[Powered by Google Translate] [Seminarium: Przetrwać w Internecie] [Esmond Kane-Harvard University] [To jest CS50.-CS50.TV] Witamy i zapraszamy do "Przeżyć z Internetu." Jest jednym z seminariów, które obejmują część niniejszej CS50 programu nauczania. Nazywam się Esmond Kane. Moje nazwisko i adres są na tym pokładzie slajdów przed sobą. Jest esmond_kane@harvard.edu. W mojej pracy dzień jestem jednym z dyrektorów ds. IT bezpieczeństwa dla HUIT, ale muszę przyznać, że dziś jestem na misji na wyjeździe , dlatego jestem ubrany w czerwoną koszulę. To nie będzie zawierać wszystko, co jest związane bezpośrednio do mojej pracy dzień, więc to nie na temat bezpieczeństwa IT na Harvard jest. To więcej tylko dane osobowe, to jest jak, kiedy Znowu przyjmujesz - to rodzaj umiejętności, które możesz zdobyć, aby spróbować pomóc utwardzają swoje stanowiska pracy i swoje środowisko w całej swojej karierze. Ale nic, że wspominam dziś powinny być stosowane do wszystkich swoich Materiał uniwersytet, serwery lub stacje robocze nie kontaktując się z lokalnym wsparcie IT. I rzeczywiście, jeśli wspomnieć żadnych aplikacji ani żadnych incydentów w ramach tego rozmowa lub dyskusja nie donosi nic, że jestem uprzywilejowany zgłosić. To jest zwykle publiczny I ani nawet powinna każda wzmianka o dowolnej aplikacji oznacza dowolną Potwierdzenie przez Harvard, a nawet każdy potępienie. 

Więc dzisiaj, dlaczego tu jesteśmy - teraz, że są wykonane z zrzeczenie - jesteśmy tu dzisiaj, aby porozmawiać o życiu w Internecie. I dlaczego jest to tak ważny temat w tej chwili? Więc parafrazując Perry Hewitt, który pracuje w Harvard Press i Office Communications - Przepraszam za czytanie tego teraz - ona stwierdziła: "Żyjemy w atmosfera narastającego zagrożenia, ale także jednym z niezrównaną innowacyjność. Szybki rozwój Internetu, Chmura, technologie społeczne i spowodowało wiele więcej ludzi mających profile już publiczne z rzeczywiście dostęp do stale rosnącej gamy informacji. A to oznacza, że ​​wszyscy i ich związki nigdy nie były bardziej widoczne. Jak Harvard ślad cyfrowej - jego sieć cyfrowa rozwija, przyciągamy do szerszej publiczności. Mamy nadzieję, że dla dobra, ale czasami będziemy zachęcenia negatywny uwagę. Więc jako przedstawiciel Harvard ", a dotyczy to wszystkich oglądanie w domu, czy rzeczywiście ktoś tu "nasz wydział, nasi studenci, nasi pracownicy, nasi naukowcy, ryzyko kompromisu dla Ciebie i rzeczywiście do Twój związane sieć nigdy nie była wyższa. " 

Tak często w dziedzinie bezpieczeństwa informacji, gdy staramy się zrównoważyć ryzyko to jest skomplikowane kompromis między bezpieczeństwem i doświadczenia użytkownika. W dobie bezpośredniości musimy mieć przemyślane decyzje o tym, co ma zwiększyć bezpieczeństwo bez poważnej niedogodności. Powiedziano nam, czasami uncja prewencji jest warta dwa razy lekarstwo, ale przy wyborze wdrożyć środki bezpieczeństwa, aby zmniejszyć ryzyko musimy przyznać, że nigdy nie będzie zmniejszyć potencjalne ryzyko do zera. Tak, że powiedział - jesteśmy tu dzisiaj, aby omówić pewne proste i nie tak prosty środki bezpieczeństwa, które można podjąć już teraz. Należy również dodać - jeśli masz jakiekolwiek pytania, na całym Prezentacja tylko podnieść rękę. Więc pierwszym temacie - często jesteśmy powiedział, aby wybrać dobre hasło. Hasło to Twoja pierwsza i najlepsza obrona. Często jest to tylko jeden, który jest dostępny dla Ciebie kiedy decyduje się skorzystać z zasobów internetowych. Ale jak widzieliśmy w całym tym okresie, a nawet rok poprzedni widzieliśmy ataki, takie jak LinkedIn, eHarmony. Widzieliśmy RockYou. Mieliśmy trochę łącznie 70.000.000 haseł i kont zaatakowanych. I kiedy te hasła zostały uwolnione do domeny publicznej również składa hash hasła. 

Więc w zasadzie w dzisiejszych czasach, jeśli ktoś pobiera ula konta nie muszą złamać hasło anymore;. oni nie potrzebują do brutalnej siły hasła ponieważ mają tę ogromną trove uwolnionego informacji na temat tego, co ludzie wybierają. Oni już mam danych behawioralnych na myśl to, co ludzie mają tendencję do używania. A oni złamali, że w dół do listy około tysiąca haseł które obejmują prawie 80 do 90% z haseł, które wybierają się w powszechnym użyciu. Tak krótki przykład - ktoś chce zaryzykować to, co myśli Bashar al-Assad wykorzystywane do jego hasła, kiedy została ona naruszona w zeszłym roku? To jest pan, który jest przedmiotem intensywnych badań. Jego hasło to 12345. Okay - więc są lekcje, które nauczyliśmy się, musimy przejść poza samą myśl o hasło. Powiedziano nam, aby uruchomić za pomocą hasła. Jest świetny komiks z lub rzeczywiście komiks internetowy z Randy Monroe który idzie w wyborze fraz; używa - Chcę powiedzieć - bateria, zszywanie, ograniczenie lub coś w tym stylu - wiecie - po prostu - czy rzeczywiście nie jest żart, że ktoś, kto wybrał Goofy, nemo, Pluto - wszystkie te różne postacie i Londyn, ponieważ powiedziano mu, odebrać 8 znaków i kapitału. Ale - tak dowiadujemy się, że trzeba iść, że poza tylko hasłem. 

Tu jest rzeczywiście Ezine w Bostonie nazwie Ars Technica. Jest pan nazywany Dan Goodin który robi serię na ta zmiana zakresu - albo z miejsca, gdzie mamy napastnika to ogromny dla nas dostępne trove aby albo nic już nie trzeba generować rzeczy poprzez tabele tęczy; mamy 70 milionów haseł. Ale też mieliśmy - wiesz - w zmieniających scape Rzeczywista pękanie miejsca, ponieważ GPU karty dokonały tego praktycznie niemal w czasie rzeczywistym. I nie ma pan w Def Con w sierpniu, który ułożyła 12 z tych kart do komputera towarowej. Zrobił to za około 2000 dolarów lub 3000 dolarów, a on był w stanie złamać trove LinkedIn w - wiesz - niemal w czasie rzeczywistym. To było dość przerażające. Artykuł Dan Goodin za - Gorąco polecam, jeśli chcesz, aby przejść ją przeczytać. Pan nazywa Sean Gallagher - rano - również opublikowane szybka zmiana na to, wiele ich pracy opiera się na - materiały dostępne z Bruce Schneier, ale również z Cormac Herely z badań firmy Microsoft. Oni rodzaju stwierdzono około 5-6 lat temu, że musimy zacząć myśleć poza hasłami. Propozycje w tym czasie były takie rzeczy jak fraz, gestów interfejsy - tego rodzaju rzeczy. Wiesz - jeśli coś wiesz, nie jest już wystarczające w tym momencie; to jest jedna z rzeczy, które chcę, aby komunikować się dzisiaj. Jeśli musisz używać hasła, niech nas nie wstydź się, twierdząc, powinieneś nadal wybrać dobre, miejmy nadzieję, że powinno to być coś poza 10 znaków. Powinna ona wynosić od górnej i przypadku dolnej. 

Gorąco zachęcam, aby nie ponownie haseł. Mogę mówić do kilku przypadków, gdzie widzieliśmy konto dostać naruszone i ktoś skakał i pomijany - efekt domina. Oni kopalni każdego konta na każdym etapie procesu do tego Dane, a następnie przechodzą do wykorzystać te dane, które są eksploatowane w każdym przypadku wobec innego źródła danych logowania. Tak więc - znowu - wybrać dobre hasło. Zrób to wyjątkowy. Możesz myśleć o korzystanie z usług menedżera haseł. Są to ci, tam od - wszystkie one są w sklepach app. Jest jeden o nazwie onepass, KeePass, LastPass - to jest dobry sposób na to, aby pomóc w tworzeniu unikalnych referencji, mocne referencje, , ale także ułatwić archiwum i prowadzenie dokumentacji dla Ciebie. Wadą, że to trzeba wnieść, że do sklepu hasło; musisz upewnić się, że menedżer haseł, że masz zaufanie jest godny zaufanie, jak również. 

Upewnij się więc, ci faceci są również za pomocą kilku ważnych mechanizmów hasła. W szczególności jeden mam zamiar wymienić teraz jest uwierzytelnianie wieloczynnikowe. Więc uwierzytelnianie wieloczynnikowe - i istnieje kilka przypadków Omówię krótko - To proste celowe biorąc coś wiesz, jak twój Nazwa użytkownika i hasło, a dodając do niego - jest dodawany kolejny czynnik. Więc pierwszym czynnikiem, który będziemy wspominać dzisiaj to te na tablicach. To jest coś, co masz w swojej własności, tak że jest albo stosowanie uruchomiony na smartfonie lub nawet na sam telefon. I może być w stanie otrzymać SMS. Strzeż się, jeśli podróżujesz za granicą, że nie musi iść za tobą. Aplikacja może pracować więcej w tej instancji. Albo rzeczywiście inny czynnik może chcesz, aby myśleć o czymś jesteś. 

Teraz jest to jeszcze niby skunkworks bardzo. Nie widzimy zbyt dużo przyjęcie go. To jest - wiesz - Mission Impossible style - wiesz - Twój print żył, Twój print kciuk, na wydruku siatkówki. To są niby dalsze wyjście, nie są one naprawdę bardzo ważnych czynników uwierzytelniania. Zobaczymy - gdy rozmawiam z moimi kolegami bezpieczeństwa - większą presję, że można umieścić na klawiaturze swój szczególny wzór pisania, to prawdopodobnie bezpośrednio na horyzoncie - znacznie bardziej niż innych identyfikatorów biometrycznych. Ale te, które dzisiaj są aplikacje lub SMS lub nawet tylko email odpowiedź wyzwanie, które masz zamiar dostać aby potwierdzić, że nie w rzeczywistości wybrać, aby zalogować się w tym momencie w czasie. Więc nie jest link tam, mam rozesłane pokładu slajdów rano. To będzie na Wiki. 

Zarówno Gmail i Google to zrobić; Yahoo zrobi. Paypal ma go; Paypal też ma trochę aktualny klucz sprzętowy, który robi wiele obrotowy. Ale można również wybrać numer telefonu. Facebook też nie dziennika w zatwierdzeniu, więc wybrać zatwierdzić, są również działania w kierunku bardziej ważnego zabezpieczenia dysku wytrzymałości. Dropbox posiada 2-stopniową weryfikację, jak również, można też po prostu zakup klucza sprzętowego dla nich. Widzimy także, w jednej lub Gmail Google jedną, wiele osób faktycznie kooptacji Google Authenticator, więc - na przykład - Używam LastPass - nie oznaczają poparcia - ale mogą ponownie Google 2-step weryfikacji więc to oznacza, że ​​nie trzeba chodzić z 2 aplikacji na mój telefon. Ale także badania w ramach Harvard computing lub za pomocą analogii do 2 kroku uwierzytelniania Google, ponieważ jednorazowe hasło Algorytm został open source tam około 10 lat temu. Masz pytanie? Dobra. 

Tak więc kolejny czynnik, czynnik poza hasłami jest, gdy jesteś wykorzystania tych zasobów być świadomi, jakie dane są zobowiązując się do nich. Wystarczy ograniczyć to, co w rzeczywistości wprowadzenie tam. Tak więc mamy świadomość, że ci ludzie, którzy świadczą usługi dla nas w internecie - tych dostawców cloud - mają żywotny interes w ciebie nie jest tak bezpieczne, jak to potencjalnie możliwe. Mają tendencję do udostępniania goły zestaw minimum bezpieczeństwa, i potem jest masa innych te, które są opcjonalne, że trzeba zrezygnować w celu. Rodzaj zabrać z tej rozmowy to bezpieczeństwo jest wspólna odpowiedzialność. To jest między tobą a partnerami, które sprawiają, - sojusze, które tworzą. Musisz podjąć aktywną rolę. Wybierz, aby zdecydować się na to. Wiesz - trochę czasu, teraz, uczynić go bardziej bezpiecznym. Alternatywą jest tam już są ludzie, sprawdzanie i testowanie czynniki te zabezpieczenia przeciw tobie; więcej można zrezygnować w aby lepiej jesteś przygotowany do ewentualnego kompromisu. I to jest ostateczne. 

Ale inny czynnik, aby myśleć o to, jak wspomniałem te strony internetowe, które ufasz z poświadczeniami - ze swojej tożsamości. Dam ci 2 analogie, Larry Ellison i Mark Zuckerberg - są one zarówno na zapis stwierdzający prywatność jest w dużej mierze złudzenie. I że wiek prywatności jest skończona. To jest trochę smutne oskarżenia, że ​​naprawdę musimy czekać przez rząd wkroczyć zmusić partie te są bardziej bezpieczne, wprowadzić więcej przepisów, bo gdy staramy się pracować z tych dostawców na przykład, niektóre z nich Dropbox jak strony, są one w działalności polegającej na świadczeniu usług na rzecz konsumenta. Oni nie są bezpośrednio zainteresowane posiadaniem klasy korporacyjnej kontroli bezpieczeństwa. Konsumenci głosowali w portfelu, i już przyjęta minimalną klasę. Nadszedł czas, by zmienić ten sposób myślenia. Więc kiedy dostarczamy nasze dane do tych stron, musimy dokooptować nasz istniejące mechanizmy zaufania, więc jesteśmy stworzeniami społecznymi domyślnie. 

Więc dlaczego wszyscy nagle kiedy zaczniemy umieszczenie danych w Internecie Czy mamy dostęp do tych samych zabezpieczeń prowadzimy osobiście? Więc kiedy mogę czytać język ciała, kiedy mogę wybrać sieciowa z kręgu i rzeczywiście do tego kręgu ujawniać tylko informacje, że chcę. Tak więc mamy dostęp do tego język ciała, wyraz, artykułować, mamy dostęp do tych zabezpieczeń zbliżeniowych tożsamości w fizycznej lokalizacji, są one nadal się rozwija w Internecie. Nie mamy do nich dostęp, ale zaczynamy je zobaczyć. Mamy więc ścianką Facebooku - na przykład - jak grupy. Mamy dostęp do rzeczy w Google+, takich jak koła. Absolutnie z nich korzystać. Więc ostatnią rzeczą, którą chcesz zobaczyć, jest w tym miejscu w szczególności kiedy go dostać pracę jest już teraz się dużo swojego public osobowość. A gdy ktoś chce - powinni wybrać się - może być częścią z polityką firmy, czy nie - z pewnością nie jest częścią Harvard's - ale mogą zdecydować się na wyszukiwanie w Google. I kiedy to zrobić - jeśli istnieje - powiedzmy informacje co masz trudności stoi za - masz zrobić sobie krzywdę. I rzeczywiście, jak już wspomniałem - te przedsiębiorstwa społeczne mają żywotny interes w co publiczne - wiesz - muszą wydobywać dane. Oni sprzedają swoje demograficzne i materiałów marketingowych dla kogoś. Rodzaj analogii w tej przestrzeni jest - jeśli nie płaci za produkt jesteś produkt? Więc tworzyć kręgi dla znajomych, być ostrożnym, być sumienny, Staram się nie robić wszystko publicznej. 

Inna analogia zrobię to użytkownik końcowy umowy licencyjne zmienić, mają zamiar powiedzieć, co mogą zrobić z danymi, i mają zamiar pochować go w 50-stronicowym klikalności. A może zdecydują się zmienić, i po prostu wysłać szybki e-mail. Ale nie jesteś prawnikiem, jest bardzo w żargonu prawniczego. Musisz być ostrożny, co robisz. Mogą właścicielem zdjęć, mogą one właścicielem swojej własności intelektualnej. Wiesz - tylko staranność wykonania. Innym przykładem Biblioteka Kongresu jest archiwizacja każdy tweet znanych człowiekowi. Wszystko. Co 10 lat około ciało materiału, który jest generowany w tym, że 10 lat rachunków lub znacznie wyprzedza wszystko, co mamy stworzył w całej historii ludzkości. Biblioteka Kongresu ma żywotny interes w zachowaniu, że informacje dla potomności, dla przyszłych archiwistów, dla przyszłych badaczy i historyków, więc wszystko wkładacie tam jest. To rzeczywiście zrobić ogromny zasób, w pewnym momencie gdy ludzie zaczynają wydobywać inżynierii społecznej lub serwisów społecznościowych. Dlatego należy zachować śledzi zabezpieczeń dostępnych w ramach każdego wniosku. 

Jest coś wspomnę, jak również, nie ma narzędzia innych nazywa Privacyfix, może podłączyć się w niektórych z nich aplikacje społecznościowe. I to może sprawdzić, gdzie jesteś w odniesieniu do zabezpieczeń , które dostępne są na nich, jeśli możesz je dodatkowo grzechotka. Istnieją narzędzia, takie jak Front Wyzwolenia Danych od Google gdzie można wyeksportować lub wyodrębnić dane. Są to rzeczy, jak Suicide Machine Internet, które logują się do niektórych swoich profili i rzeczywiście usunąć każdy atrybut po jednym na raz, każdy kasuje zaznaczenie Towarzystwo Przyjaciół w sieci zrobiłby. I będzie dążyć do iteratively oczyścić wszystko o tobie , że strona będzie wiedział. Jeśli mogę tylko zachować pewną ostrożność, również tam, nie było wystąpienie Kilka lat temu w Niemczech, gdzie obywatel postanowił wykonywać swoją wolność praw informacyjnych i poprosić Facebooka aby zapewnić jakie informacje mieli na rekord dla niego nawet po tym usunięta swoje konto. Zapewnili mu CD z 1250 stron informacji choć jego konto teoretycznie już nie istniał. Istnieje koncepcja w tym miejscu, że wiele Niektóre z tych podmioty utrzyma kilka danych o sobie zrobić z stowarzyszeń i swoimi sieciami. Mówią, że nie mogą mieć kontrolę nad tym, że jest trochę naciągane, w mojej opinii. Tworzą te konta w tle - z kategorii cieni. Wystarczy być ostrożnym. Limit, co możesz. W rzeczywistym poziomie urządzenia, gdy jesteś tylko o - wiesz - Akcesoria - smartfon, tabletek, stacja robocza, laptop, być może serwer, że jesteś odpowiedzialny. 

Prawdopodobnie słyszałeś o koncepcji jak pracy, aktualizacje systemu, aktualizacje aplikacji, oprogramowanie antywirusowe; słyszałeś o rzeczy takie jak firewall, szyfrowanie dysku i powrotem. Jedna rzecz, należy mieć świadomość, że nie słyszymy o tych, rodzaj zabezpieczeń w mobilnych telefonów. Są one tak podatne na te same zagrożenia. Mieliśmy - Chcę powiedzieć - milion smartfonów będą aktywowane przez koniec miesiąca. Który znacznie wyprzedził - w krótkim czasie, były one dostępne, który znacznie wyprzedził wzrost PC, laptop, rynek stacji roboczych. Ale nie mamy dostępu do takich samych kontroli, a ja będą rozmawiać o tym wkrótce. Tak więc, zanim przejdziemy do mobilnych telefonu pomówmy o to, co jest tam dostępne, że po prostu na chwilę podszedł. Tak więc oprogramowanie antywirusowe - oto niektóre wolne wybory. Microsoft rozdaje ich - wiesz - Sophos oddaje ich dla OSX oraz Połącz komputer - po prostu być świadomy niezależnie sprzedawca-tych Aktualny poziom poprawek jest i nie powinna być znacząca delta z tego. Jest miły narzędzie z firmy o nazwie Secunia. I Secunia będzie działać w tle, a dowiesz się, czy jest aktualizacja dostępna i jeśli trzeba je stosować. 

Włącz automatyczne aktualizacje - zarówno Apple i Microsoft będą mieli jakiś aspekt tego. Będą ostrzegać, że jest dostępna aktualizacja. I Secunia - wiesz - to rodzaj miłej bezpieczeństwa net mieć także - spadnie mechanizm pleców. W warstwie hosta - nie dostanie się do smartfonów jeszcze. Włącz zaporę natywną dla systemu operacyjnego. Istnieją pewne informacje o systemie Windows w OSX jednym. Sprawdź swoją zaporę, nie po prostu zostawić go tam i myślę, że jest to bezpieczny mechanizm. Weź aktywny udział, nie ma zastosowanie tam z GRC - Steve Gibson. Bezpieczeństwo Wi-Fi w tym miejscu - to może mieć zastosowanie również do smartfonu i tabletu - kiedy decyduje się pójść na drodze trzeba mieć świadomość, że istnieją różne klasy sieci bezprzewodowej. A w szczególności nie wybrać najbardziej powszechnie dostępną jedną. To może być tanie, ale nie może być powód. Być może są one wydobycie danych. Widzimy to więcej podczas podróży na całym świecie. Są naprawdę bardzo wydajny cyber syndykaty przestępcze , które są w stanie wykorzystać to, co zazwyczaj zobaczyć w szpiegostwa państw narodowych. Czynnik, w którym są one wręcz wtryskiwania się w strumieniu sieci. Oni wyciągają rzeczy z tam i są wstrzykiwanie aplikacje na na stacjach roboczych. 

To jest - inny aspekt, że wiem, został wymieniony w niektórych z nich seminaria bezpieczeństwa - czy nie seminaria CS50 seminaria - jest narzędzie o nazwie Firesheep. I Firesheep był zwłaszcza atak na telefony komórkowe telefon gdzie niektóre z tych społecznościowymi wysyłali listy uwierzytelniające w postaci zwykłego tekstu. I to było dość powszechnie akceptowane, ponieważ wszyscy w tym czasie myślał, że nie ma apetytu w przestrzeni konsumentów na tym, że użycie większej siły oznaczał szyfrowania obciążenie wydajności na serwerze, więc jeśli nie ma to zrobić - nie chcą. A potem wszystko nagle, kiedy to badacz bezpieczeństwa wykonane Atak trywialne bardzo szybko - wiesz - zaczęliśmy widzieć tego rodzaju poprawa, że ​​wszyscy w przestrzeni bezpieczeństwa miał skarżą się na dłuższy czas. Tak więc - w szczególności - Firesheep był w stanie odzyskać Facebook, Twitter Poświadczenia z Wi-Fi strumienia. A ponieważ było to w postaci zwykłego tekstu, i byli w stanie wprowadzić. 

Ponownie, jeśli zamierzasz korzystać z bezprzewodowego dostępu do Internetu wybrać jedno, że jest wystarczająco chroniony - WPA2, jeśli możesz. Jeśli musisz użyć nieszyfrowane bezprzewodowy dostęp do Internetu - w szczególności mówię do nikogo, że jest za pomocą bezprzewodowego - Harvard University może warto pomyśleć o użyciu sieci VPN. Gorąco zachęcamy do niej. Inne czynniki, które warto zastanowić się, jeśli nie ufa bezprzewodowy dostęp do Internetu że jesteś na może chcesz ograniczyć wykorzystanie. Nie rób żadnych e-commerce, nie rób żadnych bankowości. Nie przejść poświadczenia uniwersyteckich. Istnieje duże zwycięstwo w tym miejscu, jeśli ktoś nie kradną poświadczeń - wiesz - nie mają telefonu komórkowego? Więc - wiesz - to kolejny czynnik, który nie zawsze mogą przejąć lub po prostu sprawia, że ​​ich atak bardziej skomplikowane. Szyfrowanie dysku twardego. Jesteśmy w erze teraz - szyfrowanie kiedyś wielkiego 10 lat temu. To był znaczący wpływ na wydajność. To nie jest już - w rzeczywistości - większość telefonów komórkowych i tego rodzaju rzeczy robią to w sprzęcie, a nawet nie zauważyć - wydajność jest tak znikoma. 

Jeśli mówimy o stanowisku pracy, mówimy o funkcji BitLocker. Mówimy o Vault pliku, włączyć go - trochę czasu teraz. W Linux przestrzeni oczywistą nieprawdą Krypty może pracować na obu z nich. Możesz myśleć o - w Linux przestrzeni - jest dm-crypt, istnieje Luxcrypt - istnieje kilka innych opcji - także prawda Crypt. Inne szybki sposób zabezpieczyć się na poziomie stacji roboczej kopii zapasowej dysku twardego. I jeden niewielkie zmarszczki tutaj - nie jest wystarczająca, aby użyć jednego z tych dostawców synchronizacji Chmura, więc Dropbox lub G-Drive lub coś innego To nie powrót do rozwiązania. Jeśli ktoś coś na usunięcie jednego z tych urządzeń bo jakoś to dodaje się dzieje - że skreślenie zostanie powtórzone w Twojej całej osobowości. To nie jest do tyłu, to jest po prostu mechanizm propagacji. Tak więc dobrze jest mieć kopię zapasową rozwiązania. Istnieje kilka wskazówek tu na niektórych ludzi, niektóre z nich są darmowe - pojemność bazie - 2 koncerty z powrotem - można to zrobić. Jeśli używasz uniwersytet G-mail - Uniwersytet Google na uczelni i współpracy, G-Drive jeśli nie jest już - będzie dostępna wkrótce. Jest dobrym zamiennikiem. Będziemy też patrzeć na te rzeczy jak Mozy Home. Dobrze jest mieć 2 rozwiązania. Nie masz wszystkich jajek do jednego koszyka. Jeśli pozbywasz się czegoś lub nawet jeśli są w procesie wysyłania coś poufne - kilka sugestii, żeby bezpiecznie usunąć urządzenie. Darik w Boot i Nuke - to rodzaj bardziej dla IT bystry. Możesz myśleć o tym, dając jej do niektórych z nich komercyjni dostawcy, jeśli możesz. 

Szyfrowanie e-mail - jeśli trzeba - istnieją pewne usługi na terenie kampusu nazywa Accellion; jesteś off-campus lub do użytku osobistego Ja polecam Hushmail. Widzimy, że wiele używane w gwizdek dmuchawy, jest jednym z głównych mechanizmy WikiLeaks oraz Tora i niektórych innych odpowiednikach. I - teraz mówić o poziomie telefonu - tak tu jest problem nie ma, że ​​wiele z apetytem jeszcze. Niestety większość smartfonów i tabletu Oss nadal są one w oparciu o pewne zasady, które widzieliśmy w 1990 roku. Oni naprawdę nie włączone niektóre z ulepszeń, które widzimy na poziomie stacji roboczej. Oni nie robią ochronę cieplną. Oni nie robią - wiesz - randomizacji warstwy. Oni nie robią ochronę adresów. Oni nie robią wykonać ochronę - tego rodzaju rzeczy. Ale także samo urządzenie przez de facto nie będzie miał jakikolwiek zakończyć bezpieczeństwa wbudowany w nim punkt. Więc zaczynamy widzieć tę zmianę - ponownie - większość smartphone Producenci - Android, Apple i Windows - apetyt tylko tam nie było; benchmark był Blackberry. Ale Blackberry rodzaj stracił przyczepność na rynku w tym momencie. A Apple naprawdę wkroczyła Około 2 lata temu był przełomowy moment, w którym rozpoczął budowę w wiele więcej przedsiębiorstw kontrole typu. I - w istocie - w sierpniu zrobili prezentacji na Def Con, który był po prostu niesłychane. 

Tak zrobią minimalne kontroli, że opisane. Zrobią silne hasło, zrobią prompt dla tego hasła na biegu jałowym - Urządzenie - zapomnij o tym i po 15 minutach aktywuje. Zrobią szyfrowania, a także to, co nazywa zdalne wycierania. W Android i Windows przestrzeni są to nadal TBD - do ustalenia. Android ma dostęp do niektórych aplikacji o nazwie Prey i Lookout. I rzeczywiście, niektóre z narzędzi bezpieczeństwa punktu końcowego, jak Kaspersky wiem to robi. Wiem ESET ma to jak dobrze Będą one pozwalają wysłać SMS i czyszczenie urządzenia. Windows phone w tym momencie jest to przede wszystkim zorientowana corporate style - co nazywa się wymiany. Wymiana jest solidna infrastruktura mail oraz może upoważnić niektórych z tych kontroli. Windows 8 tylko wysłane w zeszłym tygodniu, więc nie mogę mówić, że ostatecznie. System Windows 6.5 był doskonałym urządzeniem bezpieczeństwa. System Windows 7 Mobile była katastrofa, że ​​nie zrobić te wszystkie natywne kontrolki obowiązkowe w różnych sprzedawców. Więc trzeba było ratyfikować każdy telefon z systemem Windows Mobile 7 jeden na raz. 

Android - od miejsca 3.0 miał znaczną poprawę, jak również. Honeycomb, Ice Cream Sandwich, Jellybean - będą wspierać te minimalne kontroli, i rzeczywiście będą wspierać niektóre z kontroli przedsiębiorstw, które można zrobić, jak również. W swojej osobistej przestrzeni konta jest osobista sync, że Google można włączyć, jeśli masz własne miejsce Google, jak również. Więc co zrobić, kiedy wszystko idzie strasznie źle? I jeśli mogę - kolejny z sobą od kiedy to jest naprawdę - nie jest, jeśli. To się stanie dla nas wszystkich w pewnym momencie. Co można zrobić? Więc co można zrobić - i to jest slide - następny slajd wskazać na niektóre z FTC zasobów na to, ale gołe place minimalna alert oszustwa na kartach kredytowych. Jeśli uda mi się zachęcić do myślenia o tym, kiedy korzystasz z karty kredytowej w internetowym pojemności - w zależności od transakcji Robisz karty debetowe - możliwość zastrzeżenia lub możliwość wycofania fałszywych Oświadczenie w sprawie karty debetowej jest rzeczywiście znacznie mniejsze okno, niż to na karcie kredytowej. Tak więc, gdy pojawi się raport na karty debetowej trzeba tylko pewne okres - i to jest bardzo niski - do informowania Banku o fałszywej transakcji. Karty kredytowe to jest znacznie większe, nie wydaje się być ograniczenie do około 50.000 dolarów zanim zaczną się naprawdę być w stanie zwrócić się. Więc to jest bardzo dużo pieniędzy, że potrącił go od około 13.000 dolarów i 18.000 dolarów tam całkiem niedawno. Więc - wiesz - kiedy myślisz o użyciu karty kredytowej on-line, można myśleć o użyciu doładowaniu karty lub jednorazową kartę kredytową, kartę palnika? 

Jeśli nie widać nic - i pokażę ci, jak możesz uzyskać dostęp krótko - zamknij fałszywych kont, jeśli są tego świadomi. Zgłosić policji, jeśli są na terenie kampusu. Dotrzeć do HUPD - niech wiedzą. Pomyśleć o usługi monitoringu tożsamości. jeśli w ramach - jeśli dostają zagrożona - może być - mogą finansować usługę ochrony tożsamości. Jeśli nie może powinniśmy to zrobić. Zbieraj i zachować wszystkie dowody - w szczególności wszelkie dyskusje Miałeś z wszelkimi władzami karnych szczególnie dla celów ubezpieczenia. Zmień wszystkie hasła. Zmień odpowiedzi na wszelkie pytania bezpieczeństwa, które mogą być używane do resetowania hasła. Wyłącz wszystkie stare usług tożsamości. Więc jeśli ponowne wykorzystanie Facebook konta do logowania na Twitterze lub na odwrót, złamać, że, jeśli kompromis opierała swoje konto e-mail sprawdzić, czy coś jest przekazywane. Bo inaczej nadal mają dostępu do Twoich danych. A jeśli kradzieży obejmuje konta Harvard prosimy o IThelp@harvard.edu. Nie można stwierdzić, że wystarczy, ale także, w szczególności wtedy, gdy urządzenie jest tracona lub kradzieży i miał dostęp do danych uczelni i być może nie miały niektóre z tych zabezpieczeń być odpowiednia; daj nam znać - HUPD i IT Pomoc w Harvardzie. 

Tak więc link, który już wspomniałem, że idzie do, że bardziej szczegółowo FTC.gov / identitytheft. Poczta ma także pewne oszustwa lub usług ochrony tożsamości - wystarczy umieścić wstrzymanie lub zatrzymanie na karty kredytowe przechodzi lub takie tam. FBI ma związek, jak również, że jest w notatkach slajdy, które wysłałem. I rzeczywiście Massachusetts Better Business Bureau i Consumer Protection Bureau ma pewne wytyczne, jak również, że jest w informacji dodatkowej. Poświęć trochę czasu, teraz, zrobić sobie świadomość tego, co można zrobić, i podjąć działania. Zasada - jak już wspomniałem - jest, jeśli nie ma planu na tożsamość kradzieży jesteś natychmiast będzie przedmiotem wielu prac, gdy zdarza się, i to kiedy. Ale nawet jeśli wziąć te środki ostrożności - pozwól mi tylko dodać niewielkie słowo ostrzeżenia - brak planu przetrwa pierwszego kontaktu z wrogiem. Więc nawet na to, że nadal uważam, że nie może być pewne subversion - wiesz - Twój przykład banku, który został zbudowany wokół tych wszystkich zabezpieczeń mogą się zagrożona; te zaufane strony, że dałeś swoje dane. Więc jesteś swoim najlepszym obrony. Wiesz - zachować czujność - zachować czujność. Poświęć trochę czasu, teraz, aby zrezygnować w do nich, mam nadzieję, że towarzysko ta, to porozmawiać z przyjaciółmi. Wybierz dobre hasła, używając unikalnych haseł do swoich kont. I nie używać haseł - w szczególności - po części Twoje bardziej wrażliwe aktywa; nie używać konta uczelni gdzie indziej. Nie należy korzystać z rachunku karty kredytowej w innym miejscu. Hasło ochrony urządzenia przenośnego teraz. I przez urządzenia mobilnego Znaczy smartphone, to znaczy tabletki. 

Pomyśl o użyciu dobrych pytań resetowania zabezpieczeń i będę mówić o to krótko, dlaczego; sprawdzić raportu kredytowego. Inny sposób, że można być dobrym obywatelem w tej przestrzeni jest rząd zmusił 3 agencji Experian TransUnion i Equifax zwolnić raportów kredytowych. Dla niektórych społeczności Harvard, zwłaszcza w przestrzeni studenta, to może być dla nich nowe, ale są dopuszczone do ciągnięcia tych agencji co najmniej raz w roku. Dobry ostrożność - przejdź do tej witryny, jest dostępny na FTC jednym. I robią to co 4 miesiące, a nie, i są w stanie utrzymać tabs, kto prosi żądań informacji o karcie kredytowej, czy rzeczywiście jeśli ktoś otwiera żadnych fałszywych kont. I - w ogóle - poradnictwo ma być świadomi. I mam zamiar dać konkretny przykład na krótko, ale jest zasadniczo mięso i ziemniaki w dyskusji. 

Więc dlaczego jest to ważne teraz, to latem nie było pan nazywa Matt honan - jeśli są tam bardzo dziękuję za tak chętny informacji. Ale co się stało z Mattem to pracował dla Wired Magazine i niektóre cyperhacktivists poszedł po swoim koncie Twitter. I kiedyś niektóre z tych środków - niektóre z tych publicznych persona że udostępnione. I zbudowali mapy, wiedzieli, gdzie do ataku i kiedy. Więc od tego zaczęli kroić i kroić informacje, które zrobił dostępne, a okazało się, że nie miał konta Gmail. Więc on był przy użyciu mniej niż mądre hasło do jego Gmail, i że nie ma żadnych wielopoziomowe uwierzytelnianie na nim. Więc naruszone jego Gmail, gdy miał dostęp do jego Gmail widzieli te wszystkie inne konta, które miał podłączony do jego Gmail. Rzeczywiście, mieli dostęp do całej jego całego Gmail lub Google persony. I - w szczególności - zaczęli dostrzegać, że miał konto Amazon ponieważ było kilka maili zgłaszanych do niego. Więc oni dostali się do jego Amazon, i dostali się do jego Amazon po prostu zresetować swoje hasło, ponieważ udał się do jego Gmail. Nie musiał - on niby miał efekt domina lub trybu tworzenia łańcuchów poświadczeń tutaj dzieje gdzie kiedyś dostali jego Gmail mieli klucze do królestwa. Więc raz dostali się do jego Amazon - i to był bez winy do innych facetów - to - wiesz - Matt nie wybrał zdecydować się, aby te mechanizmy bardziej bezpieczne, że tylko ci ludzie udostępnione i wszystkie z tych źródeł internetowych. 

Więc raz dostali się do jego Amazon mieli dostęp - nie pokazać im, jego karty kredytowej, ale pokazał im ostatnie 4 cyfry tak wiedział, co to było, ale pokazał im swój adres wysyłkowy. Pokazał im trochę inne informacje, które zrobił na niektórych zleceń. A potem ten, postanowili zaatakować jego konto Apple. I społecznej inżynierii biurka firmy Apple pomocy. Apple nie powinna tego robić, ale na podstawie informacji, które byli w stanie wydobywać z innych 2 kont. Wiesz - Facet w help desk chyba myślał, że jest dobrym obywatelem - wiesz - ja jest pomocny, nie jest klientem firmy Apple że obecnie nie jest linka tam na własną rękę, a ja muszę mu pomóc. Ale to nie był prawdziwy klientów firmy Apple. Więc zresetować swoje konto Apple, i wysłali informacje do Gmaila. Gdy atakujący miał dostęp do swojego konta Apple Matt miał wszystkich swoich urządzeń przywiązany do swojego iCloud, i rozpoczął wydawanie zestawów krzywoprzysięstwo i wycierając wszystko. Ponownie, że właśnie jego dane propagowane; Używał iCloud jako mechanizm synchronizacji. Więc gdy usuwane jest wszystko poszło huk. Nadal mieli dostęp w tym momencie na jego koncie Twitter, który jest co próbowali atakować. I nie wiem, czy kiedyś Maltego lub niektóre z tych innych mechanizmów budować swą osobowość Internetu, ale - wiesz - w ciągu kilku Oczywiście, że ma dostęp do 4 różnych usług tożsamości przed dostali na swoim Twitterze, a to kosztuje Matt - Matt był bardzo szczęśliwy, że widział to się stało, bo jego dzieci przyszedł do niego gdy iPad zablokowany się samoczynnie. A oni odpowiedzieli: - wiesz, "Tato, coś dzieje się z iPada." I zamknął wszystko w dół, bo zauważyłem, że dzieje się wszędzie. A on zaczął nazywać Apple co do cholery się stało. I Apple rzeczywiście myślał, że coś się dzieje że iCloud poszedł łobuz, dopóki nie zorientowali się - on rzeczywiście zorientowali się, że zostali przesyłania informacji, a zaczęli nazywać go złą nazwę. Ponieważ Apple miał on informacji o pliku, że napastnik miał zniweczony. 

Okay - więc jest to rodzaj informacji, które możemy użyć do budowy tego rodzaj dobrych praktyk; używamy to jako część całej serii seminaria do października - Narodowy Miesiąc Świadomości cyberbezpieczeństwa. Zostało ono udostępnione do was. Dopilnuję, że wysłałem go w Wiki, kiedy David udostępnia go do mnie. Ale nie ma rady i wskazówki tam znacznie więcej niż granularly Jestem w stanie streścić w tym krótkim czasie mam dostępne. wokół tego, co nazywa, Cloudy with a Chance of kradzieżą tożsamości: Dobry Wybór nazwy użytkowników i hasła. Czy kiedykolwiek nie społeczne? A odpowiedź brzmi nie, to zawsze społecznej, ale trzeba mieć świadomość, co to znaczy. I to jest Poskromienie lwy, tygrysy i Windows, co stanowi około Systemy utwardzania operacyjne z niektórych informacji udaliśmy się do dzisiaj. I ostatni był o, mieć urządzenie, Will Travel mówić o zamiar mobile z tego rodzaju źródeł danych. Tak poza tym, jeśli masz jakiekolwiek pytania, mój adres e-mail jest tam, i jeśli ktoś w pokoju ma jakieś pytania proszę podnieść rękę. Poza tym, mam zamiar zatrzymać nagrywanie. Dobrze. Gotowe. [CS50.TV]