Trusona vinder Best in Show ved Finovate 2018
Hvordan beviser du, at du er den, du siger, du er? Det kan virke som et let spørgsmål at besvare, men i en verden, hvor dine mest personlige private oplysninger kan være høstet fra dit kreditbureau eller sociale netværkskonto, den lethed er et problem. Svindlere og kriminelle kan også bevise, at de er dig, ved at bruge overraskende lidt information.
Det er det puslespil, Ori Eisen håber at løse med Trusona adgangskodefri godkendelse system. Det tilbyder mellemmandsvalideringstjenester til virksomheder over hele verden i håb om at forbedre beskyttelsen af alles digitale data. Han bruger ekspertise fra 20th århundredes svindlere som Frank Abagnale, der er berømt afbildet i filmen Fang mig hvis du kan, for at styrke vores moderne digitale forsvar mod klassisk social engineering taktik.
Anbefalede videoer
Digitale tendenser: Frank Abagnale er sandsynligvis kendt af de fleste som emnet for filmen fra 2002 Fang mig hvis du kan baseret på hans eskapader i 60'erne med checksvindel og personefterligning. Hvordan blev I to involveret sammen?
Ori Eisen: Den korte version er, at mens jeg arbejdede for et af de største kreditkortselskaber, blev jeg desuden spurgt til mit internetansvar, for at lære om alt om forfalskning af kort, som jeg ikke vidste noget om om. Der er ingen bog eller universitetsuddannelse om det emne, så jeg spurgte, hvem kan lære mig det? Navnet Frank Abagnale dukkede op igen og igen, det er bare det, at han ikke tager nye studerende.
"Pengemændene" på besøg @FairFX -med den eneste Frank Abagnale. Lad det #Ingen adgangskoder Revolutionen begynder. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7. december 2017
Jeg tryglede ham i måneder og måneder om at møde mig og hjælpe mig, fordi han gennem mig kunne hjælpe med at dæmme op for kriminalitet, fordi jeg ville tage hans viden og gå hen og slå de onde. Til sidst sagde han ja til mødet, og vi har arbejdet sammen lige siden.
Selvom i dag Abagnale driver et konsulentfirma, kommer hans ekspertise fra en tid, hvor computere var utroligt sjældne og usammenlignelige med den digitalt forbedrede verden, vi nyder i dag. Hvordan er hans input nyttigt i den moderne tidsalder?
Ordet "Trusona" er en sammensmeltning af True og Persona, og for at vide, hvem den sande persona er, skal du igennem en proces kaldet identitetsbevis. Lad os først fastslå, hvem du er som person [fordi...] der er ingen autentificering uden identitetsbevis. Hvordan kan jeg bekræfte, at det er dig, hvis jeg ikke beviser, at det er dig til at begynde med?
"Der er ingen godkendelse uden identitetsbevis."
Frank er rigtig god til at hjælpe os med at tænke igennem i det øjeblik, hvor du udfører identitetskontrol, hvordan man kan se et falsk dokument. Hvordan en dårlig fyr ville erstatte et billede af Frank med et billede af Steven Spielberg. Hvordan ville du slå certifikatet, eller hvordan ville du slå det sorte blæk på dokumentet eller alt det fine mikroprint. Han ved virkelig meget om disse dokumenter, fordi regeringer bruger dem i den proces.
På rejsen med at udtænke en måde at finde ud af, hvem den sande person er, i mange tilfælde, hvor vi ville have fundet en løsning, viste han os dybest set, hvordan du meget nemt kunne slå den. Så det var som at spille skak, indtil man kommer til det punkt, hvor han ikke kunne slå det, vi lavede.
Hvilken slags systemer har du udviklet, som var beskyttet mod den slags sociale ingeniørangreb, som Frank Abagnale er så effektiv til at implementere?
Da Trusona debuterede, lancerede vi med en kurve, der siger, hvad du forsøger at beskytte, og det er det serviceniveau, vi leverer. I dem alle vil der ikke være nogen form for adgangskode.
Forskellige serviceniveauer kræver forskellige niveauer af afsløring. Vores grundlæggende niveau, kaldet "Væsentligt", beder dig kun om at angive en e-mailadresse, som vi sender en e-mail for at bekræfte, at du faktisk har adgang til den. Der er ingen dokumenter involveret, ingen billeder, intet lignende. Det kan binde dig til en konto, til mediestreaming eller lignende. For det er godt nok. Den bruger stadig vores anti-replay-teknologi, så selvom skurke lyttede til den, kunne de ikke genbruge den.
Trusonas Anti-Replay-teknologi
Vores næste niveau er "Executive". Det niveau siger, 'ok du kan stadig være i dit hus, men ud over din e-mail vil jeg have dig til at scanne eksternt, enten et pas eller et kørekort.’ Det er ikke Trusona, der fortæller dig at gøre det, vi udfylder kun anmodningen fra vores partnere. Så du prøver at gøre noget med din bank eller at gøre noget med dit sundhedsvæsen, og på deres vegne gør vi det. Trusona gemmer ikke nogen af disse data, fordi vi ikke ønsker at blive den næste varme kartoffel for en dårlig fyr.
Det tredje niveau kaldes "Elite", og det beder dig om en e-mail og om at scanne dit dokument eksternt og vise dig selv op. Vi beder dig kun om at gøre det én gang, for at forbinde dig med en meget stærk legitimation. Det er ikke sådan, hver gang du skal tage en selfie eller video, for det er det eneste niveau, som en underwriter vil forsikre. Det er ikke til massemarkedet, det er til unikke situationer, men det er den eneste måde at kende den sande persona, som er hvad vores forretning handler om.
Hvad med væksten i deepfakes og AI-drevet videomanipulationssoftware der gør det muligt at skabe naturtro video og billeder af mennesker på farten? Udgør det en trussel mod dit "Elite"-niveau?
Virksomheder som Adobe udgav tilsvarende til Photoshop til live video. Det kan efterligne stemme og ansigt […] For at gå ud over det, skal du begynde med personlig identitet korrektur, hvilket betyder, at jeg skal møde dig i det virkelige liv og med dine dokumenter for at fastslå, at det er du. Du kan ikke gøre det eksternt. Men ikke alle usecases kræver det. Det afhænger virkelig af, hvad du forsøger at beskytte. Hvis HBO vil give dig mulighed for at se en film, har de ikke brug for det sikkerhedsniveau. Men hvis Goldman Sachs vil flytte 50 millioner dollars for Steven Spielberg, har de måske brug for det sikkerhedsniveau.
Har du nogensinde fået Frank Abagnale til at prøve at socialingeniør Trusonas medarbejdere?
For at blive verdens første autentificerede virksomhed – ingen andre har taget disse skridt, fordi det ikke er enkelt – skal vi først beskytte vores egne data mod vores egne medarbejdere. Hvad hvis du kidnappede en af dem og sagde til os 'Jeg vil kun frigive dem, hvis du giver mig adgang til nøglerne?'
Lige fra starten brugte vi et år i stealth-tilstand og designede et system, som jeg ikke kan hjælpe dig med, selvom du sætter en pistol mod hovedet på mig. Det inkluderer vores ingeniørchef og alle andre, der byggede systemet, fordi jeg forklarede dem, for at beskytte verden mod de onde, kan vi ikke være det svageste led i kæden, og de forstå. Derfor er vi nødt til at tage meget specielle mennesker til at tilmelde sig denne mission.
"[Vi] designede et system, hvor jeg ikke kan hjælpe dig, selvom du sætter en pistol mod hovedet på mig"
Vi opbevarer heller ingen varme kartofler. Hvis du hackede os i dag, og vi har lavet en masse pen-tests med forskellige virksomheder, får du kun én måde hash af data. Hvis jeg tog din e-mail, er det one way hash. Hvis jeg tog noget om en transaktion, er den hashed på én måde, så du kan aldrig vende den tilbage til dataene, fordi vi ikke ved, hvad råværdien er.
Hvis vi blev hacket af en nationalstat, hvilket jeg forventer vil ske hver dag nu, ville de finde noget, der var ubrugeligt. Vi annoncerede vores forsikring den 6. maj 2016 – for to år siden. Lige siden kommer 13 procent af vores webhits fra Rusland. Og vi har ikke en eneste kunde der, vi har ikke en eneste sælger der. Det er meget for folk, vi ikke handler med!
Den tredje er træning. Jeg kan fortælle dig, at selv hos vores supportmand, som tager supportopkald […], træner vi dem til at tage imod opkald fra folk som 'Donald Trump.’ Vi er meget dygtige til at forfalske telefonopkald og få det til at se rigtig legitimt ud, for at få det til at virke som om præsidenten ringer du. Vi ved, hvordan man gør det, fordi vi er hackere. Det er trinene, spørgsmålene, ikke bare at sige ja til alt, der gør os så stærke, som vi kan blive. Fordi vi indser, at jo mere gennemgribende vi bliver, er vi selv ved at blive et mål.
Hvad med legitime krav fra offentlige myndigheder? Er Trusona-data beskyttet mod den rigtige Donald Trump?
Vi har haft mange handler med tre brevbureauer, men designet er sådan, at jeg ikke kan gøre det, selvom du ville have mig til det. Jeg ved ikke, hvad dataene er. Du kan stævne mig i dag og bede mig give dig alle data om [en klient]. Ok, jeg får stævningen, og jeg vil svare, hvis du kan fortælle mig, hvilke af vores optegnelser, der er deres, så kan du få det, men jeg ved det ikke.
Et af de mest omtalte digitale systemer i de senere år har været blockchain teknologi. I dag bruges det af regeringer og organisationer til at beskytte rigtigheden af data. Er det også et effektivt værktøj til at forbedre privatlivets fred og databeskyttelse?
Blockchain-teknologi er en af de mest fantastiske opfindelser i vores tid, hårdt stop. Mange mennesker forbinder dog, at hvis det er matematisk korrekt, er de uforanderlige i det virkelige liv, og det er her Frank Abagnale bare vil grine af dig.
Hvis jeg laver et falsk dokument af Jon Martindale, og jeg går til en bank og ansøger med det, og de sætter ind i en blockchain, pr. når du vil finde ud af, at det ikke var dig, og du vil prøve at fortryde det, hvordan vil du fjerne det fra blockchain? Det er "GIGO"-princippet, skrald ind skrald ud.
At lave en teknologi, der er matematisk perfekt, er vidunderligt. Jeg synes faktisk, at alle, der køber et hus, skal have det på en blockchain, så man aldrig kan miste sit hus. Der er mange gode applikationer til det, men at sige, at det vil løse det centrale identitetsproblem, er en løgn. Problemet handlede aldrig om, hvordan man opbevarer dataene, det var: Hvordan ved jeg, hvem der er hvem i zoologisk have?
Med så mange store hacks og datatyverier, der finder sted, er det nemt for folk at føle sig magtesløse til at beskytte deres data. Har du nogen sikkerhedsanbefalinger til vores læsere, som de kan bruge til at beskytte sig selv?
Der er et meget simpelt tip, jeg vil give dem. Indtil vi lever i en verden uden adgangskoder, er mit eneste råd at ændre dine adgangskoder. Det koster dig ikke noget. Selvom adgangskoder blev stjålet i går, er det at ændre dem som at skifte låsen på din dør. For de vigtigste ting i dit liv, din bank dit sundhedsvæsen, læg en kalenderpost og hver måned, hvert kvartal, minimum en gang om året, skift dine adgangskoder. Det faktum, at vi er vaneskabninger, modarbejder os.
