research. Hanno tipo di iscritti circa 5-6 anni fa, che abbiamo bisogno di iniziare a pensare al di là delle password. I suggerimenti a quel tempo erano cose come le passphrase, interfacce gestuali - che genere di cose. Voi sapete - se qualcosa si sa non è più sufficiente, a questo punto; che è una delle cose che voglio comunicare oggi. Se è necessario utilizzare una password, cerchiamo di non essere timido nel dire si dovrebbe comunque scegliere una buona, ma dovrebbe essere auspicabilmente qualcosa oltre 10 caratteri. Dovrebbe variare tra maiuscole e minuscole. 

Altamente li incoraggerà a non riutilizzare le password. Posso parlare di diversi casi in cui abbiamo visto un account arrivare compromesso e qualcuno saltò e saltata - l'effetto domino. Essi minano ogni considerazione in ciascuna fase del processo per questo dati, e poi si procede ad utilizzare i dati che essi estratti in ogni istanza contro un'altra fonte credenziali. Così - ancora una volta - scegliere una buona password. Renderlo unico. Si consiglia di pensare di utilizzare un servizio di gestore di password. Ci sono quelli là fuori da - sono tutti in app store. Vi è uno chiamato OnePass, KeePass, LastPass - è un modo piacevole per per aiutare a creare le credenziali uniche, credenziali forti, ma anche facilitare l'archiviazione e la conservazione dei documenti per voi. Il lato negativo di che è necessario portare che a un negozio la password; è necessario fare in modo che tale gestore di password che si sta confidando è degno della vostra fiducia come bene. 

Quindi, assicurarsi che questi ragazzi stanno anche utilizzando alcuni meccanismi validi per le password. In particolare quello che ho intenzione di parlare in questo momento è l'autenticazione a più fattori. Così a più fattori di autenticazione - e ci sono diversi casi andrò attraverso breve - E 'il semplice espediente di prendere qualcosa che si sa come la vostra nome utente e la tua password e aggiungendo ad esso - si sta aggiungendo un altro fattore. Quindi il primo fattore che ne ricordiamo oggi sono questi quelli sulle schede. E 'qualcosa che hai nei tuoi possedimenti, in modo che è sia un'applicazione che è in esecuzione sul vostro smartphone o addirittura sul telefono stesso. E si potrebbe essere in grado di ricevere un SMS. Attenzione se si viaggia all'estero, che non è necessariamente andare a seguirti. Un'applicazione può lavorare più in quell'istanza. O anche l'altro fattore si potrebbe desiderare di pensare a qualcosa che sei. 

Ora, questo è ancora un po 'molto molto skunkworks. Noi non vediamo troppo adozione di esso. Questo è - si sa - Mission Impossible stile - si sa - la vostra stampa vena, stampa il tuo pollice, la vostra stampa retina. Queste sono specie di più lontano, in realtà non sono fattori di autenticazione molto validi. Vediamo - quando parlo con i miei colleghi di sicurezza - più pressione che si mette su una tastiera, il suo particolare modello di battitura, è probabilmente direttamente all'orizzonte - molto di più che questi altri identificatori biometrici. Ma quelli di oggi sono applicazioni o SMS di testo o anche solo una e-mail di risposta sfida che si sta per ottenere per verificare che hai fatto in realtà sceglie di accedere a questo punto nel tempo. Quindi c'è un collegamento proprio lì, ho spedito fuori il ponte scorrevole stamattina. Sarà sul Wiki. 

Sia Gmail e Google fanno; Yahoo farà. Paypal ha essa; Paypal ha anche un po 'di chiave hardware reale che fa un numero di rotazione. Ma si può anche scegliere di utilizzare un numero di telefono. Facebook fa anche un log in approvazione, in modo da scegliere di approvarla, ma sono anche lavorando per una maggiore sicurezza la forza dura valido. Dropbox è la verifica 2-step così, si può anche semplicemente l'acquisto di una chiave hardware per loro. Lo vediamo anche in quello di Gmail o Google uno, un sacco di persone sono in realtà co-optando autenticatore di Google, quindi - per esempio - Io uso LastPass - non implica alcuna approvazione - ma possono riutilizzare Verifica 2-step di Google in modo che significa che non ho bisogno di andare in giro con due applicazioni sul mio telefono. Ma anche ricerca informatica all'interno Harvard o usando un'analogia per l'autenticazione a 2 step di Google perché la one-time password algoritmo è stato aperto di provenienza ci circa 10 anni fa. Hai ancora domande? Bene. 

Quindi un'altra considerazione fattore di là delle password è quando si è utilizzando queste risorse siano a conoscenza di quali dati si sta commettendo a loro. Basta limitare ciò che si sta effettivamente mettendo lassù. Quindi siamo consapevoli del fatto che queste persone che stanno fornendo un servizio per noi su Internet - questi fornitori di cloud - hanno tutto l'interesse a voi non essere sicuro come potenzialmente si può. Essi tendono a rendere disponibile un insieme minimo di sicurezza, e poi c'è un sacco di altri quelli che sono facoltativi che è necessario scegliere di optare per. Il tipo di portare via da questo discorso è la sicurezza è una responsabilità condivisa. E 'tra voi e il partner che si fanno - le alleanze che si maschera. È necessario prendere un ruolo attivo. Scegliere di optare per questo. Voi sapete - il tempo ora, renderlo più sicuro. L'alternativa è che ci sono già persone di convalida e test questi fattori di protezione contro di te, più si può scegliere di optare in al meglio preparati si sono per l'eventuale compromesso. Ed è finale. 

Ma l'altro fattore da pensare è come ho già detto queste parti di Internet che si sta confidando con le tue credenziali - con la tua identità. Ti do due analogie, Larry Ellison e Mark Zuckerberg - sono entrambi a verbale affermando privacy è in gran parte un'illusione. E che l'era della privacy è finita. Questa è una specie di triste accusa che abbiamo veramente bisogno di aspettare per il governo di intervenire per costringere questi partiti ad essere più sicuro, di introdurre una legislazione più perché quando cerchiamo di lavorare con questi fornitori, per esempio alcuni di questi Dropbox come feste, essi sono nel business della fornitura di servizi per il consumatore. Essi non sono direttamente interessati ad avere i controlli di sicurezza di livello enterprise. I consumatori hanno votato con il loro portafoglio, e hanno già accettato un grado minimo. E 'ora di cambiare il suo pensiero. Così, quando forniamo i nostri dati a questi partiti, abbiamo bisogno di cooptare il nostro meccanismi di trust esistente, in modo da sono creature sociali per impostazione predefinita. 

Allora perché tutto ad un tratto quando iniziamo mettendo i dati on-line facciamo ora abbiamo accesso alle stesse protezioni che facciamo personalmente? Così, quando riesco a leggere il linguaggio del corpo, quando posso scegliere di rete con un cerchio sociale e anzi a quel cerchio divulgare solo le informazioni che voglio. Così abbiamo accesso a questo linguaggio del corpo, l'espressione, a vocalizzare, abbiamo accesso a queste protezioni di prossimità di identità in un luogo fisico, ma sono ancora in via di sviluppo on-line. Noi non abbiamo accesso ad essi, ma stiamo iniziando a vedere loro. Così abbiamo sfaccettature in Facebook - per esempio - come i gruppi. Abbiamo accesso a cose a Google+ come cerchi. Assolutamente usarli. Quindi l'ultima cosa che voglio vedere è in questo spazio, in particolare, quando si va a trovare un lavoro è che hai reso un sacco di pubblica personalità. E quando qualcuno vuole - dovrebbero scegliere di - potrebbe essere parte della politica aziendale o no - non è certamente parte di Harvard's - ma si può scegliere di fare una ricerca su Google. E quando lo fanno - se hai fornito - diciamo alcune informazioni che si avrebbe difficoltà a piedi dietro - avete fatto un cattivo servizio. E in effetti, come ho già detto - queste imprese sociali che hanno un interesse nel rendere pubblico - si sa - hanno bisogno di estrarre i dati. Stanno vendendo i tuoi dati demografici e il vostro materiale di marketing per qualcuno. Il tipo di analogia in questo spazio è - se non si paga per un prodotto sei il prodotto? Quindi creare circoli per i vostri amici, essere cauti, essere diligente, cercare di non rendere tutto pubblico. 

Un'altra analogia farò sia contratti di licenza per l'utente finale cambiano, hanno intenzione di dirvi ciò che possono fare con i vostri dati, e che stanno per seppellirlo in un 50-pagina di clic. E si può scegliere di cambiare la situazione, e hanno appena invieremo una breve e-mail. Ma tu non sei un avvocato, ma è molto in legalese. È necessario essere cauti su quello che stai facendo. Essi possono possedere le immagini, si può possedere la proprietà intellettuale. Sai - solo esercizio diligenza. Un altro esempio Biblioteca del Congresso sta archiviando ogni singolo Tweet che l'uomo conosca. Tutto. Ogni 10 anni circa il corpo di materiale che viene generato in che 10 anni conti o supera di molto tutto quello che abbiamo creato nel corso della storia umana. La Library of Congress ha tutto l'interesse a conservare le informazioni per i posteri, per i futuri archivisti, per i ricercatori e gli storici futuri, quindi tutto si sta mettendo fuori c'è lì. Sarà effettivamente fare un'immensa risorsa ad un certo punto una volta che la gente inizia a minare ingegneria sociale o siti di social networking. Quindi, tenere al corrente delle protezioni disponibili all'interno di ogni applicazione. 

C'è qualcosa citerò così, c'è un tool di terze parti chiama Privacyfix, ma può collegare a destra in alcuni di questi applicazioni di social networking. E può controllare per vedere dove siete in relazione alle protezioni che sono disponibili su di loro se è possibile scegliere di cricchetto li ulteriormente. Ci sono strumenti come il Fronte di Liberazione dei dati da parte di Google dove è possibile scegliere di esportare o estrarre i dati. Ci sono cose come il suicidio Macchina Internet che collegarvi ad alcuni dei vostri profili e di fatto cancella ogni singolo attributo uno alla volta, UNTAG ogni singola associazione Amici della rete avrebbe fatto. E si porterà avanti per eliminare iterativo tutto di te che quel sito avrebbe saputo. Se riesco a esercitare una certa cautela anche lì, c'era un caso un paio di anni fa in Germania, dove un cittadino ha deciso di esercitare la sua libertà dei diritti di informazione e di chiedere a Facebook di fornire quali sono le informazioni che avevano sul record per lui, anche dopo aver cancellato il suo account. Lo hanno fornito con un CD con 1250 pagine di informazioni anche se il suo conto in teoria non esisteva più. Vi è il concetto in questo spazio molto che alcuni di questi enti manterranno alcuni dati su di te a che fare con le vostre associazioni e le reti. Dicono che non possono avere controllo su di esso, che è un po 'esagerato a mio parere. Essi creano questi account ombra - i personaggi ombra. Basta essere attenti. Limitare ciò che si può. A livello di dispositivo reale quando si sta parlando solo di - si sa - hardware - il tuo smartphone, le compresse, la stazione di lavoro, il vostro computer portatile, forse un server che sei responsabile per. 

Probabilmente avete sentito parlare di concetti come il funzionamento, aggiornamenti di sistema, aggiornamenti delle applicazioni, antivirus, hai sentito parlare di cose come firewall, crittografia del disco, ed eseguire il backup. L'unica cosa che si dovrebbe essere consapevoli è che non si sente parlare quel tipo di protezioni nello spazio cellulare. Essi sono sensibili alle stesse minacce. Abbiamo avuto - voglio dire - un milione di smartphones stiamo per essere attivato dalla fine del mese. Ciò ha notevolmente superato il - entro il breve lasso di tempo che essi sono stati disponibili, che ha notevolmente superato la crescita delle il PC, il computer portatile, mercato delle workstation. Ma noi non abbiamo accesso agli stessi controlli, e io parleremo a breve. Quindi, prima di arrivare allo spazio cellulare parliamo ciò che è disponibile là che ho appena brevemente andato oltre. Così software antivirus - qui ci sono alcune scelte libere. Microsoft regala loro - si sa - Sophos regala loro per OSX e Patch del computer - basta essere consapevoli di ciò che il vostro fornitore di livello di patch attuale è, e non dovrebbe essere un delta significativo da questo. C'è un bel strumento da una società denominata Secunia. E Secunia verrà eseguito in background, e vi dirà se c'è un aggiornato disponibile e se è necessario applicarlo. 

Abilitare gli aggiornamenti automatici - Apple e Microsoft avranno qualche aspetto di questo. Essi ti avvisa che c'è un aggiornamento disponibile. E Secunia - si sa - è una specie di una bella rete di sicurezza per avere così - cadere meccanismo di ritorno. A livello di accoglienza - non arrivare agli smartphone ancora. Attivare il firewall nativo del sistema operativo. C'è un po 'di informazioni su Windows a OSX uno. Prova il tuo firewall, non basta lasciarlo lì e pensare che si tratta di un meccanismo sicuro. Assumere un ruolo attivo, c'è un programma lì da GRC - Steve Gibson. Sicurezza Wi-Fi in questo spazio - questo può valere anche per lo smartphone e il tablet - quando si sceglie di andare sulla strada è necessario essere a conoscenza che ci sono diverse classi di rete wireless. In particolare non scegliere quello più comunemente disponibili. Potrebbe essere a basso costo, ma ci potrebbe essere una ragione per questo. Forse stanno estraendo i dati. Lo vediamo più quando si viaggia all'estero. Ci sono alcune organizzazioni criminali veramente molto efficienti informatici che sono in grado di sfruttare ciò che di solito vediamo in spionaggio degli Stati nazionali. Un fattore di cui sono a titolo definitivo se stessi iniettando in un flusso di rete. Essi stanno tirando roba fuori di lì, e stanno iniettando applicazioni per workstation. 

E '- l'altro aspetto, che io sappia è stato menzionato in alcuni di questi seminari di sicurezza - o non CS50 seminari seminari - è uno strumento chiamato Firesheep. E Firesheep è stato un attacco particolare nello spazio cellulare dove alcune di queste applicazioni di social networking sono stati l'invio delle credenziali in testo normale. E questo è stato abbastanza comunemente accettata perché tutti in quel momento pensava che non c'era appetito nello spazio dei consumatori per esso, che per utilizzare la crittografia forza maggiore comportato un onere delle prestazioni sul server, quindi se non hanno avuto a che fare di esso - che non volevano. E poi tutto ad un tratto, quando questo ricercatore di sicurezza ha reso l'attacco banale molto rapidamente - si sa - abbiamo iniziato a vedere che tipo di miglioramento che tutti nel settore della sicurezza ha avuto state lamentando per un periodo di tempo significativo. Così - in particolare - Firesheep è stato in grado di recuperare Facebook, Twitter credenziali dal flusso di Wi-Fi. E perché era in testo normale, ed erano in grado di iniettare. 

Anche in questo caso, se avete intenzione di utilizzare il Wi-Fi scegliere di utilizzare uno che è sufficientemente protetta - WPA2, se potete. Se si deve usare in chiaro Wi-Fi - e, in particolare, sto parlando a qualcuno che sta utilizzando la Harvard University wireless - si consiglia di pensare di utilizzare VPN. Incoraggio vivamente di esso. Altri fattori che si potrebbe desiderare di pensare sono se non vi fidate del Wi-Fi che siete su si consiglia di limitare l'uso. Non fare alcun commercio elettronico; non fare alcun bancario. Non accedere alle credenziali universitarie. Vi è una vittoria importante in questo spazio se qualcuno non rubare le credenziali - si sa - non hanno il tuo cellulare? Così - si sa - che è un altro fattore che non possono necessariamente dirottare o fa solo il loro attacco più complicato. Crittografare il vostro disco rigido. Siamo a un'era in questo momento - cifratura usato per essere un grosso problema 10 anni fa. E 'stato un impatto significativo delle prestazioni. Non è più - di fatto - la maggior parte dei telefoni cellulari e di quel genere di cose lo stanno facendo in hardware, e non si accorgono neppure - la prestazione è così trascurabile. 

Se si sta parlando di una stazione di lavoro, stiamo parlando di BitLocker. Stiamo parlando di File Vault, abilitarla - prendere il tempo. Nello spazio Linux ovviamente vero Cripte possono funzionare su entrambe le cose. Si consiglia di pensare - nello spazio Linux - vi è dm-crypt, c'è Luxcrypt - ci sono un sacco di altre opzioni - anche True Crypt. Altro modo veloce per proteggersi a livello workstation eseguire il backup del disco rigido. E una lieve ruga qui - non è sufficiente utilizzare uno dei questi fornitori di sincronizzazione cloud, in modo Dropbox o G-Drive o qualcos'altro Questa non è una soluzione di back up. Se qualcuno cancella qualcosa su uno di questi dispositivi perché si inseriscono in qualche modo sta andando - che la cancellazione vengano replicati nell'intera persona. Questo non è un back up, che è solo un meccanismo di propagazione. Quindi è bene avere una soluzione di back up. Ci sono alcuni suggerimenti qui per alcune persone, alcuni di loro sono liberi - Capacità di base - 2 GB di backup - è possibile farlo. Se si utilizza l'università G-mail - università Google al college e co, G-Drive se non lo è già - sarà presto disponibile. E 'un buon sostituto. Ci sarà anche guardare a queste cose come Mozy casa. E 'bene avere due soluzioni. Non avere tutte le uova nello stesso paniere. Prima di gettare qualcosa o anche se si è in processo di inviare qualcosa di confidenziale - alcuni suggerimenti qui per cancellare in modo sicuro un dispositivo. Boot di Darik e Nuke - che è una specie di più per l'IT di buon senso. Si consiglia di pensare solo dando ad alcuni di questi fornitori commerciali, se potete. 

Crittografia e-mail - se si deve - ci sono alcuni servizi del campus chiamato Accellion, tu sei fuori dal campus o per uso personale io raccomanderò Hushmail. Vediamo molto utilizzato nella fischio soffiatore, è uno dei principali meccanismi di WikiLeaks così come Tor e alcune altre equivalenti. E - ora a parlare del livello di telefono - in modo che il problema qui è Non c'è molto di un appetito ancora. Purtroppo la maggior parte degli smartphone e il tablet OSs essi sono ancora basate su alcuni dei principi che abbiamo visto nel 1990. Non hanno veramente integrato alcune delle migliorie che vediamo a livello di workstation. Essi non stanno facendo la protezione termica. Essi non stanno facendo - si sa - strato di randomizzazione. Essi non stanno facendo la protezione degli indirizzi. Essi non stanno facendo eseguire protezione - questo genere di cose. Ma anche il dispositivo stesso per de facto non avrà alcuna end point di sicurezza incorporata. Quindi stiamo iniziando a vedere questo cambiamento - di nuovo - la maggior parte degli smartphone Produttori - Android, Apple e Windows - l'appetito solo non c'era, il punto di riferimento era Blackberry. Ma Blackberry ha un po 'perso la sua presa sul mercato, a questo punto. E Apple ha davvero fatto un passo dentro Circa 2 anni fa ci fu un momento di svolta in cui iniziato a costruire in un sacco di più controlli di tipo enterprise. E - anzi - nel mese di agosto hanno fatto una presentazione alla Def Con che era proprio sconosciuta. 

Così faranno i controlli minimi che ho descritto. Faranno password; faranno un prompt per la password che il minimo - il dispositivo - è non pensarci più e dopo 15 minuti si attiva. Faranno la crittografia, e saranno anche fare quello che viene chiamato asciugandosi remoti. Nella Android e lo spazio di Windows questi sono ancora TBD - da determinarsi. Android ha accesso ad alcune applicazioni chiamate Prey e Lookout. E in effetti alcuni degli strumenti di sicurezza di punto finale, come Kaspersky che conosco lo fa. So ESET fa così Essi vi permetterà di inviare un SMS e spurgare il dispositivo. Telefono finestre a questo punto è principalmente orientata verso stile aziendale - quello che viene chiamato lo scambio. Scambio è posta una infrastruttura robusta, e può imporre alcuni di questi controlli. Windows 8 appena spedito la settimana scorsa, quindi non posso parlare a quella definitiva. Windows 6.5 è stato il grande dispositivo di sicurezza. Windows 7 Mobile è stato un disastro, non hanno fatto tutti questi controlli nativi obbligatorio di tutti i diversi fornitori. Quindi si doveva ratificare ogni 7 telefono Windows Mobile, uno alla volta. 

Android - dal momento che lo spazio di 3.0 ha avuto un miglioramento importante pure. Honeycomb, Ice Cream Sandwich, Jellybean - si sosterrà questi controlli minimi, e in effetti lo sosterranno parte del controllo dell'impresa che si può fare pure. Nel vostro spazio account personale vi è una sincronizzazione Google personale che è possibile attivare, se avete il vostro spazio di Google pure. Allora che cosa fare quando tutto va storto? E se posso - un altro asporto da questo è davvero quando - non è se. Questo sta per accadere a tutti noi ad un certo punto. Cosa si può fare? Quindi cosa si può fare - e non vi è una diapositiva - la prossima diapositiva puntare ad alcune delle risorse di FTC per esso, ma un luogo minimo un avviso di frode su carte di credito. Se posso incoraggiare a pensare a quando si utilizza una carta di credito in una capacità online - a seconda della transazione che stai facendo carte di debito - la capacità di rivendicare o la capacità di ritrarre un fraudolenta credito su una carta di debito è in realtà una finestra molto più piccola di quello che è su una carta di credito. Quindi una volta che ottenete il vostro rapporto su una carta di debito si ha un certo solo lasso di tempo - ed è molto basso - di notificare la banca di una transazione fraudolenta. Le carte di credito è molto più grande, si tende ad essere un limite fino a circa 50.000 dollari prima che sarà davvero in grado di rimborsare. Così che è abbastanza un sacco di soldi, si imbatterono in su da circa $ 13.000 o $ 18.000 lì a poco tempo fa. Così - si sa - quando si pensa di utilizzare una carta di credito on-line, si può pensare di utilizzare una scheda di rabbocco o una carta di credito usa e getta, una scheda bruciatore? 

Se fai vedere nulla - e io vi mostrerò come è possibile ottenere l'accesso a breve - chiudere gli account fraudolenti se siano a conoscenza di esso. Presentare una denuncia alla polizia se si è nel campus. Raggiungere i HUPD - far loro sapere. Pensate a un servizio di monitoraggio di identità. se come parte - se si vuole ricevere compromesso - potrebbe essere necessario - essi possono finanziare servizi di protezione dell'identità. Se non lo fanno, forse si dovrebbe fare. Raccogliere e conservare tutte le prove - in particolare le discussioni che hai avuto con le autorità penali in particolare a fini assicurativi. Cambiare tutte le password. Modificare le risposte a tutte le domande di sicurezza che possono essere utilizzate per reimpostare la password. Disabilitare tutti i servizi di identità passate. Quindi, se si riutilizza il tuo account Facebook per accedere a Twitter, o viceversa, rottura che, se il compromesso coinvolto il tuo account e-mail controllare per vedere se qualcosa è stato inoltrato. Perché altrimenti non hanno ancora accesso ai vostri dati. E se il furto include il tuo conto di Harvard si prega di avvisare IThelp@harvard.edu. Non posso affermare che sufficiente, ma anche, in particolare, se il dispositivo viene perso o rubata e aveva accesso ai suoi dati universitari e forse si non ha avuto alcune di queste protezioni essere rispettiva; fatecelo sapere - HUPD e IT Help ad Harvard. 

Quindi, il link che ho appena citato che va in quella con maggiori dettagli FTC.gov / identitytheft. Il servizio postale ha anche qualche frode o servizi di protezione di identità - basta mettere una stiva o da una fermata sulla carta di credito passa attraverso o cose del genere. L'FBI ha un legame così, è nelle note delle diapositive che ho inviato. E infatti Massachusetts Better Business Bureau e Tutela dei consumatori Bureau ha qualche guida così, è nelle note. Prendete il tempo, prendere conoscenza di ciò che si può fare, e intraprendere l'azione. Il principio - come ho detto prima - è che se non si dispone di un piano di per la propria identità possa essere rubata si è subito andando ad essere oggetto di un sacco di lavoro quando accade, ed è quando. Ma anche quando si prendono queste precauzioni - Permettetemi di aggiungere una lieve parola di cautela - nessun piano sopravvive al primo contatto con il nemico. Quindi, anche in quel noi continuiamo a pensare che non ci può essere qualche sovversione - si sa - la tua banca, per esempio, che avete costruito tutte queste protezioni intorno essi possono ottenere compromessa; queste persone di fiducia che avete dato i vostri dati a. Quindi tu sei il tuo miglior difesa. Sai - rimanere vigili - restare vigile. Prendete il tempo di scegliere di optare per questi, si spera socializzare questo, parlare con i tuoi amici. Scegliere una buona password, utilizzare password univoche per il vostro account. E non riutilizzare le password - in particolare - intorno ad alcuni dei i vostri beni più sensibili, non usare il tuo account universitario altrove. Non utilizzare il conto della carta di credito altrove. Proteggere con password il vostro dispositivo mobile al momento. E da dispositivo mobile intendo smartphone, voglio dire il vostro tablet. 

Pensare di utilizzare buone domande ripristino della sicurezza, e parlerò questo poco perché; controllare il vostro rapporto di credito. Un altro modo che si può essere un buon cittadino in questo spazio è il governo ha costretto le 3 agenzie di Experian, TransUnion, e Equifax di rilasciare rapporti di credito. Per alcuni della comunità Harvard, specialmente nello spazio studente, questo potrebbe essere una novità per loro, ma si è permesso di tirare quelle agenzie, almeno una volta all'anno. Buona cautela - proseguire per quel sito, è disponibile sul FTC uno. E farlo ogni 4 mesi, invece, e si è in grado di tenere linguette che è sollecitare le richieste di dati della tua carta di credito, o se davvero se qualcuno apre gli account fraudolenti. E - in generale - la guida è di essere a conoscenza. E ho intenzione di darvi un esempio specifico a breve, ma che è essenzialmente la carne e le patate della discussione. 

Allora, perché questo è importante in questo momento è durante l'estate c'è stata una gentiluomo chiamato Matt Honan - se sei là fuori vi ringrazio molto per essere così imminente con i tuoi dati. Ma quello che è successo con Matt è ha lavorato per la rivista Wired, e alcuni cyperhacktivists andato dopo il suo account Twitter. E hanno usato alcune di queste risorse - una parte di questo personaggio pubblico che ha messo a disposizione. E hanno costruito una mappa, sapevano dove attaccare e quando. Quindi, da che hanno iniziato a scomporre e analizzare le informazioni che ha fatto disponibili, e hanno scoperto che aveva un account Gmail. Così stava usando una password di meno di saggio per la sua Gmail, e lui non aveva alcuna autenticazione a più fattori su di esso. Così hanno compromesso la sua Gmail, una volta che ha avuto accesso al suo Gmail hanno visto tutti questi altri account che aveva inserito nella sua Gmail. Anzi, hanno avuto accesso al suo intero complesso Gmail o Google persona. E - in particolare - hanno cominciato a notare che aveva un account Amazon perché ci sono stati alcuni messaggi di posta elettronica sono stati segnalati a lui. Allora hanno preso a sua Amazon, e hanno ottenuto sopra al suo Amazon semplicemente reimpostare la sua password, perché è andato al suo Gmail. Non aveva - ha genere di ha avuto un effetto domino o credenziali concatenamento succedendo qui dove, una volta ottenuto il suo Gmail avevano le chiavi del regno. Quindi una volta che hanno ottenuto al suo Amazon - e questo era senza colpa a questi altri ragazzi - questo è stato - si sa - Matt non aveva scelto di optano per questi meccanismi più sicuri che solo queste persone avevano messo a disposizione e tutte queste fonti Internet. 

Quindi una volta che hanno ottenuto al suo Amazon hanno avuto accesso - che non mostrasse loro la sua carta di credito, ma si mostrò loro le ultime 4 cifre solo così sapeva che cosa fosse, ma ha mostrato loro il suo indirizzo di spedizione. Ha mostrato loro qualche altra informazione che ha fatto su alcuni ordini. E poi da che hanno deciso di attaccare il suo account Apple. Ed essi sociale ingegnerizzato l'Apple help desk. Apple non avrebbe dovuto farlo, ma sulla base di queste informazioni che sono stati in grado di estrarre dalle altre due conti. Voi sapete - il ragazzo al help desk probabilmente ritenne di essere un buon cittadino - si sa - sto essendo utile, c'è un cliente di Apple là fuori che è incagliato là fuori da solo, e ho bisogno di aiutarlo. Ma non era il cliente reale di Apple. Così hanno resettare il suo account Apple, e hanno inviato le informazioni per la Gmail. Una volta che gli attaccanti hanno avuto accesso al suo account Apple Matt ha avuto tutti i suoi dispositivi legati in suo iCloud, e hanno iniziato il rilascio set falsa testimonianza e pulire tutto. Ancora una volta, si era appena i suoi dati propagate; che stava usando icloud come il meccanismo di sincronizzazione. Così, quando hanno eliminato tutto è andato botto. Avevano ancora accesso a questo punto per il suo account Twitter che è ciò che avevano tentato di attaccare. Non so se hanno usato Maltego o alcuni di questi altri meccanismi per costruire il suo personaggio a Internet, ma - si sa - nel giro di pochi Naturalmente hanno ottenuto l'accesso ai servizi di identità 4 diversi prima hanno avuto modo di suo Twitter, ed è costato Matt - Matt era abbastanza fortunato vide accadere perché i suoi figli vennero da lui quando l'iPad si blocca off. E hanno detto - si sa, "Papà, c'è qualcosa da fare con l'iPad." E chiuse tutto giù perché ha notato che stava accadendo ovunque. E ha iniziato a chiamare Apple per vedere cosa diavolo fosse successo. E Apple sinceramente pensato che ci fosse qualcosa che iCloud era andato canaglia finché hanno capito - ha effettivamente capito di essere stati l'invio di informazioni, e hanno iniziato a chiamarlo il nome sbagliato. Perché Apple ha avuto sulle informazioni del file che l'attaccante aveva sovvertito. 

Va bene - in modo che sia il tipo di informazioni che utilizziamo per costruire questo genere di migliori pratiche; usiamo questo come parte di tutta una serie di seminari a ottobre - National Cybersecurity Awareness Month. E 'stato reso disponibile a voi ragazzi. Mi assicurerò che ho inviato nel Wiki quando David lo rende disponibile anche a me. Ma c'è di consulenza e orientamento in là molto più granulare di Sono in grado di riassumere in questo breve lasso di tempo che ho a disposizione. intorno a quello che viene chiamato, Piovono di furto di identità: Picking Buone nomi utente e password. È mai non sociale? E la risposta è no, è sempre sociale, ma è necessario essere consapevoli di ciò che questo significa. Ed è bisbetica leoni, tigri, e di Windows che è di circa sistemi operativi indurimento con alcune delle informazioni che sono andati a oggi. E l'ultimo è stato circa, avere dispositivo, Will Travel a parlare di andare mobile con questo tipo di fonti di dati. Quindi, a parte questo, se avete delle domande il mio indirizzo email è lì, e se qualcuno in sala ha domande si prega di alzare la mano. Oltre a questo, ho intenzione di interrompere la registrazione. Bene. Fatto. [CS50.TV]