1
00:00:00,000 --> 00:00:02,150
[Powered by Google Translate] [Seminarium: Att överleva Internet]

2
00:00:02,150 --> 00:00:04,300
[Esmond Kane-Harvard University]

3
00:00:04,300 --> 00:00:07,010
[Detta är CS50.-CS50.TV]

4
00:00:07,680 --> 00:00:09,790
Hej, och välkommen till "Surviving Internet."

5
00:00:09,790 --> 00:00:14,690
Det är en av de seminarier som utgör en del av denna CS50 läroplanen.

6
00:00:15,320 --> 00:00:19,460
Mitt namn är Esmond Kane. Mitt namn och adress finns på detta bildspel framför dig.

7
00:00:19,460 --> 00:00:21,790
Det är esmond_kane@harvard.edu.

8
00:00:21,790 --> 00:00:27,360
I mitt jobb är jag en av de IT-säkerhet direktörerna för HUIT,

9
00:00:27,360 --> 00:00:31,850
men jag måste erkänna att jag i dag på ett avstånd uppdrag

10
00:00:31,850 --> 00:00:33,850
vilket är anledningen till att jag bär en röd skjorta.

11
00:00:33,850 --> 00:00:37,090
Detta kommer inte att omfatta allt som är hänförlig

12
00:00:37,090 --> 00:00:41,030
direkt till mitt vanliga jobb, så det handlar inte om IT-säkerhet till Harvard.

13
00:00:41,030 --> 00:00:44,690
Detta är mer bara personlig information, detta är hur när DIG är -

14
00:00:45,320 --> 00:00:48,220
Detta är den typ av färdigheter som du kommer att få för att försöka hjälpa dig

15
00:00:48,220 --> 00:00:51,800
härda dina arbetsstationer och din omgivning hela din karriär.

16
00:00:52,200 --> 00:00:57,320
Men ingenting som jag nämner i dag bör tillämpas på någon av dina

17
00:00:57,320 --> 00:01:00,980
universitet material, dina servrar eller arbetsstationer

18
00:01:01,550 --> 00:01:04,470
utan att kontakta din lokala IT-stöd.

19
00:01:05,230 --> 00:01:08,420
Och faktiskt, om jag nämner några ansökningar eller eventuella incidenter som en del av detta

20
00:01:08,420 --> 00:01:14,200
prata eller diskussion inte rapporterar något som jag är privilegierad att rapportera.

21
00:01:14,200 --> 00:01:16,200
Det är oftast offentliga

22
00:01:16,310 --> 00:01:19,220
Och för övrigt inte heller bör någon nämna någon ansökan innebär någon

23
00:01:19,220 --> 00:01:23,400
godkännande genom Harvard eller någon fördömelse.

24
00:01:23,400 --> 00:01:27,440
>> Så idag varför vi är här - nu när vi är klar med disclaimer -

25
00:01:28,060 --> 00:01:31,210
Vi är här idag för att tala om att överleva på Internet.

26
00:01:31,210 --> 00:01:34,030
Och varför är det en så viktig fråga just nu?

27
00:01:34,300 --> 00:01:38,060
Så för att parafrasera Perry Hewitt som arbetar i Harvard Press och Office Communications -

28
00:01:38,060 --> 00:01:42,230
Jag ber om ursäkt för att läsa detta just nu - hon har sagt, "Vi lever i en

29
00:01:42,230 --> 00:01:47,180
atmosfär av eskalerande risk, men också en av oöverträffad innovation.

30
00:01:47,180 --> 00:01:51,510
Den snabba ökningen av Internet, molnet, och social teknik

31
00:01:51,510 --> 00:01:56,040
har resulterat i många fler människor som har offentliga profiler på nätet

32
00:01:56,040 --> 00:01:59,770
med faktiskt tillgång till ett ständigt ökande utbud av information.

33
00:01:59,770 --> 00:02:05,580
Och det innebär att alla och deras sammanslutningar har aldrig varit mer synliga.

34
00:02:06,980 --> 00:02:09,979
Som Harvards digitala fotavtryck - det digitala nätet expanderar,

35
00:02:09,979 --> 00:02:12,220
vi locka en bredare publik.

36
00:02:12,220 --> 00:02:15,180
Vi hoppas på att åstadkomma förbättringar, men ibland kommer vi

37
00:02:15,180 --> 00:02:17,500
attrahera några negativa uppmärksamhet.

38
00:02:18,260 --> 00:02:21,180
Så som en representant för Harvard, "och detta inkluderar alla

39
00:02:21,180 --> 00:02:25,880
titta hemma eller faktiskt någon här, "vår fakultet, våra elever, vår personal,

40
00:02:25,880 --> 00:02:30,440
våra forskare, risken för kompromissen för dig och faktiskt

41
00:02:30,440 --> 00:02:34,380
ditt associerade nätverk har aldrig varit högre. "

42
00:02:34,780 --> 00:02:38,940
>> Så ofta i informationssäkerhet när vi försöker att balansera detta

43
00:02:38,940 --> 00:02:44,130
riskera det är en komplicerad avvägning mellan säkerhet och användarupplevelse.

44
00:02:45,170 --> 00:02:48,850
I en tid präglad av omedelbarhet vi måste göra genomtänkta beslut

45
00:02:48,850 --> 00:02:52,720
om vad som kommer att öka säkerheten utan stora olägenheter.

46
00:02:54,200 --> 00:02:57,560
Vi får höra ibland ett uns av förebyggande är värt dubbelt bot,

47
00:02:57,560 --> 00:03:01,850
men när man väljer att införa säkerhetsåtgärder för att minska risken

48
00:03:02,230 --> 00:03:06,330
Vi måste inse att det aldrig kommer att minska den potentiella risken till noll.

49
00:03:07,670 --> 00:03:11,080
Så som sagt - vi är här i dag för att diskutera några enkla och inte så enkelt

50
00:03:11,080 --> 00:03:13,710
säkerhetsåtgärder som du kan ta just nu.

51
00:03:15,210 --> 00:03:17,210
Jag vill också tillägga - om du har några frågor under hela

52
00:03:17,210 --> 00:03:20,490
presentation höjer bara handen.

53
00:03:22,720 --> 00:03:25,840
Så den första frågan - är vi ofta höra att plocka ett bra lösenord.

54
00:03:25,840 --> 00:03:28,790
Ett lösenord är din första och bästa försvar.

55
00:03:28,790 --> 00:03:30,980
Det är ofta den enda som är tillgänglig för dig

56
00:03:30,980 --> 00:03:33,180
när du väljer att använda en online-resurs.

57
00:03:34,250 --> 00:03:38,430
Men som vi har sett i hela denna sommar och faktiskt det föregående året

58
00:03:38,430 --> 00:03:40,990
Vi har sett attacker som LinkedIn, eHarmony.

59
00:03:40,990 --> 00:03:43,130
Vi har sett RockYou.

60
00:03:43,130 --> 00:03:48,520
Vi har haft lite sammanlagt 70 miljoner lösenord äventyras och konton.

61
00:03:48,670 --> 00:03:51,170
Och när dessa lösenord släpptes i public domain

62
00:03:51,580 --> 00:03:54,880
De omfattade också lösenordet hash.

63
00:03:55,400 --> 00:04:00,860
>> Så i princip dessa dagar om någon hämtar ett konto bikupa

64
00:04:01,590 --> 00:04:05,260
De behöver inte knäcka ett lösenord längre,. de behöver inte brute force lösenord

65
00:04:05,260 --> 00:04:09,520
eftersom de har denna massiva guldgruva av släppt information om vad folk väljer.

66
00:04:11,020 --> 00:04:15,710
De har redan beteendemässiga data att tänka på vad folk brukar använda.

67
00:04:15,760 --> 00:04:19,600
Och de har brutit ner det till en lista över cirka tusen lösenord

68
00:04:19,600 --> 00:04:23,500
vilka innefattar nästan 80 till 90% av de lösenord som vi väljer i allmänt bruk.

69
00:04:24,520 --> 00:04:27,300
Så ett snabbt exempel - någon vill fara vad du trodde

70
00:04:27,300 --> 00:04:30,950
Bashar al-Assad för sitt lösenord när det var äventyras förra året?

71
00:04:32,080 --> 00:04:35,220
Detta är en gentleman som är föremål för noggrann granskning.

72
00:04:35,830 --> 00:04:38,870
Och hans lösenord var 12345.

73
00:04:39,720 --> 00:04:43,200
Okej - så dessa är lärdomar som vi har lärt oss, vi måste flytta

74
00:04:43,200 --> 00:04:45,200
utöver bara tänker på ett lösenord.

75
00:04:45,200 --> 00:04:47,380
Vi får höra att börja använda en lösenordsfras.

76
00:04:47,380 --> 00:04:52,930
Det finns en stor komisk från eller verkligen en rengöringsdukkomiker från kåta Monroe

77
00:04:52,930 --> 00:04:55,720
som går till att välja en lösenordsfras, han använder - Jag vill säga -

78
00:04:55,720 --> 00:04:58,670
batteri, häftklammer, begränsa eller något liknande - ni vet - bara -

79
00:04:59,340 --> 00:05:05,060
eller ja det är skämt att någon som plockade Goofy, Nemo,

80
00:05:05,060 --> 00:05:09,280
Pluto - alla dessa olika karaktärer och London eftersom han fick höra

81
00:05:09,280 --> 00:05:12,250
att plocka 8 tecken och ett kapital.

82
00:05:12,250 --> 00:05:18,060
Men - så vi lär vi måste gå tänka längre än bara ett lösenord.

83
00:05:18,060 --> 00:05:22,710
>> Det är faktiskt en Ezine i Boston kallas Ars Technica.

84
00:05:23,300 --> 00:05:26,640
Det är en herre som heter Dan Goodin som gör en serie om

85
00:05:26,640 --> 00:05:31,400
denna föränderliga omfattning - antingen från angriparen utrymme där vi har

86
00:05:31,400 --> 00:05:33,740
denna massiva skattkammare för oss

87
00:05:33,740 --> 00:05:36,710
att antingen tänka att vi inte längre behöver skapa saker genom rainbow tabeller;

88
00:05:36,710 --> 00:05:39,570
vi har 70 miljoner lösenord.

89
00:05:40,260 --> 00:05:42,880
Men även vi har haft - ni vet - en föränderlig scape i

90
00:05:42,880 --> 00:05:47,400
faktiska sprickbildning utrymme eftersom GPU kort har gjort detta

91
00:05:47,400 --> 00:05:49,850
nästan nära realtid.

92
00:05:49,850 --> 00:05:53,380
Och det finns en gentleman i Def Con i augusti som sätter ihop

93
00:05:53,380 --> 00:05:57,240
12 av dessa kort till en handelsvara PC.

94
00:05:58,970 --> 00:06:02,260
Han gjorde det för ungefär $ 2,000 eller $ 3,000, och han kunde knäcka

95
00:06:02,260 --> 00:06:06,810
LinkedIn trove in - ni vet - nära realtid.

96
00:06:06,810 --> 00:06:08,920
Det var ganska skrämmande.

97
00:06:09,280 --> 00:06:12,090
Dan Goodin s artikel - Jag rekommenderar det om du vill gå och läsa det.

98
00:06:12,340 --> 00:06:16,110
En herre som heter Sean Gallagher - i morse - publicerade också en

99
00:06:16,110 --> 00:06:19,820
snabb uppdatering på det, en hel del av deras arbete bygger på -

100
00:06:19,820 --> 00:06:25,500
från tillgängligt material från Bruce Schneier, men också från

101
00:06:25,500 --> 00:06:28,430
Cormac Herely från Microsoft Research.

102
00:06:28,430 --> 00:06:34,580
De slags uppgav ca 5-6 år sedan att vi måste börja tänka bortom lösenord.

103
00:06:34,580 --> 00:06:37,570
De förslag som då fanns saker som pass fraser,

104
00:06:37,570 --> 00:06:39,770
gestikulerande gränssnitt - den typen av saker.

105
00:06:39,770 --> 00:06:42,510
Du vet - om något du vet är inte längre tillräckligt på denna punkt;

106
00:06:42,510 --> 00:06:44,510
som är en av de saker som jag vill kommunicera idag.

107
00:06:44,510 --> 00:06:48,610
Om du behöver använda ett lösenord, låt oss inte vara blyg i att påstå att du bör fortfarande

108
00:06:48,610 --> 00:06:52,720
Välj ett bra och bör vara förhoppningsvis något utöver 10 tecken.

109
00:06:52,720 --> 00:06:55,190
Det bör variera mellan versaler och gemener.

110
00:06:55,610 --> 00:06:58,320
>> Jag skulle starkt uppmuntra er att inte återanvända lösenord.

111
00:06:58,320 --> 00:07:02,070
Jag kan tala till flera fall där vi har sett ett konto får

112
00:07:02,070 --> 00:07:05,130
äventyras och någon hoppade och hoppade - den dominoeffekt.

113
00:07:05,130 --> 00:07:08,020
De bryta varje konto vid varje steg i processen för detta

114
00:07:08,020 --> 00:07:12,820
uppgifter, och då de fortsätter att använda dessa data att de brutits i varje fall

115
00:07:12,820 --> 00:07:15,610
mot en annan referens källa.

116
00:07:16,080 --> 00:07:18,560
Så - återigen - väljer ett bra lösenord.

117
00:07:19,090 --> 00:07:22,810
Gör det unikt. Du kanske vill tänka på att använda en tjänst lösenord manager.

118
00:07:23,470 --> 00:07:26,490
Det finns sådana där ute från - de är alla i App butikerna.

119
00:07:26,490 --> 00:07:31,560
Det finns ett kallade OnePass, KeePass, LastPass -

120
00:07:31,560 --> 00:07:39,360
Det är ett trevligt sätt för att hjälpa dig skapa unika referenser, starka referenser,

121
00:07:39,360 --> 00:07:42,660
men också underlätta arkivet och journalföring för dig.

122
00:07:43,850 --> 00:07:47,480
Nackdelen med det är att du måste ta det till ett lösenord butik;

123
00:07:47,480 --> 00:07:50,370
måste du se till att den lösenordshanterare som du litar

124
00:07:50,370 --> 00:07:52,540
är värda ert förtroende också.

125
00:07:52,540 --> 00:07:57,190
>> Så se till att dessa killar också använder några giltiga lösenord mekanismer.

126
00:07:57,190 --> 00:08:00,440
I synnerhet den som jag kommer att nämna just nu

127
00:08:00,920 --> 00:08:03,080
är multi-faktor autentisering.

128
00:08:03,080 --> 00:08:07,970
Så multi-faktor autentisering - och det finns flera exempel jag kommer att gå igenom inom kort -

129
00:08:08,410 --> 00:08:11,020
Det är den enkla åtgärden att ta något du vet som din

130
00:08:11,020 --> 00:08:15,020
användarnamn och ditt lösenord och lägga till det - du lägger en annan faktor.

131
00:08:15,020 --> 00:08:18,670
Så den första faktor som vi kommer att nämna idag är dessa ettor i styrelserna.

132
00:08:18,670 --> 00:08:21,730
Det är något du har på dina ägodelar, så det är antingen ett program

133
00:08:21,730 --> 00:08:25,510
som körs på din smartphone eller faktiskt på din telefon själv.

134
00:08:25,510 --> 00:08:27,750
Och du kanske kan få ett SMS.

135
00:08:27,750 --> 00:08:30,980
Se upp om du reser utomlands och som inte nödvändigtvis kommer att följa dig.

136
00:08:30,980 --> 00:08:34,260
En ansökan kan arbeta mer i det fallet.

137
00:08:34,679 --> 00:08:37,590
Eller faktiskt den andra faktor som du kanske vill tänka på är något som du är.

138
00:08:37,590 --> 00:08:40,669
>> Nu är detta fortfarande slags väldigt mycket Skunkworks.

139
00:08:40,669 --> 00:08:42,750
Vi ser inte så mycket antagandet av det.

140
00:08:42,750 --> 00:08:49,200
Detta är - ni vet - Mission Impossible stil - ni vet - en ven print,

141
00:08:49,200 --> 00:08:52,020
ditt tumavtryck, din näthinna print.

142
00:08:52,020 --> 00:08:56,880
De är typ av längre ut, de är egentligen inte mycket giltiga autentisering faktorer.

143
00:08:56,880 --> 00:09:02,450
Vi ser - när jag pratar med mina säkerhetsinställningar kolleger - mer tryck som

144
00:09:02,450 --> 00:09:05,840
du sätter på en knappsats, din maskinskrivning mönster, är troligen

145
00:09:05,840 --> 00:09:10,160
direkt på horisonten - mycket mer så än de andra biometriska kännetecken.

146
00:09:10,160 --> 00:09:15,990
Men de är i dag program eller SMS: a eller bara en

147
00:09:15,990 --> 00:09:18,390
utmaning svar e-post som du kommer att få

148
00:09:18,390 --> 00:09:22,820
att validera att du gjorde faktiskt välja att logga in på denna tidpunkt.

149
00:09:23,130 --> 00:09:26,080
Så det finns en länk till höger där, jag har postat ut bildspel morse.

150
00:09:26,080 --> 00:09:28,370
Det kommer att vara på Wiki.

151
00:09:28,370 --> 00:09:31,050
>> Både Gmail och Google gör detta, Yahoo kommer att göra det.

152
00:09:31,050 --> 00:09:36,010
Paypal har det, Paypal har också en liten faktisk dongel som gör ett roterande nummer.

153
00:09:36,010 --> 00:09:38,070
Men du kan också välja att använda ett telefonnummer.

154
00:09:38,070 --> 00:09:40,730
Facebook gör också en logg i godkännande, så du väljer att

155
00:09:40,730 --> 00:09:46,950
godkänner det, de arbetar också mer giltigt hård styrka säkerheten.

156
00:09:46,950 --> 00:09:50,290
Dropbox har 2-stegs verifikation liksom, du kan också bara

157
00:09:50,290 --> 00:09:52,290
köpa en dongel för dem.

158
00:09:52,290 --> 00:09:54,920
Vi ser också i Gmail ena eller Google en, en massa människor är

159
00:09:54,920 --> 00:09:58,520
faktiskt adjungerar Googles authenticator, så - till exempel -

160
00:09:58,520 --> 00:10:02,780
Jag använder LastPass - det innebär inte något godkännande - men de kan återanvända

161
00:10:02,780 --> 00:10:05,280
Googles 2-step verification så det betyder att jag inte behöver

162
00:10:05,280 --> 00:10:07,980
gå runt med 2 program på min telefon.

163
00:10:08,360 --> 00:10:12,580
Men också forskning computing inom Harvard eller använda en analogi

164
00:10:12,580 --> 00:10:15,790
till Googles 2-steg autentisering eftersom engångslösenord

165
00:10:15,790 --> 00:10:19,140
algoritm öppen källkod där omkring 10 år sedan.

166
00:10:19,140 --> 00:10:22,340
Några frågor? Bra.

167
00:10:25,150 --> 00:10:29,090
>> Så en annan faktor som beaktas utöver lösenord är när du är

168
00:10:29,090 --> 00:10:32,810
använda dessa resurser vara medveten om vilka data du begår dem.

169
00:10:32,810 --> 00:10:35,220
Bara begränsa vad du faktiskt lägger upp det.

170
00:10:35,510 --> 00:10:41,080
Så vi är medvetna om att dessa människor som tillhandahåller en tjänst för oss på internet -

171
00:10:41,080 --> 00:10:44,910
dessa Molnleverantörer - de har ett egenintresse i att du

172
00:10:44,910 --> 00:10:47,750
inte vara så säker som du eventuellt kan.

173
00:10:47,750 --> 00:10:51,750
De tenderar att tillhandahålla ett minimum uppsättning av säkerhet,

174
00:10:51,750 --> 00:10:56,270
och då finns det en massa andra som är frivilliga att du måste välja att välja att.

175
00:10:56,270 --> 00:11:02,690
Den typ av ta bort från denna diskussion är säkerhet är ett gemensamt ansvar.

176
00:11:02,690 --> 00:11:06,440
Det är mellan dig och de partner som du gör - de allianser som du bildar.

177
00:11:06,440 --> 00:11:09,930
Du måste ta en aktiv roll. Välj att välja in det.

178
00:11:09,930 --> 00:11:13,180
Du vet - ta dig tid nu, gör det säkrare.

179
00:11:13,180 --> 00:11:17,380
Alternativet är att det finns redan folk validering och testning

180
00:11:17,380 --> 00:11:22,590
Dessa säkerhetsfaktorer mot dig, ju mer du kan välja att välja på

181
00:11:22,590 --> 00:11:25,600
till det bättre förberedd du är för den slutliga kompromissen.

182
00:11:25,600 --> 00:11:27,600
Och det är eventuell.

183
00:11:27,600 --> 00:11:29,620
>> Men den andra faktor att tänka på är som jag nämnde

184
00:11:29,620 --> 00:11:33,870
dessa Internet partier som du litar med dina referenser - med din identitet.

185
00:11:34,940 --> 00:11:38,330
Jag ska ge er två analogier, Larry Ellison och Mark Zuckerberg - de är båda

186
00:11:38,330 --> 00:11:43,870
på rekord anger integritet är till stor del en illusion.

187
00:11:43,870 --> 00:11:46,150
Och att en ålder av privatlivet är över.

188
00:11:46,940 --> 00:11:50,450
Det är lite av en sorglig anklagelse som vi verkligen måste vänta

189
00:11:50,450 --> 00:11:55,230
för regeringen att kliva in för att tvinga dessa partier att bli säkrare,

190
00:11:55,620 --> 00:11:59,820
att införa mer lagstiftning eftersom när vi försöker att arbeta med

191
00:11:59,820 --> 00:12:06,110
dessa leverantörer till exempel några av dessa Dropbox som parterna,

192
00:12:06,110 --> 00:12:08,890
de är i verksamhet i form av tjänster till konsumenten.

193
00:12:08,890 --> 00:12:13,320
De är inte direkt intresserad av att ha företags-grade säkerhetskontroller.

194
00:12:13,540 --> 00:12:15,350
Konsumenterna röstade med sin plånbok,

195
00:12:15,350 --> 00:12:17,690
och de har redan accepterat en lägsta betygsnivå.

196
00:12:18,440 --> 00:12:20,620
Det är dags att ändra på det tänkandet.

197
00:12:21,540 --> 00:12:26,320
Så när vi ger våra data till dessa partier måste vi adjungera vår

198
00:12:26,320 --> 00:12:29,430
befintliga förtroende mekanismer, så vi är sociala varelser som standard.

199
00:12:29,430 --> 00:12:32,720
>> Så varför helt plötsligt när vi börjar sätta data online

200
00:12:32,720 --> 00:12:36,880
har vi nu tillgång till samma skydd som vi gör personligen?

201
00:12:36,880 --> 00:12:40,110
Så när jag kan läsa ditt kroppsspråk, när jag kan välja att

202
00:12:40,110 --> 00:12:45,030
nätverk med en umgängeskrets och faktiskt till denna cirkel röja

203
00:12:45,030 --> 00:12:47,560
just den information som jag vill.

204
00:12:48,420 --> 00:12:52,260
Så vi har tillgång till denna kroppsspråk, uttryck, att artikulera,

205
00:12:52,260 --> 00:12:55,720
Vi har tillgång till detta skydd identitet närhet

206
00:12:55,720 --> 00:12:58,410
i en fysisk plats, de är fortfarande under utveckling på nätet.

207
00:12:58,410 --> 00:13:01,210
Vi har inte tillgång till dem, men vi börjar se dem.

208
00:13:01,210 --> 00:13:05,240
Så vi har fasetter i Facebook - till exempel - liknande grupper.

209
00:13:05,240 --> 00:13:08,040
Vi har tillgång till saker i Google+ som cirklar.

210
00:13:08,460 --> 00:13:10,490
Absolut använder dem.

211
00:13:10,890 --> 00:13:15,700
Så det sista du vill se är i detta utrymme i synnerhet

212
00:13:15,700 --> 00:13:20,170
när du går för att få ett jobb du har nu gjort en hel del av din

213
00:13:20,170 --> 00:13:22,850
personlighet allmänheten.

214
00:13:22,850 --> 00:13:26,540
Och när någon vill - om de väljer att - det kan vara en del

215
00:13:26,540 --> 00:13:29,330
av företagets policy eller inte - det är verkligen inte en del av Harvard's -

216
00:13:29,330 --> 00:13:31,850
men de kan välja att göra en Google-sökning.

217
00:13:32,210 --> 00:13:35,940
Och när de gör det - om du uppgift - låt oss säga en del information

218
00:13:35,940 --> 00:13:40,090
som du skulle ha svårt att stå bakom -

219
00:13:40,090 --> 00:13:42,830
du har gjort dig själv en otjänst.

220
00:13:43,530 --> 00:13:48,060
Och faktiskt som jag nämnde - dessa sociala företag de har ett egenintresse

221
00:13:48,060 --> 00:13:50,460
att göra det offentligt - ni vet - de måste bryta dina uppgifter.

222
00:13:50,460 --> 00:13:55,060
De säljer dina demografi och ditt marknadsföringsmaterial för någon.

223
00:13:55,060 --> 00:13:58,710
Den typ av analogi i detta utrymme är - om du inte betalar för en produkt

224
00:13:58,710 --> 00:14:00,740
är du produkten?

225
00:14:04,470 --> 00:14:08,560
Så skapa cirklar för dina vänner, vara försiktig, vara flitig,

226
00:14:08,560 --> 00:14:10,590
Försök inte göra allt offentligt.

227
00:14:10,590 --> 00:14:14,570
>> En annan analogi jag kommer att göra är slutanvändare licensavtal

228
00:14:14,570 --> 00:14:18,210
förändras, de kommer att berätta vad de kan göra med dina data,

229
00:14:18,210 --> 00:14:20,800
och de kommer att begrava den i en 50-sida klickar igenom.

230
00:14:21,320 --> 00:14:24,200
Och de kan välja att ändra på det, och de bara skicka ett snabbt mail.

231
00:14:24,200 --> 00:14:26,600
Men du är inte en advokat, det är väldigt mycket i legalese.

232
00:14:26,600 --> 00:14:28,640
Du måste vara försiktig med vad du gör.

233
00:14:28,640 --> 00:14:31,810
De kan äga dina bilder, de kan äga din intellektuella egendom.

234
00:14:31,810 --> 00:14:33,950
Du vet - bara omsorgsplikt.

235
00:14:33,950 --> 00:14:39,690
Ett annat exempel Library of Congress är arkivering varenda tweet som människan känner till. Allting.

236
00:14:39,690 --> 00:14:44,130
Var 10 år ungefär kroppen av material som genereras

237
00:14:44,130 --> 00:14:49,970
i att 10 år konton eller kraftigt överträffar allt vi har

238
00:14:49,970 --> 00:14:52,510
skapas i hela mänsklighetens historia.

239
00:14:52,890 --> 00:14:56,070
Den Library of Congress har ett egenintresse i att bevara denna information

240
00:14:56,070 --> 00:15:01,190
för eftervärlden, för framtida arkivarier, för framtida forskare och historiker,

241
00:15:01,190 --> 00:15:03,390
så allt du lägger ut det där.

242
00:15:03,390 --> 00:15:06,010
Det kommer faktiskt att göra en enorm resurs någon gång

243
00:15:06,010 --> 00:15:10,420
när folk börjar att bryta social ingenjörskonst eller sociala nätverkssajter.

244
00:15:12,050 --> 00:15:15,170
Så håll kännedom av de skydd som finns inom varje program.

245
00:15:15,170 --> 00:15:18,380
>> Det är något som jag kommer att nämna liksom, det finns en tredje part verktyg

246
00:15:18,380 --> 00:15:22,320
kallas Privacyfix, det kan plugga rätt in till vissa av dessa

247
00:15:22,320 --> 00:15:24,390
sociala nätverk.

248
00:15:24,390 --> 00:15:27,000
Och det kan ta för att se var du är i förhållande till de skydd

249
00:15:27,000 --> 00:15:29,930
som finns på dem om du kan välja att ratchet upp dem ytterligare.

250
00:15:31,110 --> 00:15:34,590
Det finns verktyg som Data Liberation Front från Google

251
00:15:34,590 --> 00:15:39,420
där du kan välja att exportera eller extrahera dina data.

252
00:15:39,420 --> 00:15:41,870
Det finns saker som Internet Suicide Machine som kommer att logga på

253
00:15:41,870 --> 00:15:45,230
till några av dina profiler och faktiskt ta bort varenda attribut

254
00:15:45,230 --> 00:15:49,350
en i taget, tagga varenda föreningens vänner i ditt nätverk skulle ha gjort.

255
00:15:49,350 --> 00:15:53,310
Och det kommer att fortsätta att iterativt rensa allt om dig

256
00:15:53,310 --> 00:15:55,360
att webbplatsen skulle veta.

257
00:15:58,430 --> 00:16:01,840
Om jag kan bara utöva viss försiktighet där liksom, det var ett exempel

258
00:16:01,840 --> 00:16:06,740
ett par år sedan i Tyskland, där en medborgare beslutat att

259
00:16:06,740 --> 00:16:11,590
utöva sin frihet rätt till information och be Facebook för att tillhandahålla

260
00:16:11,590 --> 00:16:15,130
vilken information de hade om rekord för honom även efter att han raderade sitt konto.

261
00:16:15,130 --> 00:16:20,070
De försåg honom med en CD med 1.250 sidor av information

262
00:16:20,070 --> 00:16:22,650
trots att hans konto teoretiskt inte längre existerade.

263
00:16:23,020 --> 00:16:26,130
Det är konceptet i detta utrymme en hel del att vissa av dessa

264
00:16:26,130 --> 00:16:31,440
enheter kommer att behålla vissa uppgifter om dig för att göra med era föreningar och dina nätverk.

265
00:16:33,090 --> 00:16:37,350
De säger att de inte kan ha kontroll över det, det är lite av en sträcka i min mening.

266
00:16:38,010 --> 00:16:41,570
De skapar dessa skugga konton - skuggan personas.

267
00:16:41,570 --> 00:16:43,880
Bara vara försiktig.

268
00:16:45,260 --> 00:16:47,290
Begränsa vad du kan.

269
00:16:47,680 --> 00:16:50,830
Vid en verklig enhet nivå när du bara talar om -

270
00:16:50,830 --> 00:16:56,020
du vet - maskinvara - din smartphone, dina tabletter,

271
00:16:56,020 --> 00:17:00,220
arbetsstationen, din bärbara dator, kanske en server som du är ansvarig för.

272
00:17:00,220 --> 00:17:04,740
>> Ni har säkert hört talas om begrepp som drift, systemuppdateringar,

273
00:17:04,740 --> 00:17:08,720
programuppdateringar, antivirus, du har hört talas om saker som brandväggar,

274
00:17:08,720 --> 00:17:11,770
disk kryptering, och tillbaka upp.

275
00:17:11,770 --> 00:17:14,190
En sak du bör vara medveten om är att du inte hör om

276
00:17:14,190 --> 00:17:16,900
dessa slags skydd i mobiltelefonen rymden.

277
00:17:16,900 --> 00:17:19,730
De är lika mottagliga för samma hot.

278
00:17:19,730 --> 00:17:23,280
Vi hade - jag vill säga - en miljon smartphones kommer att vara

279
00:17:23,280 --> 00:17:25,380
aktiveras av slutet av denna månad.

280
00:17:25,380 --> 00:17:28,640
Som kraftigt har gått om - inom den korta tid som

281
00:17:28,640 --> 00:17:30,640
de har varit tillgängliga, har det outpaced vastly tillväxten av

282
00:17:30,640 --> 00:17:32,740
PC, laptop, arbetsstationen marknaden.

283
00:17:33,260 --> 00:17:35,520
Men vi har inte tillgång till samma kontroller, och jag

284
00:17:35,520 --> 00:17:37,570
kommer att prata om det inom kort.

285
00:17:37,800 --> 00:17:41,320
Så innan vi får till mobiltelefonen rymden låt oss tala om

286
00:17:41,320 --> 00:17:44,150
vad finns det att jag bara kortfattat gick över.

287
00:17:44,150 --> 00:17:48,160
Så antivirusprogram - här är några fria val.

288
00:17:49,240 --> 00:17:55,430
Microsoft ger bort deras - ni vet - Sophos ger bort deras för OSX samt

289
00:17:56,800 --> 00:17:59,120
Patch din dator - bara vara medveten om vad din leverantörs

290
00:17:59,120 --> 00:18:02,310
nuvarande patch nivå, och du bör inte vara ett betydande delta från det.

291
00:18:02,310 --> 00:18:04,860
Det är ett trevligt verktyg från ett företag som heter Secunia.

292
00:18:04,860 --> 00:18:07,740
Och Secunia kommer att köras i bakgrunden, och det kommer att berätta om det finns en

293
00:18:07,740 --> 00:18:09,970
uppdaterade tillgängliga och om du behöver för att tillämpa den.

294
00:18:10,470 --> 00:18:14,840
>> Aktivera automatiska uppdateringar - både Apple och Microsoft kommer att ha någon aspekt av detta.

295
00:18:14,840 --> 00:18:17,170
De kommer att varna dig om att det finns en uppdatering tillgänglig.

296
00:18:18,430 --> 00:18:22,610
Och Secunia - ni vet - är typ av en trevlig skyddsnät att ha också - falla tillbaka mekanismen.

297
00:18:23,190 --> 00:18:26,210
Vid mottagande lagret - inte komma till smartphones ännu.

298
00:18:26,880 --> 00:18:30,280
Aktivera brandväggen hemma i operativsystemet.

299
00:18:31,080 --> 00:18:34,130
Det finns lite information om Windows i OSX ett.

300
00:18:35,450 --> 00:18:39,870
Testa din brandvägg, inte bara lämna det där och tycker att det är en säker mekanism.

301
00:18:39,870 --> 00:18:43,670
Ta en aktiv roll, det är ett program där från GRC - Steve Gibson.

302
00:18:44,490 --> 00:18:49,470
Wi-Fi-säkerhet i detta utrymme - detta kan även gälla för smartphone och tablet -

303
00:18:49,470 --> 00:18:52,900
när du väljer att gå på vägen måste du vara medveten om

304
00:18:52,900 --> 00:18:55,910
att det finns olika klasser av trådlöst nätverk.

305
00:18:55,910 --> 00:19:00,680
Och i synnerhet inte väljer den mest tillgängliga en.

306
00:19:00,680 --> 00:19:02,850
Det kan vara låg kostnad, men det kan finnas en anledning till det.

307
00:19:02,850 --> 00:19:05,080
Kanske de utvinner dina data.

308
00:19:05,080 --> 00:19:08,070
Vi ser detta mer när du reser utomlands.

309
00:19:08,070 --> 00:19:13,650
Det finns några riktigt högeffektiva cyber kriminella syndikat

310
00:19:13,650 --> 00:19:18,140
som har möjlighet att utnyttja vad vi vanligtvis ser i nationalstaterna "spionage.

311
00:19:18,930 --> 00:19:22,750
En faktor där de direkt injicera sig i ett nätverk ström.

312
00:19:22,750 --> 00:19:25,690
De drar saker ur det, och de injicerar

313
00:19:25,690 --> 00:19:29,050
program på dina arbetsstationer.

314
00:19:29,050 --> 00:19:34,030
>> Det är - den andra aspekten som jag vet nämndes i några av dessa

315
00:19:34,030 --> 00:19:38,430
säkerhet seminarier - eller inte seminarier CS50 seminarier - är ett verktyg som kallas Firesheep.

316
00:19:38,430 --> 00:19:42,470
Och Firesheep var en speciell attack i mobiltelefonen rymden

317
00:19:42,470 --> 00:19:47,920
där några av dessa sociala nätverk skickade referenser i klartext.

318
00:19:48,370 --> 00:19:52,380
Och det var ganska allmänt accepterat att alla på den tiden

319
00:19:52,380 --> 00:19:56,090
tänkte att det fanns ingen aptit på konsumentmarknaden utrymme för det,

320
00:19:56,090 --> 00:20:01,710
att använda högre hållfasthet kryptering innebar en prestation börda

321
00:20:01,710 --> 00:20:06,240
på servern, så om de inte behövde göra det - de ville inte.

322
00:20:06,820 --> 00:20:09,490
Och sedan helt plötsligt när denna säkerhet forskare gjort

323
00:20:09,490 --> 00:20:13,690
attacken trivialt mycket snabbt - ni vet - vi började att se den typen av

324
00:20:13,690 --> 00:20:16,100
förbättring som alla inom säkerhetsområdet hade

325
00:20:16,100 --> 00:20:19,260
klagat på för en avsevärd tid.

326
00:20:19,260 --> 00:20:22,950
Så - i synnerhet - Firesheep kunde hämta Facebook, Twitter

327
00:20:22,950 --> 00:20:25,010
referenser från Wi-Fi-stream.

328
00:20:25,240 --> 00:20:28,830
Och eftersom det var i klartext, och de kunde injicera.

329
00:20:28,830 --> 00:20:31,700
>> Återigen, om du ska använda Wi-Fi väljer att använda ett som

330
00:20:31,700 --> 00:20:35,030
skyddas tillräckligt - WPA2 om du kan.

331
00:20:35,670 --> 00:20:39,390
Om du måste använda okrypterade Wi-Fi - och i synnerhet jag talar

332
00:20:39,390 --> 00:20:42,420
till någon som använder Harvard University trådlös -

333
00:20:42,420 --> 00:20:45,520
du kanske vill tänka på att använda VPN. Jag rekommenderar varmt den.

334
00:20:46,230 --> 00:20:49,620
Andra faktorer som du kanske vill tänka på är om du inte litar på Wi-Fi

335
00:20:49,620 --> 00:20:51,840
att du är på kanske du vill begränsa användningen.

336
00:20:51,840 --> 00:20:54,730
Gör inte någon e-handel, gör inte någon bank.

337
00:20:54,730 --> 00:20:57,060
Inte tillgång till ditt universitet referenser.

338
00:20:57,730 --> 00:20:59,850
Det är en stor seger i detta utrymme om någon

339
00:20:59,850 --> 00:21:03,540
stjäl dina referenser - ni vet - har de din mobiltelefon?

340
00:21:03,540 --> 00:21:07,850
Så - ni vet - det är en annan faktor som man inte nödvändigtvis kan kapa

341
00:21:07,850 --> 00:21:12,040
eller bara gör sin attack mer komplicerat.

342
00:21:12,950 --> 00:21:14,950
Kryptera hårddisken.

343
00:21:14,950 --> 00:21:17,650
Vi är på en epok just nu - kryptering används för att vara en stor sak för 10 år sedan.

344
00:21:17,650 --> 00:21:19,950
Det var en betydande påverkan på prestanda.

345
00:21:19,950 --> 00:21:24,290
Det är inte längre - i själva verket - de flesta mobiltelefoner och sånt

346
00:21:24,290 --> 00:21:26,920
de gör det i hårdvara, och du märker inte ens -

347
00:21:26,920 --> 00:21:28,990
prestandan är så försumbar.

348
00:21:28,990 --> 00:21:31,720
>> Om du talar om en arbetsstation, talar vi om BitLocker.

349
00:21:31,720 --> 00:21:35,500
Vi talar om File Vault, aktivera det - ta dig tid nu.

350
00:21:35,500 --> 00:21:39,430
I Linux utrymmet uppenbarligen Sanna Crypts kan arbeta över både av dem.

351
00:21:39,430 --> 00:21:42,400
Du kanske vill tänka på - i Linux rymden - det är dm-crypt,

352
00:21:42,400 --> 00:21:46,470
det finns Luxcrypt - det finns en massa andra alternativ - också sant Crypt.

353
00:21:46,850 --> 00:21:49,970
Andra snabba sätt att skydda dig på arbetsplatsen nivå

354
00:21:49,970 --> 00:21:52,000
säkerhetskopiera din hårddisk.

355
00:21:52,000 --> 00:21:56,130
Och en liten rynka här - det är inte tillräckligt att använda en av

356
00:21:56,130 --> 00:22:01,410
dessa Cloud synkronisering leverantörer, så Dropbox eller G-Drive eller något annat

357
00:22:01,410 --> 00:22:03,410
Det är inte en back up-lösning.

358
00:22:03,410 --> 00:22:05,410
Om någon tar bort något på en av dessa enheter

359
00:22:05,410 --> 00:22:08,280
eftersom de in sig själva på något sätt det går -

360
00:22:08,280 --> 00:22:11,170
att deletion får reproduceras över hela din personlighet.

361
00:22:11,170 --> 00:22:15,310
Det är inte en back up, det är bara en förökning mekanism.

362
00:22:15,310 --> 00:22:17,310
Så det är bra att ha en back up-lösning.

363
00:22:17,310 --> 00:22:19,890
Det finns några förslag här för vissa människor, vissa av dem är gratis -

364
00:22:19,890 --> 00:22:23,100
kapacitet baserad - 2 gig back up - du kan göra det.

365
00:22:23,100 --> 00:22:30,040
Om du använder universitetets G-post - University Google på college och co, G-Drive

366
00:22:30,040 --> 00:22:32,490
om det inte redan är - det kommer att finnas tillgänglig inom kort.

367
00:22:32,490 --> 00:22:34,490
Det är en bra ersättare.

368
00:22:34,490 --> 00:22:37,370
Vi kommer även att titta på dessa saker som Mozy Home.

369
00:22:37,370 --> 00:22:39,600
Det är bra att ha 2 lösningar.

370
00:22:40,170 --> 00:22:42,300
Har du inte alla dina ägg i en korg.

371
00:22:44,230 --> 00:22:47,410
Om du kasserar något eller ens om du är i färd

372
00:22:47,410 --> 00:22:51,480
att skicka något konfidentiellt - några förslag här

373
00:22:51,480 --> 00:22:53,560
säkert radera en enhet.

374
00:22:53,560 --> 00:23:00,340
Darik Boot och Nuke - det är typ av mer för IT-kunniga.

375
00:23:01,110 --> 00:23:03,290
Du kanske vill tänka på att bara ge den till någon av dessa

376
00:23:03,290 --> 00:23:05,740
kommersiella leverantörer, om du kan.

377
00:23:05,740 --> 00:23:10,210
>> Kryptera e-post - om du måste - det finns vissa tjänster på campus

378
00:23:10,210 --> 00:23:14,600
kallas Accellion, du är off-campus eller för personligt bruk Jag kommer att rekommendera Hushmail.

379
00:23:15,680 --> 00:23:19,690
Vi ser det mycket som används i whistle blower, det är en av de viktigaste

380
00:23:19,690 --> 00:23:21,900
mekanismer för Wikileaks

381
00:23:22,950 --> 00:23:25,140
liksom Tor och några andra motsvarigheter.

382
00:23:26,130 --> 00:23:30,360
Och - nu tala om telefonen nivå - så problemet är här

383
00:23:30,360 --> 00:23:32,440
det finns inte så mycket av aptit ännu.

384
00:23:32,440 --> 00:23:35,940
Tyvärr har de flesta av de smarta telefoner och tabletten OSS

385
00:23:35,940 --> 00:23:40,020
de är fortfarande baserat på några av de principer som vi såg under 1990-talet.

386
00:23:40,020 --> 00:23:43,730
De har inte riktigt införlivat några av de förbättringar

387
00:23:43,730 --> 00:23:46,400
att vi ser på arbetsstationen nivå. De gör inte värmeskydd.

388
00:23:46,400 --> 00:23:50,120
De gör inte - ni vet - lager randomisering.

389
00:23:50,120 --> 00:23:52,360
De gör inte adressen skydd.

390
00:23:52,360 --> 00:23:54,490
De gör inte köra skydd - sånt.

391
00:23:55,210 --> 00:23:58,550
Men också själva enheten som defacto inte kommer att ha någon

392
00:23:58,550 --> 00:24:00,750
slutpunkt säkerhet inbyggd i det.

393
00:24:00,750 --> 00:24:04,460
Så vi börjar se denna förändring - igen - de flesta smartphone

394
00:24:04,460 --> 00:24:09,680
tillverkare - Android, Apple och Windows - aptiten bara

395
00:24:09,680 --> 00:24:11,690
var inte där, jämförelseindex var Blackberry.

396
00:24:11,690 --> 00:24:15,460
Men Blackberry har slags förlorat sin dragkraft på marknaden vid denna tidpunkt.

397
00:24:15,460 --> 00:24:17,820
Och Apple har verkligen klivit i.

398
00:24:17,820 --> 00:24:20,760
Ca 2 år sedan fanns en vattendelare där de

399
00:24:20,760 --> 00:24:24,300
började bygga i en mycket mer enterprise typ kontroller.

400
00:24:24,300 --> 00:24:29,780
Och - ja - i augusti gjorde de en presentation vid Def Con som var bara otänkbart.

401
00:24:31,860 --> 00:24:34,420
>> Så de kommer att göra de minsta kontroller som jag beskrev.

402
00:24:34,420 --> 00:24:38,950
De kommer att göra starkt lösenord, de kommer att göra en uppmaning om att lösenordet på tomgång -

403
00:24:38,950 --> 00:24:42,750
enheten - du glömma det och efter 15 minuter det aktiveras.

404
00:24:43,170 --> 00:24:47,240
De kommer att göra kryptering, och de kommer också att göra vad som kallas avlägsna avtorkning.

405
00:24:48,200 --> 00:24:53,740
I Android och Windows utrymmet dessa är fortfarande TBD - som skall fastställas.

406
00:24:53,740 --> 00:24:58,830
Android har tillgång till vissa program som kallas Prey och Lookout.

407
00:24:58,830 --> 00:25:02,240
Och faktiskt några av de säkerhetsåtgärder slutpunkten verktyg som Kaspersky jag känner gör det.

408
00:25:02,240 --> 00:25:04,240
Jag vet ESET gör det också

409
00:25:04,240 --> 00:25:07,350
De låter dig skicka ett SMS och rensa enheten.

410
00:25:08,370 --> 00:25:12,070
Windows telefon vid denna punkt är det i första hand inriktad mot

411
00:25:12,070 --> 00:25:15,310
corporate stil - det som kallas utbyte.

412
00:25:15,310 --> 00:25:19,430
Exchange är en robust postinfrastruktur, och det kan tvinga en del av dessa kontroller.

413
00:25:19,430 --> 00:25:25,280
Windows 8 bara levereras förra veckan, så jag inte kan tala som slutgiltigt.

414
00:25:25,280 --> 00:25:29,020
Windows 6.5 var det stor säkerhetsanordningen.

415
00:25:29,020 --> 00:25:34,650
Windows 7 Mobile var en katastrof, de gjorde inte alla dessa inbyggda reglagen

416
00:25:34,650 --> 00:25:36,970
obligatorisk i de olika leverantörerna.

417
00:25:36,970 --> 00:25:43,050
Så du var tvungen att ratificera varje Windows Mobile 7 telefon en i taget.

418
00:25:43,050 --> 00:25:47,190
>> Android - eftersom 3,0 utrymmet har haft en stor förbättring också.

419
00:25:47,190 --> 00:25:53,450
Honeycomb, Ice Cream Sandwich, Jellybean - de kommer att stödja dessa minimikrav kontroller,

420
00:25:53,450 --> 00:25:58,860
och de verkligen kommer att stödja några av företagets kontroll som du kan göra också.

421
00:25:59,100 --> 00:26:03,560
I ditt personliga konto rymden finns det en Google personlig sync som

422
00:26:03,560 --> 00:26:06,370
Du kan aktivera om du har din egen Google utrymme också.

423
00:26:10,690 --> 00:26:15,620
Så vad gör man när allt går fruktansvärt fel?

424
00:26:15,620 --> 00:26:19,900
Och om jag kan - en annan takeaway från detta är verkligen när - det är inte om.

425
00:26:19,900 --> 00:26:24,380
Detta kommer att hända oss alla någon gång. Vad kan du göra?

426
00:26:24,380 --> 00:26:28,650
Så vad du kan göra - och det är en bild - nästa bild kommer

427
00:26:28,650 --> 00:26:31,310
peka dig till några av FTC resurser för det,

428
00:26:31,310 --> 00:26:35,270
men ett minimum plats en varning om bedrägerier på ditt kreditkort.

429
00:26:35,270 --> 00:26:38,980
Om jag kan uppmuntra dig att tänka på när du använder ett kreditkort

430
00:26:38,980 --> 00:26:43,320
i en online-kapacitet - beroende på transaktionen du gör

431
00:26:43,740 --> 00:26:51,020
betalkort - förmåga att hävda eller möjligheten att återkalla en bedräglig

432
00:26:51,020 --> 00:26:54,920
fordran på ett betalkort är faktiskt en mycket mindre fönster än det är på ett kreditkort.

433
00:26:55,330 --> 00:26:57,950
Så när du får din rapport på ett betalkort som du har bara en viss

434
00:26:57,950 --> 00:27:02,940
tidsram - och det är mycket lågt - att meddela banken om en bedräglig transaktion.

435
00:27:02,940 --> 00:27:07,830
Kreditkort är det mycket större, det brukar vara en gräns på upp till ca $ 50.000

436
00:27:11,020 --> 00:27:13,360
innan de verkligen kommer att kunna ersätta dig.

437
00:27:14,060 --> 00:27:18,840
Så det är ganska mycket pengar, de stötte upp från ca $ 13.000 eller $ 18.000 där ganska nyligen.

438
00:27:18,840 --> 00:27:21,870
Så - ni vet - när man tänker på att använda ett kreditkort online,

439
00:27:21,870 --> 00:27:27,980
kan du tänka på att använda en top up-kort eller en disponibel kreditkort, en brännare kort?

440
00:27:28,660 --> 00:27:32,130
>> Om du ser något - och jag kommer att visa dig hur du kan få tillgång inom kort -

441
00:27:32,130 --> 00:27:35,500
stäng alla bedrägliga konton om du är medveten om det.

442
00:27:35,880 --> 00:27:38,180
Göra en polisanmälan om du är på campus.

443
00:27:38,180 --> 00:27:41,200
Nå ut till HUPD - låt dem veta.

444
00:27:42,870 --> 00:27:45,790
Tänk en identitet bevakningstjänst.

445
00:27:45,790 --> 00:27:50,580
om som en del av - om du får äventyras - du kan behöva -

446
00:27:50,580 --> 00:27:53,240
de kan finansiera tjänsten identitet skydd.

447
00:27:53,240 --> 00:27:56,680
Om de inte gör det kanske du ska göra det.

448
00:27:56,950 --> 00:28:00,880
Samla och spara alla bevis - i synnerhet några diskussioner du har haft

449
00:28:00,880 --> 00:28:03,180
med eventuella brottsliga myndigheter

450
00:28:04,190 --> 00:28:06,840
särskilt för försäkringsbolag ändamål.

451
00:28:06,840 --> 00:28:09,030
Ändra alla dina lösenord.

452
00:28:09,030 --> 00:28:13,050
Ändra svaren på några säkerhetsfrågor som kan användas för att återställa ditt lösenord.

453
00:28:13,860 --> 00:28:16,580
Inaktivera eventuella tidigare identitetstjänster.

454
00:28:16,580 --> 00:28:20,170
Så om du återanvänder ditt Facebook-konto för att logga in på Twitter eller vice versa,

455
00:28:20,170 --> 00:28:27,240
bryta det, om kompromissen inblandad ditt e-postkonto

456
00:28:27,240 --> 00:28:29,590
kontrollera om något vidarebefordras.

457
00:28:30,690 --> 00:28:33,200
Eftersom de annars har fortfarande tillgång till dina data.

458
00:28:33,600 --> 00:28:39,840
Och om stöld inkluderar ditt Harvard konto vänligen meddela IThelp@harvard.edu.

459
00:28:39,840 --> 00:28:44,300
Jag kan inte säga att nog, men också i synnerhet om enheten försvinner eller

460
00:28:44,300 --> 00:28:47,340
stulna och det hade tillgång till ditt universitet uppgifter och kanske du

461
00:28:47,340 --> 00:28:50,660
inte har några av dessa skydd vara respektive, låt oss veta -

462
00:28:50,660 --> 00:28:53,980
HUPD och IT Help at Harvard.

463
00:28:55,080 --> 00:28:58,110
>> Så länken som jag nyss nämnde som går in i det med närmare

464
00:28:58,110 --> 00:29:02,650
FTC.gov / identitytheft.

465
00:29:02,650 --> 00:29:08,260
The Postal Service har också några bedrägerier eller identitetstjänster skydd -

466
00:29:08,260 --> 00:29:12,400
du lägger bara ett håll eller ett stopp på kreditkort går igenom eller sånt.

467
00:29:12,810 --> 00:29:16,950
FBI har en länk liksom, det är i noterna i de bilder som jag skickade ut.

468
00:29:16,950 --> 00:29:20,450
Och faktiskt Massachusetts Better Business Bureau och

469
00:29:20,450 --> 00:29:25,050
Consumer Protection Bureau har viss vägledning liksom, det är i noterna.

470
00:29:25,520 --> 00:29:31,770
Ta dig tid nu, gör dig medveten om vad du kan göra, och vidta åtgärder.

471
00:29:31,770 --> 00:29:37,150
Principen - som jag nämnde tidigare - är om du inte har en plan

472
00:29:37,150 --> 00:29:43,010
för din identitet blir stulen är du omedelbart kommer att vara

473
00:29:43,010 --> 00:29:46,970
föremål för en hel del arbete när det händer, och det är när.

474
00:29:48,030 --> 00:29:50,910
Men även när du tar dessa försiktighetsåtgärder - Låt mig bara tillägga en

475
00:29:50,910 --> 00:29:56,190
liten varningens ord - ingen plan överlever första kontakten med fienden.

476
00:29:56,190 --> 00:30:02,770
Så även på att vi tror fortfarande att det kan finnas vissa subversion - ni vet -

477
00:30:02,770 --> 00:30:06,640
din bank till exempel som du har byggt alla dessa skydd runt

478
00:30:06,640 --> 00:30:10,690
De kan få äventyras, dessa betrodda parter som du har gett dina data till.

479
00:30:11,230 --> 00:30:15,570
Så du är din egen bästa försvar.

480
00:30:15,570 --> 00:30:17,960
Du vet - vara vaksamma - förbli uppmärksam.

481
00:30:17,960 --> 00:30:22,570
Ta dig tid nu att välja att inte delta i dessa, förhoppningsvis umgås

482
00:30:22,570 --> 00:30:24,920
detta, prata med detta med dina vänner.

483
00:30:24,920 --> 00:30:28,880
Plocka bra lösenord, använda unika lösenord för dina konton.

484
00:30:29,570 --> 00:30:33,260
Och Återanvänd inte lösenord - särskilt - runt en del av

485
00:30:33,260 --> 00:30:36,630
dina mer känsliga tillgångar, använd inte ditt universitet konto håll.

486
00:30:36,630 --> 00:30:39,350
Använd inte ditt konto kreditkort håll.

487
00:30:39,350 --> 00:30:42,020
Lösenordsskydda din mobila enhet just nu.

488
00:30:42,020 --> 00:30:48,430
Och genom mobil enhet Jag menar smartphone, menar jag surfplattan.

489
00:30:48,430 --> 00:30:51,250
>> Tänk på att använda bra frågor säkerhets återställning, och jag kommer att tala om

490
00:30:51,250 --> 00:30:54,120
detta kort varför, kontrollera din kredit rapport.

491
00:30:54,120 --> 00:30:58,040
Ett annat sätt att du kan vara en god medborgare i detta utrymme

492
00:30:58,040 --> 00:31:05,350
är regeringen tvingade tre byråer Experian, TransUnion och Equifax

493
00:31:05,350 --> 00:31:07,460
att frigöra kreditupplysningar.

494
00:31:07,460 --> 00:31:10,270
För några av Harvard samfundet, särskilt i elevens rymden,

495
00:31:10,270 --> 00:31:13,260
detta kan vara nytt för dem, men du får dra dem

496
00:31:13,260 --> 00:31:16,510
organ minst en gång om året.

497
00:31:17,180 --> 00:31:20,420
God försiktighet - går vidare till den webbplatsen, det finns på FTC en.

498
00:31:20,420 --> 00:31:23,260
Och göra det var 4 månader i stället, och du kan hålla

499
00:31:23,260 --> 00:31:28,130
koll på vem som gatuprostitution förfrågningar om din kreditkortsinformation,

500
00:31:28,130 --> 00:31:31,060
eller om det verkligen om någon öppnar några bedrägliga konton.

501
00:31:31,430 --> 00:31:34,450
Och - i allmänhet - vägledningen är att vara medveten om.

502
00:31:34,450 --> 00:31:37,120
Och jag kommer att ge er ett konkret exempel inom kort,

503
00:31:37,120 --> 00:31:40,510
men som i allt väsentligt kött och potatis av diskussionen.

504
00:31:41,110 --> 00:31:43,810
>> Så varför detta är viktigt just nu är under sommaren var det en

505
00:31:43,810 --> 00:31:47,200
gentleman som heter Matt Honan - om du är ute tack så mycket

506
00:31:47,200 --> 00:31:49,920
för att vara så tillmötesgående med din information.

507
00:31:50,360 --> 00:31:55,840
Men vad hände med Matt är han arbetade för Wired Magazine,

508
00:31:55,840 --> 00:31:59,530
och vissa cyperhacktivists gick efter hans Twitter-konto.

509
00:32:00,070 --> 00:32:03,630
Och de använde några av dessa resurser - en del av denna offentliga person

510
00:32:03,630 --> 00:32:06,740
att han gjort tillgängliga.

511
00:32:06,740 --> 00:32:11,170
Och de byggde en karta, de visste var att attackera och när.

512
00:32:11,980 --> 00:32:15,400
Så från att de började vrida och vända den information som han gjorde

513
00:32:15,400 --> 00:32:17,440
tillgängliga, och de fann att han hade ett Gmail-konto.

514
00:32:17,890 --> 00:32:21,580
Så han använde en mindre än klokt lösenord för hans Gmail,

515
00:32:21,580 --> 00:32:24,890
och han inte har någon multi-faktor autentisering på det.

516
00:32:24,890 --> 00:32:27,800
Så de äventyrat sin Gmail, när de hade tillgång till sin Gmail

517
00:32:27,800 --> 00:32:31,390
de såg alla dessa andra konton som han hade anslutna till hans Gmail.

518
00:32:31,820 --> 00:32:35,760
Sannerligen hade de tillgång till hela hans hela Gmail eller Google persona.

519
00:32:37,230 --> 00:32:40,850
Och - framför allt - de började märka att han hade en Amazon-konto

520
00:32:40,850 --> 00:32:44,700
eftersom det inte fanns några e-postmeddelanden som rapporteras till honom.

521
00:32:44,930 --> 00:32:47,540
Så då fick de till sin Amazon, och de fick på sin Amazon

522
00:32:47,540 --> 00:32:50,800
genom att bara återställa sitt lösenord eftersom det gick till hans Gmail.

523
00:32:51,940 --> 00:32:56,430
Han behövde inte - han hade typ av en dominoeffekt eller legitimation kedja händer här

524
00:32:56,430 --> 00:33:00,090
där en gång de fick sin Gmail de hade nycklarna till riket.

525
00:33:00,320 --> 00:33:03,950
Så när de kom på att hans Amazon - och detta var förskyllan

526
00:33:03,950 --> 00:33:07,010
till dessa andra killar - det var - ni vet - Matt inte hade valt att

527
00:33:07,010 --> 00:33:10,640
väljer att dessa säkrare mekanismer att endast dessa människor hade gjort tillgänglig

528
00:33:12,050 --> 00:33:14,230
och alla dessa källor på internet.

529
00:33:14,230 --> 00:33:18,340
>> Så när de kom på att hans Amazon de hade tillgång - inte visa dem

530
00:33:18,340 --> 00:33:20,420
sitt kreditkort, men det visade dem de 4 sista siffrorna

531
00:33:20,420 --> 00:33:24,280
precis så han visste vad det var, det visade dem sin leveransadress.

532
00:33:24,280 --> 00:33:26,620
Det visade dem någon annan information som han gjort på några order.

533
00:33:26,620 --> 00:33:29,790
Och sedan från att de bestämde sig för att attackera sin Apple-konto.

534
00:33:30,860 --> 00:33:33,170
Och de sociala ingenjören Apple helpdesk.

535
00:33:33,640 --> 00:33:36,920
Apple borde inte ha gjort det, men baserat på denna information som

536
00:33:36,920 --> 00:33:39,990
de kunde bryta från de andra 2 konton.

537
00:33:41,040 --> 00:33:43,310
Du vet - killen på helpdesk förmodligen trodde han var

538
00:33:43,310 --> 00:33:46,730
en god medborgare - ni vet - jag är till hjälp, det är en Apple kund

539
00:33:46,730 --> 00:33:50,370
ute som är strandsatta ute på egen hand, och jag måste hjälpa honom.

540
00:33:51,340 --> 00:33:53,680
Men det var inte den riktiga Apple kunden.

541
00:33:53,680 --> 00:33:56,920
Så de återställa sitt Apple-konto, och de skickade uppgifterna till Gmail.

542
00:33:56,920 --> 00:34:00,580
När angriparna hade tillgång till sin Apple-konto

543
00:34:00,580 --> 00:34:04,390
Matt hade alla sina enheter bundna till sitt iCloud,

544
00:34:04,390 --> 00:34:08,600
och de började utfärda mened uppsättningar och torka allt.

545
00:34:08,989 --> 00:34:14,530
Återigen hade han bara sina uppgifter sprids, han använde icloud som synkroniseringen mekanismen.

546
00:34:14,530 --> 00:34:17,800
Så när de tog bort det allt gick bang.

547
00:34:18,600 --> 00:34:21,010
De hade fortfarande tillgång till denna punkt till sitt Twitter-konto som är vad

548
00:34:21,010 --> 00:34:23,770
de hade försökt att attackera.

549
00:34:24,739 --> 00:34:26,980
Jag vet inte om de använde Maltego eller några av dessa andra mekanismer

550
00:34:26,980 --> 00:34:31,710
att bygga ut sitt Internet persona, men - ni vet - inom loppet av

551
00:34:31,710 --> 00:34:34,429
Naturligtvis de fick tillgång till 4 olika identiteter tjänster innan

552
00:34:34,429 --> 00:34:36,790
de kom till hans Twitter, och det kostade Matt -

553
00:34:36,790 --> 00:34:39,350
Matt var ganska tur att han såg det hända eftersom hans barn kom till honom

554
00:34:39,350 --> 00:34:41,350
när iPad låst sig själv.

555
00:34:41,350 --> 00:34:43,770
Och de sa - ni vet, "Pappa, det är något som händer med iPad."

556
00:34:43,770 --> 00:34:48,050
Och han stängde ned allt eftersom han märkte att det var händer överallt.

557
00:34:48,389 --> 00:34:51,560
Och han började kalla Apple för att se vad fan som precis hade hänt.

558
00:34:52,199 --> 00:34:54,840
Och Apple trodde verkligen att det var något på gång

559
00:34:54,840 --> 00:34:58,170
att iCloud hade gått rogue tills de räknat ut -

560
00:34:58,170 --> 00:35:01,380
Han tänkte faktiskt ut att de var sända information, och

561
00:35:01,380 --> 00:35:03,380
De började kalla honom fel namn.

562
00:35:03,380 --> 00:35:09,200
Eftersom Apple hade på filinformation att angriparen hade underminerats.

563
00:35:09,990 --> 00:35:13,720
>> Okej - så det är den typ av information som vi använder för att bygga denna

564
00:35:13,720 --> 00:35:17,990
typ av bästa praxis, vi använder detta som en del av en hel serie

565
00:35:17,990 --> 00:35:21,030
seminarier med oktober - Nationell Cybersäkerhet Awareness Month.

566
00:35:21,030 --> 00:35:23,530
Det har gjorts tillgängligt för er.

567
00:35:23,530 --> 00:35:28,160
Jag ska se till att jag skickade ut i Wiki när David gör den tillgänglig för mig liksom.

568
00:35:28,160 --> 00:35:30,960
Men det finns råd och vägledning i det mycket mer noggranna än

569
00:35:30,960 --> 00:35:34,230
Jag kan sammanfatta denna korta tid jag har till förfogande.

570
00:35:34,230 --> 00:35:37,350
kring vad som kallas, Molnigt med en chans för identitetsstöld:

571
00:35:37,350 --> 00:35:39,400
Plockning God användarnamn och lösenord.

572
00:35:39,400 --> 00:35:42,700
Är det någonsin inte social? Och svaret är nej, det är alltid social,

573
00:35:42,700 --> 00:35:45,500
men du måste vara medveten om vad det betyder.

574
00:35:47,020 --> 00:35:50,640
Och det tämja lejon, tigrar, och Windows vilket är cirka

575
00:35:50,640 --> 00:35:54,300
härdning operativsystem med en del av den information som vi gick till idag.

576
00:35:54,540 --> 00:35:57,320
Och den sista var omkring, ha anordning, Will Travel

577
00:35:57,320 --> 00:36:00,200
att prata om att gå mobil med dessa typer av datakällor.

578
00:36:00,910 --> 00:36:03,710
Så förutom att om du har några frågor min e-postadress är

579
00:36:03,710 --> 00:36:08,200
där, och om någon i rummet har några frågor vänligen räck upp handen.

580
00:36:08,690 --> 00:36:10,910
Annat än att jag kommer att stoppa inspelningen.

581
00:36:11,870 --> 00:36:16,000
Okej. Klar.

582
00:36:16,000 --> 00:36:19,190
[CS50.TV]