[Powered by Google Translate] [Seminar: Surviving internet] [ESMOND Kane-Harvard University] [To je CS50.-CS50.TV] Pozdravljeni, in dobrodošli na "Preživeli do interneta." To je eden od seminarjev, ki vključujejo del tega CS50 programom. Moje ime je ESMOND Kane. Moje ime in naslov, so na tem slide krova pred vami. To je esmond_kane@harvard.edu. V mojem dan, delo sem eden izmed varnosti IT direktorjev za HUIT, ampak moram priznati, da danes sem na stran misijo kar je razlog, zakaj sem nosil rdečo majico. To se ne dogaja, da zajema vse, kar je mogoče pripisati neposredno na moj dan, delo, tako da tu ne gre za IT varnost na Harvardu. To je več, le osebni podatki, to je, kako, ko Ti si - To so vrste znanj, ki jih boste pridobili, da poskusite in vam pomagajo strdi vaše delovne postaje in vaše okolje vsej svoji karieri. Ampak nič, da sem omenil, danes bi bilo treba uporabiti za vsako od vaših univerza materiala, je vaš strežnik, ali vaše delovne postaje brez stika vaš lokalni informacijsko podporo. In res, če sem omenil nobene vloge ali kakršnih koli incidentih v okviru tega pogovor ali razprava, da ni ničesar, poroča, da sem počaščen, da poročajo. Ponavadi je javno In tudi ne bi bilo nobene navedbe o morebitni vložitvi zahtevka pomeni vse Zaznamek z Harvardu ali celo iz katere koli obsojanja. 

Torej, danes, zakaj smo tukaj - zdaj, ko smo končali z omejitvijo odgovornosti - mi smo danes tukaj govorimo o preživetju po internetu. In zakaj je tako pomembna tema prav zdaj? Torej, če parafraziramo Perry Hewitt, ki dela v Harvard tisk in komunikacije pisarno - Se opravičujem za branje to prav zdaj - ona je izjavil: »Živimo v vzdušje stopnjevala tveganja, temveč tudi eden neprimerljivo inovacij. Hitro rastjo interneta, Cloud, in socialne tehnologije je povzročilo veliko več ljudi, ki imajo javne profile na spletu z dejansko dostop do vse večje paleto informacij. In to pomeni, da nikoli niso bili vsi in njihova združenja bolj vidne. Kot digitalni odtis Harvardu - njegovo digitalno omrežje širi, smo pritegnili širše občinstvo. Upamo, da bomo za izboljšav, včasih pa bomo pritegnili nekaj negativne pozornosti. Tako kot predstavnik Harvardu, "in to vključuje vsakogar gledal doma ali celo kdo tu, "naša fakulteta, naši učenci, naše osebje, naši raziskovalci, tveganje kompromisa za vas in dejansko vaš povezano omrežje še nikoli ni bila večja. " 

Tako pogosto na področju informacijske varnosti, ko poskušamo uravnotežiti ta tvegati, da je zapletena kompromis med varnostjo in uporabniško izkušnjo. V dobi neposrednosti moramo narediti premišljen decisions o tem, kaj se bo okrepila varnost brez večjih nevšečnosti. Mi smo povedali, včasih unčo preprečevanja vredno dvakrat zdravilo, ampak pri izbiri izvajati varnostne ukrepe, da zmanjšate nevarnost moramo priznati, da nikoli ne bo zmanjšalo morebitno tveganje za nič. Tako, da je rekel - tu smo danes razpravljali o nekaj preprostih in ni tako preprosta varnostnih ukrepov, ki jih lahko sprejme zdaj. Naj dodam tudi - če imate kakršnakoli vprašanja skozi Predstavitev pravkar dvigne roko. Torej prvo temo - smo pogosto povedali izbrati dobro geslo. Geslo je vaša prva in najboljša obramba. Pogosto je edini, ki je na voljo za vas ko se odloča za uporabo spletnih virov. Toda, kot smo videli v tem poletju in seveda predhodno leto smo videli napade, kot so LinkedIn, eHarmony. Videli smo RockYou. Imeli smo skupno 70 milijonov gesel in računov ogrožena. In ko so ti gesla sprosti v javnosti prav tako obsegala geslo hash. 

Tako da v bistvu v teh dneh, če nekdo pridobi tudi panj računa ki jih ne potrebujejo več za crack gesla;. jih ne potrebujete silo geslo zato, ker imajo to veliko odkritje sproščene informacij o tem, kaj so ljudje izbrali. Ti že imaš vedenjske podatke na misel, kaj ljudje uporabljajo. In so razdeljene, da dol na seznamu okoli tisoč gesel ki obsegajo skoraj za 80 do 90% od gesel, ki jih izberemo v splošni rabi. Torej preprost primer - kdo rad z nevarnostjo, kaj si mislil Bašar al Asad se uporabljajo za svoje geslo, ko je ogrožena lani? To je gospod, ki je predmet intenzivnega nadzora. In njegovo geslo je bilo 12345. Ok - to so lekcije, ki smo se naučili, da moramo premakniti več kot le razmišlja o geslom. Mi smo povedali, da začnete uporabljati geslo. Obstaja velika strip iz ali celo spletni strip od Randy Monroe ki gre v izbiri si geslo, ki ga uporablja - hočem reči - baterije, rezana, omejitev ali nekaj takega - saj veste - le - ali res ni šala, da nekdo, ki je pobral Pepe, Nemo, Pluton - vsi ti različni znaki in Londonu, saj so mu povedali Prevzem 8 znakov in kapitala. Ampak - tako smo izvedeli, da moramo iti razmišljati onstran geslom. 

Tam je dejansko Ezine v Bostonu pozval Ars Technica. Tam je gospod, imenovan Dan Goodin kdo počne vrsto na to spreminja obseg - bodisi iz napadalec prostor, kjer imamo to veliko odkritje na voljo za nas bodisi misel mi ni več potrebno ustvarjati stvari skozi mavričnih tabel; imamo 70 milijonov gesel. Pa tudi, da smo imeli - saj veste - spreminjajoče se krajine v Dejanska pokanje prostora, saj so GPU kartic to je praktično v skoraj realnem času. In tam je gospod v Def Con v avgustu, ki skupaj 12 od teh kartic v blagovni PC. Uspelo mu je za okoli 2.000 $ ali 3.000 $ in je bil sposoben za crack LinkedIn odkritje leta - veste - v skoraj realnem času. Bilo je precej strašljivo. Članek Dan Goodin je - jaz zelo priporočam, če želite iti prebrati. Gospod imenuje Sean Gallagher - zjutraj - objavljena tudi hitra sprememba na njem, veliko njihovega dela je zgrajen na - iz materiala, ki je na voljo od Bruce Schneier, ampak tudi od Cormac Herely iz Microsoft Research. So nekako izjavil pred približno 5-6 let, da moramo začeti razmišljati izven gesel. Predlogi v tistem času so bile stvari, kot gesel, geste vmesniki - da je vrsta stvari. Saj veste - če kaj veš, ni več zadostna, da na tej točki; da je ena od stvari, ki jih želim sporočiti še danes. Če imate uporabite gesla, nikar ne bodite sramežljivi, z navedbo, morate vedno pick dobra, ampak bi morala biti upajmo, nekaj, kar presega 10 znakov. Treba se razlikujejo med velikimi in malimi črkami. 

Jaz bi zelo svetujemo, da ne bo ponovno gesel. Jaz lahko govorim v več primerih, kjer smo videli račun dobili ogrožena in nekdo skočil in preskočila - na učinek domin. So mine vsak račun v vsaki fazi postopka za to podatkov, nato pa nadaljuje z uporabo teh podatkov, ki jih kopljejo v vsakem primeru proti drugemu poverilnic vira. Torej - še enkrat - izbrati dobro geslo. Bi bilo enkratno. Morda boste želeli, da razmišljajo o uporabi vodja službe geslo. Obstajajo tisti tam od - vsi so v app trgovin. Obstaja ena imenovana OnePass, KeePass, LastPass - to je lep način za to, da vam pomaga ustvariti edinstveno poverilnice, močno mandatov, ampak tudi lažje arhiv in vodenje evidence za vas. Niz stran na to je, kar potrebujete, da zagotovijo, da je trgovina z geslom; boste morali zagotoviti, da je ta vodja geslo, ki ste zaupanje je vreden vašega zaupanja, kot tudi. 

Zato poskrbite, da so ti fantje so tudi z uporabo nekaterih veljavnih mehanizmov geslo. Še posebej tisti, bom omenil zdaj je multi-faktor za preverjanje pristnosti. Torej, multi-faktor za preverjanje pristnosti - in obstaja več primerov bom šel skozi kmalu - To je preprosta smotrno jemanja kaj veš kot vaš uporabniško ime in geslo in dodal, da to - dodajate drugo okoliščino. Torej, prvi dejavnik, ki bo omenimo danes so ti tisti na deske. To je nekaj, kar moraš v svoje premoženje, tako da je bodisi uporaba , ki se izvaja na vaš pametni telefon ali celo na telefonu samem. In boste morda lahko prejeli SMS besedilo. Pazite, če potujete v tujino, da ni nujno, da bo vam sledijo. Aplikacija lahko deluje več v tem primeru. Ali celo drugi dejavnik, boste morda želeli, da razmišljajo o nekaj, kar so. 

Zdaj je to še nekako zelo skunkworks. Mi ne vidimo preveč sprejetje tega. To je - veste - Mission Impossible slog - saj veste - vaše vene tisk, palcem tisk, vaš mrežnica tiskanja. Tisti, ki so vrsta nadaljnjih pregledov; resnici niso zelo utemeljeni dejavniki za preverjanje pristnosti. Bomo videli - ko se pogovarjam z mojimi kolegi varnosti - večji pritisk, da si dal na tipkovnici, si posebno tipkanje vzorec, je verjetno neposredno na obzorju - veliko bolj kot teh drugih biometričnih identifikatorjev. Ampak tisti, ki so danes aplikacije ali SMS besedilo ali celo samo email odziv izziv, ki ga bo dobil potrditi, da nisi v resnici odločite, da se prijavite na tej točki v času. Tako da je povezava tam, sem jih poslali ven slide krova to jutro. To bo na wikiju. 

Oba sta Gmail in Google to storiti; Yahoo bo to naredil. Paypal ga je; Paypal ima tudi malo dejanske strojne opreme ključ, ki naredi rotirajoče številko. Lahko pa se odločite tudi za uporabo telefonsko številko. Facebook pa tudi prijavo na odobritev, tako da izberete ga odobri, so prav tako prizadeva za večjo veljavnega trdega varnosti moči. Dropbox je preverjanje 2 korakih, kot tudi, lahko pa tudi samo nakup kljuc za njih. Vidimo tudi v Gmail enega ali Google enega, veliko ljudi dejansko sodelovala odločili Google authenticator, tako da - na primer - Uporabljam LastPass - to ne pomeni potrditve - vendar jih lahko ponovno 2-step preverjanje Googlov tako to pomeni, da ne potrebujete hoditi okoli z 2 aplikacij na mojem telefonu. Ampak tudi raziskave računalništva v Harvardu, ali z uporabo analogije do 2-step pristnosti Googlov ker enkratni geslo Algoritem je bil odprt tam nabavljal pred približno 10 leti. Kakšno vprašanje? Dobro. 

Torej še en dejavnik upoštevati tistega gesel je, ko ste uporabe teh sredstev se zavedajo, kateri podatki se odločijo za njih. Samo omejevati, kar ste dejansko dajanje tam gor. Tako se zavedamo, da so ti ljudje, ki zagotavljajo storitve za nas na internetu - ti ponudniki Cloud - imajo interes, da vas da ni tako varna, kot si morda lahko. Te so ponavadi dajo na voljo gole minimalni nabor varnosti, in potem je kup drugih tistimi, ki so obvezna, da morate izbrati, naj izberejo. Vrsta bo od tega pogovora je, varnost je skupna odgovornost. To je med vami in partnerjem, ki ste jih naredili - z zavezništvi, ki ga tvorijo. Boste morali prevzeti dejavno vlogo. Odločite za sodelovanje pri tem. Saj veste - vzamete čas zdaj, da bo bolj varno. Druga možnost je, da že obstajajo ljudje, potrjevanje in preizkušanje ti varnostni dejavniki proti vam, več lahko odločite za sodelovanje v da bolje pripravljeni ste za morebitno kompromis. In to je morebiten. 

Ampak drug dejavnik, da razmišljajo o tem je, kot sem že omenil te internetne strani, ki ste zaupamo s svojimi mandatov - s svojo identiteto. Dam ti 2 analogije, Larry Ellison in Mark Zuckerberg - sta oba na zapis, ki navaja, zasebnost je v veliki meri iluzija. In da je starost nad zasebnostjo. To je nekako žalostno obtožnice, ki jih je res treba počakati Za vlado, naj v prisiliti te stranke, da je bolj varno, uvesti več zakonodajo, ker ko smo poskušali delati z ti prodajalci na primer nekateri od teh Dropbox kot stranke, so v dejavnosti zagotavljanja storitev za potrošnika. Niso neposredno zainteresirani za varnostne preglede podjetje razreda. Potrošniki glasovali s svojo denarnico, in so jih že sprejeli minimalno razred. Čas je, da spremenite to razmišljanje. Torej, ko smo našim podatke teh strank, moramo sodelovati odločijo naše obstoječi mehanizmi za zaupanje, tako da smo socialna bitja privzeto. 

Torej, zakaj vse naenkrat, ko smo začeli dajanje podatkov na spletu ne bomo zdaj imeli dostop do enakega varstva počnemo osebno? Torej, ko sem lahko prebral vašo telesno govorico, ko sem se lahko odločijo za Mreža s socialno krogu in dejansko v tem krogu razkriti samo informacije, ki jih želim. Torej imamo dostop do tega govorica telesa, izražanja, Vokalizovati, imamo dostop do teh bližine zaščite identitete v fizični lokaciji, temveč jih še razvijajo na spletu. Nimamo dostopa do njih, vendar smo začeli, da jih vidim. Torej imamo obraze na Facebooku - na primer - kot skupin. Imamo dostop do stvari na Google+ kot krogih. Seveda jih uporabljajo. Torej, zadnja stvar, ki jo želite videti, je v ta prostor, zlasti ko greš, da bi dobili službo se imate sedaj naredili veliko vašega osebnost javnosti. In če nekdo želi - naj se odločijo, da - bi bilo del politike podjetja ali ne - to zagotovo ni del Harvard's - vendar pa se lahko odločijo, da ne iskanje Google. In če to delajo - če ste jo dali - recimo nekaj informacij ki bi imeli težave stoji - ste storili sami medvedjo uslugo. In res, kot sem že omenil - ti socialna podjetja imajo interes V česar je javno - veste -, ki jih potrebujejo, da mine vaše podatke. So prodajajo svoje demografske in svojo trženjsko gradivo za nekoga. Vrsta analogiji v tem prostoru je - če se ne plačuje za izdelek ste izdelek? Torej ustvarjanje krogov za svoje prijatelje, bodite previdni, je prizadeven, poskusite, da ne bo vse javno. 

Druga analogija bom, da se pogodbe za končnega uporabnika za dovoljenje spremeniti, da se dogaja, da vam povem, kaj lahko storimo z vašimi podatki, in se dogaja, da ga pokopljejo v 50-strani kliki. In se lahko odločite, da spremenite to, in se vam samo pošljite email hitro. Ampak niste pravnik, je zelo veliko v pravniški jezik. Moraš biti previden, kaj delaš. Ti so lahko lastniki svoje slike, ki jih lahko lastnik svojo intelektualno lastnino. Saj veš - samo vaja skrbnosti. Drug primer Kongresna knjižnica je arhiviranje vsak tweet je znano, da človeku. Vse. Vsakih 10 let grobo telo materiala, ki je ustvarjena V tem 10 let računov ali močno prehiteva vse, kar sva ustvarila celotni človeški zgodovini. Kongresna knjižnica ima interes po ohranitvi te informacije za zanamce, za prihodnje arhivistov, za prihodnje raziskovalci in zgodovinarji, tako da vse, kar ste dajanje tam tam. To bo dejansko narediti ogromno vir na neki točki ko ljudje začnejo mine socialnega inženiringa ali socialno mreženje. Zato hranite seznanjena z zaščit na voljo v vsaki vlogi. 

Obstaja nekaj, kar bom omenil tudi, da je orodje, tretja stranka imenovano Privacyfix, jo lahko priključimo prav, da nekateri od teh omrežne aplikacije socialno. In lahko preverite kjer so glede na zaščito ki so na voljo na njih, če se lahko odločite, da jih raglja gor naprej. Obstajajo orodja, kot so Data Osvobodilne fronte iz Googla kjer se lahko odloči za izvoz ali pridobivanje podatkov. Obstajajo stvari, kot so Internet samomorilski stroj, ki bo prijavijo na za nekatere od vaših profilov in dejansko izbrisati vsak atribut enega po enega, odznačite Vsak posamezni pridružitvene prijatelje v svoje omrežje bi postavil. In bo nadaljevala s ponavljajočim očistite vse o tebi da bi to območje vedel. Če bi le lahko uveljavljajo nekaj previdnosti, tudi tam, tam je bil primer Pred nekaj leti v Nemčiji, kjer državljani odločili, da uveljavlja svojo svobodo informiranja pravic in prosi Facebook za zagotavljanje katere informacije so imeli v evidenci njim tudi potem, ko je izbrisan njegov račun. So ga opremljen s CD-ja z 1250 strani informacij čeprav njegov račun teoretično ni več obstajala. Obstaja koncept v tem prostoru veliko, da nekateri od teh subjekti, ki bo ohranil nekatere podatke o vas narediti z združenji in vaše mreže. Pravijo, da ne morejo imeti nadzora nad njim, da je malo pretiravanje po mojem mnenju. Ustvarjajo te račune senci - Person v senci. Samo bodi previden. Omejevati, kar lahko. Na dejanski ravni naprave, ko govorimo samo o - veste - Strojna oprema - vaš pametni telefon, vaše tablete, vaše delovne postaje, prenosni računalnik, morda strežnik, ki ste odgovorni za. 

Verjetno ste že slišali o konceptih, kot so operacije, sistemske posodobitve, Posodobitve aplikacij, antivirus, ste slišali za stvari, kot so požarni zidovi, disk šifriranje in nazaj gor. Ena stvar, ki jo je treba zavedati, je, da ne slišim o tiste vrste zaščite v mobilni telefon prostoru. So prav tako dovzetne za iste nevarnosti. Smo imeli - Hočem reči - milijon pametne telefone se bodo aktivira do konca tega meseca. To je močno prehitela - v kratkem času, ki da so na voljo, da se je močno presegla rast računalnik, prenosni računalnik, trg delovne postaje. Ampak nimamo dostopa do istih kontrol, in jaz bo govoril o tem v kratkem. Torej, preden smo prišli do mobilnega telefona prostor nam govori o kaj je na voljo tam, da sem na kratko šel čez. Torej protivirusne programske opreme - tukaj je nekaj prostih izbire. Microsoft ne daje proč njihov - saj veste - Sophos daje proč njihova za OSX, pa tudi Zakrpati svoj računalnik - samo zavedati glede na vaš prodajalec je Trenutna raven obliž je, in ne bi smeli biti pomemben delta od tega. Tam je lepo orodje iz družbo, imenovano Secunia. In Secunia se bo izvajala v ozadju, in to vam bo povedal, če obstaja posodobitev na voljo, in če boste potrebovali, da ga uporablja. 

Omogoči samodejne posodobitve - tako Apple in Microsoft bo imel nek vidik tega. Ti vas bo opozoril, da je na voljo posodobitev. In Secunia - veste - je nekako lepo varnosti net, da imajo tudi - pasti mehanizem nazaj. Ob gostiteljici sloj - ne dobiš za pametne telefone še ni. Omogočite požarni zid avtohtone na operacijski sistem. Tukaj je nekaj informacij o operacijskem sistemu Windows na OSX eno. Test vaš požarni zid, ne samo pustiti tam in mislim, da je varno mehanizem. Prevzame aktivno vlogo, je vloga tam od GRC - Steve Gibson. Wi-Fi varnost v tem prostoru - to se lahko uporablja tudi za pametni telefon in tablični računalnik - ko ste izbrali, da gredo na ceste, ki jo je treba zavedati da obstajajo različne razrede brezžičnega omrežja. In zlasti ne izbirajo najbolj pogosto na voljo eno. Morda bi bilo poceni, lahko pa so razlog za to. Morda so rudarjenje podatkov. To vidimo več, če potujete v tujino. Obstaja nekaj res zelo učinkoviti kiber kriminalne združbe da so lahko vzvod, kar smo ponavadi vidimo v vohunstva nacionalnih držav. Faktor, kjer so dokončni se injicira v toku omrežja. So stvari vleče ven, in so vbrizgavanjem aplikacij na vaših delovnih postajah. 

To je - Drugi vidik, da vem, je bila omenjena v nekaterih od teh varnostni seminarji - ali ne seminarji CS50 seminarji - je orodje, imenovano Firesheep. In Firesheep je zlasti napad na mobilni telefon prostor kjer so nekateri od teh aplikacij za socialno mreženje, so bili pošiljanje mandatov v golo besedilo. In to je bilo precej splošno sprejeto, ker so vsi v tem času mislil, da ni bilo nobenega apetita v potrošniškem prostora za to, da uporabite višjo šifriranje moč pomenila breme za uspešnost na strežniku, tako da, če niso imeli, da to storite - da niso želeli. In potem kar naenkrat, ko je ta varnostni raziskovalec na napad trivialno zelo hitro - saj veste - smo začeli videti te vrste izboljšava, ki so vsi v varnostnem prostoru je se pritožujejo nad za daljše časovno obdobje. Torej - še zlasti - Firesheep bila sposobna pridobiti Facebook, Twitter mandatov iz potoka Wi-Fi. In ker je bilo v golo besedilo, in so bili sposobni dati injekcijo. 

Še enkrat, če boste za uporabo Wi-Fi odločijo za uporabo ene to je dovolj zavarovan - WPA2, če lahko. Če morate uporabiti nešifriranih Wi-Fi - in zlasti govorim vsakomur, ki uporablja Harvard University Wireless - boste morda želeli, da razmišljajo o uporabi VPN. Jaz zelo spodbujajo. Drugi dejavniki, ki jih morda želeli, da razmišljajo o tem, so, če ne zaupate Wi-Fi da ste na, boste morda želeli omejiti uporabo. Ne naredi nobene e-trgovine; ne naredi nobene bančništva. Ne dostop do univerzitetne poverilnice. Obstaja velika zmaga v ta prostor, če nekdo ne ukrade vaše poverilnice - saj veste - pa imajo svoj mobilni telefon? Torej - saj veste - to je še en dejavnik, ki se ne morejo nujno poneveriti ali pa je njihov napad bolj zapletena. Šifriranje trdega diska. Smo v dobi, zdaj - šifriranje nekoč velik posel pred 10 leti. To je bil pomemben vpliv zmogljivosti. To ni več - v resnici - večina mobilnih telefonov in da je vrsta stvari to počnejo v strojni opremi, in ne boste niti opazili - Predstava je tako zanemarljiv. 

Če govorimo o postaji, govorimo o BitLocker. Govorimo o pila Vault, da bi - vzamete čas zdaj. V prostoru Linux lahko seveda True GROBNICA delo čez oba od teh. Morda boste želeli, da razmišljajo o tem - v prostoru Linux - je dm-grobnica, je Luxcrypt - obstaja kup drugih možnostih - True Crypt. Drugi hiter način, da se zaščitite na ravni delovne postaje varnostno kopijo trdega diska. In ena rahla gubam tukaj - to ni dovolj, da uporabite enega od ti ponudniki sinhronizacijo oblaku, tako Dropbox ali G-Drive ali kaj drugega To ni rešitev za uvedbo nazaj. Če nekdo izbriše nekaj, na enem od teh naprav ker se vstavi nekako gre - da izbris postane ponovili čez vašo celotno persona. To ni nazaj, da je le mehanizem razmnoževanje. Zato je dobro, da so do rešitev v križu. Obstaja nekaj nasvetov tukaj za nekatere ljudi, nekateri od njih so brezplačne - Kapaciteta - 2 nastopov nazaj - lahko to storite. Če uporabljate univerzo G-pošte - univerzitetni Google na šoli in sodelovanja, G-Drive če že ni - bo na voljo kmalu. To je dobra zamenjava. Pogledali si bomo tudi v teh stvareh, kot Mozy Home. To je dobro, da imajo 2 rešitve. Nimajo vse vaše jajca v eno košaro. Če odstranjevanje nečesa ali celo, če ste v procesu pošiljanja nekaj zaupno - nekaj predlogov tukaj varno izbrisati napravo. Darik je Boot in Nuke - da je nekako bolj za IT zdrava pamet. Morda boste želeli, da razmišljajo o tem, da mu daje nekatere od teh komercialni ponudniki, če lahko. 

Šifriranje e-pošte - če imate - obstajajo nekatere storitve na kampusu imenovano Accellion, vi ste off-campus ali za osebno uporabo bo vam priporočam Hushmail. Mi pa veliko uporablja v piščalko puhala videli, da je eden izmed glavnih mehanizmi za WikiLeaks kot tudi Tor in nekaterih drugih ustreznikov. In - zdaj govoriti o stopnji telefon - tako problem v tem, ni, da je veliko apetita še ni. Na žalost večina pametnih telefonov in tablet OSS so še vedno temelji na nekatera načela, ki smo jih videli leta 1990. Niso res vključene nekatere izboljšave da vidimo na ravni delovnega mesta. Jim ne gre zaščito toplote. Jim ne gre - saj veste - plast naključnost. Jim ne gre zaščite naslov. Jim ne gre izvršiti zaščite - to vrsto stvari. Ampak tudi sama naprava, ki jih de facto ne dogaja, da imajo vse Končna točka varnosti vgrajen vanjo. Tako smo se že videli to spremembo - še enkrat - največ smartphone Proizvajalci - Android, Apple in Windows - apetit samo ni bilo tam, merilo je Blackberry. Ampak Blackberry je nekako izgubila oprijem na tržišču v tem trenutku. In je Apple res stopil noter Pred približno 2 leti je bil prelomni trenutek, kjer so začeli graditi v veliko kontrole več podjetij tipa. In - seveda - v avgustu so naredili predstavitev na Def Con, ki je pravkar bil mogoč. 

Torej bodo naredili minimalne kontrole, ki sem opisanih. Da bo naredil močnega gesla, ki jih bom naredil poziv za to geslo na prostem teku - naprava - pozabite na to in po 15 minutah se aktivira. Da bo naredil šifriranje, in bodo to tudi tisto, kar se imenuje oddaljeno brisanje. V Android in Windows prostora so še vedno TBD - ki se določi. Android ima dostop do nekaterih aplikacij, imenovanih Prey in Lookout. In res nekaj varnostnih orodij točke končnih kot Kaspersky Vem, da ne. Vem ESET to počne tudi So vam omogoča pošiljanje SMS besedilo in očistite napravo. Windows telefon, na tej točki pa je v prvi vrsti usmerjen v podjetniški slog - kar se imenuje zamenjavo. Exchange je robustna pošta infrastrukture, in lahko pooblasti nekatere od teh kontrol. Windows 8 le odpremljeno prejšnji teden, tako da ne morem govoriti, da je dokončno. Windows 6.5 je velika varnostna naprava. Windows 7 Mobile je katastrofa, ker niso vse te avtohtone kontrole obvezna po različnih ponudnikov. Torej si moral ratificirati vsaka Windows Mobile 7 telefon eno naenkrat. 

Android - ker je 3.0 Prostor je velik napredek, kot tudi. Honeycomb, Ice Cream Sandwich, Jellybean - bodo podprli te minimalne kontrole, in seveda bodo podpirali nekaj nadzora podjetja, ki lahko storite tudi. V vaši osebni prostor računa je Google osebno sinhronizacijo, ki lahko vključite, če imate svoj Google prostor, kot dobro. Torej, kaj storiti, ko gre vse hudo narobe? In če sem lahko - še takeaway od tega je res, če - ni, če. To se bo zgodilo vsem nam na neki točki. Kaj lahko storite? Torej, kaj lahko storite - in tam je slide - naslednji diapozitiv bo točko vam nekaj FTC sredstev za to, vendar najnujnejše kraj opozorilo goljufije na vaše kreditne kartice. Če sem lahko spodbudi, da razmišljajo o tem, kdaj ste z uporabo kreditne kartice v spletni moči - odvisno od posla Delaš debetne kartice - sposobnost trditi, ali je možnost, da navije goljufiva Zahtevek za debetno kartico je dejansko precej manjše okno, kot je na kreditne kartice. Torej, ko boste dobili poročilo o debetno kartico imate samo nekatere Časovni okvir - in to je zelo nizka - obvestiti banko goljufive transakcije. Kreditne kartice ga je veliko večja, pa kaže, da je meja do približno 50.000 $ preden bodo res lahko ti povrne. Tako da je zelo veliko denarja, ki jih je poskočil od približno 13.000 $ ali 18.000 $ je še pred kratkim. Torej - saj veste - ko pomislite uporabo kreditne kartice na spletu, Lahko si mislite o uporabi top up kartico ali enkratno kreditno kartico, gorilnika kartico? 

Če ne vidite ničesar - in ti bom pokazal, kako lahko dobite dostop kmalu - zaprite vse goljufivih račune, če ste z njo seznanjeni. Datoteka policijsko poročilo, če ste na kampusu. Doseči, da HUPD - da jim vedeti. Pomisli, storitev za spremljanje identitete. če je kot del - če ne boste dobili ogrožena - morda boste morali - lahko financirajo službo za varstvo identitete. Če ga ne morda bi morali to storiti. Zbirati in hraniti vse dokaze - zlasti morebitne pogovore, ki ste jih imeli z morebitnimi kazenskimi oblastmi zlasti za zavarovalne namene. Spreminjanje vseh vaših gesel. Spremenite odgovore na vsa varnostna vprašanja, ki se lahko uporabljajo za ponastavitev gesla. Onemogočiti vse pretekle osebne storitve. Torej, če ste ponovno vaš Facebook račun, da se prijavite na Twitterju ali obratno, da je prekinil, če kompromis vključen vaš e-poštni račun preverite, če je kaj so bila poslana. Ker drugače še vedno imajo dostop do vaših podatkov. In če kraji vključuje vaš Harvard račun, prosimo, obvestite IThelp@harvard.edu. Ne lahko trdimo, da je dovolj, temveč zlasti če dobi naprava izgubljena ali ukraden in je imela dostop do vaših podatkov univerzitetnih in morda boste niso imeli nekateri od teh zaščit biti ustrezna; nam - HUPD in IT Pomoč na Harvardu. 

Torej, povezava, ki sem omenil, da gre v to bolj podrobno FTC.gov / identitytheft. Postal Service ima tudi nekaj prevare ali storitve Identity Protection - si dal drži ali postanek na kreditnih karticah gre skozi ali podobne stvari. FBI ima zvezo, kot tudi, da je v pojasnilih iz diapozitivov, ki sem jo poslal ven. In res Massachusetts Better Business Bureau in Urad za varstvo potrošnikov ima nekaj navodil, kot tudi, da je v pojasnilih. Vzemite si čas, zdaj, da sami zavedajo, kaj lahko storite, in ukrepajo. Načelo - kot sem že prej omenil - je, če nimate načrta za krajo vaše identitete ste takoj bo ob veliko dela, če to ne zgodi, in da je kdaj. Ampak tudi, ko ste vzeli varnostne ukrepe - Naj samo dodamo Rahlo Besedo previdno - ne načrtujejo preživi prvega stika s sovražnikom. Tako da tudi pri nas, ki še vedno mislijo, da so lahko nekateri subverzija - saj veste - vaša banka na primer, ki so ga zgradili vse te zaščite okrog dobijo lahko ogrožena; ti zaupajo stranke, ki ste dali svoje podatke. Torej, ste sami najboljša obramba. Saj veste - ostajajo previdni - ostati pozorni. Vzemite si čas, zdaj se odločijo, da bi ti, upajmo druženje to govori, da to s svojimi prijatelji. Pick dobrih gesel, uporabo unikatnih gesel za vaše račune. In ne uporabljate gesel - predvsem - po nekaterih vaše bolj občutljiva aktiva, ne uporabljate univerzitetno račun drugje. Ne uporabljajte vaš račun kreditne kartice drugje. Geslom zaščititi svojo mobilno napravo prav zdaj. In mobilni napravi mislim pametni, mislim tableto. 

Razmislite o uporabi dobrih vprašanj prikrivati ​​varnosti, in bom govoril o to kmalu, zakaj, preverite vaše kreditne poročilo. Drug način, da si lahko dober državljan v tem prostoru je vlada prisilila 3 agencije Experian, TransUnion in Equifax sprostiti bonitetnega poročila. Za nekatere Harvard skupnosti, zlasti v študenta prostora to je lahko nov do njih, vendar vam je dovoljeno vleči tiste agencije vsaj enkrat na leto. Dobro previdnost - pojdite na tem mestu, je na voljo na FTC eno. In to storite na vsake 4 mesece, namesto, in ste sposobni voditi Zavihki na to, kdo je prosila zaprosila za podatke o kreditni kartici, ali če je res, če kdo odpre goljufivih računov. In - na splošno - vodilo je, da se zavedajo. In bom dal poseben primer v kratkem, ampak to je v bistvu meso in krompir razprave. 

Torej, zakaj je to pomembno zdaj, je med poletjem ni bilo gospod je pozval Matt Honan - če ste tam hvala za to, da izreče svoje podatke. Toda kaj se je zgodilo z Matt je on delal za Wired Magazine, in nekateri cyperhacktivists šel po svojem Twitter računu. In jih uporabljajo nekatere od teh sredstev - nekaj tega javnega persona , ki je na voljo. In so zgradili zemljevid, so vedeli, kje in kdaj napasti. Torej, od tega so začeli rezina in narežite na kocke informacije, ki jih je naredil na voljo, in so ugotovili, da je imel Gmail račun. Tako je bil z manj kot pametno geslo za njegov Gmail, in ni imel nobene multi-faktorja preverjanje pristnosti na njej. Tako so ogrožena njegova Gmail, takrat, ko so dostop do njegovega Gmail so videli vse te druge račune, da je priklopljene na njegov Gmail. Dejansko so imeli dostop do svojega celotnega Gmail ali Google persona. In - predvsem - so začeli opažati, da je imel Amazon računa ker je bilo pa nekaj emails mu prijavi. In potem so prišli na svojem Amazon, in so dobili na svojem Amazon jih samo ponastavitev svojega gesla, ker je šlo za njegovo Gmail. On ni imel - je nekako imel domino učinek ali poverilnic veriženje tukaj dogaja kjer je nekoč so dobili njegov Gmail so imeli ključe kraljestva. Torej, ko so dobili na svojem Amazon - in to je bil brez krivde s temi drugimi fanti - to je bilo - saj veste - Matt se je odločila, da odločijo v teh bolj varnih mehanizmov, da sta samo ti ljudje dajo na voljo in vse te internetnih virov. 

Torej, ko so dobili na svojem Amazon so imeli dostop - to jim ni pokazal njegova kreditna kartica, vendar pa jim je pokazal zadnje 4 cifre samo zato, da je vedel, kaj je bilo, da jim je pokazal svoj naslov za dostavo. To jim je pokazal nekaj drugih informacij, ki je opravljeno na nekaterih naročil. In potem od tega so se odločili za napad na svojo Apple račun. In socialna inženirstva Apple help desk. Apple ne bi smel narediti, ampak temelji na informacijah, ki so bili sposobni, da mine od drugih 2 računov. Saj veste - človek na Centru za pomoč Verjetno je mislil, da dober državljan - veste - jaz bi koristno, da je Apple stranka tam, ki je obtičala tam sam, in moram mu pomagati. Ampak to ni bil pravi Apple stranka. Tako da prikrivati ​​svojo Apple računa in so poslali informacije na Gmail. Ko so napadalci imeli dostop do svojega računa Apple Matt je vse svoje naprave, vezane na svojo iCloud, in so začeli izdajati krivo izpoved sklopov in brisal vse. Spet je pravkar razmnožujejo njegovi podatki, je bil z uporabo iCloud kot mehanizem za sinhronizacijo. Torej, ko se izbrišejo vse šlo pok. Še vedno je imela dostop na tej točki njegovega Twitter račun, ki je tisto, kar ki so jih poskušali napasti. Ne vem, če se uporablja Maltego ali nekaj od teh drugih mehanizmov treba zgraditi svojo internetno osebnost, ampak - saj veste - v nekaj Tečaj so dobili dostop do 4 različne osebne storitve, preden so prišli do svojega Twitter, in to stalo Matt - Matt je bil zelo srečen, da je videl to zgodilo zato, ker njegovi otroci so prišli k njemu ko se iPad zaklenjena off. In so rekli - saj veste, "Očka, nekaj se dogaja z iPad." In zaprl vse navzdol, ker je opazil, da se dogaja povsod. In začel kliče Apple bi videli, kaj se je vraga se je pravkar zgodilo. In Apple resnično mislil, da je bil tam nekaj dogaja da je iCloud šel lopov, dokler niso pogruntal - je dejansko ugotovili, da so bile informacije poslati, in so ga začeli kliče napačno ime. Ker Apple je na informacije o datotekah, da je napadalec uničeni. 

Prav - tako, da je vrsta informacij, ki jih uporabljamo pri pripravi tega vrsta najboljših praks, ki jih uporabljamo, da je to del celotnega niza seminarji preko oktober - National Awareness mesec Kibernetski. To je bilo na voljo vami. Poskrbel bom, da sem ga poslala v wikiju, ko je David da na razpolago tudi meni. Vendar je svetovanje in usmerjanje tam veliko več kot granularly Jaz sem sposoben povzeti v tem kratkem času, ki ga imam na voljo. približno tisto, kar se imenuje, Cloudy with a Chance kraje identitete: Pobiranje Good imena in gesla uporabnikov. Je kdaj ne socialna? In odgovor je ne, je vedno socialne, vendar morate se zavedati, kaj to pomeni. In to se Ukročena Lions, tigri in okna, kar predstavlja približno operacijski sistemi kaljenje z nekaj informacij smo šli do danes. In zadnja je bila približno, imeti napravo, se bo Potovanja govoriti o tem bo mobilni s tovrstnih podatkovnih virov. Torej, razen, če imate kakršnakoli vprašanja moj e-poštni naslov tam, in če kdo v sobi je kakršnakoli vprašanja, prosim, dvignite roko. Razen, da sem nehala snemati. Vse je v redu. Končano. [CS50.TV]