1
00:00:00,000 --> 00:00:02,150
[Powered by Google Translate] [Seminar: Surviving the Internet]

2
00:00:02,150 --> 00:00:04,300
[Esmond Kane-Harvard University]

3
00:00:04,300 --> 00:00:07,010
[Dette er CS50.-CS50.TV]

4
00:00:07,680 --> 00:00:09,790
Hei, og velkommen til "Surviving the Internet".

5
00:00:09,790 --> 00:00:14,690
Det er et av seminarene som utgjør en del av denne CS50 læreplanen.

6
00:00:15,320 --> 00:00:19,460
Mitt navn er Esmond Kane. Min adresse er på dette lysbildet dekk foran deg.

7
00:00:19,460 --> 00:00:21,790
Det er esmond_kane@harvard.edu.

8
00:00:21,790 --> 00:00:27,360
I jobben min er jeg en av de IT-sikkerhet direktører for HUIT,

9
00:00:27,360 --> 00:00:31,850
men jeg må erkjenne at i dag er jeg på en borte oppdrag

10
00:00:31,850 --> 00:00:33,850
det er derfor jeg har en rød skjorte.

11
00:00:33,850 --> 00:00:37,090
Dette er ikke til å omfatte alt som kan tilskrives

12
00:00:37,090 --> 00:00:41,030
direkte til jobben min, så dette handler ikke om IT-sikkerhet til Harvard.

13
00:00:41,030 --> 00:00:44,690
Dette er mer bare personlig informasjon, og dette er hvordan når du har kommet -

14
00:00:45,320 --> 00:00:48,220
disse er den type ferdigheter som du vil tilegne seg for å prøve og hjelpe deg

15
00:00:48,220 --> 00:00:51,800
herde dine arbeidsstasjoner og ditt miljø gjennom hele din karriere.

16
00:00:52,200 --> 00:00:57,320
Men ingenting som jeg nevner i dag skal brukes til noen av dine

17
00:00:57,320 --> 00:01:00,980
universitet materiale, servere, eller arbeidsstasjoner

18
00:01:01,550 --> 00:01:04,470
uten å kontakte din lokale IT-støtte.

19
00:01:05,230 --> 00:01:08,420
Og ja hvis jeg nevne noen programmer eller eventuelle hendelser som en del av dette

20
00:01:08,420 --> 00:01:14,200
diskusjon eller diskusjon det ikke rapporterer noe at jeg er privilegert å rapportere.

21
00:01:14,200 --> 00:01:16,200
Det er vanligvis offentlige

22
00:01:16,310 --> 00:01:19,220
Og heller ikke faktisk bør enhver omtale av enhver applikasjon innebære noen

23
00:01:19,220 --> 00:01:23,400
påtegning gjennom Harvard eller faktisk noen fordømmelse.

24
00:01:23,400 --> 00:01:27,440
>> Så i dag hvorfor vi er her - nå som vi er ferdig med ansvarsfraskrivelse -

25
00:01:28,060 --> 00:01:31,210
Vi er her i dag for å snakke om å overleve på Internett.

26
00:01:31,210 --> 00:01:34,030
Og hvorfor er det så viktig tema akkurat nå?

27
00:01:34,300 --> 00:01:38,060
Så for å omskrive Perry Hewitt som jobber i Harvard Press and Communications kontor -

28
00:01:38,060 --> 00:01:42,230
Jeg beklager leser dette akkurat nå - hun har uttalt: "Vi lever i en

29
00:01:42,230 --> 00:01:47,180
atmosfære av økende risiko, men også en av enestående innovasjon.

30
00:01:47,180 --> 00:01:51,510
Den raske veksten av Internett, Cloud, og sosiale teknologier

31
00:01:51,510 --> 00:01:56,040
har resultert i mange flere mennesker som har offentlige profiler online

32
00:01:56,040 --> 00:01:59,770
med faktisk få tilgang til et stadig økende utvalg av informasjon.

33
00:01:59,770 --> 00:02:05,580
Og det betyr at alle og deres foreninger har aldri vært mer synlig.

34
00:02:06,980 --> 00:02:09,979
Som Harvard digitale fotavtrykk - sin digitale nettverket utvides,

35
00:02:09,979 --> 00:02:12,220
vi tiltrekke et bredere publikum.

36
00:02:12,220 --> 00:02:15,180
Vi håper for det bedre, men noen ganger vil vi

37
00:02:15,180 --> 00:02:17,500
tiltrekke noen negativ oppmerksomhet.

38
00:02:18,260 --> 00:02:21,180
Så som en representant for Harvard ", og dette inkluderer alle

39
00:02:21,180 --> 00:02:25,880
ser hjemme eller faktisk noen her, "våre lærere, våre studenter, våre ansatte,

40
00:02:25,880 --> 00:02:30,440
våre forskere, er risikoen for kompromiss for deg og faktisk til

41
00:02:30,440 --> 00:02:34,380
din tilknyttet nettverket har aldri vært høyere. "

42
00:02:34,780 --> 00:02:38,940
>> Så ofte i informasjonssikkerhet når vi prøver å balansere dette

43
00:02:38,940 --> 00:02:44,130
risikere det er en komplisert avveining mellom sikkerhet og brukeropplevelsen.

44
00:02:45,170 --> 00:02:48,850
I den æra av umiddelbarhet må vi gjøre gjennomtenkte beslutninger

45
00:02:48,850 --> 00:02:52,720
om hva som vil forbedre sikkerheten uten vesentlig ulempe.

46
00:02:54,200 --> 00:02:57,560
Vi blir fortalt noen ganger en unse for forebygging er verdt dobbelt kur,

47
00:02:57,560 --> 00:03:01,850
men når du velger å iverksette sikkerhetstiltak for å redusere risikoen

48
00:03:02,230 --> 00:03:06,330
Vi må erkjenne at det aldri vil redusere den potensielle risikoen til null.

49
00:03:07,670 --> 00:03:11,080
Så som sagt - vi er her i dag for å diskutere noen enkle og ikke så enkelt

50
00:03:11,080 --> 00:03:13,710
sikkerhetsmessige forholdsregler du kan ta akkurat nå.

51
00:03:15,210 --> 00:03:17,210
Jeg bør også legge til - hvis du har noen spørsmål gjennom hele

52
00:03:17,210 --> 00:03:20,490
presentasjonen bare heve hånden.

53
00:03:22,720 --> 00:03:25,840
Så det første temaet - vi blir ofte bedt om å velge et godt passord.

54
00:03:25,840 --> 00:03:28,790
Et passord er din første og beste forsvar.

55
00:03:28,790 --> 00:03:30,980
Det er ofte den eneste som er tilgjengelig for deg

56
00:03:30,980 --> 00:03:33,180
når du velger å bruke en elektronisk ressurs.

57
00:03:34,250 --> 00:03:38,430
Men som vi har sett gjennom hele denne sommeren og faktisk året før

58
00:03:38,430 --> 00:03:40,990
vi har sett angrep som LinkedIn, eHarmony.

59
00:03:40,990 --> 00:03:43,130
Vi har sett RockYou.

60
00:03:43,130 --> 00:03:48,520
Vi har hatt noen totalt 70 millioner passord og kontoer kompromittert.

61
00:03:48,670 --> 00:03:51,170
Og når disse passordene ble sluppet ut i det offentlige rom

62
00:03:51,580 --> 00:03:54,880
de også omfattet passord hash.

63
00:03:55,400 --> 00:04:00,860
>> Så i utgangspunktet i disse dager hvis noen henter en konto bikube

64
00:04:01,590 --> 00:04:05,260
de trenger ikke å knekke et passord lenger,. de trenger ikke å brute force et passord

65
00:04:05,260 --> 00:04:09,520
fordi de har denne massive trove av sluppet informasjon om hva folk velger.

66
00:04:11,020 --> 00:04:15,710
De har allerede fått atferdsmessige data til tankene hva folk pleier å bruke.

67
00:04:15,760 --> 00:04:19,600
Og de har brutt den ned til en liste med ca tusen passord

68
00:04:19,600 --> 00:04:23,500
som utgjør nesten 80 til 90% av de passordene som vi velger i vanlig bruk.

69
00:04:24,520 --> 00:04:27,300
Så en rask eksempel - noen vil våge det du trodde

70
00:04:27,300 --> 00:04:30,950
Bashar al-Assad brukes til passordet hans da det ble kompromittert i fjor?

71
00:04:32,080 --> 00:04:35,220
Dette er en gentleman som er gjenstand for intens gransking.

72
00:04:35,830 --> 00:04:38,870
Og hans passordet var 12345.

73
00:04:39,720 --> 00:04:43,200
Ok - så dette er lærdom som vi har lært, vi trenger å flytte

74
00:04:43,200 --> 00:04:45,200
utover bare tenker på et passord.

75
00:04:45,200 --> 00:04:47,380
Vi får beskjed om å begynne å bruke et passord.

76
00:04:47,380 --> 00:04:52,930
Det er et stort komisk fra eller faktisk en web tegneserien fra Randy Monroe

77
00:04:52,930 --> 00:04:55,720
som går inn å velge en passordfrase, han bruker - jeg vil si -

78
00:04:55,720 --> 00:04:58,670
batteri, stift, begrense eller noe sånt - du vet - bare -

79
00:04:59,340 --> 00:05:05,060
eller faktisk er det vits at noen som plukket Goofy, Nemo,

80
00:05:05,060 --> 00:05:09,280
Pluto - alle disse forskjellige karakterer og London fordi han ble fortalt

81
00:05:09,280 --> 00:05:12,250
å plukke åtte tegn og en kapital.

82
00:05:12,250 --> 00:05:18,060
Men - så vi lærer må vi gå tenke utover bare et passord.

83
00:05:18,060 --> 00:05:22,710
>> Det er faktisk en Ezine i Boston kalt Ars Technica.

84
00:05:23,300 --> 00:05:26,640
Det er en gentleman som heter Dan Goodin som gjør en serie på

85
00:05:26,640 --> 00:05:31,400
Dette endrer omfang - enten fra angriperen plass der vi har

86
00:05:31,400 --> 00:05:33,740
denne massive trove tilgjengelig for oss

87
00:05:33,740 --> 00:05:36,710
enten tankene vi ikke lenger trenger å generere ting gjennom regnbuen;

88
00:05:36,710 --> 00:05:39,570
har vi 70 millioner passord.

89
00:05:40,260 --> 00:05:42,880
Men også vi har hatt - du vet - en skiftende scape i

90
00:05:42,880 --> 00:05:47,400
Selve cracking plass fordi GPU kortene har gjort dette

91
00:05:47,400 --> 00:05:49,850
nesten nær sanntid.

92
00:05:49,850 --> 00:05:53,380
Og det er en gentleman i Def Con i august som satt sammen

93
00:05:53,380 --> 00:05:57,240
12 av disse kortene til en vare PC.

94
00:05:58,970 --> 00:06:02,260
Han gjorde det for ca $ 2000 eller $ 3000, og han var i stand til å knekke

95
00:06:02,260 --> 00:06:06,810
LinkedIn trove i - du vet - nær sanntid.

96
00:06:06,810 --> 00:06:08,920
Det var ganske skummelt.

97
00:06:09,280 --> 00:06:12,090
Dan Goodin artikkel - jeg anbefaler det hvis du vil gå lese den.

98
00:06:12,340 --> 00:06:16,110
En gentleman som heter Sean Gallagher - morges - også publisert en

99
00:06:16,110 --> 00:06:19,820
rask oppdatering på det, mye av arbeidet deres er bygget på -

100
00:06:19,820 --> 00:06:25,500
fra materialet tilgjengelig fra Bruce Schneier, men også fra

101
00:06:25,500 --> 00:06:28,430
Cormac Herely fra Microsoft Research.

102
00:06:28,430 --> 00:06:34,580
De slags uttalt ca 5-6 år siden at vi må begynne å tenke utover passord.

103
00:06:34,580 --> 00:06:37,570
Forslagene på den tiden var ting som passordfraser,

104
00:06:37,570 --> 00:06:39,770
gestikk grensesnitt - den slags ting.

105
00:06:39,770 --> 00:06:42,510
Du vet - om noe du vet er ikke lenger tilstrekkelig på dette punktet;

106
00:06:42,510 --> 00:06:44,510
som er en av de tingene som jeg ønsker å kommunisere i dag.

107
00:06:44,510 --> 00:06:48,610
Hvis du trenger å bruke et passord, la oss ikke være sjenert i begrunnelsen du bør likevel

108
00:06:48,610 --> 00:06:52,720
plukke en god en, det skal være forhåpentligvis noe utover 10 tegn.

109
00:06:52,720 --> 00:06:55,190
Det bør variere mellom store og små bokstaver.

110
00:06:55,610 --> 00:06:58,320
>> Jeg vil sterkt oppfordre deg til ikke å bruke passord.

111
00:06:58,320 --> 00:07:02,070
Jeg kan snakke med flere tilfeller der vi har sett en konto får

112
00:07:02,070 --> 00:07:05,130
kompromittert og noen hoppet og hoppet - det dominoeffekt.

113
00:07:05,130 --> 00:07:08,020
De grave hver konto på hvert trinn i prosessen for dette

114
00:07:08,020 --> 00:07:12,820
data, og så fortsette å bruke disse dataene at de utvunnet i hvert tilfelle

115
00:07:12,820 --> 00:07:15,610
mot en annen credential kilde.

116
00:07:16,080 --> 00:07:18,560
Så - igjen - velger et godt passord.

117
00:07:19,090 --> 00:07:22,810
Gjøre det unikt. Det kan være lurt å tenke på å bruke et passord manager service.

118
00:07:23,470 --> 00:07:26,490
Det er de ute fra - de er alle i app-butikker.

119
00:07:26,490 --> 00:07:31,560
Det er en som heter OnePass, KeePass, LastPass -

120
00:07:31,560 --> 00:07:39,360
det er en fin måte for det å hjelpe deg å lage unike legitimasjon, sterke legitimasjon,

121
00:07:39,360 --> 00:07:42,660
men også legge til rette for arkiv og journalføring for deg.

122
00:07:43,850 --> 00:07:47,480
Ned side til det er du trenger å ta det til et passord butikken;

123
00:07:47,480 --> 00:07:50,370
du må sørge for at at passord manager som du er tillitsfulle

124
00:07:50,370 --> 00:07:52,540
er verdig din tillit også.

125
00:07:52,540 --> 00:07:57,190
>> Så sørg for at disse gutta også bruker noen gyldige passord mekanismer.

126
00:07:57,190 --> 00:08:00,440
Spesielt den jeg kommer til å nevne akkurat nå

127
00:08:00,920 --> 00:08:03,080
er multi-faktor autentisering.

128
00:08:03,080 --> 00:08:07,970
Så multi-faktor autentisering - og det er flere tilfeller jeg vil gå gjennom kort tid -

129
00:08:08,410 --> 00:08:11,020
Det er det enkle å ta noe du vet som din

130
00:08:11,020 --> 00:08:15,020
brukernavnet og passordet ditt og legge til det - du legger en annen faktor.

131
00:08:15,020 --> 00:08:18,670
Så den første faktoren som vi vil nevne i dag er disse de i styrene.

132
00:08:18,670 --> 00:08:21,730
Det er noe du har i dine eiendeler, så det er enten en søknad

133
00:08:21,730 --> 00:08:25,510
som kjører på smarttelefonen eller faktisk på selve telefonen.

134
00:08:25,510 --> 00:08:27,750
Og du kan være i stand til å motta en SMS.

135
00:08:27,750 --> 00:08:30,980
Vær forsiktig hvis du reiser utenlands som ikke nødvendigvis kommer til å følge deg.

136
00:08:30,980 --> 00:08:34,260
Et program kan arbeide større i dette tilfellet.

137
00:08:34,679 --> 00:08:37,590
Eller faktisk den andre faktoren kan være lurt å tenke på er noe du er.

138
00:08:37,590 --> 00:08:40,669
>> Nå er dette fortsatt slags svært mye skunkworks.

139
00:08:40,669 --> 00:08:42,750
Vi ser ikke for mye adopsjon av det.

140
00:08:42,750 --> 00:08:49,200
Dette er - du vet - Mission Impossible stil - du vet - en blodåre print,

141
00:08:49,200 --> 00:08:52,020
tommelen print, din netthinnen print.

142
00:08:52,020 --> 00:08:56,880
De er litt lenger ut, de er ikke veldig gyldige autentiseringsfaktorer.

143
00:08:56,880 --> 00:09:02,450
Vi ser - når jeg snakker med mine sikkerhet kolleger - mer press som

144
00:09:02,450 --> 00:09:05,840
du legger på et tastatur, din spesielle skrive mønster, er trolig

145
00:09:05,840 --> 00:09:10,160
direkte på horisonten - så mye mer enn disse andre biometriske kjennetegn.

146
00:09:10,160 --> 00:09:15,990
Men de som i dag er programmer eller SMS tekst eller bare en

147
00:09:15,990 --> 00:09:18,390
Utfordringen svar e-post som du kommer til å få

148
00:09:18,390 --> 00:09:22,820
å validere at du gjorde faktisk velger å logge seg på dette tidspunktet.

149
00:09:23,130 --> 00:09:26,080
Så det er en kobling der, jeg har sendt ut raset dekk i morges.

150
00:09:26,080 --> 00:09:28,370
Det vil være på Wiki.

151
00:09:28,370 --> 00:09:31,050
>> Både Gmail og Google gjøre dette, Yahoo vil gjøre det.

152
00:09:31,050 --> 00:09:36,010
Paypal har det, Paypal også har et lite faktiske hardware nøkkel som gjør en roterende nummer.

153
00:09:36,010 --> 00:09:38,070
Men du kan også velge å bruke et telefonnummer.

154
00:09:38,070 --> 00:09:40,730
Facebook gjør også en logg i godkjenning, slik at du velger å

155
00:09:40,730 --> 00:09:46,950
godkjenne det, de jobber også mot mer gyldig hardt styrke sikkerheten.

156
00:09:46,950 --> 00:09:50,290
Dropbox har 2-trinns bekreftelse, så vel, du kan også bare

157
00:09:50,290 --> 00:09:52,290
kjøpe en hardware nøkkel for dem.

158
00:09:52,290 --> 00:09:54,920
Vi ser også i Gmail ene eller den Google en, mange mennesker er

159
00:09:54,920 --> 00:09:58,520
faktisk co-velger Googles autentifikatoren, så - for eksempel -

160
00:09:58,520 --> 00:10:02,780
Jeg bruker LastPass - det innebærer ikke noen anbefaling - men de kan gjenbruke

161
00:10:02,780 --> 00:10:05,280
Googles 2-trinns bekreftelse, så det betyr at jeg ikke trenger å

162
00:10:05,280 --> 00:10:07,980
gå rundt med to programmer på telefonen min.

163
00:10:08,360 --> 00:10:12,580
Men også forskning databehandling innen Harvard eller bruke en analogi

164
00:10:12,580 --> 00:10:15,790
til Googles 2-trinns autentisering fordi engangspassord

165
00:10:15,790 --> 00:10:19,140
algoritmen ble åpen kildekode det ca 10 år siden.

166
00:10:19,140 --> 00:10:22,340
Eventuelle spørsmål? Bra.

167
00:10:25,150 --> 00:10:29,090
>> Slik at en annen faktor betraktning utover passord er når du er

168
00:10:29,090 --> 00:10:32,810
bruker disse ressursene være klar over hvilke data du forplikter deg til dem.

169
00:10:32,810 --> 00:10:35,220
Bare begrense hva du faktisk sette opp der.

170
00:10:35,510 --> 00:10:41,080
Så vi er klar over at disse menneskene som leverer en tjeneste for oss på Internett -

171
00:10:41,080 --> 00:10:44,910
disse Cloud-leverandører - de har en egeninteresse i deg

172
00:10:44,910 --> 00:10:47,750
ikke å være så sikker som du muligens kan.

173
00:10:47,750 --> 00:10:51,750
De har en tendens til å gjøre tilgjengelig et minimum sett av sikkerhet,

174
00:10:51,750 --> 00:10:56,270
og så er det en haug med andre som er valgfrie at du må velge å melde deg.

175
00:10:56,270 --> 00:11:02,690
Den slags ta bort fra denne talen er sikkerhet er et felles ansvar.

176
00:11:02,690 --> 00:11:06,440
Det er mellom deg og de partnerne som du gjør - de allianser som du danner.

177
00:11:06,440 --> 00:11:09,930
Du må ta en aktiv rolle. Velger å melde deg på det.

178
00:11:09,930 --> 00:11:13,180
Du vet - ta deg tid nå, gjør det sikrere.

179
00:11:13,180 --> 00:11:17,380
Alternativet er det allerede folk validering og testing

180
00:11:17,380 --> 00:11:22,590
disse sikkerhetsoppdateringene faktorer mot deg, jo mer kan du velge å melde deg på

181
00:11:22,590 --> 00:11:25,600
til bedre forberedt er du for eventuelt kompromiss.

182
00:11:25,600 --> 00:11:27,600
Og det er eventuelt.

183
00:11:27,600 --> 00:11:29,620
>> Men den andre faktoren å tenke på er som jeg nevnte

184
00:11:29,620 --> 00:11:33,870
disse Internett partier som du setter din lit til påloggingsinformasjonen - med din identitet.

185
00:11:34,940 --> 00:11:38,330
Jeg skal gi deg to analogier, Larry Ellison og Mark Zuckerberg - de er begge

186
00:11:38,330 --> 00:11:43,870
på posten som sier personvern er i stor grad en illusjon.

187
00:11:43,870 --> 00:11:46,150
Og at alderen på personvern er over.

188
00:11:46,940 --> 00:11:50,450
Det er en slags trist tiltale som vi virkelig trenger å vente

189
00:11:50,450 --> 00:11:55,230
for regjeringen å gå inn for å tvinge disse partiene til å være mer sikker,

190
00:11:55,620 --> 00:11:59,820
å innføre mer lovgivning fordi når vi prøver å jobbe med

191
00:11:59,820 --> 00:12:06,110
disse leverandørene for eksempel noen av disse Dropbox som parter,

192
00:12:06,110 --> 00:12:08,890
de er i bransjen for å tilby tjenester til forbruker.

193
00:12:08,890 --> 00:12:13,320
De er ikke direkte interessert i å ha enterprise-klasse sikkerhetskontroller.

194
00:12:13,540 --> 00:12:15,350
Forbrukerne stemte med lommeboken sin,

195
00:12:15,350 --> 00:12:17,690
og de har allerede akseptert et minimum karakteren.

196
00:12:18,440 --> 00:12:20,620
Det er på tide å endre den tenkning.

197
00:12:21,540 --> 00:12:26,320
Så når vi gir våre data til disse partiene, må vi oppnevne vår

198
00:12:26,320 --> 00:12:29,430
eksisterende tillit mekanismer, slik at vi er sosiale vesener som standard.

199
00:12:29,430 --> 00:12:32,720
>> Så hvorfor alle plutselig når vi begynner å sette data online

200
00:12:32,720 --> 00:12:36,880
gjør vi nå har tilgang til samme beskyttelse vi gjør personlig?

201
00:12:36,880 --> 00:12:40,110
Så når jeg kan lese kroppsspråk, når jeg kan velge å

202
00:12:40,110 --> 00:12:45,030
nettverk med en sosial sirkel og faktisk til at sirkelen røpe

203
00:12:45,030 --> 00:12:47,560
bare den informasjonen som jeg vil.

204
00:12:48,420 --> 00:12:52,260
Så vi har tilgang til denne kroppsspråk, uttrykk, å vokalisere,

205
00:12:52,260 --> 00:12:55,720
vi har tilgang til disse identitet nærhet beskyttelse

206
00:12:55,720 --> 00:12:58,410
i et fysisk sted, de er fortsatt voksende online.

207
00:12:58,410 --> 00:13:01,210
Vi har ikke tilgang til dem, men vi begynner å se dem.

208
00:13:01,210 --> 00:13:05,240
Så vi har fasetter i Facebook - for eksempel - som grupper.

209
00:13:05,240 --> 00:13:08,040
Vi har tilgang til ting i Google+ som sirkler.

210
00:13:08,460 --> 00:13:10,490
Absolutt bruke dem.

211
00:13:10,890 --> 00:13:15,700
Så det siste du ønsker å se er i dette rommet i særdeleshet

212
00:13:15,700 --> 00:13:20,170
når du går for å få en jobb du har nå gjort mye av din

213
00:13:20,170 --> 00:13:22,850
personlighet publikum.

214
00:13:22,850 --> 00:13:26,540
Og når noen ønsker å - bør de ønsker det - det kan være en del

215
00:13:26,540 --> 00:13:29,330
av selskapets policy eller ikke - det er absolutt ikke en del av Harvard's -

216
00:13:29,330 --> 00:13:31,850
men de kan velge å gjøre et Google-søk.

217
00:13:32,210 --> 00:13:35,940
Og når de gjør det - hvis du har oppgitt - la oss si litt informasjon

218
00:13:35,940 --> 00:13:40,090
som du ville ha problemer med å stå bak -

219
00:13:40,090 --> 00:13:42,830
du har gjort deg selv en bjørnetjeneste.

220
00:13:43,530 --> 00:13:48,060
Og ja som jeg nevnte - disse sosiale selskaper de har en egeninteresse

221
00:13:48,060 --> 00:13:50,460
i å gjøre det offentlig - du vet - de trenger å grave dine data.

222
00:13:50,460 --> 00:13:55,060
De selger dine demografi og din markedsmateriell for noen.

223
00:13:55,060 --> 00:13:58,710
Den slags analogi i dette rommet er - hvis du ikke betaler for et produkt

224
00:13:58,710 --> 00:14:00,740
er du produktet?

225
00:14:04,470 --> 00:14:08,560
Så lage sirkler for dine venner, være forsiktig, være flittig,

226
00:14:08,560 --> 00:14:10,590
prøv å ikke gjøre alt publikum.

227
00:14:10,590 --> 00:14:14,570
>> En annen analogi jeg vil gjøre er sluttbruker lisensavtaler

228
00:14:14,570 --> 00:14:18,210
endre, de kommer til å fortelle deg hva de kan gjøre med dine data,

229
00:14:18,210 --> 00:14:20,800
og de kommer til å begrave den i en 50-siders klikke seg gjennom.

230
00:14:21,320 --> 00:14:24,200
Og de kan velge å endre det, og de bare sende deg en kjapp e-post.

231
00:14:24,200 --> 00:14:26,600
Men du er ikke en advokat, det er veldig mye i juridisk.

232
00:14:26,600 --> 00:14:28,640
Du må være forsiktig med hva du gjør.

233
00:14:28,640 --> 00:14:31,810
De kan eie bildene dine, de kan eie din åndsverk.

234
00:14:31,810 --> 00:14:33,950
Du vet - bare øvelse diligence.

235
00:14:33,950 --> 00:14:39,690
Et annet eksempel Library of Congress er arkivering hver eneste tweet kjent mann. Alt.

236
00:14:39,690 --> 00:14:44,130
Hvert 10 år omtrent legemet av materiale som er generert

237
00:14:44,130 --> 00:14:49,970
i 10 at års regnskap eller sterkt overgår alt vi har

238
00:14:49,970 --> 00:14:52,510
skapt gjennom menneskehetens historie.

239
00:14:52,890 --> 00:14:56,070
The Library of Congress har en egeninteresse i å bevare denne informasjonen

240
00:14:56,070 --> 00:15:01,190
for ettertiden, for fremtidige arkivarer, for fremtidige forskere og historikere,

241
00:15:01,190 --> 00:15:03,390
så alt du legger ut der er der.

242
00:15:03,390 --> 00:15:06,010
Det vil faktisk gjøre en enorm ressurs på et tidspunkt

243
00:15:06,010 --> 00:15:10,420
når folk begynner å grave social engineering eller nettsamfunn.

244
00:15:12,050 --> 00:15:15,170
Så hold underrettet om den beskyttelsen som finnes innenfor hvert program.

245
00:15:15,170 --> 00:15:18,380
>> Det er noe jeg vil nevne så vel, det er en tredjepart verktøy

246
00:15:18,380 --> 00:15:22,320
kalt Privacyfix, det kan plugge rett inn i noen av disse

247
00:15:22,320 --> 00:15:24,390
sosiale nettverk applikasjoner.

248
00:15:24,390 --> 00:15:27,000
Og det kan sjekke for å se hvor du er i forhold til den beskyttelse

249
00:15:27,000 --> 00:15:29,930
som er tilgjengelig på dem hvis du kan velge å skralle dem opp videre.

250
00:15:31,110 --> 00:15:34,590
Det finnes verktøy som Data Liberation Front fra Google

251
00:15:34,590 --> 00:15:39,420
hvor du kan velge å eksportere eller hente ut data.

252
00:15:39,420 --> 00:15:41,870
Det er ting som internett Suicide Machine som vil logge seg på

253
00:15:41,870 --> 00:15:45,230
til noen av profilene dine og faktisk slette hver enkelt attributt

254
00:15:45,230 --> 00:15:49,350
en om gangen, untag hver eneste foreningen venner i nettverket ditt ville ha gjort.

255
00:15:49,350 --> 00:15:53,310
Og det vil forfølge iterativt rense alt om deg

256
00:15:53,310 --> 00:15:55,360
at dette området ville vite.

257
00:15:58,430 --> 00:16:01,840
Hvis jeg kan bare utøve litt forsiktig der også, det var en forekomst

258
00:16:01,840 --> 00:16:06,740
et par år siden i Tyskland der en borger besluttet å

259
00:16:06,740 --> 00:16:11,590
utøve sin frihet av informasjon rettigheter og be Facebook for å gi

260
00:16:11,590 --> 00:16:15,130
hvilken informasjon de hadde på posten for ham selv etter at han slettet sin konto.

261
00:16:15,130 --> 00:16:20,070
De ga ham en CD med 1250 sider med informasjon

262
00:16:20,070 --> 00:16:22,650
selv om hans konto teoretisk ikke lenger eksisterte.

263
00:16:23,020 --> 00:16:26,130
Det er konseptet i dette rommet mye at noen av disse

264
00:16:26,130 --> 00:16:31,440
enheter vil opprettholde noen data om du skal gjøre med dine foreninger og dine nettverk.

265
00:16:33,090 --> 00:16:37,350
De sier at de ikke kan ha kontroll over det, det er litt av en strekk etter min mening.

266
00:16:38,010 --> 00:16:41,570
De skaper disse skygge kontoer - skyggen personas.

267
00:16:41,570 --> 00:16:43,880
Bare vær forsiktig.

268
00:16:45,260 --> 00:16:47,290
Begrenser hva du kan.

269
00:16:47,680 --> 00:16:50,830
På en faktisk enhet nivå når du bare snakker om -

270
00:16:50,830 --> 00:16:56,020
du vet - hardware - smarttelefonen, tablettene dine,

271
00:16:56,020 --> 00:17:00,220
arbeidsstasjonen, din laptop, kanskje en server som du er ansvarlig for.

272
00:17:00,220 --> 00:17:04,740
>> Du har sikkert hørt om begreper som drift, systemoppdateringer,

273
00:17:04,740 --> 00:17:08,720
programoppdateringer, antivirus, du har hørt om ting som brannmurer,

274
00:17:08,720 --> 00:17:11,770
disk kryptering, og opp igjen.

275
00:17:11,770 --> 00:17:14,190
Det eneste du bør være klar over er at du ikke hører om

276
00:17:14,190 --> 00:17:16,900
de slags beskyttelse i mobiltelefonen plass.

277
00:17:16,900 --> 00:17:19,730
De er like utsatt for de samme truslene.

278
00:17:19,730 --> 00:17:23,280
Vi hadde - jeg vil si - en million smarttelefoner kommer til å være

279
00:17:23,280 --> 00:17:25,380
aktiveres ved slutten av denne måneden.

280
00:17:25,380 --> 00:17:28,640
Som har langt overgått den - innenfor den korte tiden som

281
00:17:28,640 --> 00:17:30,640
de har vært tilgjengelig, har som langt overgått veksten av

282
00:17:30,640 --> 00:17:32,740
PC, laptop, arbeidsstasjonen markedet.

283
00:17:33,260 --> 00:17:35,520
Men vi ikke har tilgang til de samme kontrollene, og jeg

284
00:17:35,520 --> 00:17:37,570
vil snakke om dette om kort tid.

285
00:17:37,800 --> 00:17:41,320
Så før vi får til mobiltelefonen plass la oss snakke om

286
00:17:41,320 --> 00:17:44,150
hva som er tilgjengelig der som jeg bare kort gikk over.

287
00:17:44,150 --> 00:17:48,160
Så antivirusprogramvare - her er noen frie valg.

288
00:17:49,240 --> 00:17:55,430
Microsoft gir bort deres - du vet - Sophos gir bort deres for OSX så vel

289
00:17:56,800 --> 00:17:59,120
Lappe datamaskinen - bare være klar over hva din leverandørs

290
00:17:59,120 --> 00:18:02,310
dagens patch nivået er, og du bør ikke være en betydelig delta fra det.

291
00:18:02,310 --> 00:18:04,860
Det er et fint verktøy fra et firma som heter Secunia.

292
00:18:04,860 --> 00:18:07,740
Og Secunia vil kjøre i bakgrunnen, og det vil fortelle deg om det er en

293
00:18:07,740 --> 00:18:09,970
oppdateres tilgjengelig og hvis du trenger å bruke den.

294
00:18:10,470 --> 00:18:14,840
>> Aktivere automatiske oppdateringer - både Apple og Microsoft vil ha noen aspekter av dette.

295
00:18:14,840 --> 00:18:17,170
De vil varsle deg om at det er en oppdatering tilgjengelig.

296
00:18:18,430 --> 00:18:22,610
Og Secunia - du vet - er slags en fin sikkerhetsnett å ha også - falle tilbake mekanisme.

297
00:18:23,190 --> 00:18:26,210
At det vert lag - ikke får til smarttelefoner ennå.

298
00:18:26,880 --> 00:18:30,280
Aktivere brannmuren innfødt til operativsystemet.

299
00:18:31,080 --> 00:18:34,130
Det er litt informasjon om Windows i OSX en.

300
00:18:35,450 --> 00:18:39,870
Test din brannmur, ikke bare la det der og tror at det er en sikker mekanisme.

301
00:18:39,870 --> 00:18:43,670
Ta en aktiv rolle, og det er et program der fra GRC - Steve Gibson.

302
00:18:44,490 --> 00:18:49,470
Wi-Fi sikkerhet i dette rommet - dette kan også gjelde for smarttelefon og tablet -

303
00:18:49,470 --> 00:18:52,900
når du velger å gå på veien du må være klar

304
00:18:52,900 --> 00:18:55,910
at det er ulike klasser av trådløst nettverk.

305
00:18:55,910 --> 00:19:00,680
Og spesielt ikke velger den mest tilgjengelige en.

306
00:19:00,680 --> 00:19:02,850
Det kan være lav pris, men det kan være en grunn for det.

307
00:19:02,850 --> 00:19:05,080
Kanskje de er gruvedrift dine data.

308
00:19:05,080 --> 00:19:08,070
Vi ser dette mer når du reiser internasjonalt.

309
00:19:08,070 --> 00:19:13,650
Det er noen virkelig effektive cyber kriminelle syndikater

310
00:19:13,650 --> 00:19:18,140
som er i stand til å utnytte det vi vanligvis ser i nasjonalstatene 'spionasje.

311
00:19:18,930 --> 00:19:22,750
En faktor hvor de er direkte injisere seg selv i et nettverk strøm.

312
00:19:22,750 --> 00:19:25,690
De drar ting ut av det, og de injiserer

313
00:19:25,690 --> 00:19:29,050
applikasjoner på dine arbeidsstasjoner.

314
00:19:29,050 --> 00:19:34,030
>> Det er - det andre aspektet som jeg vet ble nevnt i noen av disse

315
00:19:34,030 --> 00:19:38,430
sikkerhet seminarer - eller ikke seminarer CS50 seminarer - er et verktøy kalt Firesheep.

316
00:19:38,430 --> 00:19:42,470
Og Firesheep var en spesiell angrep i mobiltelefonen plass

317
00:19:42,470 --> 00:19:47,920
hvor noen av disse sosiale nettverk applikasjoner skulle sende legitimasjon i ren tekst.

318
00:19:48,370 --> 00:19:52,380
Og dette var ganske allment akseptert fordi alle på den tiden

319
00:19:52,380 --> 00:19:56,090
tenkte at det var ingen appetitt i forbrukermarkedet plass til det,

320
00:19:56,090 --> 00:20:01,710
at å bruke høyere styrke kryptering innebar en forestilling byrde

321
00:20:01,710 --> 00:20:06,240
på serveren, så hvis de ikke trenger å gjøre det - de ikke vil.

322
00:20:06,820 --> 00:20:09,490
Og da alle plutselig når denne sikkerhetsoppdateringen forskeren gjort

323
00:20:09,490 --> 00:20:13,690
angrepet trivielle svært raskt - du vet - vi begynte å se den slags

324
00:20:13,690 --> 00:20:16,100
forbedring at alle i sikkerhet plass hadde

325
00:20:16,100 --> 00:20:19,260
vært klaget på for en betydelig lengre tid.

326
00:20:19,260 --> 00:20:22,950
Så - i særdeleshet - Firesheep var i stand til å hente Facebook, Twitter

327
00:20:22,950 --> 00:20:25,010
legitimasjon fra den Wi-Fi-stream.

328
00:20:25,240 --> 00:20:28,830
Og fordi det var i ren tekst, og de var i stand til å injisere.

329
00:20:28,830 --> 00:20:31,700
>> Igjen, hvis du skal bruke Wi-Fi velger å bruke en som

330
00:20:31,700 --> 00:20:35,030
er tilstrekkelig beskyttet - WPA2 hvis du kan.

331
00:20:35,670 --> 00:20:39,390
Hvis du må bruke ukryptert Wi-Fi - og spesielt jeg snakker

332
00:20:39,390 --> 00:20:42,420
til noen som bruker Harvard University trådløs -

333
00:20:42,420 --> 00:20:45,520
kan det være lurt å tenke på å bruke VPN. Jeg sterkt oppfordre den.

334
00:20:46,230 --> 00:20:49,620
Andre faktorer kan være lurt å tenke på er hvis du ikke stoler på Wi-Fi

335
00:20:49,620 --> 00:20:51,840
at du er på det kan være lurt å begrense bruken.

336
00:20:51,840 --> 00:20:54,730
Ikke gjør noen e-handel, ikke gjør noen bank.

337
00:20:54,730 --> 00:20:57,060
Ikke tilgang til universitetets legitimasjon.

338
00:20:57,730 --> 00:20:59,850
Det er en stor seier i dette rommet hvis noen

339
00:20:59,850 --> 00:21:03,540
stjeler din påloggingsinformasjon - du vet - de har ikke din mobiltelefon?

340
00:21:03,540 --> 00:21:07,850
Så - du vet - det er en annen faktor som de ikke nødvendigvis kan kapre

341
00:21:07,850 --> 00:21:12,040
eller bare gjør sitt angrep mer komplisert.

342
00:21:12,950 --> 00:21:14,950
Kryptere harddisken.

343
00:21:14,950 --> 00:21:17,650
Vi er i en tid akkurat nå - kryptering pleide å være en stor avtale for 10 år siden.

344
00:21:17,650 --> 00:21:19,950
Det var en betydelig påvirkning på ytelsen.

345
00:21:19,950 --> 00:21:24,290
Det er ikke lenger - faktisk - de fleste av mobiltelefoner og den slags ting

346
00:21:24,290 --> 00:21:26,920
de gjør det i hardware, og du trenger ikke engang merke til -

347
00:21:26,920 --> 00:21:28,990
ytelsen er så ubetydelig.

348
00:21:28,990 --> 00:21:31,720
>> Hvis du snakker om en arbeidsstasjon, vi snakker om BitLocker.

349
00:21:31,720 --> 00:21:35,500
Vi snakker om File Vault, gjør at den - ta deg tid nå.

350
00:21:35,500 --> 00:21:39,430
I Linux plass åpenbart Sanne Crypts kan arbeide på tvers av begge disse.

351
00:21:39,430 --> 00:21:42,400
Det kan være lurt å tenke på - i Linux-plass - det er dm-crypt,

352
00:21:42,400 --> 00:21:46,470
det er Luxcrypt - det er en haug med andre alternativer - også Tro Crypt.

353
00:21:46,850 --> 00:21:49,970
Annen rask måte å beskytte deg selv ved arbeidsstasjonen nivå

354
00:21:49,970 --> 00:21:52,000
sikkerhetskopiere harddisken.

355
00:21:52,000 --> 00:21:56,130
Og en liten rynke her - det er ikke tilstrekkelig å bruke en av

356
00:21:56,130 --> 00:22:01,410
disse Cloud synkronisering leverandører, så Dropbox eller G-Drive eller noe annet

357
00:22:01,410 --> 00:22:03,410
Det er ikke en back up-løsning.

358
00:22:03,410 --> 00:22:05,410
Hvis noen sletter noe på en av disse enhetene

359
00:22:05,410 --> 00:22:08,280
fordi de satt seg liksom det kommer -

360
00:22:08,280 --> 00:22:11,170
at sletting blir gjenskapt over hele personligheten.

361
00:22:11,170 --> 00:22:15,310
Det er ikke en back up, det er bare en forplantning mekanisme.

362
00:22:15,310 --> 00:22:17,310
Så det er godt å ha en back up-løsning.

363
00:22:17,310 --> 00:22:19,890
Det er noen forslag her for noen mennesker, og noen av dem er gratis -

364
00:22:19,890 --> 00:22:23,100
kapasitet basert - to konserter med opp - du kan gjøre det.

365
00:22:23,100 --> 00:22:30,040
Hvis du bruker universitetet G-mail - universitet Google på college og co, G-Drive

366
00:22:30,040 --> 00:22:32,490
hvis den ikke allerede er - det vil snart være tilgjengelige.

367
00:22:32,490 --> 00:22:34,490
Det er en god erstatning.

368
00:22:34,490 --> 00:22:37,370
Vi vil også se på disse tingene som Mozy Home.

369
00:22:37,370 --> 00:22:39,600
Det er godt å ha to løsninger.

370
00:22:40,170 --> 00:22:42,300
Ikke ha alle eggene i én kurv.

371
00:22:44,230 --> 00:22:47,410
Hvis du kvitter deg med noe eller faktisk hvis du er i ferd

372
00:22:47,410 --> 00:22:51,480
å sende noe konfidensiell - noen forslag her

373
00:22:51,480 --> 00:22:53,560
sikkert slette en enhet.

374
00:22:53,560 --> 00:23:00,340
Darik sin Boot og Nuke - det er slags mer for IT kunnskapsrike.

375
00:23:01,110 --> 00:23:03,290
Det kan være lurt å tenke på å bare gi det til noen av disse

376
00:23:03,290 --> 00:23:05,740
kommersielle leverandører hvis du kan.

377
00:23:05,740 --> 00:23:10,210
>> Kryptering av e-post - hvis du må - det er noen tjenester på campus

378
00:23:10,210 --> 00:23:14,600
kalt Accellion, du er off-campus eller for personlig bruk, vil jeg anbefale Hushmail.

379
00:23:15,680 --> 00:23:19,690
Vi ser det mye brukt i whistle blower, det er en av de viktigste

380
00:23:19,690 --> 00:23:21,900
mekanismer for WikiLeaks

381
00:23:22,950 --> 00:23:25,140
samt Tor og noen andre ekvivalenter.

382
00:23:26,130 --> 00:23:30,360
Og - nå å snakke om telefonen nivå - så problemet er her

383
00:23:30,360 --> 00:23:32,440
det er ikke så mye av en appetitt ennå.

384
00:23:32,440 --> 00:23:35,940
Dessverre er de fleste av smarttelefoner og tablet operativsystemer

385
00:23:35,940 --> 00:23:40,020
de er fortsatt basert på noen av prinsippene som vi så på 1990-tallet.

386
00:23:40,020 --> 00:23:43,730
De har egentlig ikke tatt noen av forbedringene

387
00:23:43,730 --> 00:23:46,400
at vi ser på arbeidsstasjonen nivå. De gjør ikke varmebeskyttelse.

388
00:23:46,400 --> 00:23:50,120
De gjør ikke - du vet - lag randomisering.

389
00:23:50,120 --> 00:23:52,360
De gjør ikke adressen beskyttelse.

390
00:23:52,360 --> 00:23:54,490
De gjør ikke utføre beskyttelse - den slags ting.

391
00:23:55,210 --> 00:23:58,550
Men også selve enheten ved defacto ikke kommer til å ha noen

392
00:23:58,550 --> 00:24:00,750
sluttpunkt sikkerhet bygget inn i den.

393
00:24:00,750 --> 00:24:04,460
Så vi begynner å se denne endringen - igjen - de fleste av smarttelefonen

394
00:24:04,460 --> 00:24:09,680
produsenter - Android, Apple og Windows - appetitten bare

395
00:24:09,680 --> 00:24:11,690
var ikke der, var referanseindeksen Blackberry.

396
00:24:11,690 --> 00:24:15,460
Men Blackberry har slags mistet sin trekkraft i markedet på dette punktet.

397
00:24:15,460 --> 00:24:17,820
Og Apple har virkelig trappet i.

398
00:24:17,820 --> 00:24:20,760
Om to år siden var det et vannskille øyeblikk hvor de

399
00:24:20,760 --> 00:24:24,300
begynte å bygge i en mye mer enterprise typen kontroller.

400
00:24:24,300 --> 00:24:29,780
Og - ja - i august gjorde de en presentasjon på Def Con som bare var uhørt.

401
00:24:31,860 --> 00:24:34,420
>> Så de vil gjøre de minste kontrollene som jeg beskrev.

402
00:24:34,420 --> 00:24:38,950
De vil gjøre sterkt passord, de vil gjøre en ledetekst for at passord på tomgang -

403
00:24:38,950 --> 00:24:42,750
enheten - du glemme det og etter 15 minutter aktiverer den.

404
00:24:43,170 --> 00:24:47,240
De vil gjøre kryptering, og de vil også gjøre det som kalles eksterne tørke.

405
00:24:48,200 --> 00:24:53,740
I Android og Windows plass disse er fortsatt TBD - skal fastsettes.

406
00:24:53,740 --> 00:24:58,830
Android har tilgang til noen programmer som kalles Prey og Lookout.

407
00:24:58,830 --> 00:25:02,240
Og faktisk noen av de endepunktdata sikkerhetsverktøy som Kaspersky jeg kjenner gjør det.

408
00:25:02,240 --> 00:25:04,240
Jeg vet ESET gjør det også

409
00:25:04,240 --> 00:25:07,350
De vil la deg sende en SMS og rense enheten.

410
00:25:08,370 --> 00:25:12,070
Windows phone på dette punktet er det først og fremst rettet mot

411
00:25:12,070 --> 00:25:15,310
bedriftens stil - det som kalles utveksling.

412
00:25:15,310 --> 00:25:19,430
Exchange er en robust mail infrastruktur, og det kan mandat noen av disse kontrollene.

413
00:25:19,430 --> 00:25:25,280
Windows 8 bare sendt i forrige uke, så jeg kan ikke snakke til som definitivt.

414
00:25:25,280 --> 00:25:29,020
Windows 6.5 var den store sikkerhetsenhet.

415
00:25:29,020 --> 00:25:34,650
Windows 7 Mobile var en katastrofe, de gjorde ikke gjøre alle disse innfødte kontroller

416
00:25:34,650 --> 00:25:36,970
obligatorisk på tvers av de forskjellige leverandører.

417
00:25:36,970 --> 00:25:43,050
Så du måtte ratifisere hver Windows Mobile 7 telefon, ett om gangen.

418
00:25:43,050 --> 00:25:47,190
>> Android - siden 3.0 plassen har hatt en stor forbedring også.

419
00:25:47,190 --> 00:25:53,450
Honeycomb, Ice Cream Sandwich, Jellybean - de vil støtte disse minimumskravene kontroller,

420
00:25:53,450 --> 00:25:58,860
og faktisk de vil støtte noen av foretaket kontroll som du kan gjøre i tillegg.

421
00:25:59,100 --> 00:26:03,560
I din personlige konto plass det er en Google personlig sync at

422
00:26:03,560 --> 00:26:06,370
du kan aktivere hvis du har din egen Google-plass også.

423
00:26:10,690 --> 00:26:15,620
Så hva gjør du når alt går fryktelig galt?

424
00:26:15,620 --> 00:26:19,900
Og hvis jeg kan - et annet takeaway fra dette er egentlig når - det er ikke om.

425
00:26:19,900 --> 00:26:24,380
Dette kommer til å skje med oss ​​alle på et tidspunkt. Hva kan du gjøre?

426
00:26:24,380 --> 00:26:28,650
Så hva kan du gjøre - og det er et lysbilde - neste lysbilde vil

427
00:26:28,650 --> 00:26:31,310
henvise deg til noen av FTC ressurser for det,

428
00:26:31,310 --> 00:26:35,270
men et minimum sted en svindel varsle på ditt kredittkort.

429
00:26:35,270 --> 00:26:38,980
Hvis jeg kan oppfordre deg til å tenke på når du bruker et kredittkort

430
00:26:38,980 --> 00:26:43,320
i en online kapasitet - avhengig av transaksjonen du gjør

431
00:26:43,740 --> 00:26:51,020
debetkort - evnen til å kreve eller evnen til å trekke tilbake en falsk

432
00:26:51,020 --> 00:26:54,920
krav på et debetkort er faktisk et mye mindre vindu enn det er på et kredittkort.

433
00:26:55,330 --> 00:26:57,950
Så når du får rapporten på et debetkort du bare har en viss

434
00:26:57,950 --> 00:27:02,940
tidsramme - og det er svært lav - til å varsle banken av et svindelforsøk.

435
00:27:02,940 --> 00:27:07,830
Kredittkort det er mye større, det pleier å være en grense opp til ca $ 50 000

436
00:27:11,020 --> 00:27:13,360
før de virkelig vil være i stand til å refundere deg.

437
00:27:14,060 --> 00:27:18,840
Så det er ganske mye penger, de dunket den opp fra ca $ 13 000, eller $ 18 000 der ganske nylig.

438
00:27:18,840 --> 00:27:21,870
Så - du vet - når du tenker på å bruke et kredittkort på nettet,

439
00:27:21,870 --> 00:27:27,980
kan du tenke på å bruke en topp opp kortet eller engangsgrill kredittkort, en brenner kort?

440
00:27:28,660 --> 00:27:32,130
>> Hvis du ser noe - og jeg vil vise deg hvordan du kan få tilgang kort tid -

441
00:27:32,130 --> 00:27:35,500
lukke eventuelle falske kontoer dersom du blir gjort oppmerksom på det.

442
00:27:35,880 --> 00:27:38,180
Inngi en politianmeldelse hvis du er på campus.

443
00:27:38,180 --> 00:27:41,200
Nå ut til HUPD - la dem vite.

444
00:27:42,870 --> 00:27:45,790
Tenk om en identitet overvåking tjeneste.

445
00:27:45,790 --> 00:27:50,580
hvis som en del av - hvis du blir kompromittert - du må kanskje -

446
00:27:50,580 --> 00:27:53,240
de kan finansiere identitet beskyttelse service.

447
00:27:53,240 --> 00:27:56,680
Hvis de ikke gjør kanskje du bør gjøre det.

448
00:27:56,950 --> 00:28:00,880
Samle og holde alle bevis - spesielt noen diskusjoner du har hatt

449
00:28:00,880 --> 00:28:03,180
med noen kriminelle myndigheter

450
00:28:04,190 --> 00:28:06,840
spesielt for forsikring formål.

451
00:28:06,840 --> 00:28:09,030
Endre alle passordene dine.

452
00:28:09,030 --> 00:28:13,050
Endre svar på eventuelle sikkerhetsspørsmål som kan brukes til å tilbakestille passordet.

453
00:28:13,860 --> 00:28:16,580
Deaktiver eventuelle tidligere identitetstjenester.

454
00:28:16,580 --> 00:28:20,170
Så hvis du gjenbruke din Facebook-konto for å logge på Twitter eller vice versa,

455
00:28:20,170 --> 00:28:27,240
bryte den, hvis kompromisset involvert din e-postkonto

456
00:28:27,240 --> 00:28:29,590
sjekk for å se om noe blir videresendt.

457
00:28:30,690 --> 00:28:33,200
Fordi ellers de fortsatt har tilgang til dine data.

458
00:28:33,600 --> 00:28:39,840
Og hvis tyveriet inkluderer Harvard-konto, vennligst gi beskjed IThelp@harvard.edu.

459
00:28:39,840 --> 00:28:44,300
Jeg kan ikke si det nok, men også særlig hvis enheten blir mistet eller

460
00:28:44,300 --> 00:28:47,340
stjålet og det hadde tilgang til ditt universitet data og kanskje du

461
00:28:47,340 --> 00:28:50,660
ikke har noen av disse beskyttelsene være respektive, vennligst gi oss beskjed -

462
00:28:50,660 --> 00:28:53,980
HUPD og IT-hjelp ved Harvard.

463
00:28:55,080 --> 00:28:58,110
>> Så linken som jeg nettopp nevnte som går inn i det med flere detaljer

464
00:28:58,110 --> 00:29:02,650
FTC.gov / identitytheft.

465
00:29:02,650 --> 00:29:08,260
The Postal Service har også noen bedrageri eller identitet beskyttelse tjenester -

466
00:29:08,260 --> 00:29:12,400
du bare sette et tak eller en stopp på kredittkort går gjennom eller sånt.

467
00:29:12,810 --> 00:29:16,950
FBI har en link så vel, det er i notene til lysbildene som jeg sendte ut.

468
00:29:16,950 --> 00:29:20,450
Og faktisk Massachusetts Better Business Bureau og

469
00:29:20,450 --> 00:29:25,050
Consumer Protection Bureau har litt veiledning så vel, det er i notene.

470
00:29:25,520 --> 00:29:31,770
Ta deg tid nå, gjør deg klar over hva du kan gjøre, og ta handling.

471
00:29:31,770 --> 00:29:37,150
Prinsippet - som jeg nevnte tidligere - er hvis du ikke har en plan

472
00:29:37,150 --> 00:29:43,010
for din identitet blir stjålet du umiddelbart kommer til å være

473
00:29:43,010 --> 00:29:46,970
gjenstand for mye arbeid når det skjer, og det er når.

474
00:29:48,030 --> 00:29:50,910
Men selv når du tar disse forholdsreglene - la meg bare legge til en

475
00:29:50,910 --> 00:29:56,190
liten ord av forsiktighet - ingen plan overlever første kontakt med fienden.

476
00:29:56,190 --> 00:30:02,770
Så selv på at vi fortsatt tror at det kan være noen omveltning - vet du -

477
00:30:02,770 --> 00:30:06,640
din bank for eksempel som du har bygget alle disse beskyttelsene rundt

478
00:30:06,640 --> 00:30:10,690
de kan bli kompromittert, og disse troverdige partier som du har gitt dine data til.

479
00:30:11,230 --> 00:30:15,570
Så du er din egen beste forsvar.

480
00:30:15,570 --> 00:30:17,960
Du vet - være årvåken - være oppmerksom.

481
00:30:17,960 --> 00:30:22,570
Ta deg tid nå til å velge å melde deg på disse, forhåpentligvis sosialisere

482
00:30:22,570 --> 00:30:24,920
dette, snakk med dette med dine venner.

483
00:30:24,920 --> 00:30:28,880
Plukke gode passord, bruke unike passord for kontoene dine.

484
00:30:29,570 --> 00:30:33,260
Og ikke gjenbruke passord - spesielt - rundt noen av

485
00:30:33,260 --> 00:30:36,630
dine mer følsomme eiendeler, ikke bruk ditt universitet konto andre steder.

486
00:30:36,630 --> 00:30:39,350
Ikke bruk kreditkort andre steder.

487
00:30:39,350 --> 00:30:42,020
Passordbeskytte den mobile enheten akkurat nå.

488
00:30:42,020 --> 00:30:48,430
Og ved mobilenheten jeg mener smarttelefon, mener jeg din tablett.

489
00:30:48,430 --> 00:30:51,250
>> Tenk om bruk av gode sikkerhetsrutiner nullstilt spørsmål, og jeg vil snakke om

490
00:30:51,250 --> 00:30:54,120
dette kort hvorfor, sjekke kreditt rapporten.

491
00:30:54,120 --> 00:30:58,040
En annen måte at du kan være en god borger i dette rommet

492
00:30:58,040 --> 00:31:05,350
er regjeringen tvunget tre byråer Experian, TransUnion og Equifax

493
00:31:05,350 --> 00:31:07,460
å frigjøre kreditt-rapporter.

494
00:31:07,460 --> 00:31:10,270
For noen av Harvard samfunnet, spesielt i student plass,

495
00:31:10,270 --> 00:31:13,260
dette kan være nye for dem, men du har lov til å trekke dem

496
00:31:13,260 --> 00:31:16,510
byråer minst en gang i året.

497
00:31:17,180 --> 00:31:20,420
God forsiktighet - gå på til dette området, det er tilgjengelig på FTC ett.

498
00:31:20,420 --> 00:31:23,260
Og gjøre det hver 4 måneder i stedet, og du er i stand til å holde

499
00:31:23,260 --> 00:31:28,130
orden på hvem er pengeinnsamling forespørsler om din kredittkortinformasjon,

500
00:31:28,130 --> 00:31:31,060
eller om faktisk hvis noen åpner noen uredelig kontoer.

501
00:31:31,430 --> 00:31:34,450
Og - generelt - veiledning er å være klar.

502
00:31:34,450 --> 00:31:37,120
Og jeg kommer til å gi deg et konkret eksempel kort tid,

503
00:31:37,120 --> 00:31:40,510
men som er vesentlig kjøtt og poteter av diskusjonen.

504
00:31:41,110 --> 00:31:43,810
>> Så hvorfor dette er viktig akkurat nå er om sommeren det var en

505
00:31:43,810 --> 00:31:47,200
gentleman kalt Matt Honan - hvis du er der ute takk

506
00:31:47,200 --> 00:31:49,920
for å være så imøtekommende med informasjon.

507
00:31:50,360 --> 00:31:55,840
Men hva skjedde med Matt er han jobbet for Wired Magazine,

508
00:31:55,840 --> 00:31:59,530
og noen cyperhacktivists gikk etter sin Twitter-konto.

509
00:32:00,070 --> 00:32:03,630
Og de brukte noen av disse ressursene - noe av denne offentlige persona

510
00:32:03,630 --> 00:32:06,740
at han gjort tilgjengelig.

511
00:32:06,740 --> 00:32:11,170
Og de bygget et kart, de visste hvor de skulle angripe og når.

512
00:32:11,980 --> 00:32:15,400
Så fra at de begynte å dele opp den informasjonen som han gjorde

513
00:32:15,400 --> 00:32:17,440
tilgjengelig, og de fant ut at han hadde en Gmail-konto.

514
00:32:17,890 --> 00:32:21,580
Så han brukte en mindre enn klok passord for sin Gmail,

515
00:32:21,580 --> 00:32:24,890
og han hadde ikke noen multi-faktor autentisering på den.

516
00:32:24,890 --> 00:32:27,800
Så de kompromittert sin Gmail, når de hadde tilgang til sin Gmail

517
00:32:27,800 --> 00:32:31,390
de så alle disse andre kontoer som han hadde koblet til sin Gmail.

518
00:32:31,820 --> 00:32:35,760
Faktisk hadde de tilgang til hele hans hele Gmail eller Google persona.

519
00:32:37,230 --> 00:32:40,850
Og - spesielt - de begynte å legge merke til at han hadde en Amazon-konto

520
00:32:40,850 --> 00:32:44,700
fordi det var noen e-poster blir rapportert til ham.

521
00:32:44,930 --> 00:32:47,540
Så da de fikk på sin Amazon, og de fikk på sin Amazon

522
00:32:47,540 --> 00:32:50,800
ved bare å tilbakestille passordet sitt fordi det gikk til hans Gmail.

523
00:32:51,940 --> 00:32:56,430
Han hadde ikke - han slags hadde en dominoeffekt eller credential kjeding skjer her

524
00:32:56,430 --> 00:33:00,090
der når de fikk sin Gmail de hadde nøklene til riket.

525
00:33:00,320 --> 00:33:03,950
Så når de kom på Amazon sin - og dette var uten skyld

526
00:33:03,950 --> 00:33:07,010
til disse andre gutta - dette var - du vet - Matt ikke hadde valgt å

527
00:33:07,010 --> 00:33:10,640
melde deg på disse sikrere mekanismer som bare disse menneskene hadde gjort tilgjengelig

528
00:33:12,050 --> 00:33:14,230
og alle disse Internet kilder.

529
00:33:14,230 --> 00:33:18,340
>> Så når de fikk på sin Amazon de hadde tilgang - det gjorde ikke vise dem

530
00:33:18,340 --> 00:33:20,420
hans kredittkort, men det viste dem de siste fire sifrene

531
00:33:20,420 --> 00:33:24,280
bare så han visste hva det var, det viste dem sin leveringsadresse.

532
00:33:24,280 --> 00:33:26,620
Det viste dem noen annen informasjon som han har gjort på noen ordrer.

533
00:33:26,620 --> 00:33:29,790
Og deretter fra det bestemte de seg for å angripe hans Apple-konto.

534
00:33:30,860 --> 00:33:33,170
Og de sosiale konstruert Apple help desk.

535
00:33:33,640 --> 00:33:36,920
Apple burde ikke ha gjort det, men basert på denne informasjonen

536
00:33:36,920 --> 00:33:39,990
de var i stand til å utvinne fra de andre to kontoer.

537
00:33:41,040 --> 00:33:43,310
Du vet - fyren ved help desk sannsynligvis trodde han var

538
00:33:43,310 --> 00:33:46,730
en god borger - du vet - jeg blir nyttig, og det er en Apple-kunde

539
00:33:46,730 --> 00:33:50,370
der ute som er strandet der ute på egen hånd, og jeg må hjelpe ham.

540
00:33:51,340 --> 00:33:53,680
Men det var ikke den virkelige Apple kunden.

541
00:33:53,680 --> 00:33:56,920
Så de nullstille hans Apple-konto, og de sendte informasjonen til Gmail.

542
00:33:56,920 --> 00:34:00,580
Når angriperne hadde tilgang til hans Apple-kontoen

543
00:34:00,580 --> 00:34:04,390
Matt hadde alle sine enheter knyttet til iCloud hans,

544
00:34:04,390 --> 00:34:08,600
og de begynte å utstede mened sett og tørke alt.

545
00:34:08,989 --> 00:34:14,530
Igjen, hadde han bare hans data overført, han var med iCloud som synkroniseringen mekanismen.

546
00:34:14,530 --> 00:34:17,800
Så når de slettet den alt gikk bang.

547
00:34:18,600 --> 00:34:21,010
De fortsatt hadde tilgang på dette punktet til sin Twitter-konto som er det

548
00:34:21,010 --> 00:34:23,770
de hadde prøvd å angripe.

549
00:34:24,739 --> 00:34:26,980
Jeg vet ikke om de brukte Maltego eller noen av disse andre mekanismer

550
00:34:26,980 --> 00:34:31,710
å bygge ut sin Internet persona, men - du vet - i løpet av

551
00:34:31,710 --> 00:34:34,429
selvfølgelig de fikk tilgang til fire forskjellige identitetstjenester før

552
00:34:34,429 --> 00:34:36,790
de fikk på Twitter hans, og det kostet Matt -

553
00:34:36,790 --> 00:34:39,350
Matt var ganske heldig han så det skje fordi barna hans kom til ham

554
00:34:39,350 --> 00:34:41,350
når iPad låste seg av.

555
00:34:41,350 --> 00:34:43,770
Og de sa - du vet, "Pappa, det er noe som skjer med iPad."

556
00:34:43,770 --> 00:34:48,050
Og han stenge alt ned fordi han la merke til det som skjedde overalt.

557
00:34:48,389 --> 00:34:51,560
Og han begynte å ringe Apple for å se hva i helvete som nettopp hadde skjedd.

558
00:34:52,199 --> 00:34:54,840
Og Apple virkelig trodde at det var noe på gang

559
00:34:54,840 --> 00:34:58,170
at iCloud hadde gått rogue før de funnet ut -

560
00:34:58,170 --> 00:35:01,380
han faktisk funnet ut at de skulle sende informasjon, og

561
00:35:01,380 --> 00:35:03,380
de begynte å kalle ham feil navn.

562
00:35:03,380 --> 00:35:09,200
Fordi Apple hadde på filinformasjon at angriperen hadde undergravd.

563
00:35:09,990 --> 00:35:13,720
>> Ok - så det er den type informasjon som vi bruker til å bygge dette

564
00:35:13,720 --> 00:35:17,990
slags beste praksis, vi bruker dette som en del av en hel serie av

565
00:35:17,990 --> 00:35:21,030
seminarer til oktober - National CyberSecurity Awareness måned.

566
00:35:21,030 --> 00:35:23,530
Det har blitt gjort tilgjengelig for dere.

567
00:35:23,530 --> 00:35:28,160
Jeg skal sørge for at jeg sendte det ut i Wiki da David gjør den tilgjengelig for meg også.

568
00:35:28,160 --> 00:35:30,960
Men det er råd og veiledning i det mye mer granularly enn

569
00:35:30,960 --> 00:35:34,230
Jeg er i stand til å oppsummere i denne korte tiden jeg har tilgjengelig.

570
00:35:34,230 --> 00:35:37,350
rundt det som kalles, Skyet med a Chance of Identity Theft:

571
00:35:37,350 --> 00:35:39,400
Plukke gode brukernavn og passord.

572
00:35:39,400 --> 00:35:42,700
Er det noen gang ikke sosialt? Og svaret er nei, er det alltid sosialt,

573
00:35:42,700 --> 00:35:45,500
men du må være klar over hva det betyr.

574
00:35:47,020 --> 00:35:50,640
Og det er Taming Lions, Tigers, og Windows som er rundt

575
00:35:50,640 --> 00:35:54,300
herding operativsystemer med noe av den informasjonen vi gikk til i dag.

576
00:35:54,540 --> 00:35:57,320
Og den siste var om, ha enhet, Will Travel

577
00:35:57,320 --> 00:36:00,200
å snakke om å gå mobil med denne typen datakilder.

578
00:36:00,910 --> 00:36:03,710
Så annet enn at hvis du har noen spørsmål min e-postadresse er

579
00:36:03,710 --> 00:36:08,200
der, og hvis noen i rommet har noen spørsmål kan du heve hånden.

580
00:36:08,690 --> 00:36:10,910
Annet enn det, jeg kommer til å stoppe opptaket.

581
00:36:11,870 --> 00:36:16,000
OK. Ferdig.

582
00:36:16,000 --> 00:36:19,190
[CS50.TV]