Η Trusona κερδίζει το καλύτερο σε εμφάνιση στο Finovate 2018
Πώς αποδεικνύεις ότι είσαι αυτός που λες; Μπορεί να φαίνεται σαν μια εύκολη ερώτηση για απάντηση, αλλά σε έναν κόσμο όπου μπορεί να είναι οι πιο προσωπικές σας πληροφορίες συγκομίζονται από την πιστωτική σας εταιρεία ή λογαριασμό κοινωνικής δικτύωσης, αυτή η ευκολία είναι πρόβλημα. Οι απατεώνες και οι εγκληματίες μπορούν επίσης να αποδείξουν ότι είστε εσείς, χρησιμοποιώντας εκπληκτικά λίγες πληροφορίες.
Αυτός είναι ο γρίφος που ο Ori Eisen ελπίζει να λύσει με το Έλεγχος ταυτότητας Trusona χωρίς κωδικό πρόσβασης Σύστημα. Προσφέρει υπηρεσίες επικύρωσης μεσαίου προσωπικού σε εταιρείες σε όλο τον κόσμο, με την ελπίδα να βελτιώσει την προστασία των ψηφιακών δεδομένων όλων. Χρησιμοποιεί την τεχνογνωσία των 20ου απατεώνες του αιώνα όπως ο Frank Abagnale, που απεικονίζεται περίφημα στην ταινία Πιάσε με αν μπορείς, για να ενισχύσουμε τις σύγχρονες ψηφιακές μας άμυνες ενάντια στις κλασικές τακτικές κοινωνικής μηχανικής.
Προτεινόμενα βίντεο
Digital Trends: Ο Frank Abagnale είναι πιθανότατα γνωστός από τους περισσότερους ως το θέμα της ταινίας του 2002 Πιάσε με αν μπορείς βασισμένος στις αποδράσεις του στη δεκαετία του ’60 με απάτη επιταγών και πλαστοπροσωπία. Πώς ασχοληθήκατε οι δυο σας;
Όρι Άιζεν: Η σύντομη εκδοχή είναι ότι ενώ δούλευα σε μια από τις μεγαλύτερες εταιρείες πιστωτικών καρτών, μου ζητήθηκε επιπλέον στις ευθύνες μου στο Διαδίκτυο, να μάθω τα πάντα για την παραχάραξη καρτών, που δεν ήξερα τίποτα σχετικά με. Δεν υπάρχει βιβλίο ή πτυχίο πανεπιστημίου για αυτό το θέμα, οπότε ρώτησα, ποιος μπορεί να με διδάξει; Το όνομα Frank Abagnale εμφανίστηκε ξανά και ξανά, απλώς δεν δέχεται νέους μαθητές.
Επίσκεψη των «Money Men». @FairFX -με τον έναν και μοναδικό Frank Abagnale. Αφήστε το #No Passwords Αρχίζει η επανάσταση. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7 Δεκεμβρίου 2017
Τον παρακαλούσα μήνες και μήνες να με συναντήσει και να με βοηθήσει γιατί μέσω εμένα μπορούσε να βοηθήσει να περιορίσει το έγκλημα γιατί έπαιρνα τις γνώσεις του και πήγαινα να χτυπήσω τους κακούς. Τελικά συμφώνησε στη συνάντηση και από τότε δουλεύουμε μαζί.
Αν και σήμερα Η Abagnale λειτουργεί μια συμβουλευτική εταιρεία, η τεχνογνωσία του προέρχεται από μια εποχή που οι υπολογιστές ήταν απίστευτα σπάνιοι και ασύγκριτοι με τον ψηφιακά βελτιωμένο κόσμο που απολαμβάνουμε σήμερα. Πόσο χρήσιμη είναι η συμβολή του στη σύγχρονη εποχή;
Η λέξη "Trusona" είναι ένας συνδυασμός True και Persona και για να μάθετε ποια είναι η αληθινή περσόνα, πρέπει να περάσετε από μια διαδικασία που ονομάζεται απόδειξη ταυτότητας. Πρώτα ας προσδιορίσουμε ποιος είστε ως άτομο [γιατί…] δεν υπάρχει έλεγχος ταυτότητας χωρίς απόδειξη ταυτότητας. Πώς μπορώ να πιστοποιήσω ότι είστε εσείς, αν δεν αποδείξω ότι είστε εσείς αρχικά;
"Δεν υπάρχει έλεγχος ταυτότητας χωρίς απόδειξη ταυτότητας."
Ο Φρανκ είναι πολύ καλός στο να μας βοηθά να σκεφτούμε καλά τη στιγμή που πραγματοποιείτε έλεγχο ταυτότητας, πώς να εντοπίσουμε ένα πλαστό έγγραφο. Πώς ένας κακός θα αντικαθιστούσε μια φωτογραφία του Φρανκ με μια φωτογραφία του Στίβεν Σπίλμπεργκ. Πώς θα νικούσατε το πιστοποιητικό ή πώς θα νικούσατε το μαύρο μελάνι στο έγγραφο ή όλο το λεπτό μικροεκτύπωμα. Ξέρει πραγματικά πολλά για αυτά τα έγγραφα επειδή οι κυβερνήσεις τα χρησιμοποιούν σε αυτή τη διαδικασία.
Στο ταξίδι της επινόησης ενός τρόπου για να μάθετε ποια είναι η αληθινή περσόνα, σε πολλές περιπτώσεις που θα είχαμε βρει μια λύση, βασικά μας έδειξε πώς θα μπορούσατε να το νικήσετε πολύ εύκολα. Έτσι ήταν σαν να παίζεις σκάκι μέχρι να φτάσεις στο σημείο που δεν μπορούσε να νικήσει αυτό που κάναμε.
Τι είδους συστήματα αναπτύξατε που προστατεύονταν από το είδος των επιθέσεων κοινωνικής μηχανικής που ο Frank Abagnale είναι τόσο αποτελεσματικός στην εφαρμογή;
Όταν έκανε το ντεμπούτο του η Trusona, ξεκινήσαμε με μια καμπύλη που λέει τι προσπαθείτε να προστατεύσετε και αυτό είναι το επίπεδο υπηρεσιών που παρέχουμε. Σε όλα αυτά, δεν θα υπάρχει κανένας κωδικός πρόσβασης.
Τα διαφορετικά επίπεδα υπηρεσιών απαιτούν διαφορετικά επίπεδα αποκάλυψης. Το βασικό μας επίπεδο, που ονομάζεται "Βασικό", σας ζητά μόνο να δώσετε μια διεύθυνση ηλεκτρονικού ταχυδρομείου στην οποία στέλνουμε ένα email για να επαληθεύσουμε ότι έχετε όντως πρόσβαση σε αυτήν. Δεν υπάρχουν έγγραφα, φωτογραφίες, τίποτα τέτοιο. Αυτό μπορεί να σας συνδέσει με έναν λογαριασμό, για ροή πολυμέσων ή κάτι παρόμοιο. Γιατί είναι αρκετά καλό. Εξακολουθεί να χρησιμοποιεί την τεχνολογία μας κατά της επανάληψης, έτσι ώστε ακόμα κι αν οι κακοί την άκουγαν, δεν θα μπορούσαν να την επαναχρησιμοποιήσουν.
Τεχνολογία Anti-Replay της Trusona
Το επόμενο επίπεδο μας είναι το "Executive". Αυτό το επίπεδο λέει, «εντάξει, μπορείτε ακόμα να είστε στο σπίτι σας, αλλά εκτός από το email σας, θέλω να σαρώσετε εξ αποστάσεως, είτε διαβατήριο είτε άδεια οδήγησης.» Δεν σας λέει ο Τρουσόνα να το κάνετε, ολοκληρώνουμε μόνο το αίτημα της συνεργάτες. Έτσι, προσπαθείτε να κάνετε κάτι με την τράπεζά σας ή να κάνετε κάτι με την υγειονομική περίθαλψή σας και εμείς το κάνουμε για λογαριασμό τους. Ο Trusona δεν αποθηκεύει κανένα από αυτά τα δεδομένα, γιατί δεν θέλουμε να γίνουμε η επόμενη καυτή πατάτα για έναν κακό τύπο.
Το τρίτο επίπεδο ονομάζεται "Elite" και σας ζητά ένα email και να σαρώσετε το έγγραφό σας από απόσταση και να εμφανιστείτε αυτοπροσώπως. Σας ζητάμε να το κάνετε μόνο μία φορά, για να σας συνδέσουμε με ένα πολύ ισχυρό διαπιστευτήριο. Δεν είναι ότι κάθε φορά που χρειάζεται να τραβάτε μια selfie ή ένα βίντεο, γιατί αυτό είναι το μόνο επίπεδο που θα ασφαλίσει ένας ανάδοχος. Δεν είναι για μαζική αγορά, είναι για μοναδικές καταστάσεις, αλλά αυτός είναι ο μόνος τρόπος για να γνωρίσουμε την αληθινή περσόνα, που είναι το αντικείμενο της επιχείρησής μας.
Τι γίνεται με την ανάπτυξη σε Deepfakes και λογισμικό χειρισμού βίντεο που βασίζεται σε AI που καθιστά δυνατή τη δημιουργία ζωντανών βίντεο και εικόνων ανθρώπων εν κινήσει; Αποτελεί αυτό απειλή για το επίπεδο «Elite» σας;
Εταιρείες όπως η Adobe κυκλοφόρησαν το αντίστοιχο του Photoshop για ζωντανά βίντεο. Μπορεί να μιμηθεί τη φωνή και το πρόσωπο […] Για να προχωρήσετε πέρα από αυτό, θα πρέπει να ξεκινήσετε με την προσωπική ταυτότητα δοκιμές, που σημαίνει ότι πρέπει να σε συναντήσω στην πραγματική ζωή, και με τα έγγραφά σου, για να αποδείξω ότι είναι εσείς. Δεν μπορείτε να το κάνετε εξ αποστάσεως. Αλλά δεν το απαιτεί κάθε περίπτωση χρήσης. Εξαρτάται πραγματικά τι προσπαθείτε να προστατέψετε. Εάν το HBO θέλει να σας επιτρέψει να παρακολουθήσετε μια ταινία, δεν χρειάζεται αυτό το επίπεδο ασφάλειας. Αλλά αν η Goldman Sachs θέλει να μετακινήσει 50 εκατομμύρια δολάρια για τον Στίβεν Σπίλμπεργκ, μπορεί να χρειαστεί αυτό το επίπεδο ασφάλειας.
Προσπαθήσατε ποτέ τον Frank Abagnale να κάνει κοινωνικό μηχανικό στους υπαλλήλους της Trusona;
Για να γίνουμε η πρώτη εταιρεία στον κόσμο με έλεγχο ταυτότητας – κανείς άλλος δεν έχει κάνει αυτά τα βήματα, γιατί δεν είναι απλό – πρέπει πρώτα να προστατεύσουμε τα δεδομένα μας από τους δικούς μας υπαλλήλους. Τι θα γινόταν αν απαγάγατε έναν από αυτούς και μας πείτε «Θα τους ελευθερώσω μόνο αν μου δώσετε πρόσβαση στα κλειδιά;»
Από την πρώτη στιγμή περάσαμε ένα χρόνο σε stealth mode και σχεδιάσαμε ένα σύστημα που ακόμα κι αν μου βάλεις ένα όπλο στο κεφάλι δεν μπορώ να σε βοηθήσω. Αυτό περιλαμβάνει τον επικεφαλής της μηχανικής μας και όλους τους άλλους που κατασκεύασαν το σύστημα, επειδή τους εξήγησα, Για να προστατεύσουμε τον κόσμο από τους κακούς, δεν μπορούμε να είμαστε ο πιο αδύναμος κρίκος στην αλυσίδα και αυτοί καταλαβαίνουν. Γι' αυτό πρέπει να πάρουμε πολύ ξεχωριστούς ανθρώπους για να εγγραφούν σε αυτήν την αποστολή.
«Σχεδιάσαμε ένα σύστημα όπου ακόμα κι αν μου βάλεις ένα όπλο στο κεφάλι, δεν μπορώ να σε βοηθήσω»
Επίσης, δεν αποθηκεύουμε καυτές πατάτες. Αν μας χακάρατε σήμερα και έχουμε κάνει πολλές δοκιμές στυλό με διαφορετικές εταιρείες, το μόνο που λαμβάνετε είναι ένας κατακερματισμός δεδομένων. Αν πήρα το email σας, είναι ένας τρόπος κατακερματισμού. Εάν έλαβα οτιδήποτε σχετικά με μια συναλλαγή, είναι κατακερματισμένη με έναν τρόπο, επομένως δεν μπορείτε ποτέ να την επαναφέρετε στα δεδομένα επειδή δεν γνωρίζουμε ποια είναι η μη επεξεργασμένη τιμή.
Αν μας χακάριζε ένα εθνικό κράτος, κάτι που περιμένω να συμβεί κάθε μέρα τώρα, θα έβρισκαν κάτι που ήταν άχρηστο. Ανακοινώσαμε την ασφάλισή μας στις 6 Μαΐου 2016 – πριν από δύο χρόνια. Έκτοτε, το 13 τοις εκατό των επισκέψεών μας στον ιστό προέρχονται από τη Ρωσία. Και δεν έχουμε ούτε έναν πελάτη εκεί, δεν έχουμε ούτε έναν πωλητή εκεί. Είναι πολλά για τους ανθρώπους με τους οποίους δεν συνεργαζόμαστε!
Το τρίτο είναι η προπόνηση. Μπορώ να σας πω ότι ακόμη και στον υποστήριξή μας, που δέχεται κλήσεις υποστήριξης […], τους εκπαιδεύουμε να δέχονται κλήσεις από άτομα όπως ο Ντόναλντ Τραμπ.» Είμαστε πολύ έμπειροι στο να πλαστογραφούμε τηλεφωνήματα και να τα κάνουμε να φαίνονται πραγματικά νόμιμα, για να φαίνεται ότι καλεί ο πρόεδρος εσείς. Ξέρουμε πώς να το κάνουμε αυτό γιατί είμαστε χάκερ. Είναι τα βήματα, οι ερωτήσεις, όχι μόνο να λέμε ναι σε όλα, που μας κάνουν όσο πιο δυνατούς μπορούμε. Γιατί συνειδητοποιούμε ότι όσο πιο διεισδυτικοί γινόμαστε, γινόμαστε και οι ίδιοι στόχος.
Τι γίνεται με τα νόμιμα αιτήματα από κυβερνητικούς φορείς; Προστατεύονται τα δεδομένα του Τρουσόνα από τον πραγματικό Ντόναλντ Τραμπ;
Είχαμε πολλές συναλλαγές με τρία πρακτορεία επιστολών, αλλά ο σχεδιασμός είναι τέτοιος που δεν μπορώ να το κάνω, ακόμα κι αν το θέλατε. Δεν ξέρω ποια είναι τα δεδομένα. Μπορείτε να με καλέσετε σήμερα και να μου πείτε να σας δώσω όλα τα δεδομένα για [έναν πελάτη]. Εντάξει, θα λάβω την κλήτευση και θα απαντήσω αν μπορείτε να μου πείτε ποιος από τους δίσκους μας είναι δικός τους, τότε μπορείτε να το έχετε, αλλά δεν ξέρω.
Ένα από τα πιο πολυσυζητημένα ψηφιακά συστήματα τα τελευταία χρόνια ήταν τεχνολογία blockchain. Σήμερα χρησιμοποιείται από κυβερνήσεις και οργανισμούς για την προστασία της ακρίβειας των δεδομένων. Είναι επίσης ένα αποτελεσματικό εργαλείο για τη βελτίωση του απορρήτου και της προστασίας δεδομένων;
Η τεχνολογία Blockchain είναι μια από τις πιο εκπληκτικές εφευρέσεις της εποχής μας, σκληρή στάση. Ωστόσο, πολλοί άνθρωποι κάνουν τη σύνδεση ότι αν είναι μαθηματικά σωστό, είναι αμετάβλητα στην πραγματική ζωή και εκεί είναι που ο Frank Abagnale θα σας γελάσει.
Αν φτιάξω ένα πλαστό έγγραφο του Jon Martindale και πάω σε μια τράπεζα και κάνω αίτηση με αυτό και το βάλουν σε ένα blockchain, από τη στιγμή που θα καταλάβεις ότι δεν ήσουν εσύ και θα προσπαθήσεις να το αναιρέσεις, πώς θα το εξαφανίσεις από το blockchain; Είναι η αρχή «GIGO», τα σκουπίδια στα σκουπίδια έξω.
Το να φτιάξεις μια τεχνολογία που είναι μαθηματικά τέλεια, είναι υπέροχο. Στην πραγματικότητα πιστεύω ότι όλοι όσοι αγοράζουν ένα σπίτι πρέπει να το έχουν σε blockchain, ώστε να μην χάσετε ποτέ το σπίτι σας. Υπάρχουν πολλές καλές εφαρμογές για αυτό, αλλά το να πούμε ότι αυτό θα λύσει το βασικό πρόβλημα ταυτότητας είναι ψέμα. Το πρόβλημα δεν αφορούσε ποτέ τον τρόπο αποθήκευσης των δεδομένων, ήταν: Πώς μπορώ να ξέρω ποιος είναι ποιος στο ζωολογικό κήπο;
Με τόσες πολλές μεγάλες εισβολές και κλοπές δεδομένων που λαμβάνουν χώρα, είναι εύκολο για τους ανθρώπους να αισθάνονται ανίσχυροι στην προστασία των δεδομένων τους. Έχετε κάποιες συστάσεις ασφαλείας για τους αναγνώστες μας που μπορούν να χρησιμοποιήσουν για να βοηθήσουν στην προστασία τους;
Υπάρχει μια πολύ απλή συμβουλή που θα τους δώσω. Μέχρι να ζήσουμε σε έναν κόσμο χωρίς κωδικούς πρόσβασης, η μόνη μου συμβουλή είναι να αλλάξετε τους κωδικούς πρόσβασής σας. Δεν σου κοστίζει τίποτα. Ακόμα κι αν οι κωδικοί πρόσβασης κλάπηκαν χθες, η αλλαγή τους είναι σαν να αλλάζετε την κλειδαριά της πόρτας σας. Για τα πιο σημαντικά πράγματα στη ζωή σας, την τράπεζά σας για την υγειονομική περίθαλψη, βάλτε μια καταχώριση ημερολογίου και κάθε μήνα, κάθε τρίμηνο, τουλάχιστον μία φορά το χρόνο, αλλάξτε τους κωδικούς πρόσβασής σας. Το γεγονός ότι είμαστε πλάσματα της συνήθειας λειτουργεί εναντίον μας.
