Trusona печели Best in Show на Finovate 2018
Как доказваш, че си този, за който се представяш? Това може да изглежда като лесен въпрос за отговор, но в свят, в който най-личната ви частна информация може да бъде събрани от вашата кредитна агенция или акаунт в социалната мрежа, тази лекота е проблем. Измамниците и престъпниците също могат да докажат, че сте вие, като използват изненадващо малко информация.
Това е пъзелът, който Ори Айзен се надява да реши с Trusona удостоверяване без парола система. Той предлага услуги за валидиране на посредник на компании по целия свят, с надеждата да подобри защитата на цифровите данни на всички. Той използва опита на 20th измамници от века като Франк Абагнейл, известен във филма Хвани ме ако можеш, за да подкрепим нашите съвременни цифрови защити срещу класическите тактики на социалното инженерство.
Препоръчани видеоклипове
Цифрови тенденции: Франк Абагнейл вероятно е известен на повечето като обект на филма от 2002 г Хвани ме ако можеш въз основа на неговите приключения през 60-те години с измами с чекове и представяне под чужда самоличност. Как се забъркахте двамата?
Ори Айзен: Кратката версия е, че докато работех в една от най-големите компании за кредитни карти, ме помолиха допълнително към моите интернет задължения, да науча всичко за фалшифицирането на карти, за което не знаех нищо относно. Няма книга или университетска диплома по този предмет, затова попитах кой може да ме научи? Името Франк Абагнейл се появява отново и отново, просто той не приема нови студенти.
Посещение на „Мъжете на парите“. @FairFX -с единствения Франк Абагнейл. Нека #Без пароли Революцията започва. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ори Айзен (@orieisen) 7 декември 2017 г
Молех го месеци и месеци да се срещне с мен и да ми помогне, защото чрез мен той можеше да помогне за ограничаване на престъпността, защото щях да взема знанията му и да отида да победя лошите. В крайна сметка той се съгласи на срещата и оттогава работим заедно.
Въпреки че днес Abagnale управлява консултантска фирма, неговият опит идва от времето, когато компютрите бяха невероятно рядкост и несравними с дигитално подобрения свят, на който се наслаждаваме днес. Как неговият принос е полезен в съвременната епоха?
Думата „Trusona“ е смесица от True и Persona и за да разберете коя е истинската личност, трябва да преминете през процес, наречен проверка на самоличността. Първо нека установим кой сте вие като човек [защото...] няма удостоверяване без доказване на самоличността. Как мога да удостоверя, че това си ти, ако не докажа, че си ти?
„Няма удостоверяване без доказване на самоличността.“
Франк е наистина добър в това да ни помогне да обмислим в този момент, когато извършвате проверка на самоличността, как да разпознаем фалшив документ. Как един лош човек би заменил снимка на Франк със снимка на Стивън Спилбърг. Как бихте победили сертификата или как бихте победили черното мастило върху документа или целия фин микропечат. Той наистина знае много за тези документи, защото правителствата ги използват в този процес.
В пътуването на измислянето на начин да разберем коя е истинската личност, в много случаи, когато бихме измислили решение, той всъщност ни показа как можете да го победите много лесно. Така че беше като да играеш шах, докато не стигнеш до момента, в който той не можеше да победи това, което правехме ние.
Какъв вид системи разработихте, които бяха защитени срещу вида атаки на социалното инженерство, които Франк Абагнейл е толкова ефективен в прилагането?
Когато Trusona дебютира, стартирахме с крива, която казва какво се опитвате да защитите и това е нивото на услугата, която предоставяме. Във всички тях няма да има никаква парола.
Различните нива на обслужване изискват различни нива на разкриване. Нашето основно ниво, наречено „Основно“, ви моли само да предоставите имейл адрес, на който ние изпращаме имейл, за да потвърдим, че наистина имате достъп до него. Няма включени документи, няма снимки, нищо подобно. Това може да ви свърже с акаунт, за поточно предаване на медии или подобно. Защото е достатъчно добър. Той все още използва нашата технология против повторение, така че дори и лошите да го слушат, те не могат да го използват повторно.
Технологията против повторение на Trusona
Следващото ни ниво е „Изпълнителен“. Това ниво казва: „Добре, все още можете да сте в къщата си, но в допълнение към вашия имейл, искам да сканирате дистанционно, или паспорт, или шофьорска книжка.“ Не Трусона ви казва да го направите, ние само изпълняваме заявката на нашите партньори. И така, вие се опитвате да направите нещо с вашата банка или да направите нещо с вашето здравеопазване и ние го правим от тяхно име. Trusona не съхранява нито една от тези данни, защото не искаме да се превърнем в следващия горещ картоф за лош човек.
Третото ниво се нарича „Elite“ и ви моли за имейл, и да сканирате документа си дистанционно, и да се явите лично. Молим ви да направите това само веднъж, за да ви свържем с много силни идентификационни данни. Не че всеки път, когато трябва да направите селфи или видео, защото това е единственото ниво, което застрахователят ще застрахова. Не е за масовия пазар, а за уникални ситуации, но това е единственият начин да познаете истинската личност, което е основната цел на нашия бизнес.
Какво ще кажете за растежа в deepfakes и управляван от AI софтуер за видео манипулиране което прави възможно създаването на реалистично видео и изображения на хора в движение? Това представлява ли заплаха за вашето ниво „Елит“?
Компании като Adobe пуснаха еквивалента на Photoshop за видео на живо. Може да имитира глас и лице […] За да отидете отвъд това, ще трябва да започнете с лична самоличност проверка, което означава, че трябва да се срещна с вас в реалния живот и с вашите документи, за да установя, че е така Вие. Не можете да го направите дистанционно. Но не всеки случай на употреба изисква това. Наистина зависи какво се опитвате да защитите. Ако HBO иска да ви позволи да гледате филм, те не се нуждаят от това ниво на сигурност. Но ако Goldman Sachs иска да прехвърли 50 милиона долара за Стивън Спилбърг, те може да се нуждаят от това ниво на сигурност.
Някога карали ли сте Франк Абагнейл да се опитва да работи със социални инженери на служители на Trusona?
За да станем първата автентифицирана компания в света – никой друг не е предприел тези стъпки, защото не е просто – първо трябва да защитим собствените си данни от собствените си служители. Ами ако отвлечете един от тях и ни кажете „Ще ги освободя само ако ми дадете достъп до ключовете?“
Още от самото начало прекарахме една година в стелт режим и проектирахме система, която дори и да опряш пистолет в главата ми, не мога да ти помогна. Това включва нашия ръководител на инженеринга и всички останали, които изградиха системата, защото им обясних, за да защитим света от лошите, ние не можем да бъдем най-слабото звено във веригата, а те разбирам. Ето защо трябва да вземем много специални хора, които да се запишат за тази мисия.
„[Ние] проектирахме система, при която дори да опрете пистолет в главата ми, не мога да ви помогна“
Също така не съхраняваме горещи картофи. Ако сте ни хакнали днес и сме направили много тестове с писалка с различни компании, всичко, което получавате, е еднопосочно хеширане на данни. Ако взех имейла ви, това е еднопосочен хеш. Ако взех нещо за транзакция, то е еднопосочно хеширано, така че никога не можете да го върнете обратно към данните, защото не знаем каква е необработената стойност.
Ако бяхме хакнати от национална държава, което очаквам да се случи всеки ден, те ще намерят нещо, което е безполезно. Ние обявихме нашата застраховка на 6 май 2016 г. – преди две години. Оттогава 13 процента от нашите уеб посещения идват от Русия. И ние нямаме нито един клиент там, нямаме нито един продавач там. Това е много за хора, с които не правим бизнес!
Третото е обучението. Мога да ви кажа, че дори при нашия човек от поддръжката, който приема обаждания от поддръжката […] ние ги обучаваме да приемат обаждания от хора като „Доналд Тръмп.“ Ние сме много умели да фалшифицираме телефонни обаждания и да ги направим да изглеждат наистина законни, за да изглежда, че президентът се обажда Вие. Ние знаем как да го направим, защото сме хакери. Това са стъпките, въпросите, а не просто казването „да“ на всичко, което ни прави възможно най-силни. Защото осъзнаваме, че колкото по-проникващи ставаме, ние самите се превръщаме в мишена.
Какво ще кажете за законните искания от държавните агенции? Защитени ли са данните на Trusona от истинския Доналд Тръмп?
Имали сме много сделки с три агенции за писма, но дизайнът е такъв, че не мога да го направя, дори и да искате. Не знам какви са данните. Можете да ме призовете днес и да ми кажете да ви дам всички данни за [клиент]. Добре, ще получа призовката и ще отговоря, ако можете да ми кажете кои от нашите записи са техни, тогава можете да ги получите, но не знам.
Една от най-обсъжданите цифрови системи през последните години е блокчейн технология. Днес се използва от правителства и организации за защита на достоверността на данните. Ефективен ли е инструментът и за подобряване на поверителността и защитата на данните?
Блокчейн технологията е едно от най-удивителните изобретения на нашето време, трудно спиране. Много хора обаче правят връзката, че ако е математически правилно, те са неизменни в реалния живот и това е мястото, където Франк Абагнейл просто ще ви се изсмее.
Ако направя фалшив документ на Джон Мартиндейл и отида в банка и кандидатствам с него и те поставят в блокчейн, от времето, когато разберете, че не сте били вие и ще се опитате да го отмените, как ще го изтриете от блокчейн? Това е принципът „GIGO“, боклук в боклука навън.
Създаването на технология, която е математически перфектна, е прекрасно. Всъщност мисля, че всеки, който купува къща, трябва да я има в блокчейн, така че никога да не загубите къщата си. Има много добри приложения за това, но да се каже, че това ще реши основния проблем с идентичността, е лъжа. Проблемът никога не е бил в това как да се съхраняват данните, а е бил: Как да разбера кой кой е в зоологическата градина?
С толкова много големи хакове и кражби на данни е лесно за хората да се почувстват безсилни да защитят данните си. Имате ли препоръки за сигурност за нашите читатели, които те могат да използват, за да се защитят?
Има един много прост съвет, който ще им дам. Докато не живеем в свят без пароли, единственият ми съвет е да смените паролите си. Не ви струва нищо. Дори ако паролите са били откраднати вчера, смяната им е като смяна на ключалката на вратата ви. За най-важните неща в живота ви, банкирайте вашето здравеопазване, поставете запис в календара и всеки месец, всяко тримесечие, поне веднъж годишно, променяйте паролите си. Фактът, че сме създания на навика, работи срещу нас.
