[Powered by Google Translate] [Seminário: Surviving the Internet] [Esmond Kane-Harvard University] [Isto é CS50.-CS50.TV] Olá e bem-vindo ao "Sobrevivendo à Internet." É um dos seminários que compõem parte deste CS50 currículo. Meu nome é Esmond Kane. Meu nome e endereço estão no conjunto de slides que na frente de você. É esmond_kane@harvard.edu. No meu trabalho eu sou um dos diretores de segurança de TI para HUIT, mas eu tenho que reconhecer que hoje estou em uma missão para longe é por isso que eu estou vestindo uma camisa vermelha. Isto não vai incluir tudo o que é atribuível diretamente para o meu dia de trabalho, por isso não se trata de segurança de TI para Harvard. Esta é uma informação mais justa pessoal, isto é como quando você está - estes são o tipo de habilidades que você vai adquirir para tentar ajudá-lo endureçais os vossos postos de trabalho e seu ambiente em toda a sua carreira. Mas nada que eu falar hoje deve ser aplicada a qualquer um dos seus material de universidade, seus servidores ou estações de trabalho sem contato com o suporte de TI local. E, de fato, se eu mencionar quaisquer aplicativos ou quaisquer incidentes como parte deste conversa ou discussão não está relatando tudo o que tenho o privilégio de relatar. Geralmente é público E nem mesmo no caso de qualquer menção de qualquer aplicação implica qualquer endosso através de Harvard ou mesmo qualquer condenação. 

Então, hoje por que estamos aqui - agora que estamos a fazer com o aviso - estamos aqui hoje para falar sobre a sobrevivência da Internet. E por que é um tema tão importante agora? Então, parafraseando Perry Hewitt, que trabalha no escritório de Harvard Imprensa e Comunicações - Peço desculpas por lendo isso agora - ela declarou: "Nós vivemos em uma atmosfera de risco crescente, mas também de inovação sem precedentes. O rápido crescimento da Internet, a nuvem, e tecnologias sociais resultou em muitas mais pessoas com perfis públicos on-line com o mesmo acesso a um leque cada vez maior de informações. E isso significa que todos e as suas associações nunca foram mais visíveis. Como pegada digital de Harvard - sua rede digital se expande, atraímos um público mais amplo. Esperamos para o bem, mas às vezes temos vontade atrair uma atenção negativa. Assim como representante de Harvard ", e isso inclui todos assistindo em casa ou na verdade ninguém aqui ", nosso corpo docente, os nossos alunos, os nossos funcionários, nossos pesquisadores, o risco de comprometer a você e também aos sua rede associada nunca foi maior ". 

Então, muitas vezes em segurança da informação quando tentamos equilibrar essa arriscar um trade off complicado entre a segurança ea experiência do usuário. Na era do imediatismo que temos de tomar decisões ponderadas sobre o que vai aumentar a segurança sem um grande inconveniente. Somos informados, por vezes, um grama de prevenção vale duas vezes a cura, mas quando se escolhe para implementar medidas de segurança para reduzir o risco temos de reconhecer que isso nunca irá reduzir o risco potencial para zero. Então o que disse - estamos aqui hoje para discutir algumas simples e não tão simples precauções de segurança que você pode tomar agora. Gostaria também de acrescentar - se você tiver alguma dúvida em todo o apresentação apenas levante a mão. Assim, o primeiro tema - que muitas vezes são orientados a escolher uma boa senha. A senha é sua primeira e melhor defesa. Muitas vezes, é a única que está disponível para você quando você está escolhendo para usar um recurso on-line. Mas, como vimos ao longo deste verão, e de fato o ano anterior temos visto ataques como LinkedIn, eHarmony. Nós vimos RockYou. Tivemos alguns total de 70 milhões de senhas e contas comprometidas. E quando essas senhas foram liberados para o domínio público eles também compreendeu o hash de senha. 

Então, basicamente, nos dias de hoje, se alguém recupera uma colméia conta eles não precisam quebrar uma senha mais,. eles não precisam de força bruta de uma senha porque eles têm esse tesouro enorme de informações divulgadas sobre o que as pessoas estão escolhendo. Eles já tem dados comportamentais à mente o que as pessoas tendem a usar. E eles têm quebrado que até uma lista de cerca de mil senhas que compreendem cerca de 80 a 90% das senhas que escolhemos de uso comum. Assim, um exemplo rápido - ninguém quer arriscar o que você pensou Bashar al-Assad usado para a sua password quando foi comprometida no ano passado? Este é um cavalheiro que está sujeita a escrutínio intenso. E sua senha era 12345. Ok - Então, essas são lições que aprendemos, precisamos mover além de apenas pensar em uma senha. É-nos dito para começar a usar uma frase secreta. Há uma grande quadrinhos ou mesmo de uma história em quadrinhos web de Randy Monroe que vai para a escolha de uma frase secreta, que ele usa - eu quero dizer - bateria, grampo, limite ou algo parecido - você sabe - apenas - ou de fato há a piada que alguém que pegou Goofy, Nemo, Plutão - todos esses diferentes personagens e Londres porque lhe foi dito para escolher 8 personagens e uma capital. Mas - assim aprendemos que precisamos ir além de pensar apenas uma senha. 

Há realmente uma Ezine em Boston chamado Ars Technica. Há um senhor chamado Dan Goodin quem está fazendo uma série sobre Neste âmbito a mudar - ou a partir do espaço atacante, onde temos este enorme tesouro disponível para nós a qualquer mente não precisamos mais para gerar coisas através de tabelas do arco-íris; temos 70 milhões de senhas. Mas também tivemos - você sabe - uma mudança no scape real rachaduras espaço porque os cartões de GPU fizeram esta praticamente quase em tempo real. E há um cavalheiro em Def Con, em agosto, que juntos 12 destes cartões em um PC commodity. Ele fez isso por cerca de US $ 2.000 ou US $ 3.000, e ele foi capaz de quebrar o tesouro no LinkedIn - você sabe - em tempo real perto. Foi muito assustador. O artigo de Dan Goodin - Eu recomendo que se você quiser ir lê-lo. Um cavalheiro chamado Sean Gallagher - esta manhã - também publicou um rápida atualização sobre isso, um monte de seu trabalho baseia-se - a partir de material disponível de Bruce Schneier, mas também a partir de Cormac Herely da Microsoft Research. Eles meio que declarou cerca de 5-6 anos atrás, que nós precisamos começar a pensar além de senhas. As sugestões que naquela época eram coisas como frases secretas, Interfaces gestuais - esse tipo de coisa. Você sabe - se algo que você sabe já não é suficiente neste momento; que é uma das coisas que eu quero comunicar hoje. Se você tem que usar uma senha, não sejamos tímidos em afirmar que você ainda deve escolher um bom, mas deve ser espero que algo além de 10 caracteres. Deve variar entre maiúsculas e minúsculas. 

Eu altamente encorajo você a não reutilizar senhas. Eu posso falar com vários casos em que temos visto uma conta obter comprometido e alguém pulou e pulou - o efeito dominó. Eles minar cada conta em cada fase do processo para esta dados e, em seguida, eles passam a usar esses dados que eles extraído em cada instância contra uma outra fonte de credencial. Então - mais uma vez - escolher uma boa senha. Torná-lo único. Você pode querer pensar em usar um serviço gerenciador de senhas. Há aqueles lá fora a partir de - todos eles são nas lojas de aplicativos. Há um OnePass chamado, KeePass, LastPass - é uma boa maneira para que possa ajudá-lo a criar credenciais exclusivas, credenciais fortes, mas também facilitar o arquivamento e registro de informações para você. O lado negativo para que é que você precisa trazer isso para uma loja de senha; você precisa ter certeza de que esse gerenciador de senhas que você está confiando é digno de sua confiança também. 

Portanto, verifique se esses caras também estão usando alguns mecanismos senha válida. Em particular, o que eu vou falar agora é a autenticação multi-fator. Então autenticação multi-fator - e há vários casos I vai passar logo - É o simples expediente de fazer algo que você sabe como o seu nome de usuário e sua senha e adicionando a ele - você está adicionando um outro fator. Assim, o primeiro fator que vamos falar hoje são esses os nas placas. É algo que você tem em suas posses, para que seja uma aplicação que está sendo executado em seu smartphone ou mesmo em seu próprio telefone. E você pode ser capaz de receber um SMS. Cuidado, se você viajar para o exterior, que não é necessariamente vai segui-lo. Um aplicativo pode trabalhar mais nesse caso. Ou mesmo outro fator que você pode querer pensar é algo que você é. 

Agora, esta ainda é uma espécie de muito muito skunkworks. Nós não vemos muito a adoção do mesmo. Isto é - você sabe - Mission Impossible estilo - você sabe - sua impressão veia, o polegar impressão, a impressão retina. Aqueles que são uma espécie de mais longe, pois eles não são realmente fatores de autenticação muito válidas. Vemos - quando falo com os meus colegas de segurança - mais pressão que você colocar um teclado, o seu padrão de digitação particular, é, provavelmente, diretamente no horizonte - muito mais do que estes outros identificadores biométricos. Mas os que hoje são aplicativos ou de SMS de texto ou mesmo apenas um desafio e-mail de resposta que você está indo para obter para validar o que você fez de fato optar por fazer logon neste momento. Portanto, há um link ali, eu tenho enviado para fora do conjunto de slides, esta manhã. Será no Wiki. 

Tanto o Gmail eo Google fazer isso, o Yahoo irá fazê-lo. Paypal tem; Paypal também tem uma pequena chave de hardware real que faz uma série de rotação. Mas você também pode optar por usar um número de telefone. Facebook também faz um log de aprovação, assim que você escolher aprová-la, pois eles também estão trabalhando no sentido mais válido segurança força dura. Dropbox tem verificação de 2 etapas, bem como, você também pode simplesmente adquirir uma chave de hardware para eles. Vemos também no um Gmail ou o Google um, um monte de pessoas estão na verdade, co-optando autenticador do Google, por isso - por exemplo - Eu uso o LastPass - não implica qualquer endosso - mas eles podem reutilizar Verificação do Google, 2-step o que significa que eu não preciso andar por aí com duas aplicações no meu telefone. Mas também computing pesquisa dentro Harvard ou usando uma analogia a autenticação 2-step do Google porque a senha one-time algoritmo foi de código aberto há cerca de 10 anos atrás. Alguma pergunta? Bom. 

Então, uma outra consideração fatores além senhas é quando você está usar esses recursos estar ciente de que os dados que estão a cometer a eles. Apenas limitar o que você está realmente colocando lá em cima. Portanto, estamos cientes de que essas pessoas que estão prestando um serviço para nós na Internet - esses provedores de nuvem - eles têm um interesse em você não ser tão seguro como você possivelmente pode. Eles tendem a disponibilizar um conjunto mínimo de segurança, e então há um monte de outros que são opcionais que você precisa optar por dentro. O tipo de tirar essa conversa é a segurança é uma responsabilidade compartilhada. É entre você e os parceiros que você faz - as alianças que formam. Você precisa ter um papel activo. Escolha a optar por isso. Você sabe - ter tempo agora, torná-lo mais seguro. A alternativa é que já existem pessoas de validação e teste esses fatores de segurança contra você, quanto mais você pode optar por em ao melhor você está preparado para o eventual compromisso. E é eventual. 

Mas o outro fator a se pensar é como eu mencionei estas partes da Internet que você está confiando em suas credenciais - com a sua identidade. Vou te dar duas analogias, Larry Ellison e Mark Zuckerberg - ambos são no registro indicando privacidade é em grande parte uma ilusão. E que a era da privacidade acabou. Isso é uma espécie de acusação triste que nós realmente precisamos esperar para o governo a intervir para forçar essas partes para ser mais seguro, introduzir mais legislação, porque quando tentamos trabalhar com esses fornecedores, por exemplo, alguns destes Dropbox como festas, eles estão no negócio de prestação de serviços ao consumidor. Eles não estão diretamente interessados ​​em ter controles de segurança de nível empresarial. Os consumidores votaram com a sua carteira, e eles já aceitaram a nota mínima. É hora de mudar esse pensamento. Então, quando nós fornecemos nossos dados para esses partidos, é preciso cooptar nosso mecanismos de confiança existentes, de modo que somos criaturas sociais por padrão. 

Então, por que de repente quando começamos a colocar os dados on-line que agora temos acesso às mesmas proteções que fazemos pessoalmente? Então, quando eu posso ler sua linguagem corporal, quando eu posso escolher rede com um círculo social e de fato para que o círculo divulgar apenas a informação que eu quero. Portanto, temos acesso a essa linguagem corporal, expressão, a vocalizar, temos acesso a essas proteções proximidade de identidade em um local físico, pois eles ainda estão em desenvolvimento online. Nós não temos acesso a eles, mas estamos começando a vê-los. Portanto, temos facetas em Facebook - por exemplo - como grupos. Nós temos acesso a coisas como círculos no Google+. Absolutamente usá-los. Então a última coisa que quero ver é neste espaço, em particular quando você vai conseguir um emprego é que você já fez um monte de seu pública personalidade. E quando alguém quer - eles devem escolher a - pode ser parte da política da empresa ou não - que certamente não faz parte do Harvard's - mas pode optar por fazer uma pesquisa no Google. E quando o fazem - se você tiver fornecido - digamos algumas informações que você teria dificuldade de pé atrás - você fez-se um desserviço. E, de fato, como mencionei - essas empresas sociais que têm interesse em torná-lo público - você sabe - eles precisam para extrair seus dados. Eles estão vendendo sua demografia e seu material de marketing para alguém. O tipo de analogia neste espaço é - se você não está pagando por um produto é o produto? Portanto, criar círculos para seus amigos, ser cauteloso, seja diligente, não tente fazer tudo público. 

Outra analogia que farei é contratos de licença de usuário final mudar, eles vão te dizer que eles podem fazer com os seus dados, e eles vão enterrá-lo em um de 50 páginas de cliques. E eles podem optar por mudar isso, e eles só enviar um e-mail rápido. Mas você não é advogado, é muito em juridiquês. Você precisa ser cauteloso com o que você está fazendo. Eles podem possuir suas fotos, pois eles podem possuir sua propriedade intelectual. Você sabe - apenas um exercício diligência. Outro exemplo da Biblioteca do Congresso está arquivando todas único tweet conhecido pelo homem. Tudo. A cada 10 anos aproximadamente o corpo de material que é gerado em que 10 contas de anos ou muito supera tudo o que temos criado ao longo da história humana. A Biblioteca do Congresso tem interesse em preservar essa informação para a posteridade, para arquivistas futuras, para os futuros pesquisadores e historiadores, então tudo que você está colocando lá fora, está lá. Ele vai realmente fazer um recurso imenso, em algum momento uma vez que as pessoas começam a mina de engenharia social, ou sites de redes sociais. Então, manter-se informado das proteções disponíveis dentro de cada aplicação. 

Não é algo que eu vou mencionar, bem como, há uma ferramenta de terceiros Privacyfix chamado, ele pode ligar para a direita para alguns destes aplicações de redes sociais. E pode verificar para ver onde você está em relação às proteções que estão disponíveis on-lhes se você pode optar por catraca-los ainda mais. Existem ferramentas como a Frente de Libertação de dados do Google onde você pode optar por exportar ou extrair seus dados. Há coisas, como o suicídio Máquina Internet que irá fazer logon para alguns de seus perfis e realmente apagar todos os atributos simples um de cada vez, desmarcar a cada única Associação dos Amigos na sua rede teria feito. E vai buscar a iterativa expurgar tudo sobre você que esse site saberia. Se eu só posso exercer algum cuidado lá também, não havia uma instância um par de anos atrás, na Alemanha, onde um cidadão decidiu exercer sua liberdade de direitos de informação e pedir Facebook para fornecer quais as informações que tinha no registro para ele, mesmo depois de ter eliminado sua conta. Eles forneceram-lhe um CD com 1250 páginas de informações apesar de sua conta, teoricamente, já não existia. Existe o conceito nesse espaço muito que alguns desses entidades vão manter alguns dados sobre você fazer com seus associações e suas redes. Eles dizem que não se pode ter controle sobre ele, que é um pouco de exagero na minha opinião. Eles criam essas contas sombra - as personas de sombra. Só tome cuidado. Limitar o que você pode. Em um nível dispositivo real quando você está apenas falando - você sabe - hardware - o seu smartphone, seus comprimidos, sua estação de trabalho, seu laptop, talvez um servidor que é responsável. 

Você provavelmente já ouviu falar sobre conceitos como operação, atualizações do sistema, atualizações de aplicativos, antivírus, você já ouviu falar de coisas como firewalls, criptografia de disco, e back-up. A única coisa que você deve estar ciente de que você não ouve sobre esse tipo de proteção no espaço celular. Eles são tão suscetíveis às mesmas ameaças. Tivemos - eu quero dizer - um milhão de smartphones vão ser ativado até o final deste mês. Isso tem muito ultrapassou o - no curto espaço de tempo que têm estado disponíveis, que tem muito ultrapassou o crescimento de o PC, o laptop, o mercado de trabalho. Mas nós não temos acesso aos mesmos controles, e eu vai falar sobre isso em breve. Então, antes de chegar ao espaço telemóvel vamos falar sobre o que está disponível lá que eu apenas brevemente passou. Então, o software antivírus - aqui estão algumas escolhas livres. Microsoft dá afastado deles - você sabe - Sophos dá afastado deles para OSX bem Corrigir o seu computador - basta estar ciente de tudo o que o seu fornecedor de nível de patch atual é, e você não deve ser um delta significativo do que isso. Não é uma boa ferramenta de uma empresa chamada Secunia. E Secunia será executado em segundo plano, e ele lhe dirá se há uma atualizado disponível e se você precisar aplicá-lo. 

Ativar as atualizações automáticas - Apple e Microsoft terão algum aspecto deste. Eles vão alertar que há uma atualização disponível. E Secunia - você sabe - é uma espécie de uma boa rede de segurança para ter bem - mecanismo de cair para trás. Na camada de acolhimento - e não chegar a smartphones ainda. Ative o firewall nativo do sistema operacional. Há algumas informações sobre o Windows no OSX um. Teste o seu firewall, não apenas deixá-lo lá e acho que ele é um mecanismo seguro. Assumir um papel ativo, não é uma aplicação lá de GRC - Steve Gibson. Segurança Wi-Fi neste espaço - este também pode aplicar para o smartphone eo tablet - quando você está escolhendo para ir para a estrada que você precisa estar ciente de que existem diferentes classes de rede sem fio. E, em particular, não escolher o mais comumente disponíveis. Pode ser de baixo custo, mas pode haver uma razão para isso. Talvez eles estão minando seus dados. Vemos isso mais quando você está viajando internacionalmente. Existem algumas organizações criminosas virtuais realmente altamente eficientes que são capazes de aproveitar o que se costuma ver em espionagem da nação estados. Um fator onde são definitivas injetando-se em um fluxo de rede. Eles estão puxando coisas de lá, e eles estão injetando para aplicações em suas estações de trabalho. 

É - o outro aspecto que eu sei que foi mencionado em alguns destes seminários de segurança - ou não seminários CS50 seminários - uma ferramenta chamada Firesheep. E Firesheep foi um ataque em particular no espaço celular onde alguns desses aplicativos de redes sociais foram o envio de credenciais em texto simples. E isso foi muito comumente aceito, porque todo mundo naquela época pensava que não havia apetite no espaço do consumidor para isso, que usar a criptografia de força maior implica uma carga de desempenho no servidor, por isso, se eles não tem que fazê-lo - que não queria. E então, de repente, quando este pesquisador de segurança feito o ataque trivial muito rapidamente - você sabe - nós começamos a ver que tipo de melhoria que todo mundo no espaço de segurança teve se queixado por um período significativo de tempo. Portanto - em particular - Firesheep foi capaz de recuperar Facebook, Twitter credenciais do fluxo de Wi-Fi gratuito. E porque era em texto simples, e eles foram capazes de injetar. 

Novamente, se você estiver indo para usar Wi-Fi optar por usar um que é suficientemente protegidos - WPA2, se puder. Se você tem que usar redes Wi-Fi - e em particular que eu estou falando a ninguém que está usando a Harvard University wireless - você pode querer pensar sobre o uso de VPN. Eu altamente incentivá-lo. Outros fatores que você pode querer pensar é se você não confiar no Wi-Fi que você está em você pode querer limitar o uso. Não faça qualquer e-commerce, não fazer qualquer operação bancária. Não acesse suas credenciais universitárias. Há uma grande vitória neste espaço, se alguém não roubar suas credenciais - você sabe - é que eles têm o seu telemóvel? Então - você sabe - que é outro fator que não podem necessariamente seqüestrar ou apenas faz seu ataque mais complicado. Criptografar seu disco rígido. Estamos em uma era agora - criptografia usado para ser um grande negócio há 10 anos. Foi um impacto significativo no desempenho. Já não é - de fato - a maioria dos telefones celulares e esse tipo de coisa eles estão fazendo isso em hardware, e você nem percebe - o rendimento é tão insignificante. 

Se você está falando de uma estação de trabalho, estamos a falar de BitLocker. Nós estamos falando sobre o File Vault, habilitá-lo - ter tempo agora. No espaço Linux obviamente Crypts verdadeiros podem trabalhar em ambos. Você pode querer pensar - no espaço Linux - há dm-crypt, há Luxcrypt - há um monte de outras opções - também Verdadeira Crypt. Outra maneira rápida de se proteger ao nível da estação de trabalho fazer backup de seu disco rígido. E uma ligeira ruga aqui - não é suficiente para usar uma das esses provedores de sincronização nuvem, assim Dropbox ou G-Drive ou qualquer outra coisa Isso não é uma solução se volta. Se alguém apaga alguma coisa em um desses dispositivos porque se inserido de alguma forma ele vai - que a supressão é replicado em toda a sua persona. Isso não é um back-up, isto é apenas um mecanismo de propagação. Por isso, é bom ter uma solução se volta. Existem algumas sugestões aqui para algumas pessoas, alguns deles são gratuitos - capacidade com base - 2 GB de backup - você pode fazê-lo. Se você estiver usando universidade G-mail - universidade Google na faculdade e co, G-Drive se não é já - ele estará disponível em breve. É um bom substituto. Vamos também olhar para estas coisas como Mozy Home. É bom ter duas soluções. Não tenho todos os seus ovos na mesma cesta. Se você for jogar fora alguma coisa, ou mesmo se você estiver no processo de de enviar algo confidencial - algumas sugestões aqui apagar com segurança um dispositivo. Boot and Nuke Darik - que é uma espécie de mais para o experiente TI. Você pode querer pensar apenas dando a alguns destes provedores comerciais, se puder. 

Criptografar e-mail - se você tem que - há alguns serviços no campus chamado Accellion, você está fora do campus ou para uso pessoal Vou recomendar Hushmail. Vemos isso muito usado em delator, é um dos principais mecanismos para a WikiLeaks bem como Tor e alguns outros equivalentes. E - agora para falar sobre o nível de telefone - para o problema aqui é ainda não é muito de um apetite. Infelizmente a maioria dos smartphones e tablet OSs eles ainda são baseadas em alguns dos princípios que vimos na década de 1990. Eles não têm realmente incorporou algumas das melhorias que vemos ao nível da estação de trabalho. Eles não estão fazendo proteção contra o calor. Eles não estão fazendo - você sabe - camada de randomização. Eles não estão fazendo a proteção endereço. Eles não estão fazendo executar proteção - esse tipo de coisa. Mas também do próprio aparelho por defacto não vai ter qualquer acabar com a segurança ponto incorporada. Então, nós estamos começando a ver essa mudança - mais uma vez - a maioria dos smartphones fabricantes - Android, Apple e Windows - o apetite apenas não estava lá, o benchmark foi Blackberry. Mas Blackberry meio perdido sua força no mercado neste momento. E a Apple tem realmente pisou dentro Cerca de 2 anos atrás, houve um divisor de águas, onde eles começou a construir em um lote controles do tipo mais empresariais. E - de fato - em agosto eles fizeram uma apresentação no Def Con, que era apenas inédito. 

Então, eles vão fazer os controles mínimos que eu descrevi. Eles vão fazer de senha forte, eles vão fazer um pedido para que a senha em idle - o dispositivo - você esquecê-lo e depois de 15 minutos ele ativa. Eles vão fazer a criptografia, e eles também vão fazer o que é chamado de limpeza remotos. Nas Android e do espaço do Windows estes são ainda a determinar - para ser determinada. Android tem acesso a alguns aplicativos chamados Prey e Lookout. E, de fato algumas das ferramentas de segurança de ponto final, como Kaspersky que eu conheço faz isso. Eu sei ESET faz bem Eles vão deixar você enviar um texto SMS e limpar o dispositivo. Windows Phone neste momento é basicamente orientado para estilo corporativo - o que é chamado de troca. Exchange é uma infra-estrutura de correio robusto, e pode obrigar alguns desses controles. Windows 8 apenas enviado na semana passada, por isso não posso falar sobre isso definitivamente. Windows 6.5 foi o grande dispositivo de segurança. Windows 7 Mobile foi um desastre, pois eles não fizeram todos esses controles nativos obrigatória através dos diferentes fornecedores. Então você tinha que ratificar cada Windows Mobile 7 de telefone, um de cada vez. 

Android - uma vez que o espaço de 3.0 teve uma grande melhoria, bem. Honeycomb, Ice Cream Sandwich, Jellybean - eles vão apoiar esses controles mínimos, e, na verdade eles vão apoiar algum do controle da empresa que você pode fazer tão bem. Em seu espaço conta pessoal há uma sincronia pessoal do Google que você pode ativar se você tem o seu próprio espaço Google também. Então, o que fazer quando tudo dá errado? E se eu puder - outro takeaway com isso é realmente quando - não é caso. Isso vai acontecer com todos nós em algum momento. O que você pode fazer? Então, o que você pode fazer - e há um slide - o próximo slide vontade apontar-lhe alguns dos recursos do FTC para ele, mas um lugar mínimo um alerta de fraude em seu cartão de crédito. Se eu posso incentivá-lo a pensar sobre quando você estiver usando um cartão de crédito em uma capacidade online - dependendo da operação que você está fazendo cartões de débito - a capacidade de reivindicar ou a capacidade de retratar uma fraudulenta reivindicação de um cartão de débito é realmente uma janela muito menor do que no cartão de crédito. Então, quando você receber o seu relatório sobre um cartão de débito você só tem uma certa período de tempo - e isso é muito baixo - notificar o banco de uma transação fraudulenta. Os cartões de crédito é muito maior, tende a haver um limite de até cerca de $ 50.000 antes que eles vão realmente ser capaz de reembolsá-lo. Então, isso é um monte de dinheiro, eles cruzei-lo acima dos cerca de 13000 dólares ou 18 mil dólares lá muito recentemente. Então - você sabe - quando você pensa sobre o uso de um cartão de crédito on-line, você pode pensar em usar um cartão top up ou um cartão de crédito disponível, um cartão gravador? 

Se você ver qualquer coisa - e eu vou mostrar-lhe como você pode ter acesso em breve - fechar todas as contas fraudulentas, se você está ciente disso. Registrar uma ocorrência policial, se você está no campus. Estenda a mão para HUPD - que eles saibam. Pense em um serviço de monitoramento de identidade. se como parte de - se você ficar comprometida - você pode ter que - eles podem financiar serviço de proteção de identidade. Se não o fizerem, talvez, você deve fazê-lo. Coletar e manter todas as provas - em especial as discussões que tive com quaisquer autoridades criminais especialmente para fins de seguro. Altere todas as suas senhas. Altere as respostas a todas as questões de segurança que podem ser usados ​​para redefinir sua senha. Desative todos os serviços de identidade passadas. Então, se você estiver reutilizando sua conta do Facebook para fazer logon no Twitter ou vice-versa, quebrar que, se o acordo envolver a sua conta de e-mail verificar para ver se alguma coisa está sendo encaminhado. Porque de outra forma eles ainda têm acesso aos seus dados. E se o roubo inclui sua conta Harvard, por favor avise IThelp@harvard.edu. Eu não posso afirmar que o suficiente, mas também, em especial se o dispositivo é perdido ou roubado e tinha acesso aos seus dados de universidades e talvez você não tem alguma destas proteções ser respectivo, por favor deixe-nos saber - HUPD de TI e Ajuda em Harvard. 

Assim, o link que eu acabei de mencionar que vai para isso com mais detalhes FTC.gov / identitytheft. O serviço postal também tem alguma fraude ou serviços de proteção de identidade - você acabou de colocar um porão ou uma parada em cartões de crédito passando ou coisas assim. O FBI tem um link bem, é nas notas dos slides que eu enviei. E, de fato Massachusetts Better Business Bureau e Defesa do Consumidor Bureau tem alguma orientação, bem como, que está nas notas. Aproveite o tempo, agora, tornar-se consciente do que você pode fazer, e tomar as medidas. O princípio - como já mencionei - é que se você não tem um plano de para a sua identidade ser roubado você é imediatamente vai ser sujeito a um monte de trabalho, quando isso acontecer, e é quando. Mas mesmo quando você tomar essas precauções - deixe-me acrescentar uma ligeira palavra de cautela - Nenhum plano sobrevive ao primeiro contato com o inimigo. Assim, mesmo no que ainda acha que pode haver alguma subversão - você sabe - seu banco, por exemplo, que você construiu todas essas proteções em torno de eles podem ficar comprometidos, estes partidos de confiança que você tem dado os seus dados. Assim, você é seu próprio melhor defesa. Você sabe - permanecer vigilantes - manter-se alerta. Aproveite o tempo agora para escolher a optar por estes, espero socializar isso, falar com isso com seus amigos. Escolha boas senhas, use senhas únicas para as suas contas. E não reutilizar senhas - em particular - em torno de alguns seus ativos mais sensíveis, não use sua conta universidade em outro lugar. Não use seu cartão de crédito em outro lugar. Proteger com senha seu dispositivo móvel agora. E por dispositivo móvel Quero dizer smartphone, eu quero dizer o seu tablet. 

Pense sobre o uso de boas perguntas de redefinição de segurança, e vou falar sobre isso em breve porque, verificar o seu relatório de crédito. Outra forma que você pode ser um bom cidadão neste espaço é o governo obrigou as três agências Experian, TransUnion, e Equifax para liberar relatórios de crédito. Para alguns membros da comunidade de Harvard, especialmente no espaço de estudante, isso pode ser novo para eles, mas você tem permissão para puxar os agências, pelo menos uma vez por ano. Boa cautela - ir para o site, que está disponível na FTC um. E fazê-lo a cada 4 meses, em vez, e você é capaz de manter abas em que está solicitando pedidos de informações do seu cartão de crédito, ou se, de fato, se alguém abre as contas fraudulentas. E - em geral - a orientação é estar atento. E eu vou te dar um exemplo específico em breve, mas que é, essencialmente, a carne e as batatas da discussão. 

Então, por que isso é importante agora é durante o verão, houve um cavalheiro chamado Matt Honan - se você estiver lá fora, muito obrigado por ser tão próxima com suas informações. Mas o que aconteceu com Matt é ele trabalhou para a revista Wired, e alguns cyperhacktivists seguiu a sua conta no Twitter. E eles usaram alguns destes recursos - um pouco dessa persona pública que disponibilizado. E eles construíram um mapa, pois eles sabiam onde atacar e quando. Assim, a partir de que eles começaram a cortar e cortar as informações que ele fez disponíveis, e eles descobriram que ele tinha uma conta do Gmail. Então, ele estava usando um menos de senha inteligente para seu Gmail, e ele não tem qualquer tipo de autenticação multi-fator nele. Então eles comprometida sua Gmail, uma vez que eles tinham acesso ao seu Gmail eles viram todas estas outras contas que ele tinha plugado em seu Gmail. Na verdade, eles tinham acesso a todo o seu todo o Gmail ou o Google persona. E - em particular - eles começaram a perceber que ele tinha uma conta na Amazon porque havia alguns e-mails que está sendo relatado a ele. Então eles tem sobre a sua Amazônia, e eles tem sobre a sua Amazônia por apenas redefinir sua senha porque ele foi para o seu Gmail. Ele não tinha - ele tinha uma espécie de efeito dominó ou encadeamento credencial acontecendo aqui onde, uma vez que tem o seu Gmail tinham as chaves do reino. Assim, uma vez que eles tem para o seu Amazon - e esta foi sem culpa para os outros caras - isso foi - você sabe - Matt não tinha escolhido para optar por estes mecanismos mais seguros que somente estas pessoas tinham disponibilizado e todas estas fontes de Internet. 

Assim, uma vez que eles tem para o seu Amazon tinham acesso - não mostrar-lhes seu cartão de crédito, mas mostrou-lhes os últimos 4 dígitos só assim ele sabia o que era, ele mostrou-lhes o seu endereço de entrega. Ele mostrou-lhes alguma outra informação que ele fez em algumas ordens. E depois de que eles decidiram atacar sua conta Apple. E eles sociais engenharia do help desk Apple. A Apple não deveria ter feito isso, mas com base nesta informação que eles foram capazes de extrair das outras duas contas. Você sabe - o cara na mesa de ajuda provavelmente pensou que estava sendo um bom cidadão - você sabe - eu estou sendo útil, não é um cliente da Apple lá fora, que está preso lá fora, por conta própria, e eu preciso ajudá-lo. Mas não foi o cliente da Apple real. Então eles redefinir sua conta Apple, e eles enviaram as informações para o Gmail. Uma vez que os atacantes tinham acesso à sua conta da Apple Matt teve todos os seus dispositivos amarrado em seu iCloud, e eles começaram a emitir sets perjúrio e limpando tudo. Mais uma vez, ele tinha acabado de seus dados propagados; ele estava usando o iCloud como o mecanismo de sincronização. Então, quando eles apagou tudo correu estrondo. Eles ainda tiveram acesso a essa altura a sua conta no Twitter que é o que tinham tentado atacar. Eu não sei se eles usaram Maltego ou alguns desses outros mecanismos para construir sua persona Internet, mas - você sabe - dentro de uma questão de É claro que eles tem acesso a quatro serviços de identidade diferentes antes chegaram ao seu Twitter, e custou Matt - Matt era bastante sorte, ele viu o que aconteceu, porque seus filhos se aproximaram dele quando o iPad bloqueado-se. E eles disseram: - você sabe, "Pai, há algo acontecendo com o iPad." E ele fechar tudo, porque ele percebeu o que estava acontecendo em todos os lugares. E ele começou a chamar a Apple para ver o que diabos tinha acontecido. E a Apple realmente pensei que havia algo acontecendo iCloud que tinha ido desonestos até que descobri - ele na verdade descobri que eles estavam enviando informações, e eles começaram a chamar-lhe o nome errado. Como a Apple tinha em informações de arquivo que o atacante havia subvertido. 

Ok - então esse é o tipo de informação que usamos para construir esta tipo de melhores práticas; usamos isso como parte de uma série de seminários e outubro - mês nacional da consciência cibernética. Foi disponibilizado para vocês. Eu vou ter certeza de que eu mandei no Wiki quando David torna disponível para mim também. Mas há aconselhamento e orientação lá muito mais granular do que Eu sou capaz de resumir neste curto espaço de tempo que tenho disponível. em torno do que é chamado, Cloudy with a Chance of Identity Theft: Escolher boas Nomes de usuário e senhas. É sempre não social? E a resposta é não, é sempre social mas você precisa estar ciente do que isso significa. E é domesticar leões, tigres, e Windows, que é em torno de sistemas operacionais de endurecimento com algumas das informações que fui hoje. E a última foi sobre, ter um dispositivo, viajará para falar sobre ir móvel com este tipo de fontes de dados. Assim, além de que, se você tiver alguma dúvida meu endereço de e-mail é lá, e se alguém na sala tem alguma dúvida, por favor, levante a mão. Fora isso, eu vou parar a gravação. Tudo bem. Concluído. [CS50.TV]