[Powered by Google Translate] [Seminar: Hidup Internet] [Esmond Universiti Kane-Harvard] [Ini adalah CS50.-CS50.TV] Hello, dan selamat datang ke "Hidup Internet." Ia adalah salah satu seminar yang terdiri daripada sebahagian daripada kurikulum ini CS50. Nama saya Esmond Kane. Nama saya dan alamat yang berada di dek slaid di hadapan anda. Ia adalah esmond_kane@harvard.edu. Dalam kerja hari saya Saya salah seorang pengarah keselamatan IT untuk HUIT, tetapi saya perlu mengakui hari ini bahawa saya pada misi jauh itulah sebabnya saya memakai baju merah. Ini tidak akan terdiri daripada apa-apa yang boleh dikaitkan langsung kepada kerja hari saya, jadi ini bukan mengenai keselamatan IT untuk Harvard. Ini adalah lebih banyak maklumat hanya peribadi, ini adalah bagaimana apabila you're - ini adalah jenis kemahiran yang anda akan memperoleh untuk mencuba dan membantu anda keras stesen kerja anda dan persekitaran anda sepanjang kerjaya anda. Tetapi apa-apa yang saya menyebut hari ini hendaklah digunakan untuk mana-mana anda bahan universiti, pelayan anda, atau stesen kerja anda tanpa menghubungi tempatan anda sokongan IT. Dan sesungguhnya jika saya menyebut apa-apa permohonan atau mana-mana kejadian sebagai sebahagian daripada ceramah atau perbincangan itu tidak melaporkan apa-apa yang saya bernasib baik untuk melaporkan. Ia biasanya awam Dan tidak apa-apa memang perlu menyebut apa-apa permohonan membayangkan apa-apa sokongan melalui Harvard atau sememangnya mana-mana kutukan. 

Jadi hari ini mengapa kita berada di sini - sekarang bahawa kita dilakukan dengan penafian - kita berada di sini hari ini untuk bercakap tentang hidup Internet. Dan mengapa ia seperti satu topik yang penting sekarang? Jadi, untuk parafrasa Perry Hewitt yang bekerja di Akhbar Harvard dan pejabat Komunikasi - Saya memohon maaf untuk membaca hak ini sekarang - dia telah berkata, "Kita hidup dalam suasana risiko yang semakin meningkat, tetapi juga salah satu inovasi yang sukar ditandingi. Peningkatan pesat Internet, Awan, dan teknologi sosial telah menyebabkan lebih ramai orang mempunyai profil awam dalam talian dengan sesungguhnya akses kepada pelbagai semakin meningkat maklumat. Dan itu bererti bahawa semua orang dan persatuan mereka tidak pernah lebih jelas. Sebagai jejak digital Harvard - rangkaian digital berkembang, kita menarik penonton yang lebih luas. Kami berharap untuk kebaikan, tetapi kadang-kadang kita akan menarik perhatian negatif. Jadi sebagai wakil Harvard, "dan ini termasuk semua orang menonton di rumah atau sememangnya sesiapa di sini, "fakulti, pelajar, kakitangan kami, penyelidik kami, risiko kompromi kepada anda dan sememangnya rangkaian yang berkaitan anda tidak pernah lebih tinggi. " 

Jadi sering dalam keselamatan maklumat apabila kita cuba untuk mengimbangi ini risiko ia adalah satu perdagangan yang rumit off antara keselamatan dan pengalaman pengguna. Dalam era mendesaknya kita perlu membuat keputusan yang bernas tentang apa yang akan meningkatkan keselamatan tanpa kesulitan besar. Kita diberitahu kadang-kadang satu auns pencegahan bernilai dua kali penawar, tetapi apabila memilih untuk melaksanakan langkah-langkah keselamatan untuk mengurangkan risiko kita perlu mengakui bahawa ia tidak akan mengurangkan risiko yang berpotensi untuk sifar. Jadi yang berkata - kita berada di sini hari ini untuk membincangkan beberapa mudah dan tidak begitu mudah langkah berjaga-jaga keselamatan yang boleh diambil sekarang. Saya juga perlu menambah - jika anda mempunyai sebarang soalan sepanjang persembahan hanya mengangkat tangan anda. Jadi topik pertama - kita sering diberitahu untuk memilih kata laluan yang baik. Kata laluan adalah pertahanan pertama dan terbaik anda. Ia sering satu-satunya yang disediakan untuk anda apabila anda memilih untuk menggunakan sumber dalam talian. Tetapi seperti yang kita lihat sepanjang musim panas ini dan sememangnya tahun sebelumnya kita telah melihat serangan seperti LinkedIn, eHarmony. Kami telah melihat RockYou. Kami telah mempunyai beberapa jumlah 70 juta kata laluan dan akaun dikompromi. Dan apabila orang-orang kata laluan telah dilepaskan ke dalam domain awam mereka juga terdiri hash kata laluan. 

Jadi, pada asasnya hari ini jika seseorang mendapatkan semula satu sarang akaun mereka tidak perlu untuk memecahkan kata laluan lagi;. mereka tidak perlu kekerasan kata laluan kerana mereka mempunyai harta ini besar maklumat yang dikeluarkan pada apa yang orang memilih. Mereka sudah mendapat data tingkah laku di fikiran apa yang orang cenderung untuk menggunakan. Dan mereka telah melanggar yang turun ke senarai kira-kira seribu kata laluan yang terdiri daripada hampir 80 hingga 90% daripada kata laluan yang kita pilih dalam penggunaan biasa. Jadi contoh yang cepat - sesiapa ingin bahaya apa yang anda fikir Bashar al-Assad yang digunakan untuk kata laluan apabila ia telah terjejas tahun lepas? Ini adalah seorang lelaki yang tertakluk kepada penelitian sengit. Dan kata beliau adalah 12345. Okay - jadi ini adalah pengajaran yang kita telah belajar, kita perlu bergerak luar hanya memikirkan kata laluan. Kita diberitahu untuk mula menggunakan frasa pas. Terdapat komik besar dari atau sememangnya komik web dari Randy Monroe yang masuk ke dalam memilih frasa lulus, dia menggunakan - Saya mahu berkata - bateri, pokok, had atau sesuatu seperti itu - anda tahu - hanya - atau sememangnya ada jenaka bahawa seseorang yang dipilih Goofy, Nemo, Pluto - semua ini watak yang berbeza dan London kerana dia diberitahu memilih 8 aksara dan modal. Tetapi - jadi kita belajar kita perlu berfikir di luar hanya kata laluan. 

Terdapat sebenarnya Ezine di Boston dipanggil Ars Technica. Terdapat seorang lelaki yang dikenali sebagai Dan Goodin yang melakukan satu siri pada ini skop berubah - sama ada dari penyerang ruang di mana kita mempunyai harta besar-besaran untuk kita sama ada fikiran kita tidak lagi perlu untuk menjana barangan melalui jadual pelangi; kita mempunyai 70 juta kata laluan. Tetapi juga kita telah mempunyai - anda tahu - Pandangan yang berubah dalam sebenar keretakan ruang kerana kad GPU telah dibuat ini hampir dekat masa sebenar. Dan ada seorang lelaki di Def Con pada bulan Ogos yang diletakkan bersama-sama 12 kad ini ke dalam PC komoditi. Dia selama kira-kira $ 2,000 atau $ 3,000, dan dia mampu untuk memecahkan yang karun LinkedIn di - anda tahu - dekat masa sebenar. Ia agak menakutkan. Artikel Dan Goodin ini - Saya sangat mengesyorkan jika anda mahu pergi membacanya. Seorang lelaki yang dikenali sebagai Sean Gallagher - pagi ini - juga menerbitkan update cepat ke atasnya; banyak kerja mereka yang dibina di atas - daripada bahan yang boleh didapati daripada Bruce Schneier, tetapi juga dari Cormac Herely daripada Microsoft Research. Mereka jenis yang dinyatakan kira-kira 5-6 tahun yang lalu bahawa kita perlu mula berfikir di luar kata laluan. Cadangan yang pada masa itu adalah perkara-perkara seperti frasa pas, muka gestural - yang jenis barangan. Anda tahu - jika sesuatu yang anda tahu tidak lagi mencukupi pada ketika ini; yang merupakan salah satu perkara yang saya mahu untuk berkomunikasi hari ini. Jika anda perlu menggunakan kata laluan, janganlah kita malu dalam menyatakan anda harus masih memilih satu yang baik, ia perlu diharapkan sesuatu yang melebihi 10 aksara. Ia perlu berbeza-beza antara huruf besar dan huruf kecil. 

Saya sangat menggalakkan anda untuk tidak menggunakan semula kata laluan. Saya boleh bercakap dengan beberapa keadaan di mana kita telah melihat akaun mendapatkan dikompromi dan seseorang hopped dan dilangkau - kesan domino. Mereka melombong setiap akaun pada setiap peringkat dalam proses ini data, dan kemudian mereka meneruskan untuk menggunakan bahawa data yang mereka dilombong di setiap keadaan terhadap sumber tauliah lain. Jadi - lagi - memilih kata laluan yang baik. Jadikan ia unik. Anda mungkin mahu untuk berfikir tentang menggunakan perkhidmatan pengurus kata laluan. Terdapat orang-orang yang di luar sana dari - mereka semua di kedai-kedai app. Terdapat satu OnePass dipanggil, KeePass, LastPass - ia adalah cara yang bagus untuk itu untuk membantu anda membuat kelayakan unik, kelayakan yang kuat, tetapi juga memudahkan arkib dan menyimpan rekod untuk anda. Sisi ke yang anda perlukan untuk membawa ke kedai kata laluan; anda perlu memastikan bahawa pengurus kata laluan yang anda mempercayai layak amanah anda juga. 

Jadi pastikan orang-orang lelaki juga menggunakan beberapa mekanisme kata laluan yang sah. Khususnya yang saya akan menyebut sekarang adalah pengesahan pelbagai faktor. Jadi pengesahan pelbagai faktor - dan terdapat beberapa keadaan saya akan pergi melalui lama - Ia adalah suaimanfaat mudah mengambil sesuatu yang anda tahu seperti anda Nama pengguna dan kata laluan anda dan menambah ia - anda menambah satu lagi faktor. Maka faktor pertama yang kita akan menyebut hari ini adalah orang-orang ini atas papan. Ia adalah sesuatu yang anda mempunyai harta benda anda, supaya sama ada permohonan yang sedang berjalan pada telefon pintar anda atau sememangnya pada telefon anda sendiri. Dan anda mungkin tidak dapat menerima teks SMS. Berhati-hati jika anda melancong ke luar negara yang tidak semestinya akan mengikuti anda. Sesuatu permohonan boleh bekerja lebih dalam hal itu. Atau sememangnya faktor lain yang anda mungkin mahu untuk berfikir tentang sesuatu yang anda berada. 

Sekarang ini masih sejenis sangat skunkworks. Kami tidak melihat terlalu banyak penggunaan itu. Ini adalah - anda tahu - gaya Misi Mustahil - anda tahu - cetak urat anda, cap jari anda, cetak retina anda. Mereka adalah jenis keluar lagi, mereka tidak benar-benar faktor pengesahan yang sah. Kita lihat - apabila saya bercakap kepada rakan-rakan keselamatan saya - lebih banyak tekanan yang anda diletakkan di atas papan kekunci, menaip corak tertentu anda, mungkin secara langsung di kaki langit - lebih banyak lagi daripada ini pengenalan biometrik yang lain. Tetapi orang-orang yang hari ini adalah aplikasi atau teks SMS atau bahkan hanya e-mel jawapan cabaran yang anda akan mendapat untuk mengesahkan bahawa anda sebenarnya memilih untuk log masuk pada masa ini. Jadi, terdapat pautan di sana, saya telah dihantar keluar dek slaid pagi ini. Ia akan berada di Wiki. 

Kedua-dua Gmail dan Google melakukan ini, Yahoo akan melakukannya. Paypal telah ia; Paypal juga mempunyai kunci perkakasan sedikit sebenar yang tidak sebilangan berputar. Tetapi anda juga boleh memilih untuk menggunakan nombor telefon. Facebook juga tidak log dalam kelulusan, jadi anda memilih untuk meluluskannya, mereka juga berusaha ke arah lebih sah kekuatan keselamatan keras. Dropbox mempunyai pengesahan 2 langkah dan juga, anda juga boleh hanya membeli perkakasan utama untuk mereka. Kita juga melihat dalam satu Gmail atau Google satu, banyak orang yang sebenarnya bersama-memilih pengesah Google, jadi - misalnya - Saya menggunakan LastPass - ia tidak bermakna apa-apa pengesahan - tetapi mereka boleh menggunakan semula Pengesahan 2 langkah Google supaya bermakna saya tidak perlu berjalan-jalan dengan 2 aplikasi pada telefon bimbit saya. Tetapi juga pengkomputeran penyelidikan di Harvard atau menggunakan analogi untuk pengesahan 2-langkah Google kerana kata laluan satu masa algoritma telah sumber terbuka terdapat kira-kira 10 tahun yang lalu. Apa-apa soalan? Baik. 

Jadi satu lagi pertimbangan faktor di luar kata laluan adalah apabila anda berada menggunakan sumber-sumber sedar apa data anda telah melakukan kepada mereka. Hanya mengehadkan apa yang anda sebenarnya meletakkan di sana. Oleh itu, kita sedar bahawa orang-orang yang menyediakan perkhidmatan untuk kita di Internet - pembekal Awan - mereka mempunyai kepentingan dalam anda tidak seperti selamat kerana anda berpotensi boleh. Mereka cenderung untuk menyediakan satu set minimum kosong keselamatan, dan kemudian ada sekumpulan orang-orang lain yang adalah pilihan yang anda perlu memilih untuk masuk ke. Jenis mengambil dari ceramah ini adalah keselamatan adalah tanggungjawab bersama. Ia terletak di antara anda dan rakan-rakan yang anda buat - yang pakatan yang anda membentuk. Anda perlu mengambil peranan aktif. Pilih untuk memilih untuk itu. Anda tahu - mengambil masa kini; menjadikannya lebih selamat. Alternatif ini sudah ada orang yang mengesahkan dan menguji faktor-faktor keselamatan terhadap anda, lebih banyak anda boleh memilih untuk memilih kepada yang lebih baik anda bersedia untuk berkompromi akhirnya. Dan ia adalah akhirnya. 

Tetapi faktor yang lain untuk berfikir tentang adalah seperti yang saya sebutkan pihak-pihak Internet yang anda percaya dengan butiran anda - dengan identiti anda. Saya akan memberikan anda 2 analogi; Larry Ellison dan Mark Zuckerberg - kedua-duanya adalah pada rekod menyatakan privasi adalah sebahagian besarnya ilusi. Dan bahawa umur privasi berakhir. Itu adalah jenis dakwaan menyedihkan bahawa kita benar-benar perlu menunggu bagi kerajaan untuk campur tangan untuk memaksa pihak-pihak untuk menjadi lebih selamat, untuk memperkenalkan undang-undang yang lebih kerana apabila kita cuba untuk bekerja dengan vendor-vendor ini misalnya beberapa Dropbox seperti pihak, mereka berada dalam perniagaan menyediakan perkhidmatan kepada pengguna. Mereka tidak berminat langsung untuk mempunyai kawalan keselamatan perusahaan gred. Pengguna mengundi dengan dompet mereka, dan mereka telah menerima gred minimum. Sudah tiba masanya untuk mengubah pemikiran itu. Jadi, apabila kita menyediakan data kita kepada pihak-pihak, kita perlu melantik kami mekanisme amanah yang sedia ada, maka kita adalah makhluk sosial secara lalai. 

Jadi mengapa secara tiba-tiba apabila kita mula meletakkan talian data kita kini mempunyai akses kepada perlindungan yang sama kita lakukan secara peribadi? Oleh itu, apabila saya boleh membaca bahasa badan anda, apabila saya boleh memilih untuk rangkaian dengan bulatan sosial dan sememangnya bulatan yang mendedahkan hanya maklumat yang saya mahu. Jadi kita mempunyai akses kepada bahasa badan, ekspresi, untuk menyanyi, kita mempunyai akses kepada perlindungan berdekatan identiti di lokasi fizikal, mereka masih membangun dalam talian. Kami tidak mempunyai akses kepada mereka, tetapi kita mula melihat mereka. Jadi kita mempunyai aspek di Facebook - misalnya - seperti kumpulan. Kami mempunyai akses kepada perkara-perkara dalam Google+ seperti bulatan. Benar-benar menggunakannya. Jadi perkara yang terakhir yang anda mahu lihat di dalam ruang ini khususnya apabila anda pergi untuk mendapatkan pekerjaan yang anda kini telah membuat banyak anda personaliti awam. Dan apabila seseorang mahu - mereka perlu memilih untuk - ia mungkin menjadi sebahagian dasar syarikat atau tidak - ia sudah pasti bukan sebahagian daripada Harvard's - tetapi mereka boleh memilih untuk melakukan carian Google. Dan apabila mereka berbuat demikian - jika anda disediakan - marilah kita mengatakan beberapa maklumat yang anda akan mengalami kesukaran untuk berdiri di belakang - anda telah dilakukan sendiri merugikan. Dan memang seperti yang saya sebutkan - syarikat-syarikat sosial yang mempunyai kepentingan dalam membuat ia awam - anda tahu - mereka perlukan untuk melombong data anda. Mereka menjual demografi anda dan bahan-bahan pemasaran anda untuk seseorang. Jenis analogi dalam ruang ini adalah - jika anda tidak membayar untuk produk yang adakah anda produk? Jadi mewujudkan bulatan untuk rakan-rakan anda, berhati-hati, rajin, cuba untuk tidak membuat segala-galanya awam. 

Satu lagi analogi saya akan membuat adalah perjanjian lesen pengguna akhir mengubah, mereka akan memberitahu anda apa yang mereka boleh lakukan dengan data anda, dan mereka akan menanamnya di dalam satu klik 50 halaman melalui. Dan mereka boleh memilih untuk menukar itu, dan mereka hanya menghantar e-mel cepat. Tetapi anda tidak seorang peguam, ia adalah amat legalese. Anda perlu berhati-hati dengan apa yang anda lakukan. Mereka boleh memiliki gambar-gambar anda, mereka boleh memiliki harta intelek anda. Anda tahu - hanya menjalankan usaha. Satu lagi contoh Perpustakaan Kongres arkib setiap tweet tunggal yang dikenali kepada manusia. Everything. Setiap 10 tahun kira-kira badan bahan yang dihasilkan di mana 10 akaun tahun atau banyak melebihi dari segala yang kita telah dicipta sepanjang sejarah manusia. Perpustakaan Kongres mempunyai kepentingan dalam memelihara maklumat yang untuk generasi akan datang, untuk Arkivis masa depan, untuk penyelidik dan ahli sejarah pada masa hadapan, jadi semua yang anda meletakkan di luar sana ada. Ia benar-benar akan membuat satu sumber yang besar pada satu ketika sekali orang mula melombong kejuruteraan sosial atau laman rangkaian sosial. Jadi menyimpan dimaklumkan perlindungan yang terdapat di dalam setiap permohonan. 

Ada sesuatu yang saya akan menyebut serta; terdapat alat pihak ketiga dipanggil Privacyfix, ia boleh palam betul masuk ke beberapa aplikasi rangkaian sosial. Dan ia boleh menyemak untuk melihat di mana anda adalah berkenaan dengan perlindungan yang terdapat pada mereka jika anda boleh memilih untuk Ratchet mereka lagi. Terdapat alat seperti Data Moro dari Google di mana anda boleh memilih untuk mengeksport atau cabutan data anda. Terdapat beberapa perkara seperti Mesin Bunuh Internet yang akan log masuk kepada beberapa profil anda dan benar-benar memadam setiap sifat tunggal pada satu masa, untag setiap rakan-rakan persatuan tunggal dalam rangkaian anda akan dibuat. Dan ia akan meneruskan untuk iterative membersihkan segala-galanya tentang anda bahawa laman web yang akan tahu. Jika saya hanya boleh menjalankan beberapa berhati-hati di sana, antaranya ialah sebuah contoh beberapa tahun yang lalu di Jerman, di mana rakyat membuat keputusan untuk menjalankan kebebasan hak maklumat dan meminta Facebook untuk menyediakan maklumat apa yang mereka telah pada rekod beliau walaupun selepas dia dipadamkan akaunnya. Mereka diberikan kepadanya dengan CD dengan 1,250 muka surat maklumat walaupun akaunnya secara teori tidak lagi wujud. Terdapat konsep dalam ruang ini banyak bahawa sesetengah entiti akan mengekalkan beberapa data tentang anda lakukan dengan persatuan anda dan rangkaian anda. Mereka mengatakan bahawa mereka tidak boleh mempunyai kawalan ke atasnya, iaitu sedikit regangan pada pendapat saya. Mereka mencipta akaun-akaun ini bayang-bayang - yang personas bayang-bayang. Hanya berhati-hati. Mengehadkan apa yang anda boleh. Di peringkat peranti yang sebenar apabila anda hanya bercakap tentang - anda tahu - perkakasan - telefon pintar anda, tablet anda, stesen kerja anda, komputer riba anda, mungkin pelayan yang anda bertanggungjawab. 

Anda mungkin telah mendengar mengenai konsep-konsep seperti operasi, kemas kini sistem, kemas kini aplikasi, antivirus, anda telah mendengar tentang perkara-perkara seperti firewall, penyulitan cakera, dan kembali. Perkara yang anda perlu sedar ialah anda tidak mendengar tentang jenis mereka perlindungan dalam ruang telefon bimbit. Mereka hanya sebagai mudah terdedah kepada ancaman sama. Kami mempunyai - Saya mahu untuk mengatakan - satu juta telefon pintar akan menjadi diaktifkan menjelang akhir bulan ini. Yang telah jauh mengatasi yang - dalam jumlah yang singkat yang mereka telah sedia ada, yang telah jauh mengatasi pertumbuhan PC, komputer riba, pasaran kerja. Tetapi kita tidak mempunyai akses kepada kawalan yang sama, dan saya akan bercakap tentang itu tidak lama lagi. Jadi sebelum kita sampai ke ruang telefon bimbit mari kita bercakap tentang apa yang ada di sana bahawa saya hanya secara ringkas pergi ke. Jadi perisian antivirus - di sini adalah beberapa pilihan yang percuma. Microsoft memberikan dari mereka - anda tahu - Sophos memberi jauh mereka untuk OSX serta Tampal komputer anda - hanya akan sedar apa jua penjual anda tahap patch semasa, dan anda tidak perlu menjadi delta penting dari itu. Terdapat alat yang baik dari syarikat yang dipanggil Secunia. Dan Secunia akan berjalan di latar belakang, dan ia akan memberitahu anda jika terdapat satu dikemaskini ada dan jika anda perlu menggunakannya. 

Membolehkan kemas kini automatik - kedua-dua Apple dan Microsoft akan mempunyai beberapa aspek ini. Mereka akan memberitahu anda bahawa terdapat kemas kini tersedia. Dan Secunia - anda tahu - adalah jenis keselamatan yang bagus bersih mempunyai juga - jatuh mekanisme kembali. Pada lapisan tuan rumah - tidak mendapat untuk telefon pintar yet. Membolehkan firewall asli untuk sistem operasi. Terdapat beberapa maklumat mengenai Windows dalam OSX satu. Uji firewall anda, jangan biarkan ia di sana dan berfikir bahawa ia adalah mekanisme yang selamat. Mengambil peranan aktif, terdapat permohonan di sana dari GRC - Steve Gibson. Wi-Fi keselamatan di ruang ini - ini juga boleh memohon kepada telefon pintar dan tablet - apabila anda memilih untuk pergi di jalan raya yang anda perlu sedar bahawa terdapat kelas yang berlainan rangkaian tanpa wayar. Dan khususnya tidak memilih salah satu yang paling biasa didapati. Ia mungkin kos rendah, tetapi mungkin ada sebab untuk itu. Mungkin mereka perlombongan data anda. Kami melihat ini lebih apabila anda berjalan di peringkat antarabangsa. Terdapat beberapa benar-benar sangat berkesan sindiket jenayah siber yang mampu untuk memanfaatkan apa yang kita biasanya lihat dalam perisikan negara bangsa. Satu faktor di mana mereka secara terang-terangan menyuntik diri mereka dalam satu aliran rangkaian. Mereka menarik barangan keluar dari sana, dan mereka menyuntik permohonan ke stesen kerja anda. 

Ia adalah - aspek lain yang saya tahu telah disebut dalam beberapa seminar keselamatan - atau tidak seminar CS50 seminar - adalah alat yang dipanggil Firesheep. Dan Firesheep adalah serangan tertentu dalam ruang telefon bimbit di mana beberapa aplikasi rangkaian sosial telah menghantar kelayakan dalam teks biasa. Dan ini agak biasa diterima kerana semua orang pada masa itu berfikir bahawa tidak ada selera makan dalam ruang pengguna untuk itu, bahawa untuk menggunakan penyulitan kekuatan yang lebih tinggi tersirat suatu beban prestasi pada pelayan, jadi jika mereka tidak mempunyai untuk melakukannya - mereka tidak mahu. Dan kemudian secara tiba-tiba apabila penyelidik keselamatan ini dibuat serangan remeh dengan cepat - anda tahu - kita mula melihat bahawa jenis penambahbaikan yang semua orang dalam ruang keselamatan telah telah mengadu tentang untuk tempoh agak lama. Jadi - khususnya - Firesheep mampu untuk mendapatkan Facebook, Twitter kelayakan daripada aliran Wi-Fi. Dan kerana ia adalah dalam teks biasa, dan mereka dapat menyuntik. 

Sekali lagi, jika anda akan menggunakan Wi-Fi memilih untuk menggunakan salah satu yang cukup dilindungi - WPA2 jika anda boleh. Jika anda perlu menggunakan tanpa enkrip Wi-Fi - dan khususnya saya bercakap kepada sesiapa yang menggunakan Harvard University wayarles - anda mungkin mahu berfikir tentang menggunakan VPN. Saya sangat menggalakkan ia. Faktor-faktor lain yang anda mungkin mahu berfikir tentang adalah jika anda tidak mempercayai Wi-Fi bahawa anda berada di anda mungkin mahu mengehadkan penggunaan. Tidak melakukan apa-apa e-dagang; tidak melakukan apa-apa perbankan. Jangan mengakses kelayakan universiti. Terdapat satu kejayaan besar dalam ruang ini jika seseorang tidak mencuri kelayakan anda - anda tahu - adakah mereka mempunyai telefon bimbit anda? Jadi - anda tahu - yang merupakan satu lagi faktor bahawa mereka tidak boleh semestinya hijack atau hanya membuat serangan mereka lebih rumit. Menyulitkan cakera keras anda. Kita berada di era sekarang - penyulitan digunakan untuk menjadi masalah besar 10 tahun lalu. Ia adalah kesan prestasi yang ketara. Ia tidak lagi - sebenarnya - kebanyakan telefon bimbit dan jenis barangan mereka melakukannya dalam perkakasan, dan anda tidak perasan - prestasi yang begitu diabaikan. 

Jika anda bercakap tentang stesen kerja, kita bercakap mengenai BitLocker. Kita bercakap tentang File Vault; membolehkannya - mengambil masa kini. Dalam ruang yang Linux jelas crypts Benar boleh bekerja di kedua-dua mereka. Anda mungkin mahu untuk berfikir tentang - dalam ruang Linux - ada dm-kubur, terdapat Luxcrypt - terdapat sekumpulan pilihan lain - juga kubur Benar. Lain-lain cara yang cepat untuk melindungi diri anda di peringkat stesen kerja sandaran cakera keras anda. Dan salah satu kedut sedikit di sini - ia tidak mencukupi untuk menggunakan salah satu daripada penyedia penyegerakan Awan, jadi Dropbox atau G-Drive atau sesuatu yang lain Itu bukan satu penyelesaian sandaran. Jika seseorang memadam sesuatu di salah satu daripada alat-alat kerana mereka dimasukkan sendiri entah bagaimana ia akan - bahawa penghapusan mendapat replika merentasi seluruh persona anda. Itu bukan sandaran, iaitu hanya satu mekanisme pembiakan. Jadi ia adalah baik untuk mempunyai satu penyelesaian sandaran. Terdapat beberapa cadangan di sini untuk sesetengah orang, sebahagian daripada mereka adalah bebas - kapasiti berasaskan - 2 gig kembali - anda boleh melakukannya. Jika anda menggunakan universiti G-mel - Google universiti di kolej dan bersama, G-Drive jika ia tidak sudah - ia akan boleh didapati tidak lama lagi. Ia adalah pengganti yang baik. Kami juga akan melihat perkara-perkara seperti Home Mozy. Ia adalah baik untuk mempunyai 2 penyelesaian. Jangan mempunyai semua telur anda dalam satu bakul. Jika anda melupuskan sesuatu atau sesungguhnya jika anda berada dalam proses menghantar sesuatu yang sulit - beberapa cadangan di sini untuk selamat memadam peranti. Boot Darik dan Nuke - yang jenis lebih untuk celik IT. Anda mungkin mahu untuk berfikir tentang hanya memberikannya kepada beberapa pembekal komersial jika anda boleh. 

Menyulitkan e-mel - jika anda perlu - terdapat beberapa perkhidmatan di kampus dipanggil Accellion, anda adalah di luar kampus atau untuk kegunaan peribadi saya akan mengesyorkan Hushmail. Kita melihat ia banyak digunakan dalam wisel blower, ia adalah salah satu utama mekanisme untuk Wikileaks serta Tor dan beberapa persamaan lain. Dan - sekarang untuk bercakap tentang tahap telefon - jadi masalah di sini ialah tidak ada yang banyak selera yet. Malangnya kebanyakan daripada telefon pintar dan tablet OS mereka masih berdasarkan beberapa prinsip-prinsip yang kita lihat dalam tahun 1990-an. Mereka tidak benar-benar ditubuhkan beberapa penambahbaikan yang kita lihat di peringkat stesen kerja. Mereka tidak melakukan perlindungan haba. Mereka tidak lakukan - anda tahu - rawak lapisan. Mereka tidak melakukan perlindungan alamat. Mereka tidak melakukan melaksanakan perlindungan - yang jenis barangan. Tetapi juga peranti itu sendiri oleh defacto tidak akan mempunyai apa-apa berakhir keselamatan titik dibina ke dalamnya. Oleh itu, kita mula melihat perubahan ini - sekali lagi - kebanyakan telefon pintar pengeluar - Android, Apple, dan Windows - selera makan hanya tidak ada; penanda aras adalah Blackberry. Tetapi Blackberry telah jenis hilang daya tarikan di pasaran pada ketika ini. Dan Apple telah benar-benar melangkah masuk Kira-kira 2 tahun yang lalu terdapat satu titik masa di mana mereka mula membina dalam banyak jenis kawalan lebih perusahaan. Dan - sesungguhnya - pada bulan Ogos mereka melakukan persembahan di Def Con yang hanya pernah di dengari. 

Jadi mereka akan melakukan kawalan minimum yang saya diterangkan. Mereka akan melakukan kata laluan yang kukuh, mereka akan melakukan dengan segera bagi kata laluan pada terbiar - peranti - anda terlupa mengenainya dan selepas 15 minit ia akan mengaktifkan. Mereka akan melakukan penyulitan, dan mereka juga akan melakukan apa yang dipanggil mengelap jauh. Dalam Android dan Windows ruang ini masih TBD - yang akan ditentukan. Android mempunyai akses kepada beberapa aplikasi yang dikenali sebagai Prey dan Lookout. Dan sesungguhnya sebahagian daripada alat keselamatan titik akhir seperti Kaspersky saya tahu ia. Saya tahu ESET ia serta Mereka akan memberitahu anda menghantar teks SMS dan membersihkan peranti. Telefon Windows pada masa ini ia adalah terutamanya berorientasikan gaya korporat - apa yang dipanggil pertukaran. Pertukaran adalah infrastruktur mail teguh, dan ia boleh memberi mandat beberapa kawalan. Windows 8 hanya dihantar minggu lepas, jadi saya tidak boleh bercakap dengan yang muktamad. Windows 6.5 adalah alat keselamatan yang besar. Windows 7 Mobile merupakan satu malapetaka, mereka tidak membuat semua kawalan ini berasal mandatori di seluruh vendor yang berlainan. Jadi, anda mempunyai untuk mengesahkan setiap Windows Mobile 7 telefon pada satu masa. 

Android - kerana ruang 3.0 telah mempunyai peningkatan besar juga. Honeycomb, Ice Cream Sandwich, Jellybean - mereka akan menyokong kawalan minimum, dan sesungguhnya mereka akan menyokong beberapa kawalan perusahaan yang boleh anda lakukan juga. Dalam ruang akaun peribadi anda di sana adalah selari peribadi Google yang anda boleh membolehkan jika anda mempunyai ruang Google anda sendiri juga. Jadi apa yang anda lakukan apabila ia semua pergi teruk salah? Dan jika saya boleh - Fleet lain daripada ini adalah benar-benar apabila - tidak jika. Ini yang akan berlaku kepada kita semua pada satu ketika. Apa yang boleh anda lakukan? Jadi apa yang anda boleh lakukan - dan terdapat slaid - slaid seterusnya akan menunjukkan anda kepada beberapa sumber FTC untuk itu, tetapi tempat yang minimum kosong amaran penipuan pada kad kredit anda. Jika saya boleh menggalakkan anda untuk berfikir tentang apabila anda menggunakan kad kredit dalam kapasiti talian - bergantung kepada transaksi anda membuat kad debit - keupayaan untuk menuntut atau keupayaan untuk menarik balik penipuan tuntutan ke atas kad debit sebenarnya adalah tingkap yang lebih kecil daripada ia pada kad kredit. Jadi apabila anda mendapatkan laporan anda pada kad debit anda hanya mempunyai tertentu tempoh masa - dan ia adalah sangat rendah - untuk memberitahu bank transaksi penipuan. Kad kredit yang ia adalah lebih besar, ada cenderung untuk menjadi had sehingga kira-kira $ 50,000 sebelum benar-benar akan dapat membayar balik kepada anda. Jadi yang agak banyak wang, mereka terserempak ia daripada kira-kira $ 13,000 atau $ 18,000 di sana baru-baru ini. Jadi - anda tahu - apabila anda berfikir tentang menggunakan talian kad kredit, anda boleh berfikir tentang menggunakan kad top up atau kad kredit boleh guna, kad pembakar? 

Jika anda melihat apa-apa - dan saya akan menunjukkan kepada anda bagaimana anda boleh mendapatkan akses segera - menutup mana-mana akaun penipuan jika anda dimaklumkan tentang itu. Membuat laporan polis jika anda berada di kampus. Mendekati HUPD - biarkan mereka tahu. Fikirkan tentang perkhidmatan pemantauan identiti. jika sebagai sebahagian daripada - jika anda mendapat dikompromi - anda mungkin perlu - mereka boleh membiayai perkhidmatan perlindungan identiti. Jika mereka tidak mungkin anda perlu melakukannya. Mengumpul dan menyimpan semua bukti - khususnya apa-apa perbincangan anda mempunyai dengan mana-mana pihak berkuasa jenayah terutamanya untuk tujuan insurans. Mengubah semua kata laluan anda. Tukar jawapan kepada mana-mana soalan-soalan keselamatan yang boleh digunakan untuk menetapkan semula kata laluan anda. Melumpuhkan sebarang perkhidmatan identiti yang lalu. Jadi, jika anda menggunakan semula akaun Facebook anda untuk log masuk ke Twitter atau sebaliknya, memecahkan bahawa, jika kompromi yang terlibat akaun e-mel anda memeriksa untuk melihat jika apa-apa yang dikemukakan. Kerana jika tidak, mereka masih mempunyai akses kepada data anda. Dan jika kecurian termasuk akaun Harvard anda sila maklumkan IThelp@harvard.edu. Saya tidak boleh menyatakan yang cukup, tetapi juga khususnya jika peranti hilang atau dicuri dan ia mempunyai akses kepada data universiti dan mungkin anda tidak mempunyai beberapa perlindungan menjadi masing-masing, sila maklumkan kepada kami - HUPD dan IT Bantuan di Harvard. 

Jadi link yang saya nyatakan tadi yang masuk ke dalam dengan lebih terperinci FTC.gov / identitytheft. Perkhidmatan Pos juga mempunyai beberapa penipuan atau perkhidmatan perlindungan identiti - anda hanya meletakkan memegang atau berhenti pada kad kredit melalui atau barangan seperti itu. FBI mempunyai pautan dan juga, ia adalah dalam nota slaid yang saya dihantar keluar. Dan sesungguhnya Massachusetts Better Business Bureau dan Biro Perlindungan Pengguna mempunyai beberapa panduan serta, ia adalah dalam nota. Ambil masa sekarang, membuat diri anda sedar apa yang anda boleh lakukan, dan mengambil tindakan. Prinsip - seperti yang saya nyatakan sebelum ini - jika anda tidak mempunyai rancangan identiti anda dicuri anda dengan serta-merta akan menjadi tertakluk kepada banyak kerja apabila ia berlaku, dan ia adalah apabila. Tetapi apabila anda mengambil langkah berjaga-jaga - biarlah saya menambah sedikit perkataan berhati-hati - tidak ada pelan bertahan kenalan pertama dengan musuh. Jadi, walaupun pada masa itu kita masih berfikir bahawa terdapat boleh beberapa subversif - anda tahu - bank anda sebagai contoh yang anda telah membina semua ini perlindungan sekitar mereka boleh mendapat dikompromi; pihak-pihak yang dipercayai bahawa anda telah diberikan data anda ke. Jadi anda adalah pertahanan terbaik anda sendiri. Anda tahu - berwaspada - kekal berjaga-jaga. Ambil masa sekarang untuk memilih untuk masuk ke ini, mudah-mudahan bersosial ini, berbincang dengan ini dengan kawan-kawan anda. Pilih kata laluan yang baik, gunakan kata laluan yang unik untuk akaun anda. Dan tidak menggunakan semula kata laluan - khususnya - sekitar beberapa aset lebih sensitif anda, jangan menggunakan akaun universiti di tempat lain. Jangan gunakan akaun kad kredit anda di tempat lain. Kata laluan melindungi peranti mudah alih anda sekarang. Dan dengan peranti mudah alih telefon pintar saya maksudkan, saya maksudkan tablet anda. 

Berfikir tentang menggunakan baik soalan semula keselamatan, dan saya akan bercakap tentang ini tidak lama mengapa; memeriksa laporan kredit anda. Satu lagi cara yang anda boleh menjadi warganegara yang baik dalam ruang ini adalah kerajaan memaksa 3 agensi Experian, TransUnion, dan Equifax untuk melepaskan laporan kredit. Bagi sesetengah masyarakat Harvard, terutamanya dalam ruang pelajar, ini mungkin baru kepada mereka, tetapi anda dibenarkan untuk menarik orang-orang agensi sekurang-kurangnya sekali setahun. Berhati-hati baik - pergi ke laman web yang, ia boleh didapati di FTC satu. Dan melakukannya setiap 4 bulan sebaliknya, dan anda boleh menyimpan tab pada yang meminta permintaan untuk maklumat kad kredit anda, atau jika benar-benar jika sesiapa membuka mana-mana akaun penipuan. Dan - secara umum - bimbingan adalah untuk menjadi sedar. Dan saya akan memberikan anda satu contoh yang khusus tidak lama lagi, tetapi yang pada asasnya adalah daging dan kentang perbincangan. 

Jadi mengapa ini penting sekarang ialah pada musim panas terdapat lelaki dipanggil Matt Honan - jika anda berada di luar sana terima kasih banyak kerana terlalu akan datang dengan maklumat anda. Tetapi apa yang berlaku dengan Matt dia bekerja untuk Majalah Wired, dan beberapa cyperhacktivists pergi selepas akaun Twitter beliau. Dan mereka menggunakan beberapa sumber-sumber ini - beberapa ini persona awam bahawa dia disediakan. Dan mereka membina peta, mereka tahu di mana untuk menyerang dan apabila. Jadi dari itu mereka mula potong dadu dan maklumat yang beliau membuat ada, dan mereka mendapati bahawa dia mempunyai akaun Gmail. Jadi, dia telah menggunakan kurang daripada laluan yang bijak untuk Gmail, dan dia tidak mempunyai apa-apa pengesahan pelbagai faktor di atasnya. Jadi mereka dikompromi Gmail, sekali mereka telah akses kepada Gmail mereka melihat semua akaun-akaun yang lain bahawa dia telah dimasukkan ke dalam Gmail. Malah, mereka mempunyai akses kepada seluruh Gmail keseluruhan atau Google persona. Dan - khususnya - mereka mula melihat bahawa dia mempunyai akaun Amazon kerana terdapat beberapa e-mel yang dilaporkan kepadanya. Demikian maka mereka mendapat ke Amazon, dan mereka mendapat ke Amazon beliau dengan hanya menetapkan semula kata laluan itu kerana ia pergi ke Gmail. Dia tidak mempunyai - dia jenis mempunyai kesan domino atau chaining tauliah berlaku di sini mana sekali mereka mendapat Gmail mereka mempunyai kunci untuk kerajaan. Jadi, apabila mereka mendapat ke Amazon - dan ini adalah melalui kesalahan tiada kepada lelaki lain - ini adalah - anda tahu - Matt tidak dipilih untuk memilih masuk ke mekanisme ini lebih selamat bahawa hanya orang-orang ini telah disediakan dan semua sumber-sumber Internet. 

Jadi, apabila mereka mendapat ke Amazon mereka mempunyai akses beliau - ia tidak menunjukkan kepada mereka kad kredit, tetapi ia menunjukkan mereka 4 digit terakhir hanya supaya dia tahu apa yang ia adalah, ia menunjukkan kepada mereka alamat penghantaran beliau. Ia menunjukkan mereka beberapa maklumat lain yang dilakukan pada beberapa pesanan. Dan kemudian daripada itu mereka mengambil keputusan untuk menyerang akaun Apple beliau. Dan mereka sosial kejuruteraan meja bantuan Apple. Apple tidak sepatutnya dilakukan, tetapi berdasarkan maklumat ini yang mereka dapat melombong dari yang lain 2 akaun. Anda tahu - lelaki di meja bantuan mungkin berfikir dia sedang warganegara yang baik - anda tahu - Saya sedang membantu; terdapat pelanggan Apple di luar sana yang terkandas di luar sana sendiri, dan saya perlu untuk membantu beliau. Tetapi ia tidak pelanggan Apple sebenar. Jadi mereka menetapkan semula akaun Apple, dan mereka menghantar maklumat kepada Gmail. Apabila penyerang mempunyai akses ke akaun Apple beliau Matt mempunyai semua peranti diikat ke iCloud beliau, dan mereka mula mengeluarkan set sumpah palsu dan mengelap segala-galanya. Sekali lagi, beliau baru sahaja data itu dilaungkan, dia telah menggunakan iCloud sebagai mekanisma penyegerakan. Oleh itu, apabila mereka dipadam semuanya berjalan bang. Mereka masih mempunyai akses pada masa ini untuk akaun Twitter beliau yang apa mereka telah cuba untuk menyerang. Saya tidak tahu jika mereka menggunakan Maltego atau beberapa mekanisme lain untuk membina keluar persona Internet, tetapi - anda tahu - dalam masa beberapa Sudah tentu mereka mendapat akses kepada 4 perkhidmatan identiti yang berbeza sebelum mereka mendapat ke Twitter, dan ia kos Matt - Matt agak bernasib baik kerana dia melihat ia berlaku kerana anak-anak itu datang kepadanya apabila iPad dikunci dengan sendirinya. Dan mereka berkata - anda tahu, "Ayah, ada sesuatu yang berlaku dengan iPad." Dan dia menutup semua turun kerana beliau mendapati ia berlaku di mana-mana. Dan dia mula memanggil Apple untuk melihat apa neraka yang telah berlaku. Dan Apple genuinely berpendapat bahawa terdapat adalah sesuatu yang berlaku iCloud yang telah pergi penyangak sehingga mereka digambarkan - dia sebenarnya beranggapan bahawa mereka telah menghantar maklumat, dan mereka mula memanggil dia nama yang salah. Kerana Apple telah pada maklumat fail yang penyerang telah ditumbangkan. 

Okay - supaya adalah jenis maklumat yang kita gunakan untuk membina ini jenis amalan terbaik; kita gunakan ini sebagai sebahagian daripada satu siri seminar hingga Oktober - National Bulan Kesedaran CyberSecurity. Ia telah disediakan untuk anda semua. Saya akan pastikan bahawa saya menghantar ia keluar di Wiki apabila David membuat ia boleh didapati kepada saya juga. Tetapi ada nasihat dan bimbingan di sana lebih daripada granularly Saya dapat merumuskan dalam jumlah masa terdekat ini saya ada. sekitar apa yang dipanggil, Mendung dengan Peluang Kecurian Identiti: Picking Nama Pengguna dan Kata Laluan yang baik. Adakah ia tidak pernah sosial? Dan jawapannya adalah tidak, ia sentiasa sosial, tetapi anda perlu berhati-hati dengan apa yang bermakna. Dan ia Taming Lions, Harimau, dan Windows iaitu kira-kira sistem operasi pengerasan dengan beberapa maklumat yang kita pergi ke hari ini. Dan yang terakhir kira-kira, Ada Alat, Akan Perjalanan bercakap tentang akan mudah alih dengan jenis ini daripada sumber-sumber data. Jadi selain daripada itu jika anda mempunyai sebarang soalan alamat e-mel saya sana, dan jika sesiapa di dalam bilik mempunyai apa-apa soalan sila mengangkat tangan anda. Selain daripada itu, saya akan berhenti merakam. Baiklah. Selesai. [CS50.TV]