[Powered by Google Translate] [Seminarium: Att överleva Internet] [Esmond Kane-Harvard University] [Detta är CS50.-CS50.TV] Hej, och välkommen till "Surviving Internet." Det är en av de seminarier som utgör en del av denna CS50 läroplanen. Mitt namn är Esmond Kane. Mitt namn och adress finns på detta bildspel framför dig. Det är esmond_kane@harvard.edu. I mitt jobb är jag en av de IT-säkerhet direktörerna för HUIT, men jag måste erkänna att jag i dag på ett avstånd uppdrag vilket är anledningen till att jag bär en röd skjorta. Detta kommer inte att omfatta allt som är hänförlig direkt till mitt vanliga jobb, så det handlar inte om IT-säkerhet till Harvard. Detta är mer bara personlig information, detta är hur när DIG är - Detta är den typ av färdigheter som du kommer att få för att försöka hjälpa dig härda dina arbetsstationer och din omgivning hela din karriär. Men ingenting som jag nämner i dag bör tillämpas på någon av dina universitet material, dina servrar eller arbetsstationer utan att kontakta din lokala IT-stöd. Och faktiskt, om jag nämner några ansökningar eller eventuella incidenter som en del av detta prata eller diskussion inte rapporterar något som jag är privilegierad att rapportera. Det är oftast offentliga Och för övrigt inte heller bör någon nämna någon ansökan innebär någon godkännande genom Harvard eller någon fördömelse. 

Så idag varför vi är här - nu när vi är klar med disclaimer - Vi är här idag för att tala om att överleva på Internet. Och varför är det en så viktig fråga just nu? Så för att parafrasera Perry Hewitt som arbetar i Harvard Press och Office Communications - Jag ber om ursäkt för att läsa detta just nu - hon har sagt, "Vi lever i en atmosfär av eskalerande risk, men också en av oöverträffad innovation. Den snabba ökningen av Internet, molnet, och social teknik har resulterat i många fler människor som har offentliga profiler på nätet med faktiskt tillgång till ett ständigt ökande utbud av information. Och det innebär att alla och deras sammanslutningar har aldrig varit mer synliga. Som Harvards digitala fotavtryck - det digitala nätet expanderar, vi locka en bredare publik. Vi hoppas på att åstadkomma förbättringar, men ibland kommer vi attrahera några negativa uppmärksamhet. Så som en representant för Harvard, "och detta inkluderar alla titta hemma eller faktiskt någon här, "vår fakultet, våra elever, vår personal, våra forskare, risken för kompromissen för dig och faktiskt ditt associerade nätverk har aldrig varit högre. " 

Så ofta i informationssäkerhet när vi försöker att balansera detta riskera det är en komplicerad avvägning mellan säkerhet och användarupplevelse. I en tid präglad av omedelbarhet vi måste göra genomtänkta beslut om vad som kommer att öka säkerheten utan stora olägenheter. Vi får höra ibland ett uns av förebyggande är värt dubbelt bot, men när man väljer att införa säkerhetsåtgärder för att minska risken Vi måste inse att det aldrig kommer att minska den potentiella risken till noll. Så som sagt - vi är här i dag för att diskutera några enkla och inte så enkelt säkerhetsåtgärder som du kan ta just nu. Jag vill också tillägga - om du har några frågor under hela presentation höjer bara handen. Så den första frågan - är vi ofta höra att plocka ett bra lösenord. Ett lösenord är din första och bästa försvar. Det är ofta den enda som är tillgänglig för dig när du väljer att använda en online-resurs. Men som vi har sett i hela denna sommar och faktiskt det föregående året Vi har sett attacker som LinkedIn, eHarmony. Vi har sett RockYou. Vi har haft lite sammanlagt 70 miljoner lösenord äventyras och konton. Och när dessa lösenord släpptes i public domain De omfattade också lösenordet hash. 

Så i princip dessa dagar om någon hämtar ett konto bikupa De behöver inte knäcka ett lösenord längre,. de behöver inte brute force lösenord eftersom de har denna massiva guldgruva av släppt information om vad folk väljer. De har redan beteendemässiga data att tänka på vad folk brukar använda. Och de har brutit ner det till en lista över cirka tusen lösenord vilka innefattar nästan 80 till 90% av de lösenord som vi väljer i allmänt bruk. Så ett snabbt exempel - någon vill fara vad du trodde Bashar al-Assad för sitt lösenord när det var äventyras förra året? Detta är en gentleman som är föremål för noggrann granskning. Och hans lösenord var 12345. Okej - så dessa är lärdomar som vi har lärt oss, vi måste flytta utöver bara tänker på ett lösenord. Vi får höra att börja använda en lösenordsfras. Det finns en stor komisk från eller verkligen en rengöringsdukkomiker från kåta Monroe som går till att välja en lösenordsfras, han använder - Jag vill säga - batteri, häftklammer, begränsa eller något liknande - ni vet - bara - eller ja det är skämt att någon som plockade Goofy, Nemo, Pluto - alla dessa olika karaktärer och London eftersom han fick höra att plocka 8 tecken och ett kapital. Men - så vi lär vi måste gå tänka längre än bara ett lösenord. 

Det är faktiskt en Ezine i Boston kallas Ars Technica. Det är en herre som heter Dan Goodin som gör en serie om denna föränderliga omfattning - antingen från angriparen utrymme där vi har denna massiva skattkammare för oss att antingen tänka att vi inte längre behöver skapa saker genom rainbow tabeller; vi har 70 miljoner lösenord. Men även vi har haft - ni vet - en föränderlig scape i faktiska sprickbildning utrymme eftersom GPU kort har gjort detta nästan nära realtid. Och det finns en gentleman i Def Con i augusti som sätter ihop 12 av dessa kort till en handelsvara PC. Han gjorde det för ungefär $ 2,000 eller $ 3,000, och han kunde knäcka LinkedIn trove in - ni vet - nära realtid. Det var ganska skrämmande. Dan Goodin s artikel - Jag rekommenderar det om du vill gå och läsa det. En herre som heter Sean Gallagher - i morse - publicerade också en snabb uppdatering på det, en hel del av deras arbete bygger på - från tillgängligt material från Bruce Schneier, men också från Cormac Herely från Microsoft Research. De slags uppgav ca 5-6 år sedan att vi måste börja tänka bortom lösenord. De förslag som då fanns saker som pass fraser, gestikulerande gränssnitt - den typen av saker. Du vet - om något du vet är inte längre tillräckligt på denna punkt; som är en av de saker som jag vill kommunicera idag. Om du behöver använda ett lösenord, låt oss inte vara blyg i att påstå att du bör fortfarande Välj ett bra och bör vara förhoppningsvis något utöver 10 tecken. Det bör variera mellan versaler och gemener. 

Jag skulle starkt uppmuntra er att inte återanvända lösenord. Jag kan tala till flera fall där vi har sett ett konto får äventyras och någon hoppade och hoppade - den dominoeffekt. De bryta varje konto vid varje steg i processen för detta uppgifter, och då de fortsätter att använda dessa data att de brutits i varje fall mot en annan referens källa. Så - återigen - väljer ett bra lösenord. Gör det unikt. Du kanske vill tänka på att använda en tjänst lösenord manager. Det finns sådana där ute från - de är alla i App butikerna. Det finns ett kallade OnePass, KeePass, LastPass - Det är ett trevligt sätt för att hjälpa dig skapa unika referenser, starka referenser, men också underlätta arkivet och journalföring för dig. Nackdelen med det är att du måste ta det till ett lösenord butik; måste du se till att den lösenordshanterare som du litar är värda ert förtroende också. 

Så se till att dessa killar också använder några giltiga lösenord mekanismer. I synnerhet den som jag kommer att nämna just nu är multi-faktor autentisering. Så multi-faktor autentisering - och det finns flera exempel jag kommer att gå igenom inom kort - Det är den enkla åtgärden att ta något du vet som din användarnamn och ditt lösenord och lägga till det - du lägger en annan faktor. Så den första faktor som vi kommer att nämna idag är dessa ettor i styrelserna. Det är något du har på dina ägodelar, så det är antingen ett program som körs på din smartphone eller faktiskt på din telefon själv. Och du kanske kan få ett SMS. Se upp om du reser utomlands och som inte nödvändigtvis kommer att följa dig. En ansökan kan arbeta mer i det fallet. Eller faktiskt den andra faktor som du kanske vill tänka på är något som du är. 

Nu är detta fortfarande slags väldigt mycket Skunkworks. Vi ser inte så mycket antagandet av det. Detta är - ni vet - Mission Impossible stil - ni vet - en ven print, ditt tumavtryck, din näthinna print. De är typ av längre ut, de är egentligen inte mycket giltiga autentisering faktorer. Vi ser - när jag pratar med mina säkerhetsinställningar kolleger - mer tryck som du sätter på en knappsats, din maskinskrivning mönster, är troligen direkt på horisonten - mycket mer så än de andra biometriska kännetecken. Men de är i dag program eller SMS: a eller bara en utmaning svar e-post som du kommer att få att validera att du gjorde faktiskt välja att logga in på denna tidpunkt. Så det finns en länk till höger där, jag har postat ut bildspel morse. Det kommer att vara på Wiki. 

Både Gmail och Google gör detta, Yahoo kommer att göra det. Paypal har det, Paypal har också en liten faktisk dongel som gör ett roterande nummer. Men du kan också välja att använda ett telefonnummer. Facebook gör också en logg i godkännande, så du väljer att godkänner det, de arbetar också mer giltigt hård styrka säkerheten. Dropbox har 2-stegs verifikation liksom, du kan också bara köpa en dongel för dem. Vi ser också i Gmail ena eller Google en, en massa människor är faktiskt adjungerar Googles authenticator, så - till exempel - Jag använder LastPass - det innebär inte något godkännande - men de kan återanvända Googles 2-step verification så det betyder att jag inte behöver gå runt med 2 program på min telefon. Men också forskning computing inom Harvard eller använda en analogi till Googles 2-steg autentisering eftersom engångslösenord algoritm öppen källkod där omkring 10 år sedan. Några frågor? Bra. 

Så en annan faktor som beaktas utöver lösenord är när du är använda dessa resurser vara medveten om vilka data du begår dem. Bara begränsa vad du faktiskt lägger upp det. Så vi är medvetna om att dessa människor som tillhandahåller en tjänst för oss på internet - dessa Molnleverantörer - de har ett egenintresse i att du inte vara så säker som du eventuellt kan. De tenderar att tillhandahålla ett minimum uppsättning av säkerhet, och då finns det en massa andra som är frivilliga att du måste välja att välja att. Den typ av ta bort från denna diskussion är säkerhet är ett gemensamt ansvar. Det är mellan dig och de partner som du gör - de allianser som du bildar. Du måste ta en aktiv roll. Välj att välja in det. Du vet - ta dig tid nu, gör det säkrare. Alternativet är att det finns redan folk validering och testning Dessa säkerhetsfaktorer mot dig, ju mer du kan välja att välja på till det bättre förberedd du är för den slutliga kompromissen. Och det är eventuell. 

Men den andra faktor att tänka på är som jag nämnde dessa Internet partier som du litar med dina referenser - med din identitet. Jag ska ge er två analogier, Larry Ellison och Mark Zuckerberg - de är båda på rekord anger integritet är till stor del en illusion. Och att en ålder av privatlivet är över. Det är lite av en sorglig anklagelse som vi verkligen måste vänta för regeringen att kliva in för att tvinga dessa partier att bli säkrare, att införa mer lagstiftning eftersom när vi försöker att arbeta med dessa leverantörer till exempel några av dessa Dropbox som parterna, de är i verksamhet i form av tjänster till konsumenten. De är inte direkt intresserad av att ha företags-grade säkerhetskontroller. Konsumenterna röstade med sin plånbok, och de har redan accepterat en lägsta betygsnivå. Det är dags att ändra på det tänkandet. Så när vi ger våra data till dessa partier måste vi adjungera vår befintliga förtroende mekanismer, så vi är sociala varelser som standard. 

Så varför helt plötsligt när vi börjar sätta data online har vi nu tillgång till samma skydd som vi gör personligen? Så när jag kan läsa ditt kroppsspråk, när jag kan välja att nätverk med en umgängeskrets och faktiskt till denna cirkel röja just den information som jag vill. Så vi har tillgång till denna kroppsspråk, uttryck, att artikulera, Vi har tillgång till detta skydd identitet närhet i en fysisk plats, de är fortfarande under utveckling på nätet. Vi har inte tillgång till dem, men vi börjar se dem. Så vi har fasetter i Facebook - till exempel - liknande grupper. Vi har tillgång till saker i Google+ som cirklar. Absolut använder dem. Så det sista du vill se är i detta utrymme i synnerhet när du går för att få ett jobb du har nu gjort en hel del av din personlighet allmänheten. Och när någon vill - om de väljer att - det kan vara en del av företagets policy eller inte - det är verkligen inte en del av Harvard's - men de kan välja att göra en Google-sökning. Och när de gör det - om du uppgift - låt oss säga en del information som du skulle ha svårt att stå bakom - du har gjort dig själv en otjänst. Och faktiskt som jag nämnde - dessa sociala företag de har ett egenintresse att göra det offentligt - ni vet - de måste bryta dina uppgifter. De säljer dina demografi och ditt marknadsföringsmaterial för någon. Den typ av analogi i detta utrymme är - om du inte betalar för en produkt är du produkten? Så skapa cirklar för dina vänner, vara försiktig, vara flitig, Försök inte göra allt offentligt. 

En annan analogi jag kommer att göra är slutanvändare licensavtal förändras, de kommer att berätta vad de kan göra med dina data, och de kommer att begrava den i en 50-sida klickar igenom. Och de kan välja att ändra på det, och de bara skicka ett snabbt mail. Men du är inte en advokat, det är väldigt mycket i legalese. Du måste vara försiktig med vad du gör. De kan äga dina bilder, de kan äga din intellektuella egendom. Du vet - bara omsorgsplikt. Ett annat exempel Library of Congress är arkivering varenda tweet som människan känner till. Allting. Var 10 år ungefär kroppen av material som genereras i att 10 år konton eller kraftigt överträffar allt vi har skapas i hela mänsklighetens historia. Den Library of Congress har ett egenintresse i att bevara denna information för eftervärlden, för framtida arkivarier, för framtida forskare och historiker, så allt du lägger ut det där. Det kommer faktiskt att göra en enorm resurs någon gång när folk börjar att bryta social ingenjörskonst eller sociala nätverkssajter. Så håll kännedom av de skydd som finns inom varje program. 

Det är något som jag kommer att nämna liksom, det finns en tredje part verktyg kallas Privacyfix, det kan plugga rätt in till vissa av dessa sociala nätverk. Och det kan ta för att se var du är i förhållande till de skydd som finns på dem om du kan välja att ratchet upp dem ytterligare. Det finns verktyg som Data Liberation Front från Google där du kan välja att exportera eller extrahera dina data. Det finns saker som Internet Suicide Machine som kommer att logga på till några av dina profiler och faktiskt ta bort varenda attribut en i taget, tagga varenda föreningens vänner i ditt nätverk skulle ha gjort. Och det kommer att fortsätta att iterativt rensa allt om dig att webbplatsen skulle veta. Om jag kan bara utöva viss försiktighet där liksom, det var ett exempel ett par år sedan i Tyskland, där en medborgare beslutat att utöva sin frihet rätt till information och be Facebook för att tillhandahålla vilken information de hade om rekord för honom även efter att han raderade sitt konto. De försåg honom med en CD med 1.250 sidor av information trots att hans konto teoretiskt inte längre existerade. Det är konceptet i detta utrymme en hel del att vissa av dessa enheter kommer att behålla vissa uppgifter om dig för att göra med era föreningar och dina nätverk. De säger att de inte kan ha kontroll över det, det är lite av en sträcka i min mening. De skapar dessa skugga konton - skuggan personas. Bara vara försiktig. Begränsa vad du kan. Vid en verklig enhet nivå när du bara talar om - du vet - maskinvara - din smartphone, dina tabletter, arbetsstationen, din bärbara dator, kanske en server som du är ansvarig för. 

Ni har säkert hört talas om begrepp som drift, systemuppdateringar, programuppdateringar, antivirus, du har hört talas om saker som brandväggar, disk kryptering, och tillbaka upp. En sak du bör vara medveten om är att du inte hör om dessa slags skydd i mobiltelefonen rymden. De är lika mottagliga för samma hot. Vi hade - jag vill säga - en miljon smartphones kommer att vara aktiveras av slutet av denna månad. Som kraftigt har gått om - inom den korta tid som de har varit tillgängliga, har det outpaced vastly tillväxten av PC, laptop, arbetsstationen marknaden. Men vi har inte tillgång till samma kontroller, och jag kommer att prata om det inom kort. Så innan vi får till mobiltelefonen rymden låt oss tala om vad finns det att jag bara kortfattat gick över. Så antivirusprogram - här är några fria val. Microsoft ger bort deras - ni vet - Sophos ger bort deras för OSX samt Patch din dator - bara vara medveten om vad din leverantörs nuvarande patch nivå, och du bör inte vara ett betydande delta från det. Det är ett trevligt verktyg från ett företag som heter Secunia. Och Secunia kommer att köras i bakgrunden, och det kommer att berätta om det finns en uppdaterade tillgängliga och om du behöver för att tillämpa den. 

Aktivera automatiska uppdateringar - både Apple och Microsoft kommer att ha någon aspekt av detta. De kommer att varna dig om att det finns en uppdatering tillgänglig. Och Secunia - ni vet - är typ av en trevlig skyddsnät att ha också - falla tillbaka mekanismen. Vid mottagande lagret - inte komma till smartphones ännu. Aktivera brandväggen hemma i operativsystemet. Det finns lite information om Windows i OSX ett. Testa din brandvägg, inte bara lämna det där och tycker att det är en säker mekanism. Ta en aktiv roll, det är ett program där från GRC - Steve Gibson. Wi-Fi-säkerhet i detta utrymme - detta kan även gälla för smartphone och tablet - när du väljer att gå på vägen måste du vara medveten om att det finns olika klasser av trådlöst nätverk. Och i synnerhet inte väljer den mest tillgängliga en. Det kan vara låg kostnad, men det kan finnas en anledning till det. Kanske de utvinner dina data. Vi ser detta mer när du reser utomlands. Det finns några riktigt högeffektiva cyber kriminella syndikat som har möjlighet att utnyttja vad vi vanligtvis ser i nationalstaterna "spionage. En faktor där de direkt injicera sig i ett nätverk ström. De drar saker ur det, och de injicerar program på dina arbetsstationer. 

Det är - den andra aspekten som jag vet nämndes i några av dessa säkerhet seminarier - eller inte seminarier CS50 seminarier - är ett verktyg som kallas Firesheep. Och Firesheep var en speciell attack i mobiltelefonen rymden där några av dessa sociala nätverk skickade referenser i klartext. Och det var ganska allmänt accepterat att alla på den tiden tänkte att det fanns ingen aptit på konsumentmarknaden utrymme för det, att använda högre hållfasthet kryptering innebar en prestation börda på servern, så om de inte behövde göra det - de ville inte. Och sedan helt plötsligt när denna säkerhet forskare gjort attacken trivialt mycket snabbt - ni vet - vi började att se den typen av förbättring som alla inom säkerhetsområdet hade klagat på för en avsevärd tid. Så - i synnerhet - Firesheep kunde hämta Facebook, Twitter referenser från Wi-Fi-stream. Och eftersom det var i klartext, och de kunde injicera. 

Återigen, om du ska använda Wi-Fi väljer att använda ett som skyddas tillräckligt - WPA2 om du kan. Om du måste använda okrypterade Wi-Fi - och i synnerhet jag talar till någon som använder Harvard University trådlös - du kanske vill tänka på att använda VPN. Jag rekommenderar varmt den. Andra faktorer som du kanske vill tänka på är om du inte litar på Wi-Fi att du är på kanske du vill begränsa användningen. Gör inte någon e-handel, gör inte någon bank. Inte tillgång till ditt universitet referenser. Det är en stor seger i detta utrymme om någon stjäl dina referenser - ni vet - har de din mobiltelefon? Så - ni vet - det är en annan faktor som man inte nödvändigtvis kan kapa eller bara gör sin attack mer komplicerat. Kryptera hårddisken. Vi är på en epok just nu - kryptering används för att vara en stor sak för 10 år sedan. Det var en betydande påverkan på prestanda. Det är inte längre - i själva verket - de flesta mobiltelefoner och sånt de gör det i hårdvara, och du märker inte ens - prestandan är så försumbar. 

Om du talar om en arbetsstation, talar vi om BitLocker. Vi talar om File Vault, aktivera det - ta dig tid nu. I Linux utrymmet uppenbarligen Sanna Crypts kan arbeta över både av dem. Du kanske vill tänka på - i Linux rymden - det är dm-crypt, det finns Luxcrypt - det finns en massa andra alternativ - också sant Crypt. Andra snabba sätt att skydda dig på arbetsplatsen nivå säkerhetskopiera din hårddisk. Och en liten rynka här - det är inte tillräckligt att använda en av dessa Cloud synkronisering leverantörer, så Dropbox eller G-Drive eller något annat Det är inte en back up-lösning. Om någon tar bort något på en av dessa enheter eftersom de in sig själva på något sätt det går - att deletion får reproduceras över hela din personlighet. Det är inte en back up, det är bara en förökning mekanism. Så det är bra att ha en back up-lösning. Det finns några förslag här för vissa människor, vissa av dem är gratis - kapacitet baserad - 2 gig back up - du kan göra det. Om du använder universitetets G-post - University Google på college och co, G-Drive om det inte redan är - det kommer att finnas tillgänglig inom kort. Det är en bra ersättare. Vi kommer även att titta på dessa saker som Mozy Home. Det är bra att ha 2 lösningar. Har du inte alla dina ägg i en korg. Om du kasserar något eller ens om du är i färd att skicka något konfidentiellt - några förslag här säkert radera en enhet. Darik Boot och Nuke - det är typ av mer för IT-kunniga. Du kanske vill tänka på att bara ge den till någon av dessa kommersiella leverantörer, om du kan. 

Kryptera e-post - om du måste - det finns vissa tjänster på campus kallas Accellion, du är off-campus eller för personligt bruk Jag kommer att rekommendera Hushmail. Vi ser det mycket som används i whistle blower, det är en av de viktigaste mekanismer för Wikileaks liksom Tor och några andra motsvarigheter. Och - nu tala om telefonen nivå - så problemet är här det finns inte så mycket av aptit ännu. Tyvärr har de flesta av de smarta telefoner och tabletten OSS de är fortfarande baserat på några av de principer som vi såg under 1990-talet. De har inte riktigt införlivat några av de förbättringar att vi ser på arbetsstationen nivå. De gör inte värmeskydd. De gör inte - ni vet - lager randomisering. De gör inte adressen skydd. De gör inte köra skydd - sånt. Men också själva enheten som defacto inte kommer att ha någon slutpunkt säkerhet inbyggd i det. Så vi börjar se denna förändring - igen - de flesta smartphone tillverkare - Android, Apple och Windows - aptiten bara var inte där, jämförelseindex var Blackberry. Men Blackberry har slags förlorat sin dragkraft på marknaden vid denna tidpunkt. Och Apple har verkligen klivit i. Ca 2 år sedan fanns en vattendelare där de började bygga i en mycket mer enterprise typ kontroller. Och - ja - i augusti gjorde de en presentation vid Def Con som var bara otänkbart. 

Så de kommer att göra de minsta kontroller som jag beskrev. De kommer att göra starkt lösenord, de kommer att göra en uppmaning om att lösenordet på tomgång - enheten - du glömma det och efter 15 minuter det aktiveras. De kommer att göra kryptering, och de kommer också att göra vad som kallas avlägsna avtorkning. I Android och Windows utrymmet dessa är fortfarande TBD - som skall fastställas. Android har tillgång till vissa program som kallas Prey och Lookout. Och faktiskt några av de säkerhetsåtgärder slutpunkten verktyg som Kaspersky jag känner gör det. Jag vet ESET gör det också De låter dig skicka ett SMS och rensa enheten. Windows telefon vid denna punkt är det i första hand inriktad mot corporate stil - det som kallas utbyte. Exchange är en robust postinfrastruktur, och det kan tvinga en del av dessa kontroller. Windows 8 bara levereras förra veckan, så jag inte kan tala som slutgiltigt. Windows 6.5 var det stor säkerhetsanordningen. Windows 7 Mobile var en katastrof, de gjorde inte alla dessa inbyggda reglagen obligatorisk i de olika leverantörerna. Så du var tvungen att ratificera varje Windows Mobile 7 telefon en i taget. 

Android - eftersom 3,0 utrymmet har haft en stor förbättring också. Honeycomb, Ice Cream Sandwich, Jellybean - de kommer att stödja dessa minimikrav kontroller, och de verkligen kommer att stödja några av företagets kontroll som du kan göra också. I ditt personliga konto rymden finns det en Google personlig sync som Du kan aktivera om du har din egen Google utrymme också. Så vad gör man när allt går fruktansvärt fel? Och om jag kan - en annan takeaway från detta är verkligen när - det är inte om. Detta kommer att hända oss alla någon gång. Vad kan du göra? Så vad du kan göra - och det är en bild - nästa bild kommer peka dig till några av FTC resurser för det, men ett minimum plats en varning om bedrägerier på ditt kreditkort. Om jag kan uppmuntra dig att tänka på när du använder ett kreditkort i en online-kapacitet - beroende på transaktionen du gör betalkort - förmåga att hävda eller möjligheten att återkalla en bedräglig fordran på ett betalkort är faktiskt en mycket mindre fönster än det är på ett kreditkort. Så när du får din rapport på ett betalkort som du har bara en viss tidsram - och det är mycket lågt - att meddela banken om en bedräglig transaktion. Kreditkort är det mycket större, det brukar vara en gräns på upp till ca $ 50.000 innan de verkligen kommer att kunna ersätta dig. Så det är ganska mycket pengar, de stötte upp från ca $ 13.000 eller $ 18.000 där ganska nyligen. Så - ni vet - när man tänker på att använda ett kreditkort online, kan du tänka på att använda en top up-kort eller en disponibel kreditkort, en brännare kort? 

Om du ser något - och jag kommer att visa dig hur du kan få tillgång inom kort - stäng alla bedrägliga konton om du är medveten om det. Göra en polisanmälan om du är på campus. Nå ut till HUPD - låt dem veta. Tänk en identitet bevakningstjänst. om som en del av - om du får äventyras - du kan behöva - de kan finansiera tjänsten identitet skydd. Om de inte gör det kanske du ska göra det. Samla och spara alla bevis - i synnerhet några diskussioner du har haft med eventuella brottsliga myndigheter särskilt för försäkringsbolag ändamål. Ändra alla dina lösenord. Ändra svaren på några säkerhetsfrågor som kan användas för att återställa ditt lösenord. Inaktivera eventuella tidigare identitetstjänster. Så om du återanvänder ditt Facebook-konto för att logga in på Twitter eller vice versa, bryta det, om kompromissen inblandad ditt e-postkonto kontrollera om något vidarebefordras. Eftersom de annars har fortfarande tillgång till dina data. Och om stöld inkluderar ditt Harvard konto vänligen meddela IThelp@harvard.edu. Jag kan inte säga att nog, men också i synnerhet om enheten försvinner eller stulna och det hade tillgång till ditt universitet uppgifter och kanske du inte har några av dessa skydd vara respektive, låt oss veta - HUPD och IT Help at Harvard. 

Så länken som jag nyss nämnde som går in i det med närmare FTC.gov / identitytheft. The Postal Service har också några bedrägerier eller identitetstjänster skydd - du lägger bara ett håll eller ett stopp på kreditkort går igenom eller sånt. FBI har en länk liksom, det är i noterna i de bilder som jag skickade ut. Och faktiskt Massachusetts Better Business Bureau och Consumer Protection Bureau har viss vägledning liksom, det är i noterna. Ta dig tid nu, gör dig medveten om vad du kan göra, och vidta åtgärder. Principen - som jag nämnde tidigare - är om du inte har en plan för din identitet blir stulen är du omedelbart kommer att vara föremål för en hel del arbete när det händer, och det är när. Men även när du tar dessa försiktighetsåtgärder - Låt mig bara tillägga en liten varningens ord - ingen plan överlever första kontakten med fienden. Så även på att vi tror fortfarande att det kan finnas vissa subversion - ni vet - din bank till exempel som du har byggt alla dessa skydd runt De kan få äventyras, dessa betrodda parter som du har gett dina data till. Så du är din egen bästa försvar. Du vet - vara vaksamma - förbli uppmärksam. Ta dig tid nu att välja att inte delta i dessa, förhoppningsvis umgås detta, prata med detta med dina vänner. Plocka bra lösenord, använda unika lösenord för dina konton. Och Återanvänd inte lösenord - särskilt - runt en del av dina mer känsliga tillgångar, använd inte ditt universitet konto håll. Använd inte ditt konto kreditkort håll. Lösenordsskydda din mobila enhet just nu. Och genom mobil enhet Jag menar smartphone, menar jag surfplattan. 

Tänk på att använda bra frågor säkerhets återställning, och jag kommer att tala om detta kort varför, kontrollera din kredit rapport. Ett annat sätt att du kan vara en god medborgare i detta utrymme är regeringen tvingade tre byråer Experian, TransUnion och Equifax att frigöra kreditupplysningar. För några av Harvard samfundet, särskilt i elevens rymden, detta kan vara nytt för dem, men du får dra dem organ minst en gång om året. God försiktighet - går vidare till den webbplatsen, det finns på FTC en. Och göra det var 4 månader i stället, och du kan hålla koll på vem som gatuprostitution förfrågningar om din kreditkortsinformation, eller om det verkligen om någon öppnar några bedrägliga konton. Och - i allmänhet - vägledningen är att vara medveten om. Och jag kommer att ge er ett konkret exempel inom kort, men som i allt väsentligt kött och potatis av diskussionen. 

Så varför detta är viktigt just nu är under sommaren var det en gentleman som heter Matt Honan - om du är ute tack så mycket för att vara så tillmötesgående med din information. Men vad hände med Matt är han arbetade för Wired Magazine, och vissa cyperhacktivists gick efter hans Twitter-konto. Och de använde några av dessa resurser - en del av denna offentliga person att han gjort tillgängliga. Och de byggde en karta, de visste var att attackera och när. Så från att de började vrida och vända den information som han gjorde tillgängliga, och de fann att han hade ett Gmail-konto. Så han använde en mindre än klokt lösenord för hans Gmail, och han inte har någon multi-faktor autentisering på det. Så de äventyrat sin Gmail, när de hade tillgång till sin Gmail de såg alla dessa andra konton som han hade anslutna till hans Gmail. Sannerligen hade de tillgång till hela hans hela Gmail eller Google persona. Och - framför allt - de började märka att han hade en Amazon-konto eftersom det inte fanns några e-postmeddelanden som rapporteras till honom. Så då fick de till sin Amazon, och de fick på sin Amazon genom att bara återställa sitt lösenord eftersom det gick till hans Gmail. Han behövde inte - han hade typ av en dominoeffekt eller legitimation kedja händer här där en gång de fick sin Gmail de hade nycklarna till riket. Så när de kom på att hans Amazon - och detta var förskyllan till dessa andra killar - det var - ni vet - Matt inte hade valt att väljer att dessa säkrare mekanismer att endast dessa människor hade gjort tillgänglig och alla dessa källor på internet. 

Så när de kom på att hans Amazon de hade tillgång - inte visa dem sitt kreditkort, men det visade dem de 4 sista siffrorna precis så han visste vad det var, det visade dem sin leveransadress. Det visade dem någon annan information som han gjort på några order. Och sedan från att de bestämde sig för att attackera sin Apple-konto. Och de sociala ingenjören Apple helpdesk. Apple borde inte ha gjort det, men baserat på denna information som de kunde bryta från de andra 2 konton. Du vet - killen på helpdesk förmodligen trodde han var en god medborgare - ni vet - jag är till hjälp, det är en Apple kund ute som är strandsatta ute på egen hand, och jag måste hjälpa honom. Men det var inte den riktiga Apple kunden. Så de återställa sitt Apple-konto, och de skickade uppgifterna till Gmail. När angriparna hade tillgång till sin Apple-konto Matt hade alla sina enheter bundna till sitt iCloud, och de började utfärda mened uppsättningar och torka allt. Återigen hade han bara sina uppgifter sprids, han använde icloud som synkroniseringen mekanismen. Så när de tog bort det allt gick bang. De hade fortfarande tillgång till denna punkt till sitt Twitter-konto som är vad de hade försökt att attackera. Jag vet inte om de använde Maltego eller några av dessa andra mekanismer att bygga ut sitt Internet persona, men - ni vet - inom loppet av Naturligtvis de fick tillgång till 4 olika identiteter tjänster innan de kom till hans Twitter, och det kostade Matt - Matt var ganska tur att han såg det hända eftersom hans barn kom till honom när iPad låst sig själv. Och de sa - ni vet, "Pappa, det är något som händer med iPad." Och han stängde ned allt eftersom han märkte att det var händer överallt. Och han började kalla Apple för att se vad fan som precis hade hänt. Och Apple trodde verkligen att det var något på gång att iCloud hade gått rogue tills de räknat ut - Han tänkte faktiskt ut att de var sända information, och De började kalla honom fel namn. Eftersom Apple hade på filinformation att angriparen hade underminerats. 

Okej - så det är den typ av information som vi använder för att bygga denna typ av bästa praxis, vi använder detta som en del av en hel serie seminarier med oktober - Nationell Cybersäkerhet Awareness Month. Det har gjorts tillgängligt för er. Jag ska se till att jag skickade ut i Wiki när David gör den tillgänglig för mig liksom. Men det finns råd och vägledning i det mycket mer noggranna än Jag kan sammanfatta denna korta tid jag har till förfogande. kring vad som kallas, Molnigt med en chans för identitetsstöld: Plockning God användarnamn och lösenord. Är det någonsin inte social? Och svaret är nej, det är alltid social, men du måste vara medveten om vad det betyder. Och det tämja lejon, tigrar, och Windows vilket är cirka härdning operativsystem med en del av den information som vi gick till idag. Och den sista var omkring, ha anordning, Will Travel att prata om att gå mobil med dessa typer av datakällor. Så förutom att om du har några frågor min e-postadress är där, och om någon i rummet har några frågor vänligen räck upp handen. Annat än att jag kommer att stoppa inspelningen. Okej. Klar. [CS50.TV]