[Powered by Google Translate] [Seminārs: pārdzīvojušais internetā] [Esmond Kane, Harvard University] [Tas ir CS50.-CS50.TV] Sveiki, un laipni aicināti "apgādnieku internetu." Tas ir viens no semināriem, kas veido daļu no šīs CS50 mācību. Mans vārds ir Esmond Kane. Mans vārds un adrese ir šajā slaidu klāja priekšā jums. Tas ir esmond_kane@harvard.edu. Savā ikdienas darbā esmu viens no IT drošības direktoriem par HUIT, bet man ir jāatzīst, ka šodien es esmu par prom misijā kas ir iemesls, kāpēc es esmu valkājot sarkanu kreklu. Tas nav gatavojas, lai aptvertu visu, kas ir attiecināmas tieši uz manu dienu darbu, tāpēc tas nav par IT drošību Harvard. Tas ir vēl tikai personiskā informācija, tas ir, kā tad, kad jūs esat nokļuvis - tie ir sava veida prasmes, kas jums iegūt, lai mēģinātu palīdzēt jums nocietināt jūsu darba stacijas un savu vidi visā savā karjerā. Bet nekas, ka es pieminēt šodien būtu jāpiemēro kāds no jūsu universitāte materiāls, jūsu serveri, vai jūsu darbstacijas bez sazinoties ar savu vietējo IT atbalstu. Un tiešām, ja es minēt nekādus pieteikumus vai jebkādus incidentus kā daļu no šā runāt vai diskusiju tas neko nereģistrē kaut ko, ka es esmu priviliģēts ziņot. Tā parasti ir publisks Un ne arī ja kāds pieminēt no jebkura pieteikuma nozīmē jebkādu ar Harvard apstiprinājums vai jebkurā nosodījumu. 

Tātad šodien, kāpēc mēs esam šeit, - tagad, kad mēs esam darīts ar atrunu - mēs esam šodien šeit, lai runātu par pārdzīvojušais internetu. Un kāpēc tas ir tik svarīgs jautājums, tieši tagad? Tātad, pārfrāzējot Perry Hewitt, kurš strādā Hārvardas Preses un sakaru birojā - Es atvainojos par lasījumā šīs tiesības tagad - viņa paziņoja: "Mēs dzīvojam atmosfēra pieaugošo risku, bet arī nepārspējamas inovācijas vienu. Straujo internetā, Cloud, un sociālās tehnoloģijas ir radījis daudz vairāk cilvēku, kam publiskos profilus tiešsaistē ar patiešām piekļuvi arvien pieaugošo masīvs informāciju. Un tas nozīmē, ka ikvienam, un to apvienības nekad nav bijis vairāk redzams. Kā Hārvardas digitālo nospiedumu - tā ciparu tīkls paplašinās, mēs piesaistīt plašāku auditoriju. Mēs ceram meliorācija, bet dažreiz mēs piesaistīt kādu negatīvu uzmanību. Tā kā pārstāvis Harvard ", un tas ietver visiem skatoties mājās vai arī kāds šeit, "mūsu fakultātē, mūsu studenti, mūsu darbinieki, mūsu pētnieki, kā kompromiss, lai jūs riska un patiešām Jūsu saistīts tīkls nekad nav bijis lielāks. " 

Tik bieži informācijas drošību, kad mēs cenšamies, lai līdzsvarotu šo riskēt tas ir sarežģīts kompromiss starp drošību un lietotāju pieredzi. Laikmetā neatliekamību mums ir jāizdara pārdomāto lēmumus par to, kas uzlabos drošību bez ievērojamām neērtībām. Mums ir teikts, dažreiz unci profilakses ir vērts divreiz izārstēt, bet, izvēloties, lai īstenotu drošības pasākumus, lai samazinātu savu risku mums ir jāatzīst, ka tas nekad mazinātu iespējamo risku līdz nullei. Tā, ka teica - mēs esam šeit šodien, lai apspriestu daži vienkārši un ne tik vienkārši drošības pasākumus, kurus var veikt tieši tagad. Es būtu arī piebilst - ja Jums ir kādi jautājumi visā prezentācija vienkārši paceliet roku. Tātad pirmo tēmu - mēs bieži vien ir teicis, lai izvēlēties labu paroli. Parole ir jūsu pirmā un labākā aizsardzība. Tas bieži vien ir tikai viens, kas ir pieejama, lai jūs kad esat izvēloties izmantot tiešsaistes resurss. Bet kā mēs esam redzējuši visā šajā vasarā un pat iepriekšējo gadu mēs esam redzējuši uzbrukumiem, piemēram, LinkedIn, eHarmony. Mēs esam redzējuši RockYou. Mēs esam bija daži pavisam 70 miljonus paroļu un kontu apdraudēta. Un kad šie paroles izplūda publiski tie arī bija paroles hash. 

Vārdu sakot, šajās dienās, ja kāds iegūst konta stropu viņiem nav nepieciešams, lai kreka paroli, vairs, viņiem nav nepieciešams, lai brutālu spēku paroli. tāpēc, ka viņi ir šīs masveida trove izpausto informāciju par to, ko cilvēki izvēlas. Tie esam jau ieguvuši uzvedības datu prātā, ko cilvēki mēdz izmantot. Un tie ir sadalīti, kas uz leju uz sarakstu apmēram tūkstoš paroles kas veido gandrīz 80 līdz 90% no paroles, ka mēs izvēlamies kopīgai lietošanai. Tik ātrs piemērs - kāds vēlas apdraudējuma, ko tu doma Bashar al-Assad izmanto savu paroli, kad tas tika apdraudēta pagājušajā gadā? Tas ir džentlmenis, kurš ir pakļauta intensīvas pārbaudes. Un viņa parole bija 12345. Labi - tāpēc tie ir mācība, ko mēs esam iemācījušies, mums ir nepieciešams, lai pārvietotu tālāk tikai domājot par paroli. Mums ir teicis, lai sāktu lietot frāzi. Ir lielisks komikss no vai pat web komiksu no Randy Monroe kas tērēta izvēloties frāzi, viņš izmanto - Es gribu teikt - akumulators, štāpeļšķiedrām, ierobežojums vai kaut kas tamlīdzīgs - jūs zināt - vienkārši - vai tiešām tur ir joks, ka kāds, kurš paņēma dumjš, Nemo, Plutons - visi šie dažādas rakstzīmes un Londonas, jo viņš bija teicis uzņemt 8 rakstzīmes un kapitālu. Bet - tā mēs mācāmies, mums jāiet domāt tālāk tikai paroli. 

Ir tiešām Bostonā Ezine sauc Ars Technica. Ir džentlmenis sauc Dan Goodin kurš dara sēriju par tas mainās joma - vai nu no uzbrucēja telpā, kurā mēs esam šī milzīgā trove pieejamas mums vai nu prātā, mums vairs nav nepieciešams, lai radītu lietas, izmantojot varavīksnes tabulām; mums ir 70 miljoni paroles. Bet arī mēs esam bija - jūs zināt - mainās ainava, kas Faktiskais plaisāšanu telpu, jo GPU kartes ir padarījusi šo praktiski gandrīz reālā laikā. Un tur ir arī Def Con džentlmenis augustā, kas salikti kopā 12 no šīm kartēm uz preču datorā. Viņš to darīja apmēram $ 2000 vai 3000 $, un viņš varēja kreka LinkedIn trove in - jūs zināt - gandrīz reālā laikā. Tas bija diezgan biedējoši. Dan Goodin raksts - Es ļoti iesakām to, ja jūs vēlaties, lai iet lasīt to. Džentlmenis sauc Sean Gallagher - šorīt - arī publicēti quick update par to, daudz viņu darba pamatā - no pieejamajiem materiāliem no Bruce Schneier, bet arī no Cormac Herely no Microsoft Research. Viņi veida norādīja, apmēram 5-6 gadus atpakaļ, ka mums ir nepieciešams, lai sāktu domāt ārpus paroles. Pie tā laika ierosinājumi ir lietas, piemēram, caurlaide frāzes, gestural saskarnes - šāda veida stuff. Jūs zināt - ja kaut ko jūs zināt, vairs nav pietiekama šajā brīdī; kas ir viena no lietām, ko es gribu, lai sazinātos šodien. Ja jums ir izmantot paroli, ļaujiet mums nav kautrīgam, konstatējot, jums vajadzētu vēl izvēlēties labu vienu, tas būtu cerams kaut kas pārsniedz 10 rakstzīmes. Būtu atšķiras starp lielajiem un mazajiem burtiem. 

Es ļoti iesakām jums nav atkārtoti paroles. Es varu runāt ar vairākiem gadījumiem, kad mēs esam redzējuši kontu nokļūt apdraudēta, un kāds lēkāja un izlaidis - domino efektu. Tie mine katru kontu, katrā posmā šajā procesā par šo dati, un pēc tam tās ved uz izmantot šos datus, ka tie iegūst katrā gadījumā pret citu akreditācijas avots. Tātad - atkal - izvēlēties labu paroli. Padarītu to unikālu. Jūs varat domāt par izmantojot paroli vadītāja pakalpojumus. Ir tie, kas tur no - tie visi ir app veikalos. Ir viens sauc OnePass, KeePass, LastPass - tas ir jauks veids, kā to, lai palīdzētu jums izveidot unikālu pilnvaras, spēcīgas pilnvaras, bet arī veicināt arhīvu un lietvedības jums. Leju pusē ir, ka ir jums ir nepieciešams, lai panāktu, ka, lai paroles veikalu; jums ir nepieciešams, lai pārliecinātos, ka parole pārvaldnieks, kas jūs uzticoties Ir vērts jūsu uzticību, kā arī. 

Tāpēc pārliecinieties, ka šie puiši ir arī izmanto dažas derīgas paroli mehānismus. Jo īpaši viens es esmu gatavojas pieminēt tieši tagad ir vairāku faktoru autentifikāciju. Tātad vairāku faktoru autentifikāciju - un tur ir vairāki gadījumi, man būs iet cauri drīzumā - Tas ir vienkārši lietderīgi veikt kaut ko jūs zināt, kā jūsu lietotāja vārdu un paroli, un pievienojot to - jūs pievienojat vēl viens faktors. Tātad, pirmais faktors, ka mēs pieminēt šodien, ir šos te uz dēļiem. Tas ir kaut kas jums ir jūsu mantas, tā ka nu pieteikums , kas darbojas uz jūsu viedtālrunis vai pat jūsu tālruni pati. Un jūs varētu būt iespēja saņemt SMS tekstu. Piesargāties, ja jūs ceļojat uz ārzemēm, kas ne vienmēr būs sekot jums. Pieteikumu var strādāt vairāk šajā instancē. Vai arī cits faktors, jūs varētu vēlēties, lai padomātu par ir kaut kas jums ir. 

Tagad tas joprojām ir sava veida ļoti daudz skunkworks. Mēs neredzam pārāk daudz pieņemšanu par to. Tas ir - jūs zināt - Mission Impossible stils - jūs zināt - jūsu vēnu drukāt, īkšķi drukāt, jūsu tīklene drukāt. Tie ir sava veida tālāk ārā, tie nav īsti ļoti derīgs autentifikācijas faktoriem. Mēs redzam, - kad es runāt ar saviem drošības kolēģiem - lielāku spiedienu, kas jūs likts uz tastatūras, savu īpašu mašīnrakstīšanas modeli, ir iespējams tieši pie horizonta - daudz vairāk, nekā iepriekš minētās biometriskos identifikatorus. Bet tie šodien ir programmas vai SMS tekstu vai pat tikai izaicinājums atbildes e-pastu, ka jūs gatavojas saņemt , lai apstiprinātu, ka jums patiesībā izvēlas pieteikties šajā brīdī. Tātad pastāv saikne tieši tur, man ir nosūtīts, slaidu klāja šorīt. Tas būs uz Wiki. 

Gan Gmail un Google to izdarītu, Yahoo to darīs. Paypal ir tas, Paypal ir arī maz faktiski aparatūras atslēgu, kas dara rotējošu numuru. Bet jūs varat arī izvēlēties izmantot tālruņa numuru. Facebook arī dara žurnālā apstiprināšanas, lai jūs izvēlaties apstiprina to, tie arī strādā, lai iegūtu derīgu cieto izturības drošību. Dropbox ir 2-pakāpju pārbaudi, kā arī, jūs varat arī vienkārši iegādāties aparatūras atslēgu viņiem. Mēs arī redzam Gmail vienā vai Google viens, daudzi cilvēki ir faktiski kopīgi izvēlas Google autentifikatoru, tāpēc - piemēram - Es izmantoju LastPass - tas nenozīmē nekādu apstiprinājumu - bet tās var izmantot atkārtoti Google 2 soļu pārbaude, lai tas nozīmē, ka man nav nepieciešams staigāt apkārt ar 2 pieteikumus uz manu tālruni. Bet arī pētījumi skaitļošanas ietvaros Harvard, vai izmantojot analoģiju uz Google 2-solim autentifikāciju, jo vienu reizi paroli algoritms ir atvērtā koda tur aptuveni pirms 10 gadiem. Kādi jautājumi? Labi. 

Tātad vēl viens faktors apsvērums aiz paroles ir, kad jūs Izmantojot šos līdzekļus, jāapzinās, kādi dati jums ir apņemoties tiem. Tikai ierobežot to, ko jūs faktiski liekot tur. Tātad, mēs apzināmies, ka šie cilvēki, kuri sniedz par mums pakalpojumu internetā - šie Cloud pakalpojumu sniedzējiem - tie ir ieinteresēti jums nav tik droši, kā jūs, iespējams, varat. Tās mēdz darīt pieejamu tukša minimālais kopums, drošību, un tad ir ar citiem uzņēmumiem, kas ir obligāti, ka jums ir nepieciešams izvēlēties izvēlēties, lai ķekars. Gada atņemt šīs runas veids ir drošība ir kopīga atbildība. Tas ir starp jums un partneriem, ka jūs veicat - sadarbības partneri, kas jums veido. Jums ir nepieciešams uzņemties aktīvu lomu. Izvēlieties izvēlēties, lai to. Jūs zināt - to laiku, tagad, padarīt to drošāku. Alternatīva ir tur ir jau cilvēki, kas apstiprina un testēšana šie drošības faktorus pret jums, jo vairāk jūs varat izvēlēties, izvēlēties, lai labāk sagatavoti jums ir par iespējamo kompromisu. Un tā ir iespējama. 

Bet otrs faktors, domāt par ir, kā jau es teicu šie interneta puses, ka jums ir uzticības pilnas ar jūsu akreditācijas datus - ar savu identitāti. Es došu jums 2 analoģiju, Larry Ellison un Mark Zuckerberg - tie ir gan par ierakstu norādot privātumu ir lielā mērā ilūzija. Un ka no privātumu vecums ir vairāk nekā. Tas ir sava veida skumji apsūdzības, ka mums tiešām ir jāgaida par valdības solis, lai piespiestu šīs personas būtu drošāk, ieviest lielāku tiesisko regulējumu, jo, kad mēs cenšamies strādāt ar šie pārdevēji piemēram, dažiem no tiem Dropbox, piemēram, personām, tie ir uzņēmējdarbības pakalpojumu sniegšanu patērētājam. Tie nav tieši ieinteresēti, biznesa klases drošības kontroli. Patērētāji balsoja ar savu maku, un viņi jau ir pieņēmuši minimālo atzīmi. Ir pienācis laiks mainīt šo domāšanu. Tātad, kad mēs nodrošinām mūsu datu šīm pusēm, mums ir nepieciešams piesaistīt mūsu esošie trasta mehānismi, tāpēc mēs esam sociālas būtnes pēc noklusējuma. 

Tātad, kāpēc visi pēkšņi, kad mēs sāksim datus internetā mums tagad ir pieejamas tās pašas aizsardzību mēs darām personīgi? Tātad, ja es varu izlasīt savu ķermeņa valodu, kad es varu izvēlēties tīkls ar paziņu loku un arī šajā aplī izpaust tikai informācija, ka es gribu. Tāpēc mums ir piekļuve šai ķermeņa valodu, izteiksmes, lai vokalizēt, mums ir pieeja šīm identitātes tuvums aizsardzību kādā fiziskās atrašanās vietas, tie joprojām attīstās tiešsaistē. Mums nav tiem piekļūt, bet mēs sākam redzēt. Tāpēc mums ir šķautnes Facebook - piemēram - kā grupu. Mums ir pieeja lietām Google+ piemēram aprindās. Absolūti tos izmantot. Tātad, pēdējā lieta, ko jūs vēlaties redzēt, ir šajā vietā, jo īpaši ja jūs iet, lai iegūtu darbu, ir jums tagad ir daudz jūsu personības sabiedrībai. Un, ja kāds vēlas - ja viņi izvēlas - tas varētu būt daļa Uzņēmuma politika vai nē - tas noteikti nav daļa no Harvard's - bet viņi var izvēlēties veikt Google meklēšanu. Un, kad viņi to dara - ja Jums paredzēts - teiksim, kādu informāciju kas jums būtu grūtības stāv aiz - jūs esat izdarījuši sev lāča. Un tiešām, kā jau es teicu - šie sociālie uzņēmumi tie ir ieinteresēti padarot to sabiedrībai - jūs zināt, - viņiem ir nepieciešams, lai mīnu jūsu datiem. Viņi pārdod savu demogrāfijas un jūsu mārketinga materiālus, lai kāds. Gada analoģijas šajā telpā veids ir - ja jums nav jāmaksā par produktu tu esi produkts? Tātad izveidot lokus saviem draugiem, jābūt piesardzīgiem, ir centīgs, mēģiniet nav darīt visu publiski. 

Vēl viena analoģija Es darīšu ir gala lietotāja licences līgumus mainīt, viņi gatavojas jums pastāstīt, ko viņi var darīt ar jūsu datiem, un viņi gatavojas apglabāt to 50 lappušu klikšķi cauri. Un viņi var izvēlēties, lai mainītu to, un viņi tikai sūtīt jums ātri e-pastu. Bet jūs neesat jurists, tas ir ļoti daudz legalese. Jums jābūt piesardzīgiem par to, ko jūs darāt. Viņi var piederēt savas bildes, viņi var piederēt savu intelektuālo īpašumu. Jūs zināt - vienkārši uzdevums centību. Vēl viens piemērs Kongresa bibliotēka ir arhivēšanas katru čivināt zināms cilvēks. Viss. Reizi 10 gados aptuveni ķermeņa materiāls, kas tiek ģenerēts ar to, ka 10 gadu kontiem vai ievērojami apsteidz visu, ko mēs esam izveidots visā cilvēces vēsturē. Kongresa bibliotēka ir ieinteresēti saglabāt šo informāciju nākamajām paaudzēm, nākotnes arhivāru, nākotnes pētniekiem un vēsturniekiem, tāpēc viss, kas jums ir nodot tur ir tur. Tas faktiski padara milzīgu resursu kādā brīdī kad cilvēki sāk mīnu sociālās inženierijas vai sociālo tīklu vietnēs. Tāpēc saglabājiet informēta par aizsardzību pieejamo katru pieteikumu. 

Tur ir kaut kas es minēšu, kā arī, ir trešās puses rīku sauc Privacyfix, tā var pievienot tiesības uz kādu no šiem sociālo tīklu lietojumprogrammas. Un to var pārbaudīt, lai redzētu, kur jums ir attiecībā uz aizsardzību kas ir pieejami tiem, ja jūs varat izvēlēties, lai sprūdrata tos tālāk. Ir instrumenti, piemēram, Data Liberation Front no Google kur jūs varat izvēlēties eksportēt vai izraksta datus. Ir lietas, piemēram, interneta Pašnāvība Machine, kas piesakās uz uz dažiem jūsu profilu, un faktiski dzēstu katru atribūtu pa vienam, untag ik vienu asociācijas draugus savā tīklā būtu veikts. Un tas turpinās iteratīvi tīru visu par jums ka šajā vietā varētu zināt. Ja es varu tikai izmantot zināmu piesardzību arī tur, tur bija gadījums pāris gadus atpakaļ Vācijā, kur pilsonis nolēma izmantot savu brīvību informācijas tiesībām un lūgt Facebook, lai sniegtu kāda informācija viņiem bija par ierakstu par viņu, pat pēc tam, kad viņš svītro savu kontu. Viņi sniedza viņam ar CD ar 1250 lappuses ar informāciju pat ja viņa kontā teorētiski vairs nepastāvēja. Ir šajā vietā koncepcija daudz, ka daži no šiem dalībnieki būs saglabāt dažus datus par jums, ko darīt ar savu asociācijām un jūsu tīklu. Viņi saka, ka viņi nevar būt kontroli pār to, kas ir mazliet stiept, manuprāt. Tie rada šos ēnu kontus - ēnu personas. Tikai jābūt uzmanīgiem. Ierobežo to, ko jūs varat. Uz reālu ierīci līmenī, ja jums ir tikai runā par - jūs zināt - aparatūru - jūsu viedtālrunis, tabletes, Jūsu darbstaciju, jūsu klēpjdators, varbūt serveris, kas jūs esat atbildīgi. 

Jūs esat dzirdējuši par jēdzieniem, piemēram, darbības, sistēmas atjauninājumi, lietojumprogrammu atjauninājumus, antivīrusu, jūs esat dzirdējuši par lietām, piemēram, ugunsmūri, diska šifrēšana, un atpakaļ uz augšu. Viena lieta, jums ir jāzina, ir tas, jums nav dzirdēt par tās veida aizsardzību, kas mobilo tālruņu telpā. Tie ir tikpat jutīgas pret tiem pašiem draudiem. Mums bija - es gribu teikt - miljons smartphones būs aktivizē šī mēneša beigām. Tas ir ievērojami apsteigusi - īsā laika sprīdī, kas tie ir bijuši pieejami, kas ir ievērojami apsteidzis pieaugumu PC, laptop, darbstaciju tirgū. Bet mums nav pieejamas tās pašas kontroles, un es runās par to drīz. Tātad, pirms mēs nokļūt uz mobilo tālruni telpā parunāsim par kas ir pieejams tur, ka es tikai īsumā gāja pāri. Tātad antivīrusu programmatūra - šeit ir dažas brīvas izvēles. Microsoft sniedz prom viņu - jūs zināt - Sophos dod prom viņu OSX, kā arī Plāksteris datoru - tikai jāapzinās, neatkarīgi no jūsu pārdevēja Pašreizējais plāksteris līmenis ir, un jums nevajadzētu būt nozīmīgs delta no tā. Ir jauks rīks no uzņēmuma sauc Secunia. Un Secunia darbosies fonā, un tas jums pateiks, ja tur ir atjaunināti pieejami, un, ja jums ir nepieciešams to piemērot. 

Ieslēgt automātisko atjauninājumus - gan Apple un Microsoft ir dažas aspekts. Viņi jūs brīdināt, ka ir pieejams atjauninājums. Un Secunia - jūs zināt - ir sava veida jauku drošības tīkls, lai būtu tik labi - krist atpakaļ mehānismu. Pēc uzņēmējas slānis - nesaņemu smartphones vēl. Ugunsmūra dzimtā ar operētājsistēmu. Ir daži par Windows informāciju no vienas OSX. Pārbaudi savu ugunsmūri, ne tikai atstāt to tur, un domāju, ka tā ir droša mehānisms. Uzņemties aktīvu lomu, tur ir pieteikums, ka no GRC - Steve Gibson. Wi-Fi drošību šajā vietā - tas var arī pieteikties uz viedtālrunis un tablete - kad esat izvēloties iet uz ceļa, jums ir jāapzinās ka tur ir dažādas klases bezvadu tīklu. Un jo īpaši nav izvēlēties visbiežāk pieejamo vienu. Tas varētu būt zemas izmaksas, bet tur varētu būt iemesls tam. Varbūt tie ir ieguves savus datus. Mēs redzam, tas vairāk, ja esat ceļojumā starptautiski. Ir daži patiešām ļoti efektīvas kibernoziegumu noziedzīgu sindikātu kas spēj piesaistīt to, ko mēs parasti redzam nacionālo valstu "spiegošanu. Faktors, ja tie ir tieši injicējot sevi tīkla plūsmā. Viņi ir atstājuši lietas no turienes ārā, un tie ir injicējamo pieteikumus uz jūsu darbstacijas. 

Tas ir - cits aspekts, ka es zinu, tika minēts dažos no šiem drošības semināri - vai ne semināri CS50 semināri - ir instruments, ko sauc Firesheep. Un Firesheep bija īpaši uzbrukums, kas mobilo tālruni telpas kur daži no šiem sociālo tīklu pieteikumu sūtīja akreditācijas vienkāršā tekstā. Un tas bija diezgan bieži pieņemts, jo visi tajā laikā domāju, ka nav bijis patēriņa telpā par to apetīti, ka, lai izmantotu lielāku spēku šifrēšana nozīmēja izpildes slogu uz servera, tāpēc, ja viņi nav to darīt - viņi negribēja. Un tad visi pēkšņi, kad šis drošības pētnieks, kas uzbrukums niecīgs ļoti ātri - jūs zināt - mēs sākām redzēt, ka veida uzlabojums, ka ikviens drošības telpā bija ir sūdzaties par ilgāku laiku. Tātad - jo īpaši - Firesheep varēja iegūt Facebook, Twitter akreditācijas no Wi-Fi plūsmas. Un tāpēc, ka tas bija teksta, un viņi varēja injicēt. 

Atkal, ja jūs gatavojas izmantot Wi-Fi izvēlēties izmantot vienu, ka ir pietiekami aizsargāts - WPA2, ja varat. Ja jums ir izmantot nešifrētu Wi-Fi - un it īpaši es runāju ikvienam, kas izmanto Harvard University bezvadu - Jūs varat domāt par izmantojot VPN. Es ļoti iesakām to. Citi faktori, jūs varētu vēlēties, domāt par ir, ja jūs neuzticaties Wi-Fi kas jums ir, jūs varat, lai ierobežotu izmantošanu. Vai nav darīt jebkuru e-komerciju, nav darīt jebkuru banku. Nelietojiet piekļūt jūsu universitātes akreditācijas datus. Ir liela uzvara šajā vietā, ja kāds tas nozagt jūsu akreditācijas - jūs zināt - vai tie ir jūsu mobilo tālruni? Tātad - jūs zināt - tas ir vēl viens faktors, ka viņi var nebūt nolaupīt vai tikai padara viņu uzbrukums sarežģītāka. Šifrētu jūsu cietā diska. Mēs esam laikmetā, tieši tagad - šifrēšana izmanto, lai būt liels galā, pirms 10 gadiem. Tā bija ievērojama darbības ietekmi. Tas vairs nav - patiesībā - lielākā daļa no mobilajiem tālruņiem un ka stuff veida viņi dara to aparatūru, un jums nav pat paziņojums - sniegums ir tik niecīgs. 

Ja jūs runājat par darbstaciju, mēs runājam par BitLocker. Mēs runājam par File Vault, lai tā - to laiku tagad. In Linux telpā acīmredzot True kapenes var strādāt visā gan no tiem. Jūs varat domāt par to - ar Linux telpā - ir dm kapenes, ir Luxcrypt - tur ir citas iespējas ķekars - arī True kapenes. Cita ātrs veids, kā pasargāt sevi pie darbstacijas līmenī dublēt jūsu cietā diska. Un viens neliels rieva šeit - tas nav pietiekams, lai izmantotu kādu no šie Mākonis sinhronizācijas pakalpojumu sniedzējiem, lai Dropbox vai G-Drive vai kaut kas cits Tas nav atpakaļ uz augšu risinājumu. Ja kāds izdzēš kaut uz vienu no šīm ierīcēm jo viņi ievieto sevi kaut kā tas notiek - ka dzēšana izpaužas atkārtot visā jūsu persona. Tas nav atpakaļ uz augšu, tas ir tikai izplatīšanās mehānisms. Tāpēc ir labi, lai būtu atpakaļ uz augšu risinājumu. Ir daži ieteikumi šeit, lai daži cilvēki, daži no tiem ir bezmaksas - kapacitāte bāzes - 2 gigs atpakaļ uz augšu - jūs varat darīt to. Ja jūs izmantojat universitāte G-pasts - universitātes Google koledžā un sadarbību, G-Drive ja tas nav jau - tas būs pieejams drīz. Tas ir labs nomaiņu. Mēs arī apskatīt šos, piemēram, Mozy Home lietām. Tas ir labi, lai ir 2 risinājumi. Nav visas savas olas vienā grozā. Ja Jums ir realizēt kaut vai pat, ja jums ir procesā sūtīt kaut ko konfidenciālu - Daži ieteikumi šeit droši dzēst ierīci. Darik s Boot un Nuke - tas ir sava veida vairāk par IT gudriem. Jūs varat domāt par to vienkārši dod to uz kādu no šiem komerciālo pakalpojumu sniedzējiem, ja varat. 

Šifrējot e-pastu - ja Jums ir - tur ir daži par universitātes pilsētiņā pakalpojumi sauc Accellion, jums ir off-Campus vai personīgai lietošanai es ieteiktu Hushmail. Mēs redzēt to daudz izmanto svilpi ventilatoru, tas ir viens no galvenajiem mehānismi WikiLeaks kā arī Tor un dažās citās ekvivalentu. Un - tagad runāt par tālruņa līmenī - tā problēma šeit ir tur ir nav, ka daudz no ēstgribas vēl. Diemžēl lielākā daļa smartphones un tabletes operētājsistēmām tās pamatā joprojām ir daži principi, ko mēs redzējām 1990. Viņi nav īsti iekļauti daži uzlabojumi ka mēs redzam pie darbstacijas līmenī. Viņi nedara siltuma aizsardzību. Tie nav darīt - jūs zināt - slāņa randomizācijas. Tie nav darīt adrese aizsardzību. Viņi nedara izpildīt aizsardzību - šāda veida stuff. Bet arī pašas ierīces, ko defacto nav nāksies kādu beigu punkts drošības iebūvēta tajā. Tātad, mēs sākam redzēt šīs pārmaiņas - atkal - lielākā daļa viedtālrunis ražotāji - Android, Apple un Windows - apetīte tikai tur nebija, kritērijs bija Blackberry. Bet Blackberry ir sava veida zaudējusi savu vilces tirgū šajā brīdī. Un Apple ir tiešām jāiejaucas Apmēram 2 gadus atpakaļ tur bija pavērsiena brīdis, kad viņi sāka būvēt daudz vairāk uzņēmumu veida kontroli. Un - tiešām - augustā viņi prezentāciju Def Con, kas bija tikai nedzirdēts. 

Tāpēc viņi darīs minimālo kontroli, ko es aprakstītas. Viņi darīs stipru paroli, tie būs darīt ātri, lai šo paroli uz idle - ierīce - jums aizmirst par to un pēc 15 minūtēm tas aktivizē. Viņi darīs šifrēšanu, un viņi arī darīt to, ko sauc par attālās noslaukot. In Android un Windows telpas tie joprojām TBD - jānosaka. Android ir pieejami daži pieteikumu sauc Prey un Lookout. Un patiešām daži no gala punktu drošības līdzekļi, piemēram, Kaspersky es zinu to dara. Es zinu ESET to dara, kā arī Tie ļaus jums nosūtīt SMS tekstu un iztīrītu ierīci. Windows tālrunis šajā brīdī tas ir galvenokārt orientēta uz korporatīvais stils - tas, ko sauc apmaiņu. Exchange ir stabila pasta infrastruktūru, un tas var pilnvarot kādu no šīm pārbaudēm. Windows 8 vienkārši nosūtīti pagājušajā nedēļā, tāpēc es nevaru runāt, ka galīgi. 6.5 logi bija liels drošības ierīci. Windows 7 Mobile bija katastrofa, tie nav padarīt visus šos vietējos kontroles obligāta pāri dažādiem pārdevējiem. Tātad jums bija ratificēt katru Windows Mobile 7 tālruni vienā laikā. 

Android - tā 3,0 telpa ir bijusi būtisks uzlabojums, kā arī. Šūnveida, Ice Cream Sandwich, Jellybean - viņi atbalstīs šo minimālo kontroli, un tiešām viņi būs atbalstīt dažus no uzņēmuma vadības, ka jūs varat darīt, kā labi. Savu personīgo kontu telpā ir Google personisko sinhronizācijas, ka Jūs varat iespējot, ja jums ir savs Google vietas, kā arī. Tātad, ko jūs darīt, ja tas viss iet briesmīgi nepareizi? Un, ja tas iespējams, - vēl viens no šīs takeaway tiešām ir tad, kad - tas nav, ja. Tas ir gatavojas notikt ar mums visiem, kādā brīdī. Ko jūs varat darīt? Tātad, ko jūs varat darīt, - un ir slaids - nākamo slaidu norādīt jums dažus FTC resursu par to, bet absolūtu minimumu vietu krāpšanu brīdinājumu par jūsu kredītkartes. Ja es varētu mudināt, lai jūs domājat par to, kad jūs izmantojat kredītkarti jo tiešsaistes statusā - atkarībā no darījuma jūs veidošanā debetkartes - spēja pieprasīt vai spēju atsaukt krāpniecisku prasība pret debetkarti faktiski ir daudz mazāks logs, nekā tas ir par kredītkarti. Tātad, kad jūs saņemsiet savu ziņojumu par debetkarti jums ir tikai dažas laika posms, - un tas ir ļoti zems - informēt banku par krāpniecisku darījumu. Kredītkartes tas ir daudz lielāks, tur mēdz būt ierobežojums līdz apmēram $ 50,000 pirms viņi tiešām varētu atmaksāt jums. Tātad tas ir diezgan daudz naudas, viņi bumped to uz augšu no apmēram $ 13.000 vai $ 18,000 tur pavisam nesen. Tātad - jūs zināt - kad jūs domājat par izmantojot kredītkartes tiešsaistē, Jūs varat domāt par izmantojot top up karti vai vienreizējās kredītkarti, ar rakstītājs karti? 

Ja jūs redzat kaut ko - un es jums parādīs, kā jūs varat piekļūt drīz - slēgt jebkādu krāpniecisku kontiem, ja esat informēti par to. Failu policijas ziņojumu, ja jums ir par Campus. Aizsniegt HUPD - ļaut viņiem zināt. Padomājiet par identitātes uzraudzības dienests. ja kā daļu - ja jūs saņemt apdraudēta - Jums var būt nepieciešams - tās var finansēt identitātes aizsardzības dienestam. Ja tās nav, varbūt jums vajadzētu darīt. Vāc un glabā visus pierādījumus - it īpaši ņemot vērā diskusijas esat bijusi ar jebkādiem noziedzīgiem iestādēm īpaši apdrošināšanas mērķiem. Mainīt visas jūsu paroles. Mainīt atbildes uz jebkuriem drošības jautājumiem, kas var tikt izmantoti, lai atjaunotu savu paroli. Atslēgt visas iepriekšējās identitātes pakalpojumus. Tātad, ja jums ir atkārtoti jūsu Facebook kontu, lai pieteiktos uz čivināt vai otrādi, pauze, ka, ja kompromisa iesaistīts jūsu e-pasta kontu pārbaudiet, lai redzētu, ja kaut kas tiek nosūtīts. Jo pretējā gadījumā tie joprojām var piekļūt jūsu datiem. Un, ja zādzība ir jūsu Harvard kontu, lūdzu, informējiet IThelp@harvard.edu. Es nevaru apgalvot, ka nepietiek, bet arī jo īpaši tad, ja ierīce kļūst nozaudēta vai nozagts un tas bija piekļuvi jūsu universitātes datiem, un, iespējams, jums nebija dažas no šāda aizsardzība ir attiecīgās, lūdzu, dodiet mums zināt - HUPD un IT palīdzības Hārvardā. 

Tā saite, ka es tikko minēju, ka tērēta, ka ar sīkāk FTC.gov / identitytheft. Postal Service ir arī dažas krāpšanu vai identitātes aizsardzības pakalpojumus - jūs vienkārši ielieciet turēt vai par kredītkartēm pieturas iet cauri, vai, piemēram, ka stuff. FBI ir saite, kā arī, tas ir ar slaidiem norāda, ka es nosūtīts out. Un tiešām Massachusetts Better Business Bureau, un Patērētāju aizsardzības birojs ir daži norādījumi, kā arī, tas ir piezīmēs. Veikt laiku tagad, lai sevi apzinās par to, ko jūs varat darīt, un veikt pasākumus. Princips - kā jau iepriekš minēju - ir, ja jums nav plānu jūsu identitāte tiek nozagts, jums uzreiz būs pakļauta daudz darba, kad tas notiek, un tas ir tad, kad. Bet pat tad, ja jūs šo piesardzības pasākumu - ļaujiet man vienkārši pievienojiet neliela vārds piesardzīgi - nav plāna izdzīvo pirmo saskari ar ienaidnieku. Tātad, pat, ka mēs joprojām domāju, ka var būt dažas gāšanu - jūs zināt - jūsu bankas, piemēram, kas jums ir iebūvēts visus šos aizsardzību apkārt viņi var saņemt apdraudēta; šie uzticami partijas, kas jums ir dota jūsu datus. Tātad jums ir jūsu pašu labākā aizsardzība. Jūs zināt - jāsaglabā modrība - saglabā modrību. Veikt laiks, tagad izvēlas izvēlēties, lai šie, cerams, ka socializēt tas, konsultējieties ar to ar saviem draugiem. Pick labu paroles, izmantot unikālas paroles jūsu kontiem. Un nav atkārtoti paroles - jo īpaši - ap dažām Jūsu jutīgākas aktīvi, neizmantojiet savu universitātes kontu citur. Nelietojiet jūsu kredītkartes konta citur. Paroli aizsargāt savu mobilo ierīci tagad. Un ar mobilo ierīci, es domāju viedtālrunis, es domāju tableti. 

Padomā par to, izmantojot labas drošības reset jautājumiem, un es būs runāt par tas drīz kāpēc, pārbaudiet savas kredītkartes ziņojumu. Vēl viens veids, ka jūs varat būt labs pilsonis šajā vietā ir valdība piespieda 3 aģentūras Experian, TransUnion un Equifax atbrīvot kredīta ziņojumus. Attiecībā uz dažiem no Hārvardas sabiedrības, it īpaši studentu telpā, tas varētu būt jauns, lai viņiem, bet jums ir atļauts, lai vilktu tos aģentūrām, vismaz reizi gadā. Laba piesardzību - doties uz šo vietu, tas ir pieejams no vienas FTC. Un darīt to ik pēc 4 mēnešiem vietā, un jums ir iespēja, lai saglabātu tabs par to, kurš ir pasūtīti pieprasījumus jūsu kredītkartes informāciju, vai pat tad, ja kāds atver jebkādu krāpniecisku kontus. Un - vispār - norādījumi ir jāapzinās. Un es esmu gatavojas sniegt jums konkrētu piemēru drīz, bet tas būtībā ir gaļa un kartupeļi no diskusijas. 

Tātad, kāpēc tas ir svarīgi tieši tagad ir vasarā tur bija džentlmenis sauc Matt Honan - ja jums ir, kas tur liels paldies par to, lai gaidāmā ar savu informāciju. Bet kas notika ar Matt ir strādājis Wired Magazine, un daži cyperhacktivists sekoja savā Twitter kontā. Un viņi izmanto kādu no šiem resursiem, - daži no šīs publiskās Persona ka viņš ir veicis pieejami. Un viņi uzcēla karti, viņi zināja, kur, lai uzbruktu un kad. Tātad no tā viņi sāka šķēle un dice informāciju, ka viņš ir darījis pieejami, un viņi konstatēja, ka viņš bija Gmail kontu. Tātad viņš bija, izmantojot mazāk nekā gudrs paroli uz savu Gmail, un viņam nebija nekādas vairāku faktoru autentifikāciju par to. Tāpēc viņi apdraudēta viņa Gmail, kad viņi bija piekļuve viņa Gmail viņi redzēja visus šos citus kontus, ka viņš bija pieslēgts viņa Gmail. Patiešām, tie bija pieejami visa viņa visu Gmail vai Google persona. Un - jo īpaši - viņi sāka pamanīt, ka viņš bija Amazon kontu jo tur bija daži e-pasti tiek ziņots viņam. Tātad viņi dabūja par viņa Amazon, un viņi ieguva uz viņa Amazon , tikai atiestatot savu paroli, jo tas devās uz savu Gmail. Viņam nebija - viņš veida bija domino efektu vai akreditācijas aprēķinot ķēžu notiek šeit ja reiz viņi ieguvuši savu Gmail viņiem bija atslēgas valstībā. Tātad, kad viņi ieguva uz viņa Amazon - un tas vainas dēļ bija šiem citiem puišiem - tas bija - jūs zināt - Matt nebija izvēlējies izvēlēties, lai šajos drošāku mehānismiem ka tikai šie cilvēki bija pieejami un visi šie interneta avotiem. 

Tātad, kad viņi ieguva uz viņa Amazon viņi varēja piekļūt - tā nav parādīt viņiem viņa kredītkartes, taču tas parādīja viņiem pēdējie 4 cipari tikai tāpēc viņš zināja, kas tas bija, tas parādīja viņiem savu piegādes adresi. Tā parādīja viņiem kādu citu informāciju, kas viņam darīts par dažiem pasūtījumiem. Un tad no tā viņi nolēma uzbrukt viņa Apple kontu. Un viņi sociālās inženierijas Apple palīdzības dienestu. Apple nevajadzēja darīt, bet, pamatojoties uz šo informāciju, viņi varēja mīnu no pārējiem 2 kontiem. Jūs zināt - pie palīdzības dienestu puisis, iespējams, domāja, ka viņš ir labs pilsonis - jūs zināt - es esmu to noderīga, tur ir Apple klientu kas pastāv, kas ir iesprostoti tur par savu, un man ir nepieciešams, lai palīdzētu viņam. Bet tas nebija īsta Apple klients. Tāpēc viņi reset savu Apple kontu, un viņi nosūtīja informāciju Gmail. Kad uzbrucēji bija piekļuvi viņa Apple kontu Matt bija visas viņa nodomi saistīts savā iCloud, un viņi sāka izsniegt nepatiesas liecības kopas un noslaukot visu. Atkal, viņš tikko bija viņa dati pavairots; viņš, izmantojot iCloud kā sinhronizācijas mehānismu. Tad, kad viņi dzēsti tas viss gāja sprādziena. Viņi joprojām bija pieeja šajā brīdī viņa Twitter kontu, kas ir tas, ko viņi bija mēģinājis uzbrukt. Es nezinu, vai viņi izmantoja Maltego vai kādu no šiem citiem mehānismiem veidot no savu interneta personību, bet - jūs zināt - kas dažu Protams, viņi ieguva piekļuvi 4 dažādas nacionālas identitātes pakalpojumus pirms viņi ieguva viņa čivināt, un tas maksā Matt - Matt bija diezgan laimīgs, viņš redzēja, tas notiek tāpēc, ka viņa bērni nāca pie Viņa kad iPad bloķēta pats izslēdzas. Un viņi teica - jūs zināt, "Tēt, ir kaut kas notiek ar iPad." Un Viņš aizvēra viss uz leju, jo viņš pamanīja, ka bija noticis visur. Un viņš sāka aicināt Apple, lai redzētu, kas ellē tikko bija noticis. Un Apple patiesi domāja, ka tur bija kaut kas notiek ka iCloud bija devusies negodīgiem līdz brīdim, kad viņi izpētījuši, - viņš tiešām sapratu, ka tie bija sūtīt informāciju, un viņi sāka viņu saukt par nepareizu vārdu. Tāpēc, ka Apple bija uz faila informāciju, ka uzbrucējs bija sagraut. 

Labi - lai ir sava veida informāciju, ka mēs izmantot, lai izveidotu šo veida labākās prakses, mēs izmantojam to kā daļu no veselā virknē semināri līdz oktobrim - Valsts kiberdrošības Izpratnes Mēnesis. Tā ir pieejama jums puiši. Es pārliecinieties, ka es nosūtīja to noteikti Wiki, kad Deivids padara to pieejamu arī man. Bet tur ir padomi un norādījumi, kas tur daudz granularly nekā Es esmu spējīgs apkopot šajā īsajā laika sprīdī man ir pieejami. ap to, ko sauc par, Mākoņains Chance of Identity Theft: Picking Good lietotāju vārdus un paroles. Vai tas kādreiz nav sociāls? Un atbilde ir nē, tas vienmēr ir sociālā, bet jums ir jāapzinās, ko tas nozīmē. Un tas ir Spītnieces lauvas, tīģeri, un logiem, kas ir apmēram sacietēšana operētājsistēmas ar kādu informāciju mēs devāmies uz šodienu. Un pēdējais bija par to, ir ierīce, Will Travel lai runātu par notiekošo mobilo ar šiem veida datu avotu. Tātad, izņemot tad, ja jums ir kādi jautājumi manu e-pasta adrese ir tur, un, ja kāds telpā ir kādi jautājumi, lūdzu, paceliet roku. Izņemot to, ka es esmu gatavojas, lai pārtrauktu ierakstīšanu. Labi. Darīts. [CS50.TV]