Trusona تفوز بجائزة أفضل عرض في Finovate 2018
كيف تثبت أنك من تقول أنك أنت؟ قد يبدو هذا سؤالاً سهلاً للإجابة عليه، ولكن في عالم يمكن أن تكون فيه معلوماتك الشخصية الأكثر خصوصية تم حصادها من وكالة الائتمان الخاصة بك أو حساب التواصل الاجتماعي، أن السهولة مشكلة. يمكن للمحتالين والمجرمين أيضًا إثبات هويتك، باستخدام معلومات قليلة بشكل مدهش.
هذا هو اللغز الذي يأمل أوري آيزن في حله باستخدام Trusona مصادقة خالية من كلمة المرور نظام. وهي تقدم خدمات التحقق من صحة الوسيط للشركات في جميع أنحاء العالم، على أمل تحسين حماية البيانات الرقمية للجميع. إنه يستخدم خبرة 20ذ المحتالون في القرن مثل فرانك أباجنال، الذي اشتهر في الفيلم امسكني إن استطعت، لدعم دفاعاتنا الرقمية الحديثة ضد تكتيكات الهندسة الاجتماعية الكلاسيكية.
مقاطع الفيديو الموصى بها
الاتجاهات الرقمية: من المحتمل أن يكون فرانك أباجنال معروفًا لدى معظم الناس بأنه موضوع فيلم عام 2002 امسكني إن استطعت استنادًا إلى مغامراته في الستينيات مع الاحتيال في الشيكات وانتحال الشخصية. كيف أصبحتما متورطين معًا؟
أوري آيزن: النسخة المختصرة هي أنه بينما كنت أعمل في إحدى أكبر شركات بطاقات الائتمان، طُلب مني بالإضافة إلى ذلك لمسؤولياتي على الإنترنت، للتعرف على كل ما يتعلق بتزوير البطاقات، والذي لم أكن أعرف عنه شيئًا عن. لا يوجد كتاب أو شهادة جامعية في هذا الموضوع، فسألت من يستطيع أن يعلمني؟ لقد ظهر اسم فرانك أباجنال مرارًا وتكرارًا، كل ما في الأمر أنه لا يقبل طلابًا جددًا.
زيارة "رجال المال". @فيرفكس - مع فرانك أباجنال الوحيد. السماح لل #لا كلمات مرور تبدأ الثورة. @trusona_incpic.twitter.com/soAYZ3Vn7u
- أوري آيسن (@ oreisen) 7 ديسمبر 2017
لقد توسلت إليه لعدة أشهر لكي يقابلني ويساعدني لأنه من خلالي يمكنه المساعدة في الحد من الجريمة لأنني سأأخذ معرفته وأتغلب على الأشرار. وفي النهاية وافق على الاجتماع ونحن نعمل معًا منذ ذلك الحين.
على الرغم من اليوم يدير Abagnale شركة استشارية، خبرته تأتي من وقت كانت فيه أجهزة الكمبيوتر نادرة بشكل لا يصدق ولا يمكن مقارنتها بالعالم المعزز رقميًا الذي نتمتع به اليوم. وكيف تكون مدخلاته مفيدة في العصر الحديث؟
كلمة "Trusona" هي مزيج من True وPersona، ولكي تعرف من هي الشخصية الحقيقية، عليك أن تمر بعملية تسمى إثبات الهوية. أولاً، دعونا نحدد هويتك كشخص [لأن...] لا توجد مصادقة دون إثبات الهوية. كيف يمكنني التحقق من هويتك إذا لم أثبت هويتك من البداية؟
"لا توجد مصادقة دون إثبات الهوية."
يعد فرانك جيدًا جدًا في مساعدتنا في التفكير في تلك اللحظة التي تقوم فيها بإجراء إثبات الهوية، وكيفية اكتشاف مستند مزيف. كيف يمكن لرجل سيء أن يستبدل صورة فرانك بصورة ستيفن سبيلبرج. كيف يمكنك التغلب على الشهادة أو كيف يمكنك التغلب على الحبر الأسود الموجود على المستند أو كل المطبوعات الدقيقة الدقيقة. إنه يعرف الكثير عن تلك الوثائق لأن الحكومات تستخدمها في هذه العملية.
في رحلة ابتكار طريقة لمعرفة من هي الشخصية الحقيقية، في كثير من الحالات التي كنا سنتوصل فيها إلى حل، أظهر لنا بشكل أساسي كيف يمكنك التغلب عليها بسهولة شديدة. لذا كان الأمر أشبه بلعب الشطرنج حتى نصل إلى النقطة التي لا يستطيع فيها التغلب على ما كنا نفعله.
ما نوع الأنظمة التي قمت بتطويرها والتي كانت محمية ضد هجمات الهندسة الاجتماعية التي أثبت فرانك أباجنال فعاليته في تنفيذها؟
عندما ظهرت Trusona لأول مرة، أطلقنا منحنى يوضح ما الذي تحاول حمايته، وهذا هو مستوى الخدمة التي نقدمها. في كل منهم، لن يكون هناك أي نوع من كلمة المرور.
تتطلب مستويات الخدمة المختلفة مستويات مختلفة من الكشف. مستوانا الأساسي، المسمى "أساسي"، يطلب منك فقط تقديم عنوان بريد إلكتروني نرسله إليك عبر البريد الإلكتروني للتحقق من إمكانية وصولك إليه بالفعل. لا توجد وثائق معنية، ولا صور، ولا شيء من هذا القبيل. يمكن أن يربطك ذلك بحساب أو لبث الوسائط أو ما شابه. لأنها جيدة بما فيه الكفاية. لا يزال يستخدم تقنية منع إعادة التشغيل الخاصة بنا، لذا حتى لو كان الأشرار يستمعون إليها، فلن يتمكنوا من إعادة استخدامها.
تقنية Trusona المضادة لإعادة التشغيل
مستوانا التالي هو "التنفيذي". يقول هذا المستوى، "حسنًا، لا يزال بإمكانك البقاء في منزلك، ولكن بالإضافة إلى بريدك الإلكتروني، أريدك أن تقوم بالمسح الضوئي." عن بعد، إما جواز السفر أو رخصة القيادة. لا تطلب منك Trusona القيام بذلك، نحن فقط نكمل طلبنا الشركاء. لذا، فأنت تحاول أن تفعل شيئًا ما مع البنك الذي تتعامل معه أو أن تفعل شيئًا يتعلق بالرعاية الصحية الخاصة بك، ونحن نقوم بذلك نيابةً عنهم. لا تقوم Trusona بتخزين أي من هذه البيانات، لأننا لا نريد أن نصبح البطاطا الساخنة التالية لشخص سيء.
المستوى الثالث يسمى "Elite" ويطلب منك بريدًا إلكترونيًا، ومسح مستندك ضوئيًا عن بعد، وإظهار نفسك شخصيًا. نحن نطلب منك أن تفعل ذلك مرة واحدة فقط، لنوصلك ببيانات اعتماد قوية جدًا. لا يعني ذلك أنك تحتاج في كل مرة إلى التقاط صورة شخصية أو مقطع فيديو، لأن هذا هو المستوى الوحيد الذي سيؤمنه الضامن. إنها ليست مخصصة للسوق الشامل، ولكنها مخصصة للمواقف الفريدة، ولكن هذه هي الطريقة الوحيدة لمعرفة الشخصية الحقيقية، وهو ما يدور حوله عملنا.
ماذا عن النمو في برامج التزييف العميق وبرامج معالجة الفيديو المعتمدة على الذكاء الاصطناعي الذي يجعل من الممكن إنشاء مقاطع فيديو وصور نابضة بالحياة للأشخاص أثناء التنقل؟ هل يشكل ذلك تهديدًا لمستوى "النخبة" الخاص بك؟
أصدرت شركات مثل Adobe ما يعادل Photoshop للفيديو المباشر. يمكنه تقليد الصوت والوجه […] ولتجاوز ذلك، عليك أن تبدأ بالهوية الشخصية إثبات، مما يعني أنني بحاجة لمقابلتك في الحياة الواقعية، ومع مستنداتك، لإثبات ذلك أنت. لا يمكنك أن تفعل ذلك عن بعد. ولكن ليس كل حالة استخدام تتطلب ذلك. يعتمد الأمر حقًا على ما تحاول حمايته. إذا أرادت HBO السماح لك بمشاهدة فيلم، فهي لا تحتاج إلى هذا المستوى من الأمان. لكن إذا أراد بنك جولدمان ساكس نقل 50 مليون دولار لستيفن سبيلبرج، فقد يحتاج إلى هذا المستوى من الأمان.
هل سبق لك أن حاول فرانك أباجنال أن يقوم بالمهندس الاجتماعي لموظفي تروسونا؟
لكي نصبح أول شركة معتمدة في العالم - لم يتخذ أي شخص آخر هذه الخطوات، لأن الأمر ليس بسيطًا - علينا أولاً حماية بياناتنا من موظفينا. ماذا لو اختطفت أحدهم وأخبرتنا "لن أطلق سراحهم إلا إذا منحتني حق الوصول إلى المفاتيح؟"
منذ البداية، أمضينا عامًا في وضع التخفي وصممنا نظامًا حتى لو صوبت مسدسًا إلى رأسي فلن أستطيع مساعدتك. يتضمن ذلك رئيس قسم الهندسة لدينا وكل من قام ببناء النظام، لأنني شرحت لهم، من أجل حماية العالم من الأشرار، لا يمكننا أن نكون الحلقة الأضعف في السلسلة وهم يفهم. لهذا السبب يتعين علينا أن نأخذ أشخاصًا مميزين جدًا للتسجيل في هذه المهمة.
"[نحن] صممنا نظامًا، حتى لو صوبت مسدسًا إلى رأسي، فلن أستطيع مساعدتك"
كما أننا لا نقوم بتخزين أي بطاطس ساخنة. إذا قمت باختراقنا اليوم، وقمنا بإجراء الكثير من اختبارات القلم مع شركات مختلفة، فكل ما تحصل عليه هو تجزئة البيانات بطريقة واحدة. إذا أخذت بريدك الإلكتروني، فهو تجزئة بطريقة واحدة. إذا أخذت أي شيء يتعلق بمعاملة ما، فسيتم تجزئتها بطريقة واحدة، لذلك لا يمكنك إعادتها مرة أخرى إلى البيانات لأننا لا نعرف ما هي القيمة الأولية.
إذا تم اختراقنا من قبل دولة قومية، وهو ما أتوقع حدوثه في أي يوم الآن، فسوف يجدون شيئًا عديم الفائدة. لقد أعلنا عن تأميننا في 6 مايو 2016 – منذ عامين. منذ ذلك الحين، 13% من زياراتنا على الويب تأتي من روسيا. وليس لدينا عميل واحد هناك، وليس لدينا مندوب مبيعات واحد هناك. هذا كثير بالنسبة للأشخاص الذين لا نتعامل معهم!
والثالث هو التدريب. أستطيع أن أخبرك أنه حتى في موظف الدعم لدينا، الذي يتلقى مكالمات الدعم [...] نحن ندربهم على تلقي مكالمات من أشخاص مثل "دونالد" ترامب. نحن ماهرون جدًا في تزييف المكالمات الهاتفية وجعلها تبدو شرعية حقًا، لجعل الأمر يبدو وكأن الرئيس يتصل أنت. نحن نعرف كيفية القيام بذلك لأننا قراصنة. إن الخطوات، والأسئلة، وليس مجرد قول نعم لكل شيء، هي التي تجعلنا أقوياء قدر الإمكان. لأننا ندرك أنه كلما أصبحنا أكثر انتشارًا، أصبحنا أنفسنا هدفًا.
وماذا عن المطالب المشروعة من الجهات الحكومية؟ هل بيانات تروسونا محمية من دونالد ترامب الحقيقي؟
لقد كان لدينا العديد من التعاملات مع ثلاث وكالات بريدية، لكن التصميم ينص على أنني لا أستطيع القيام بذلك، حتى لو كنت تريد مني أن أفعل ذلك. لا أعرف ما هي البيانات. يمكنك استدعائي اليوم، وتطلب مني أن أقدم لك جميع البيانات المتعلقة بـ [العميل]. حسنًا، سأتلقى مذكرة الاستدعاء وسأرد إذا كان بإمكانك أن تخبرني أي من سجلاتنا مملوكة لهم، ثم يمكنك الحصول عليها، لكنني لا أعرف.
أحد أكثر الأنظمة الرقمية التي تم الحديث عنها في السنوات الأخيرة هو تكنولوجيا البلوكشين. واليوم يتم استخدامه من قبل الحكومات والمنظمات لحماية صحة البيانات. هل هي أداة فعالة لتحسين الخصوصية وحماية البيانات أيضًا؟
تعد تقنية Blockchain واحدة من أكثر الاختراعات المذهلة في عصرنا، توقف بشدة. ومع ذلك، فإن العديد من الأشخاص يربطون أنه إذا كان هذا صحيحًا رياضيًا، فإنهم غير قابلين للتغيير في الحياة الواقعية، وهذا هو المكان الذي سيضحك عليك فيه فرانك أباجنال.
إذا قمت بإنشاء مستند مزيف لجون مارتنديل وذهبت إلى أحد البنوك وتقدمت بطلب باستخدامه وقاموا بوضعه في blockchain، من خلال في الوقت الذي ستكتشف فيه أنه ليس أنت وستحاول التراجع عن ذلك، كيف ستمحوه من بلوكتشين؟ إنه مبدأ "GIGO"، القمامة في القمامة خارجا.
إن صنع تقنية مثالية رياضيًا هو أمر رائع. أعتقد في الواقع أن كل من يشتري منزلاً يجب أن يكون موجودًا على blockchain حتى لا تفقد منزلك أبدًا. هناك الكثير من التطبيقات الجيدة لذلك، ولكن القول بأن ذلك سيحل مشكلة الهوية الأساسية هو كذب. لم تكن المشكلة أبدًا تتعلق بكيفية تخزين البيانات، بل كانت: كيف أعرف من هو الموجود في حديقة الحيوان؟
مع حدوث العديد من عمليات الاختراق وسرقة البيانات الكبرى، فمن السهل أن يشعر الأشخاص بالعجز عن حماية بياناتهم. هل لديك أي توصيات أمنية لقرائنا يمكنهم استخدامها للمساعدة في حماية أنفسهم؟
هناك نصيحة بسيطة جدًا سأقدمها لهم. وإلى أن نعيش في عالم لا توجد فيه كلمات مرور، نصيحتي الوحيدة هي تغيير كلمات المرور الخاصة بك. لا يكلفك شيئا. حتى لو سُرقت كلمات المرور بالأمس، فإن تغييرها يشبه تغيير قفل بابك. بالنسبة لأهم الأشياء في حياتك، والبنك الذي تتعامل معه، والرعاية الصحية الخاصة بك، ضع إدخالاً في التقويم، وقم بتغيير كلمات المرور الخاصة بك كل شهر، كل ثلاثة أشهر، على الأقل مرة واحدة سنويًا. حقيقة أننا مخلوقات من العادة تعمل ضدنا.
