Trusona vyhrává Best in Show na Finovate 2018
Jak dokážete, že jste tím, kým říkáte, že jste? To se může zdát jako jednoduchá otázka, ale ve světě, kde mohou být vaše nejosobnější soukromé informace získané z vaší úvěrové agentury nebo účet na sociální síti, ta lehkost je problém. Podvodníci a zločinci mohou také prokázat, že jste to vy, a to pomocí překvapivě malého množství informací.
To je hádanka, kterou chce Ori Eisen vyřešit Trusona ověřování bez hesla Systém. Společnostem po celém světě nabízí validační služby prostředníků v naději, že zlepší ochranu digitálních dat všech. Využívá odborných znalostí 20čt století podvodníci jako Frank Abagnale, skvěle vyobrazený ve filmu Chyť mě, jestli to dokážeš, abychom podpořili naši moderní digitální obranu proti klasickým taktikám sociálního inženýrství.
Doporučená videa
Digitální trendy: Franka Abagnala pravděpodobně většina zná jako téma filmu z roku 2002 Chyť mě, jestli to dokážeš na základě jeho eskapád v 60. letech se šekovými podvody a předstíráním identity. Jak jste se vy dva dostali dohromady?
Ori Eisen: Zkrácená verze je taková, že když jsem pracoval pro jednu z největších společností vydávajících kreditní karty, byl jsem požádán navíc ke svým povinnostem na internetu, abych se dozvěděl vše o padělání karet, o kterých jsem nic nevěděl o. Na toto téma neexistuje žádná kniha ani univerzitní diplom, tak jsem se zeptal, kdo mě může učit? Jméno Frank Abagnale se objevovalo znovu a znovu, jen nebere nové studenty.
Návštěva „Money Men“. @FairFX -s jediným Frankem Abagnalem. Nech #NoPasswords Revoluce začíná. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7. prosince 2017
Měsíce a měsíce jsem ho prosil, aby se se mnou setkal a pomohl mi, protože skrze mě mohl pomoci omezit zločin, protože bych vzal jeho znalosti a šel bít padouchy. Nakonec se schůzkou souhlasil a od té doby spolu pracujeme.
I když dnes Abagnale provozuje poradenskou firmu, jeho odborné znalosti pocházejí z doby, kdy byly počítače neuvěřitelně vzácné a nesrovnatelné s digitálně vylepšeným světem, který si dnes užíváme. Jak je jeho příspěvek užitečný v moderní době?
Slovo „Trusona“ je fúzí True a Persona a abyste věděli, kdo je skutečná persona, musíte projít procesem zvaným ověření identity. Nejprve si ujasněme, kdo jste jako osoba [protože…] neexistuje ověření bez ověření identity. Jak mohu ověřit, že jste to vy, když pro začátek neprokážu, že jste to vy?
"Bez prokázání totožnosti neexistuje žádná autentizace."
Frank je opravdu dobrý v tom, že nám pomáhá promyslet v okamžiku, kdy provádíte ověřování identity, jak odhalit falešný dokument. Jak by zlý člověk nahradil obrázek Franka obrázkem Stevena Spielberga. Jak byste porazili certifikát nebo jak byste porazili černý inkoust na dokumentu nebo veškerý jemný mikrotisk. Ví o těch dokumentech opravdu hodně, protože vlády je v tomto procesu používají.
Na cestě vymýšlení způsobu, jak zjistit, kdo je skutečná osoba, v mnoha případech, kdy bychom přišli na řešení, nám v podstatě ukázal, jak ji můžete velmi snadno porazit. Takže to bylo jako hrát šachy, dokud jste nedošli do bodu, kdy nemohl porazit to, co jsme dělali.
Jaký druh systémů jste vyvinuli, aby byly chráněny proti útokům sociálního inženýrství, které Frank Abagnale tak efektivně implementuje?
Když Trusona debutovala, uvedli jsme na trh křivku, která říká, co se snažíte chránit, a to je úroveň služeb, které poskytujeme. Ve všech z nich nebude žádné heslo.
Různé úrovně služeb vyžadují různé úrovně odhalení. Naše základní úroveň, nazvaná „Essential“, vás pouze žádá o poskytnutí e-mailové adresy, na kterou vám zašleme e-mail, abychom ověřili, že k ní skutečně máte přístup. Nejsou v tom žádné dokumenty, žádné obrázky, nic takového. To vás může spojit s účtem, pro streamování médií nebo podobně. Protože je to dost dobré. Stále používá naši technologii proti opětovnému přehrávání, takže i kdyby ji poslouchali padouši, nemohli ji znovu použít.
Technologie Trusona Anti-Replay
Naší další úrovní je „Executive“. Tato úroveň říká: ‚Dobře, stále můžete být ve svém domě, ale kromě svého e-mailu chci, abyste naskenovali na dálku, buď pas, nebo řidičský průkaz.“ Trusona vám to neříká, pouze dokončujeme žádost našeho partnery. Takže se snažíte něco udělat se svou bankou nebo udělat něco se svým zdravotnictvím a my to děláme jejich jménem. Trusona neukládá žádná z těchto dat, protože se nechceme stát dalším horkým bramborem pro zlého chlapa.
Třetí úroveň se nazývá „Elite“ a požádá vás o e-mail, naskenování dokumentu na dálku a osobní předvedení. Žádáme vás, abyste to udělali pouze jednou, abychom vás spojili s velmi silným pověřením. Není to tak, že pokaždé, když potřebujete udělat selfie nebo video, protože to je jediná úroveň, kterou si upisovatel pojistí. Není to pro masový trh, je to pro jedinečné situace, ale je to jediný způsob, jak poznat skutečnou osobnost, o čemž je naše podnikání.
A co růst v deepfakes a software pro manipulaci s videem řízený umělou inteligencí což umožňuje vytvářet realistická videa a obrázky lidí za běhu? Představuje to hrozbu pro vaši „Elitní“ úroveň?
Společnosti jako Adobe vydaly ekvivalent pro Photoshop pro živé video. Dokáže napodobit hlas a tvář […] Abyste se dostali dále, museli byste začít s osobní identitou proofing, což znamená, že se s vámi musím setkat v reálném životě a s vašimi dokumenty, abych zjistil, že je to tak vy. Nemůžete to udělat na dálku. Ale ne každý případ použití to vyžaduje. Opravdu záleží na tom, co se snažíte chránit. Pokud vám HBO chce umožnit sledování filmu, nepotřebuje takovou úroveň zabezpečení. Ale pokud chce Goldman Sachs přesunout 50 milionů dolarů pro Stevena Spielberga, možná bude potřebovat takovou úroveň zabezpečení.
Už se vám někdy stalo, že Frank Abagnale zkusil sociální inženýrství zaměstnanců Trusony?
Abychom se stali první ověřenou společností na světě – nikdo jiný tyto kroky neudělal, protože to není jednoduché – musíme nejprve chránit naše vlastní data před našimi vlastními zaměstnanci. Co kdybyste jednoho z nich unesli a řekli nám: ‚Propustím je, jen když mi dáte přístup ke klíčům?‘
Hned od začátku jsme strávili rok v utajeném režimu a navrhli jsme systém, že i když mi dáš zbraň k hlavě, nemůžu ti pomoci. To zahrnuje našeho vedoucího inženýrství a každého dalšího, kdo vytvořil systém, protože jsem jim vysvětlil, abychom ochránili svět před padouchy, nemůžeme být nejslabším článkem řetězu a oni rozumět. Proto musíme vzít velmi speciální lidi, aby se přihlásili k této misi.
„[Navrhli jsme] systém, kde i když mi přiložíte pistoli k hlavě, nemohu vám pomoci“
Také neskladujeme žádné horké brambory. Pokud jste nás dnes hackli a my jsme provedli mnoho perových testů s různými společnostmi, získáte pouze jednosměrný hash dat. Pokud jsem vzal váš e-mail, je to jednosměrný hash. Pokud jsem vzal něco o transakci, je to jedním způsobem hašované, takže to nikdy nemůžete vrátit zpět k datům, protože nevíme, jaká je nezpracovaná hodnota.
Kdyby nás hacknul národní stát, což očekávám, že se to stane každým dnem, našli by něco, co je zbytečné. Pojištění jsme oznámili 6. května 2016 – před dvěma lety. Od té doby pochází 13 procent našich webových hitů z Ruska. A nemáme tam jediného zákazníka, nemáme tam jediného prodejce. To je hodně pro lidi, se kterými neobchodujeme!
Třetí je trénink. Můžu vám říct, že i u našeho pomocníka, který přijímá telefonáty na podporu […], je trénujeme, aby přijímali hovory od lidí jako ‚Donald Trump.‘ Jsme velmi zběhlí v předstírání telefonních hovorů a v tom, aby to vypadalo opravdu legitimně, aby to vypadalo, že volá prezident vy. Víme, jak na to, protože jsme hackeři. Jsou to kroky, otázky, nejen říkat ano na všechno, co nás dělá tak silnými, jak jen můžeme být. Protože si uvědomujeme, že čím více se stáváme všudypřítomnými, tím se sami stáváme cílem.
A co legitimní požadavky ze strany vládních agentur? Jsou data Trusony chráněna před skutečným Donaldem Trumpem?
Měli jsme mnoho jednání se třemi dopisovými agenturami, ale design je takový, že to nedokážu, i kdybyste to chtěli. nevím, jaká jsou data. Můžete mě dnes předvolat a říct mi, abych vám dal všechna data o [klientovi]. Ok, dostanu předvolání a odpovím, pokud mi můžete říct, které z našich záznamů jsou jejich, pak je můžete mít, ale nevím.
Jedním z nejvíce diskutovaných digitálních systémů v posledních letech byl technologie blockchain. Dnes jej používají vlády a organizace k ochraně pravdivosti dat. Je to také účinný nástroj pro zlepšení soukromí a ochrany dat?
Technologie blockchain je jedním z nejúžasnějších vynálezů naší doby, těžké zastavení. Mnoho lidí však spojuje, že pokud je to matematicky správné, jsou v reálném životě neměnní, a to je místo, kde se vám Frank Abagnale bude jen smát.
Když udělám falešný dokument Jona Martindalea a půjdu do banky a zažádám si s ním a oni ho vloží do blockchainu, až přijdete na to, že jste to nebyli vy, a zkusíte to vrátit, jak to odstraníte z blockchain? Je to princip „GIGO“, odpadky v odpadcích ven.
Vytvořit technologii, která je matematicky dokonalá, je úžasné. Vlastně si myslím, že každý, kdo si koupí dům, by ho měl mít na blockchainu, takže o svůj dům nikdy nemůžeš přijít. Na to existuje spousta dobrých aplikací, ale tvrdit, že to vyřeší hlavní problém identity, je falešné. Problém nikdy nebyl v tom, jak data uložit, byl to: Jak poznám, kdo je kdo v zoo?
S tolika velkými hacky a krádežemi dat se lidé snadno mohou cítit bezmocní při ochraně svých dat. Máte pro naše čtenáře nějaká bezpečnostní doporučení, která mohou použít, aby se ochránili?
Dám jim velmi jednoduchý tip. Dokud nebudeme žít ve světě bez hesel, moje jediná rada je změnit si hesla. Nic vás to nestojí. I když byla hesla ukradena včera, jejich změna je jako výměna zámku na dveřích. Pro nejdůležitější věci ve vašem životě, vaše banka vaše zdravotní péče, vložte záznam do kalendáře a každý měsíc, každé čtvrtletí, minimálně jednou za rok, měňte svá hesla. Skutečnost, že jsme stvoření ze zvyku, pracuje proti nám.