[Powered by Google Translate] [Seminar: Surviving the Internet] [Esmond Kane-Sveučilište Harvard] [Ovo je CS50.-CS50.TV] Pozdrav i dobrodošli na "Preživjeli Interneta." To je jedan od seminara koji čine dio ovog CS50 nastavnog plana i programa. Moje ime je Esmond Kane. Moje ime i adresa su na taj slide palubi ispred vas. To je esmond_kane@harvard.edu. U moj dan posao ja sam jedna od IT sigurnosnih direktora za Huit, ali moram priznati da sam danas na daleko misije što je razlog zašto sam nosi crvenu majicu. To se ne događa da čine sve što se može pripisati izravno na moj dan posao, tako da ovdje nije riječ o IT sigurnosti na Harvardu. Ovo je samo osobni podaci, a to je kako kad Ti - To su vrste vještina koje ćete steći pokušati i pomoći vam budite radnih stanica i vaša okolina u cijeloj svojoj karijeri. Ali ništa što sam spomenuo je danas trebao biti primijenjen na bilo koju točku Sveučilište materijal, vaši poslužitelji, radne stanice ili vaši bez kontaktiranja lokalnog IT podršku. I doista, ako sam spomenuti bilo koje aplikacije ili bilo koje incidente u sklopu ove Razgovor i rasprava ne izvješćuje sve što sam povlašten prijaviti. To je obično javnosti I doista, niti bilo bi spominjanje bilo koje aplikacije podrazumijevaju bilo odobravanje kroz Harvard ili zapravo bilo osuda. 

Pa zašto smo danas ovdje - sada da smo učinili s disclaimer - mi smo danas ovdje govoriti o preživljavanju Interneta. A zašto je to tako važna tema upravo sada? Dakle, da parafraziram Perry Hewitt koji radi u Harvard uredu za tisak i komunikacije - Ispričavam se ako sam čitajući ovo pravo sada - rekla je izjavio: "Mi živimo u Atmosfera eskalira rizika, ali i jedan od neusporedive inovacija. Brz rast Interneta, Cloud i društvene tehnologije rezultirala je mnogo više ljudi koji imaju javne profile online s doista pristup sve veći niz informacija. A to znači da svatko i njihove udruge nikad nisu bili vidljivi. Kao Harvarda digitalni otisak - njegova digitalne mreže širi, smo privući širu publiku. Nadamo se za boljitak, ali ponekad mi ćemo privlačiti negativnu pozornost. Dakle, kao predstavnik Harvardu, "a to uključuje svakoga gleda kod kuće ili pak netko ovdje, "naš fakultet, naši učenici, naše osoblje, naši znanstvenici, rizik od kompromisa na vas i doista Vaš povezana mreža nikada nije bio veći. " 

Tako često u informacijsku sigurnost kada pokušavamo balansirati to rizik je komplicirano trgovina off između sigurnosti i korisničko iskustvo. U doba neposrednosti moramo napraviti promišljena odluka o tome što će povećati sigurnost bez većih neugodnosti. Mi smo rekli ponekad unca prevencije vrijedi dvostruko lijek, , ali pri odabiru za provedbu sigurnosne mjere za smanjenje rizika moramo priznati da se nikada neće smanjiti potencijalni rizik na nulu. Tako da je rekao - mi smo danas ovdje kako bi razgovarali o nekim jednostavna i nije tako jednostavno sigurnosne mjere opreza koje možete poduzeti odmah. Također sam trebao dodati - ako imate bilo kakvih pitanja u cijeloj Prezentacija samo podići ruku. Dakle, prvi temi - često smo rekli odabrati dobru zaporku. Lozinka je svoj prvi i najbolji obrambeni. To je često jedini koji vam je dostupan kada su odabir za korištenje online resurs. No, kao što smo vidjeli tijekom ovog ljeta i doista prethodnu godinu Vidjeli smo napade kao što su LinkedIn, eHarmony. Vidjeli smo RockYou. Mi smo imali neki od ukupno 70 milijuna lozinki i računa ugrožena. I kad lozinke su pušteni u javnost oni također čine lozinku mljeveno meso. 

Tako je u osnovi ovih dana, ako netko dohvaća račun košnicu ne morate ispucati lozinka više;. oni ne trebaju sirovu snagu lozinke jer imaju ovaj veliki riznicu objavljena informacija o tome što ljudi odabiru. Oni su već dobili ponašanju podatke na pamet ono što ljudi imaju tendenciju da koriste. I oni su slomljena da dolje na popisu od oko tisuću lozinke koji čine gotovo 80 do 90% od lozinki koje smo izabrali u općoj uporabi. Tako brz primjer - tko želi riskirati ono što ste mislili Bashar al-Assad koristi za svoje lozinke kada je ugrožena prošle godine? Ovo je gospodin koji je predmet intenzivnoj kontroli. I njegova lozinka je 12345. Ok - pa to su lekcije koje smo naučili, trebamo premjestiti izvan samo razmišljam o lozinkom. Mi smo rekli da se početi koristiti proći izraz. Tu je veliki strip od ili pak web stripa iz Randy Monroe koja ide u odabiru proći izraz, on koristi - Hoću reći - Baterija, sortirano, ograničenje ili nešto slično - znate - samo - ili doista nema šale da je netko tko je izabrao glup, Nemo, Pluto - svi ti različiti likovi i London, jer je on rekao odabrati 8 znakova i kapital. Ali - kako smo saznali moramo ići dalje samo misle lozinkom. 

Tu je zapravo Ezine u Bostonu zove Ars Technica. Tu je gospodin pod nazivom Dan Goodin tko radi niz na ovu promjenu Opseg - bilo od napadača prostoru gdje imamo ovaj masivni otkriće dostupan za nas bilo bi smetalo mi više ne treba generirati stvari kroz duginim stolovima; imamo 70 milijuna lozinki. No, također smo imali - znate - mijenja krajolik u Stvarni pucanje prostor jer su GPU kartice napravio ovaj gotovo u približno stvarnom vremenu. A tu je gospodin u Def Con u kolovozu koji su sastavili 12 od tih kartica u robnoj PC. On je to učinio za oko 2.000 dolara ili 3.000 dolara, a on je bio u mogućnosti to ispucati LinkedIn otkriće u - znate - u približno stvarnom vremenu. Bilo je prilično zastrašujuće. Dan Goodin je članak - Svakako preporučam ako želite ići ga pročitati. Gospodin zove Sean Gallagher - Jutros - Također je objavio Brze promjene na njemu; puno svog rada temelji se na - od raspoloživog materijala iz Bruce Schneier, ali i iz Cormac Herely iz Microsoft Research. Nekako je naveo oko 5-6 godina da trebamo početi razmišljati izvan lozinki. Upute koje su u to vrijeme bile stvari poput prolaznosti fraza, gestualnost sučelja - i takve stvari. Vi znate - ako nešto znate više nije dovoljna da u ovom trenutku; to je jedna od stvari koje želim komunicirati danas. Ako ne morate koristiti lozinku, nemojmo se sramiti navodeći da bi dalje pokupiti dobar, to bi trebao biti nadamo se nešto izvan 10 znakova. Treba razlikovati između gornje i donje slučaju. 

I vrlo bi potaknuti ne bi ponovno lozinke. Ja mogu govoriti na nekoliko slučajeva u kojima smo vidjeli račun dobiti ugrožen, a netko skakale i preskočila - domino efekt. Oni su moja svaki račun u svakoj fazi u procesu za to Podaci, a zatim su nastavili da koriste te podatke da su minirana u svakom slučaju protiv drugog uvjerenje izvor. Dakle - opet - odabrati dobru zaporku. Napravite ga jedinstvenim. Vi svibanj želite razmišljati o korištenju usluga lozinka voditelj. Postoje one vani na - svi su oni u App trgovinama. Tu je jedan zove OnePass, KeePass, LastPass - to je lijep način za to da vam pomoći stvaranje jedinstvene vjerodajnice, jake vjerodajnice, ali i olakšati arhivu i vođenje evidencije za vas. Na dolje strana na to je li potrebno donijeti da se lozinka trgovine; što je potrebno kako bi bili sigurni da je lozinka voditelj koji ste vjerujući je dostojan vaše povjerenje kao dobro. 

Zato pazite ti momci su također koriste neke mehanizme važeća lozinka. Posebice onaj ću spomenuti upravo sada je multi-faktor autentifikacije. Dakle, multi-faktor autentičnosti - a tu su i nekoliko primjera ću proći kroz kratko - To je jednostavno sredstvo, uzimajući nešto znaš kao što je vaš korisničko ime i lozinku te dodao kako to - da dodajete još jedan čimbenik. Dakle, prvi faktor koji ćemo spomenuti i danas su ti one na daskama. To je nešto što imate u svojim posjedima, tako da je bilo prijava koji se izvodi na vašem pametnom telefonu ili pak na telefonu sama. A što bi moglo biti u mogućnosti primati SMS tekst. Čuvajte se, ako ste na putovanju u inozemstvu koji nije nužno će vas pratiti. Zahtjev može raditi veći u tom slučaju. Ili doista drugi čimbenik možda želite razmišljati o nešto ste. 

Sada je to još uvijek jako puno vrsta skunkworks. Mi ne vidimo previše usvajanje njega. To je - da znate - Mission Impossible stilu - znate - vaš vena ispis, palcem ispis, ispis vaše mrežnice. Oni su vrsta dalje van, oni nisu stvarno jako valjane autentifikacije čimbenici. Mi vidimo - kad sam razgovarati s mojim kolegama sigurnosti - veći pritisak da ste stavili na tipkovnici, svoj određeni uzorak tipkanja, vjerojatno izravno na vidiku - mnogo više nego ovih drugih biometrijskih identifikatora. No, one su danas aplikacije ili SMS tekst ili čak samo Izazov odgovor e-mail koji ćete dobiti potvrditi da li je u stvari odlučite prijaviti u ovom trenutku u vremenu. Dakle, tu je link tamo, ja sam poslan iz slide palube jutros. To će biti na Wiki. 

Oba Gmail i Google učinili; Yahoo će to učiniti. Paypal ga ima; Paypal također ima malo stvarnog hardvera tipku koja ne radi rotirajuću broj. Ali, također možete odabrati koristiti telefonski broj. Facebook također se zapisnik u odobrenje, tako da odlučite to odobri, oni također rade prema važećem više hard snage sigurnosti. Dropbox ima potvrdu u 2 koraka, kao i, također možete jednostavno kupnju hardvera tipke za njih. Također smo vidjeli u jednom Gmail ili Google jednom, puno ljudi koji su zapravo co-opting Googleov autentifikaciju, tako da - primjerice - Koristim LastPass - to ne znači podržavanje - ali oni se mogu ponovno koristiti Googleov 2 koraka pa to znači da ne trebate hoda okolo s dvije aplikacije na telefonu. Ali također Istraživanje računalstvo u Harvardu ili koristeći analogiju na Googleov 2 koraka provjere, jer jednokratna lozinka Algoritam otvoren je izvor ima oko 10 godina. Bilo kakva pitanja? Dobro. 

Dakle, još jedan faktor razmatranje izvan lozinki je kada su korištenja tih sredstava biti svjesni što su podaci koje je počinio na njih. Samo ograničiti ono što zapravo stavljanjem gore. Dakle, mi smo svjesni da su ti ljudi koji pružaju uslugu za nas na internetu - ove Cloud usluga - oni imaju interes u vama Ne bude kao siguran kao što potencijalno može. Oni imaju tendenciju da se staviti na raspolaganje minimum skup sigurnosti, , a zatim tu je hrpa ostalih one koji su dodatni koje morate uključiti opciju da. Vrsta odvesti daleko od ovog razgovora je sigurnost je podijeljena odgovornost. To je između vas i partnera koju čine - alijansi koju čine. Morate preuzeti aktivnu ulogu. Odaberite da se odluče na to. Vi znate - uzeti vremena sada, učiniti ga sigurnijim. Alternativa je već postoje ljudi i provjeravaju ovi sigurnosni čimbenici protiv vas, više možete uključiti opciju se bolje pripremili ste za eventualni kompromis. I to je konačno. 

No, drugi faktor je da mislite o kao što sam spomenuo Internet ove stranke koje su vas uzdajući se sa svojim vjerodajnice - s vašeg identiteta. Dat ću vam dva analogije, Larry Ellison i Mark Zuckerberg - oba su na rekord navodeći privatnost uglavnom iluzija. I to doba privatnost je više. To je vrsta tužno optužnice da mi stvarno treba čekati da Vlada uskočiti na snagu ove stranke biti više siguran, uvesti više propisa, jer kada smo pokušati raditi s Te tvrtke za primjer neke od njih kao što je Dropbox stranaka, oni su u posao pružanja usluga do potrošača. Oni nisu izravno zainteresirani za to da poduzeće-razred sigurnosne kontrole. Potrošači su glasovali sa svojim novčanik, i već su prihvatili minimalnu ocjenu. To je vrijeme da se promijeni način razmišljanja. Dakle, kada smo pružiti našim podacima na ovim stranama, moramo kooptirati našem postojeće mehanizme povjerenje, tako da smo društvena bića po defaultu. 

Pa zašto sve odjednom kad smo početi stavljanjem podataka na internetu mi sada imamo pristup istu zaštitu radimo osobno? Dakle, kada sam čitati vaš govor tijela, kada mogu odabrati Mreža s društvenog kruga i doista se tog kruga odavati Samo informacije koje želim. Dakle, imamo pristup ovom govoru tijela, izražavanja, vokalizirati, imamo pristup tim zaštite identiteta blizine u fizičkoj lokaciji, oni su još uvijek u razvoju on-line. Mi nemamo pristup do njih, ali mi se počinju da ih vide. Tako imamo aspekte u Facebook - primjerice - kao skupina. Imamo pristup u stvari kao što su Google+ krugovima. Apsolutno ih koristiti. Dakle, posljednja stvar koju želite vidjeti u tom prostoru, posebice kad idete da dobijete posao je sada napravio puno vaših osobnost javnosti. A kad netko želi - treba to žele - to bi moglo biti dio od politike tvrtke ili ne - to svakako nije dio Harvard's - ali oni svibanj izabrati za napraviti Google pretraživanje. A kad oni to tako - ako uvjetom - recimo neke informacije koje će imati poteškoća stoji iza - što ste učinili sebi medvjeđu uslugu. I doista, kao što sam spomenuo - ove društvene tvrtke koje imaju interes u što je javno - znaš - što im je potrebno za protuminsko svoje podatke. Oni su prodaju svoje demografske i svoje marketinške materijale za nekoga. Vrsta analogije u ovom prostoru je - ako se ne plaćaju za proizvod jesi li proizvod? Dakle, stvaraju krugove za svoje prijatelje, biti oprezan, biti marljiv, pokušajte da ne bi sve javno. 

Druga analogija ću se za krajnjeg korisnika licencne ugovore promijeniti, oni će vam reći ono što oni mogu učiniti sa svojim podacima, i oni će ga pokopati u 50-stranici kliknite kroz. I oni mogu izabrati da se to promijeni, a oni samo poslati brzu poruku e-pošte. Ali vi niste odvjetnik, to je jako puno u legalese. Morate biti oprezni što radite. Oni mogu posjedovati svoje slike, oni mogu posjedovati svoje intelektualno vlasništvo. Vi znate - samo vježba diligence. Drugi primjer Library of Congress je arhiviranja svaki cvrkut poznat čovjek. Sve. Svakih 10 godina grubo tijelo od materijala koji se generira u tom 10 godina računa ili znatno brži sve što smo stvorio tijekom cijele ljudske povijesti. Kongresna knjižnica ima interes u očuvanju tu informaciju za buduće naraštaje, za buduće arhivista, za buduće istraživače i povjesničare, tako da je sve što su stavljanjem vani postoji. To će zapravo čine ogromnu resurs u nekom trenutku kad ljudi počnu mina socijalni inženjering ili socijalne umrežavanje sučelja. Tako bi obavijestili o zaštitama na raspolaganju u svakoj primjeni. 

Postoji nešto što ću spomenuti, kao i, postoji i treća strana alat zove Privacyfix, to može priključiti pravo u nekim od tih socijalne umrežavanje aplikacije. A to može provjeriti da vidim gdje ste s obzirom na razinu zaštite koji su dostupni na njih ako možete odabrati da ih podizati korak dalje. Postoje alati poput Front podataka oslobođenje od Googlea gdje možete odabrati za izvoz ili izdvojiti svoje podatke. Postoje stvari kao što su internet Suicide Machine koji će se prijaviti na za neke od svojih profila i zapravo izbrisati svaki atribut jedan po jedan, skinuti oznaku svake pojedine udruge prijatelja u vašoj mreži bi napravio. I to će se nastaviti iterativno iskorijeniti sve o vama da taj položaj će znati. Ako ja samo mogu ostvariti neki oprez kao i tamo, bilo je instanca Prije par godina u Njemačkoj gdje je građanin odlučio ostvarivati ​​svoju slobodu informiranja prava i pitati Facebook pružiti Koje informacije su imali na rekord za njega, čak i nakon što briše njegov račun. Oni su ga dobili CD s 1.250 stranica informacija iako je njegov račun teoretski više ne postoji. Tu je koncept u tom prostoru mnogo toga što su neki od njih subjekti će zadržati neke podatke o vama učiniti sa svojim udrugama i svoje mreže. Oni kažu da oni ne mogu imati kontrolu nad njim, to je malo nategnuto, po mom mišljenju. Oni su stvorili te shadow račune - sjeni osobnosti. Samo budite oprezni. Ograničite ono što možete. Na stvarnoj razini uređaja kada samo pričaju - znate - hardver - vaš smartphone, tablete, vaše radne stanice, svoj laptop, možda i poslužitelja koji su odgovorni za. 

Vjerojatno ste čuli o pojmovima kao što su rad, sustav nadogradnje, primjena ažuriranja, antivirusni, da ste čuli za stvari kao što su firewall, disk šifriranje i back up. Jedna stvar koju treba biti svjestan je da ne čujete o one vrste zaštite u mobilni telefon prostor. Oni su jednako osjetljivi na iste prijetnje. Imali smo - Želim reći - milijun smartphone će biti aktivira na kraju mjeseca. To je znatno nadmašio - u kratkom vremenu koje oni su bili dostupni, da je znatno nadmašio rast računalo, prijenosno računalo, radna stanica na tržištu. No, mi nemamo pristup istim kontrolama, i ja će govoriti o tome uskoro. Dakle, prije nego što smo dobili na mobilni telefon prostor neka nam govore o ono što je tamo da sam samo kratko otišao. Dakle, antivirusni softver - Ovdje su neke besplatne izbora. Microsoft daruje njihovo - znate - Sophos daruje njihovo za OSX i Patch vaše računalo - jednostavno biti svjestan bez obzira na prodavatelja Trenutna razina je patch, a ne bi trebao biti značajan trokut od toga. Tu je lijepo alat iz tvrtke zove Secunia. I Secunia će se izvoditi u pozadini, a to će vam reći ako postoji ažurirani na raspolaganju i ako je potrebno primijeniti. 

Omogućite automatsko ažuriranje - i Apple i Microsoft će imati neki aspekt ove. Oni će vas upozoriti da postoji ažuriranje dostupna. I Secunia - znate - je vrsta lijepo sigurnosti net imati i - padne natrag mehanizam. Na domaćinu sloj - ne uzimajući smartphone još. Omogućite vatrozid porijeklom iz operativnog sustava. Tu je neke informacije o sustavu Windows u jednom OSX. Testirajte svoje firewall, ne samo ostaviti ga tamo i mislim da je to siguran mehanizam. Uzmi aktivnu ulogu, postoji program postoji od VRH - Steve Gibson. Wi-Fi sigurnosti u tom prostoru - to također može primijeniti na smartphone i tableta - kada se odabiru ići na cesti morate biti svjesni da postoje različite klase bežične mreže. A posebno ne biraju najčešće dostupan jedan. To bi moglo biti niska cijena, ali tu bi moglo biti razlog za to. Možda su rudarstvo svoje podatke. Vidimo to više kada putujete u inozemstvo. Postoje neke doista vrlo učinkoviti cyber kriminalnih udruženja koji su u mogućnosti da iskoriste ono što smo obično vidjeli u nacionalne države špijunaže. Faktor gdje su se izravno ubrizgava u mrežu potoka. Oni su povlačenjem stvari od tamo, a oni su ubrizgavanje aplikacije na svojim radnim stanicama. 

To je - drugi aspekt koji Znam spominje u nekim od tih sigurnosni seminari - ili ne CS50 seminari seminari - je alat koji se zove Firesheep. I Firesheep bio naročito napad na mobilni telefon prostor gdje su neki od tih društvenih mreža aplikacije slali vjerodajnice u običan tekst. A to je sasvim uobičajeno prihvaćena jer svatko je u to vrijeme Mislila je da nema apetita u potrošačkom prostora za njega, kako koristiti veću snagu enkripciju podrazumijeva dobro izvršenje teret na poslužitelju, pa ako oni ne moraju to učiniti - oni nisu željeli. I onda sve odjednom kad se to sigurnosni istraživač je napravio Napad trivijalna vrlo brzo - znate - počeli smo vidjeti takvu Poboljšanje da svatko u sigurnosnom prostoru imala se žale za značajan duljinu vremena. Dakle - naročito - Firesheep bio u mogućnosti dohvatiti Facebook, Twitter vjerodajnice od Wi-Fi potoka. I zato što je u običan tekst, a oni su u mogućnosti kako bi se uvelo. 

Opet, ako ćete koristiti Wi-Fi odlučite koristiti jedan taj dovoljnoj mjeri zaštićeni - WPA2, ako možete. Ako morate koristiti nesigurna Wi-Fi - a osobito Govorim da bilo tko da se pomoću Sveučilištu Harvard Wireless - možda želite razmisliti o korištenju VPN. I vrlo ga potiču. Ostali čimbenici možda želite razmišljati o tome se ako ne vjerujete Wi-Fi da ste na svibanj želite ograničiti korištenje. Nemojte učiniti bilo koji e-commerce, nemojte to učiniti bilo bankarstva. Ne pristupiti vjerodajnice sveučilišne. Tu je glavna pobjeda u ovom prostoru, ako netko ne kradu svoje vjerodajnice - znaš - oni imaju svoj mobilni telefon? Dakle - da znate - to je još jedan faktor koji se ne mogu oteti nužno ili samo čini njihov napad kompliciranije. Šifriranje tvrdi disk. Mi smo u doba upravo sada - kodiranje koristi se velik posao prije 10 godina. To je značajan utjecaj na performanse. To više nije - u stvari - većina mobitela i tome slično oni to rade u hardveru, a vi ni ne primijetiti - Predstava je tako zanemariva. 

Ako govorimo o radnoj stanici, govorimo o BitLocker. Radi se o trezora; to omogućiti - uzmite vremena sada. U Linux prostora ocito istina kripte može raditi preko obje onih. Vi svibanj želite razmišljati o tome - u Linux prostor - tu je dm-kripti, postoji Luxcrypt - postoji hrpa drugih mogućnosti - i True Crypt. Ostali brz način kako bi zaštitili sebe, na razini radne stanice sigurnosnu kopiju tvrdog diska. I jedan mali bora ovdje - to nije dovoljno da se koristiti jedan od Cloud usluga ove sinkronizacije, pa Dropbox ili G-Drive ili nešto drugo To nije rješenje za back up. Ako netko briše nešto na jednoj od tih uređaja jer su i sami umetnuta nekako ide - da brisanja dobiva replicirati na cijeloj osobnosti. To nije back up, to je samo propagacije mehanizam. Tako da je dobro da imaju back up rješenje. Postoje neke prijedloge ovdje za neke ljude, a neki od njih su besplatni - kapaciteti na bazi - 2 nastupa za back up - možete to učiniti. Ako koristite sveučilište G-mail - Sveučilište Google na faksu i Co-a, G-Drive ako već nije - to će biti uskoro dostupan. To je dobra zamjena. Također ćemo pogledati ove stvari kao što su Mozy Home. To je dobro imati dva rješenja. Ne moraju sve svoje jaja u jednoj košari. Želite li baciti na nešto ili pak ako ste u procesu slanja nešto povjerljivo - neke prijedloge ovdje sigurno brisanje uređaja. Darik je boot i Nuke - to je vrsta više za IT pamet. Vi svibanj želite razmišljati o samo to daje za neke od njih komercijalnih usluga, ako možete. 

Šifriranje e-mail - ako imate - postoje neke usluge na kampusu zove Accellion; ste off-campus ili za osobnu uporabu ću preporučiti Hushmail. Vidimo se dosta koristi u zvižduka puhala, to je jedan od glavnih Mehanizmi za WikiLeaks , kao i Toru i nekim drugim ekvivalentima. I - sada govoriti o telefonskom razini - kako je problem ovdje je nema toliko mjesta apetit još. Nažalost većina pametnih telefona i tablet OSS oni su još uvijek na temelju neke od principa koje smo vidjeli u 1990. Oni nisu stvarno uključene neke od poboljšanja da vidimo na razini radne stanice. Oni ne rade toplinsku zaštitu. Oni ne rade - znaš - sloj randomizacije. Oni ne rade adresa zaštitu. Oni ne rade izvršiti zaštitu - takve stvari. Ali također sam uređaj je defacto neće imati bilo krajnja točka sigurnosti ugrađene u njega. Tako smo se počinju vidjeti ovu promjenu - opet - većina smartphone - proizvođači Android, Apple, i Windows - apetit samo nije bio tamo, benchmark je BlackBerry. No, BlackBerry je vrsta izgubila svoje prianjanje na tržištu u ovom trenutku. I Apple stvarno je zakoračio u. Oko 2 godina došlo je preokreta gdje su počeo graditi u puno više poduzeća Tip kontrole. I - doista - u kolovozu su učinili prezentaciju na Def Con koji je jednostavno nevjerojatan. 

Dakle, oni će učiniti minimalne kontrole koje sam opisao. Oni će napraviti jaku lozinku, oni će napraviti brz za tu lozinku na mirovanju - Uređaj - zaboravite o tome i nakon 15 minuta se aktivira. Oni će napraviti enkripciju, i oni će učiniti ono što se zove daljinsko brisanje. U Android i Windows prostoru to su još uvijek TBD - treba utvrditi. Android ima pristup nekim aplikacijama zove Prey i vidikovac. I doista neki od krajnjih točaka sigurnosnih alata kao što su Kaspersky znam to. Znam ESET ga se kao dobro Oni će vam poslati SMS tekst i iskorijeniti uređaj. Windows telefon u ovom trenutku je prvenstveno usmjerena korporativno ime - ono što se zove razmjena. Exchange je robustan mail infrastruktura, a to može propisati neke od tih kontrola. Windows 8 dostavljaju samo prošli tjedan, tako da ja ne mogu govoriti da je definitivno. Windows 6.5 bio veliki sigurnosni uređaj. Windows 7 Mobile je katastrofa, oni ne bi sve ove izvorne kontrole obvezno preko različitih proizvođača. Dakle, morao ratificirati svaki Windows Mobile 7 telefon jednu po jednu. 

Android - od 3,0 prostor imao je veliki napredak, kao dobro. Saće, Ice Cream Sandwich, Jellybean - oni će podržati ove minimalne kontrole, i doista će podržati neke od poduzeća kontrole koje možete učiniti kao dobro. U vašem osobnom računu prostoru postoji Google Sync da je osobno možete omogućiti ako imate svoj vlastiti prostor, kao i Google. Dakle, što učiniti kada se to sve ide užasno krivo? I ako mogu - još jedna od takeaway ovo je stvarno kad je - ako to nije. To će se dogoditi svima nama u nekom trenutku. Što možete učiniti? Pa što možete učiniti - a tu je slide - Sljedeći Slide će vam ukazati na neke od FTC sredstava za to, ali goli minimum mjesto prijevara upozorenje na svojim kreditnim karticama. Ako mogu potaknuti da misle o tome kada koristite kreditnu karticu u online kapaciteta - ovisno o transakciji ste čineći debitne kartice - sposobnost da zahtijeva ili sposobnost da se povuče lažnih tvrdnja na debitne kartice je zapravo mnogo manji nego što je prozor na kreditne kartice. Dakle, nakon što ste dobili svoj izvještaj na debitnu karticu imate samo određeni vremenski okvir - a to je vrlo niska - obavijestiti banku lažnih transakcija. Kreditne kartice to je puno veći, ima tendenciju da se limit do oko 50,000 dolara prije nego što oni zapravo će biti u mogućnosti da vam nadoknaditi. Tako da je prilično puno novca, oni to nabasao gore od oko 13.000 $ ili 18.000 $ postoji vrlo nedavno. Dakle - da znate - kad razmišljam o korištenju kreditne kartice online, Možete li razmišljati o korištenju top up karticu ili jednokratnu kreditnu karticu, plamenik kartica? 

Ako primijetite bilo što - i ja ću vam pokazati kako možete dobiti pristup kratko - zatvorite sve lažne račune, ako ste svjesni toga. Podnijeti prijavu policiji ako ste na kampusu. Doprijeti do HUPD - neka znaju. Razmislite o službi identiteta monitoringa. ako se kao dio - ako dobijete ugrožena - možda ćete morati - oni mogu financirati usluge zaštite identiteta. Ako oni to ne možda bi trebao to učiniti. Prikupiti i zadržati sve dokaze - naročito nikakve rasprave koje ste imali s bilo kakvim kaznenim tijelima osobito za osiguranje svrhe. Promijenite sve svoje lozinke. Promjena odgovore na bilo sigurnosnih pitanja koja se mogu koristiti za resetiranje lozinke. Bez bilo kakvih prošlih usluge identitet. Dakle, ako ste ponovno korištenje svoj Facebook račun za prijavu na Twitteru ili obrnuto, razbiti da, ako je kompromis koji su uključeni svoj račun e-pošte provjeriti da li se nešto proslijeđen. Jer inače oni i dalje imati pristup vašim podacima. A ako krađe uključuje svoj račun Harvard obavijestite IThelp@harvard.edu. Ne mogu tvrditi da je dovoljno, ali i naročito ako se uređaj dobiva izgubljeni ili ukraden i da je imao pristup vašim podacima sveučilišnih i možda nisu imali neki od tih zaštitama biti odgovarajuća, javite nam - HUPD i IT Pomoć na Harvardu. 

Dakle link koji sam upravo spomenuo da ide u to s više detalja FTC.gov / identitytheft. Postal Service također ima neke prijevare ili zaštite.Ako usluge - ste upravo stavili na čekanje ili zaustavljanje na kreditne kartice ili prolazi kroz takve stvari. FBI ima link, kao i, što je u notama slajdovima koje sam poslao. I doista Massachusetts Better Business Bureau i Zavod za zaštitu potrošača ima neke smjernice, kao i, što je u bilješkama. Uzmite si vremena sada, napraviti sami svjesni onoga što možete učiniti, i poduzeti akciju. Princip - kao što sam spomenuo ranije - ako je nemate plan za svoj identitet krađe odmah će biti podliježu puno posla kad se to dogodi, a to je kada. No, čak i kada se te mjere opreza - neka mi samo dodati blagi riječ oprez - nema plana preživi prvi kontakt s neprijateljem. Pa čak i na koje još uvijek misle da ne može biti neki subverzije - znaš - Vaša banka za primjer koji ste izgradili sve te zaštite oko oni mogu dobiti ugrožena; ove pouzdanih stranke koje ste dali svoje podatke. Dakle, vi ste sami najbolja obrana. Vi znate - ostati budan - ostati oprezan. Uzmite si vremena sad da odlučite da se odluče na to, nadamo se družiti ovaj, razgovarati ovo sa svojim prijateljima. Pick dobrih lozinki, koristite jedinstvene lozinke za svoje račune. I ne ponovno lozinke - naročito - oko neke od Vaši osjetljivijih imovina; ne koristite svoj račun sveučilišni negdje drugdje. Nemojte koristiti svoj račun kreditne kartice negdje drugdje. Lozinka štititi svoj mobilni uređaj odmah. I po mobilnom uređaju mislim smartphone, mislim tableta. 

Razmislite o korištenju dobrih pitanja sigurnosti resetiranje, a ja ću govoriti o Zato je ovo kratko, provjerite Vašu kreditnu izvješće. Drugi način na koji možete biti dobar građanin u ovom prostoru je Vlada prisiljena na tri agencije Experian, transunion i MasterCard objaviti kreditnih izvješća. Za neke od Harvard zajednice, posebno u studentskom prostoru, ovo bi mogao biti novi u njima, ali su dozvoljeni povući onima Agencije najmanje jedanput godišnje. Dobro oprez - ići na tom mjestu, ona je dostupna na jednoj FTC. I to svaki 4 mjeseci umjesto toga, i vi ste u mogućnosti to držati Kartice o tome tko je traženje zahtjeva za podatke o kreditnoj kartici, ili ako doista ako netko otvara nikakve lažne račune. I - općenito - usmjeravanje je biti svjestan. I ja ću vam dati specifičan primjer kratko, ali to je u biti meso i krumpir u raspravu. 

Pa zašto je to važno u ovom trenutku je tijekom ljeta nije bilo Gospodin zove Matt Honan - ako ste vani puno ti hvala bila tako susretljiva s vašim podacima. No, ono što se dogodilo s Mattom je on radio za Wired Magazine, a neki cyperhacktivists pođe Twitter račun. I oni koriste neki od tih resursa - neke od ove javne osobe koji je na raspolaganju. I oni su izgradili kartu, oni znaju gdje se napadaju i kada. Dakle, iz koje su počele kriška kocke i podatak da je on napravio raspolaganju, a oni su utvrdili da je imao Gmail račun. Tako je koristio manje nego mudar lozinku za njegov Gmail, i on nije imao nikakve multi-faktor sigurnost na njemu. Tako su ugrožena njegova Gmail, nakon što je njegov pristup Gmail vidjeli su sve ove druge račune da je priključen na njegov Gmail. Doista, imali su pristup svom cijelom cijelom Gmail ili Google osobnost. A - osobito - su počeli primjećivati ​​da je imao Amazon račun jer su neke e-mailove koji se prijavljuju njega. Pa onda su se na njegovu Amazon, i dobili su na svom Amazon po samo resetiranje lozinke jer mu je otišao njegov Gmail. On nije imao - on je vrsta imala domino efekt ili vjerodajnica ulančavanje se ovdje događa gdje je nakon što je dobio njegov Gmail su imali ključeve kraljevstva. Dakle, nakon što je dobio na svom Amazon - a to je kroz ništa sumnjivo s tim drugim dečkima - to je - da znate - Matt nije izabran uključili u tim više sigurne mehanizme da samo ti ljudi su na raspolaganju i sve te Internet izvora. 

Dakle, nakon što je dobio na svom Amazon su imali pristup - nije im pokazati njegovu kreditnu karticu, ali to im je pokazao posljednje četiri znamenke Upravo tako je znao što je to, to im je pokazao svoju shipping adresu. To im je pokazao neke druge informacije koje je učinio na nekoliko redova. I onda da su odlučili napasti na Apple račun. I oni društvene projektirana stola Apple pomoć. Apple ne bi to učinio, ali na temelju ovih informacija koje oni su bili u stanju minirati iz drugih dvaju računa. Vi znate - tip na šalteru vjerojatno mislio da ga netko dobar građanin - znaš - ja sam se pomogla, tu je Apple kupca vani koji se nasukao vani na svoju ruku, i moram mu pomoći. Ali to nije bio pravi Apple kupca. Tako su ponovno svoj račun Apple, a oni šalju podatke na Gmail. Nakon što su napadači imali pristup svom računu Apple Matt je sve svoje uređaje vezan u svom iCloud, i oni su počeli izdavanje krivokletstva seta i brišući sve. Opet, on je upravo njegovi podaci razmnožava, upotrebljavao je iCloud kao mehanizam sinkronizacije. Dakle, kada su izbrisani je sve išlo prasak. Oni su još uvijek imali pristup u ovom trenutku na svom Twitter računu što je ono su pokušali napasti. Ne znam jesu li korišteni Maltego ili neke od tih drugih mehanizama izgraditi svoju osobnost internetu, ali - znate - u roku od nekoliko Tečaj su dobili pristup do 4 različite osobne usluge prije su stigli do svog Twitter, i to košta Matta - Matt je bio vrlo sretan da je vidio to dogodilo, jer njegova djeca došla k njemu kada je iPad sama zaključana off. I rekli su - što znate, "Tata, postoji nešto događa s ipad." I on je zatvorio sve dolje jer je primijetio da se to događa svugdje. I počeo je pozivom Apple vidjeti što se to upravo dogodilo. I Apple zaista mislili da postoji nešto događa iCloud da je otišao skitnica dok shvatio - on je zapravo shvatio da su slali podatke, a počeli su nazivati ​​ga krivo ime. Budući da Apple je na datoteci informacija da je napadač je pokopala. 

Ok - tako da je vrsta informacija koje smo koristili za izgradnju ove vrsta najbolje prakse; ćemo koristiti kao dio cijelog niza Seminari do listopada - Nacionalni Cybersecurity Svijest Mjesec. To je dostupan za vas dečki. Pobrinut ću se da sam ga poslao u Wiki, kada je David čini mi dostupni kao dobro. No, tu je savjete i upute unutra mnogo više nego što granularly Ja sam u mogućnosti sumirati u ovom kratkom vremenu imam na raspolaganju. oko onoga što se zove, Oblačno s Moguća Krađa identiteta: Branje dobar korisničkih imena i lozinki. Je li to sve nije socijalni? I da je odgovor ne, to je uvijek društveni, ali morate biti svjesni što to znači. I to je Kroćenje lavovi, tigrovi i Windows, koji je oko kaljenje operacijski sustavi s nekim informacijama koje smo otišli do danas. I posljednja je o, imati uređaj, Will Travel pričati o odlasku mobitel s ove vrste izvora podataka. Dakle, osim da ako imate bilo kakvih pitanja u moj e-mail adresa postoji, i ako bilo tko u sobi ima bilo kakvih pitanja molimo Vas podignite ruku. Osim toga, ja ću prestati snimati. U redu. Gotovo. [CS50.TV]