Trusona võitis Finovate 2018 näituse parima tiitli
Kuidas sa tõestad, et oled see, kes sa end ütled? See võib tunduda lihtne küsimus, millele vastata, kuid maailmas, kus teie privaatne teave võib olla kõige isiklikum korjatud teie krediidiagentuurilt või sotsiaalvõrgustiku konto, see kergus on probleem. Ka petturid ja kurjategijad saavad üllatavalt vähe teavet kasutades tõestada, et nad olete teie.
See on mõistatus, mida Ori Eisen loodab sellega lahendada Trusona paroolivaba autentimine süsteem. See pakub keskastme valideerimisteenuseid ettevõtetele üle kogu maailma, lootes parandada kõigi digitaalsete andmete kaitset. Ta kasutab 20. kogemustth sajandi petturid nagu Frank Abagnale, keda filmis kuulsalt kujutatakse Püüa mind kinni kui saad, et toetada meie kaasaegseid digitaalseid kaitsemehhanisme klassikaliste sotsiaalse inseneri taktikate vastu.
Soovitatavad videod
Digitaalsed trendid: Frank Abagnale’i teavad ilmselt enamik 2002. aasta filmi teemana Püüa mind kinni kui saad põhineb tema 60ndate põgenemistel tšekipettuste ja kellegi teisena esinemisega. Kuidas teie kaks koos osalesite?
Ori Eisen: Lühiversioon on see, et kui töötasin ühes suurimas krediitkaardifirmas, küsiti minult lisaks minu Interneti-alaste kohustuste juurde, et õppida kõike kaartide võltsimise kohta, millest ma midagi ei teadnud umbes. Sellel teemal pole raamatut ega ülikoolidiplomit, seega küsisin, kes saab mind õpetada? Nimi Frank Abagnale tuli ikka ja jälle välja, lihtsalt ta ei võta uusi õpilasi.
Külas "Rahamehed". @FairFX - ühe ja ainsa Frank Abagnale'iga. Lase #Paroolid puuduvad Revolutsioon algab. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7. detsember 2017
Ma anusin teda kuude ja kuude jooksul, et ta minuga kohtuks ja mind aitaks, sest minu kaudu saaks ta aidata kuritegevust ohjeldada, sest ma võtaksin tema teadmised ära ja läheksin pahalasi peksma. Lõpuks nõustus ta kohtumisega ja oleme sellest ajast alates koos töötanud.
Kuigi täna Abagnale opereerib konsultatsioonifirmat, tema teadmised pärinevad ajast, mil arvutid olid uskumatult haruldased ja võrreldamatud tänapäevase digitaalselt täiustatud maailmaga. Kuidas on tema panus tänapäevasel ajastul kasulik?
Sõna "Trusona" on segu tõelisest ja isikust ning selleks, et teada saada, kes on tõeline isik, peate läbima protsessi, mida nimetatakse identiteedi tõendamiseks. Esmalt teeme kindlaks, kes te inimesena olete [sest…] ilma identiteedi tõendamiseta pole autentimist. Kuidas ma saan kinnitada, et see olete teie, kui ma ei tõesta, et see olete teie?
"Ilma identiteedi tõendamiseta pole autentimist."
Frank aitab meil identiteeditõendit tehes väga hästi läbi mõelda, kuidas võltsdokumenti märgata. Kuidas paha mees asendaks Franki pildi Steven Spielbergi pildiga. Kuidas ületaksite sertifikaati või kuidas saaksite musta tinti dokumendil või kogu peenest mikrotrükist. Ta teab nendest dokumentidest tõesti palju, sest valitsused kasutavad neid selles protsessis.
Teekonnal, mille eesmärk oli välja selgitada, kes on tõeline isik, ja paljudel juhtudel, kui oleksime lahenduse leidnud, näitas ta meile, kuidas saate sellest väga lihtsalt üle saada. Nii et see oli nagu malet mängimine, kuni jõuate punktini, kus ta ei suutnud meie tegemistest võita.
Milliseid süsteeme te arendasite, mis olid kaitstud selliste sotsiaalse manipuleerimise rünnakute eest, mida Frank Abagnale nii tõhusalt rakendab?
Kui Trusona debüteeris, käivitasime kõveraga, mis ütleb, mida te üritate kaitsta, ja see on meie pakutava teenuse tase. Kõigis neis ei ole mingit parooli.
Erinevad teenusetasemed nõuavad erineval tasemel paljastamist. Meie põhitase, mida nimetatakse oluliseks, nõuab ainult meiliaadressi sisestamist, mille saadame meili, et kinnitada, et teil on sellele juurdepääs. Kaasatud pole dokumente, pilte ega midagi sellist. See võib teid siduda kontoga, meedia voogesituse või muu sarnase jaoks. Sest see on piisavalt hea. See kasutab endiselt meie taasesitusvastast tehnoloogiat, nii et isegi kui pahalased seda kuulaksid, ei saaks nad seda uuesti kasutada.
Trusona kordusvastane tehnoloogia
Meie järgmine tase on "Executive". See tase ütleb: „Ok, võite endiselt oma majas olla, kuid lisaks oma meilile tahan, et te skanniksite eemalt, kas pass või juhiluba.“ Trusona ei käsi teil seda teha, me täidame ainult oma palve partnerid. Niisiis, proovite midagi teha oma pangaga või teha midagi oma tervishoiuga ja me teeme seda nende nimel. Trusona ei salvesta neid andmeid, sest me ei taha saada pahalase jaoks järgmiseks kuumaks kartuliks.
Kolmandat taset nimetatakse "Eliidiks" ja see küsib teilt meili, skannida oma dokumenti eemalt ja näidata ennast isiklikult. Palume teil seda teha ainult üks kord, et ühendada teid väga tugeva mandaadiga. See ei ole nii, et iga kord, kui peate tegema selfie või video, sest see on ainus tase, mille kindlustusandja kindlustab. See ei ole mõeldud massiturule, see on unikaalsete olukordade jaoks, kuid see on ainus viis tõelise isiku tundmaõppimiseks, mis on meie äritegevuse eesmärk.
Kuidas on lood kasvuga sügavvõltsimised ja AI-põhine videotöötlustarkvara mis võimaldab luua elutruid videoid ja pilte lendavatest inimestest? Kas see ohustab teie "eliidi" taset?
Sellised ettevõtted nagu Adobe andsid otsevideo jaoks välja Photoshopi ekvivalendi. See võib jäljendada häält ja nägu […] Et sellest kaugemale jõuda, peaksite alustama isiklikust identiteedist tõend, mis tähendab, et ma pean teiega päriselus kohtuma ja teie dokumentidega, et teha kindlaks, et see nii on sina. Te ei saa seda teha eemalt. Kuid mitte iga kasutusjuht ei nõua seda. See sõltub tõesti sellest, mida proovite kaitsta. Kui HBO soovib lubada teil filmi vaadata, ei vaja nad seda turvalisuse taset. Kuid kui Goldman Sachs soovib Steven Spielbergi eest 50 miljonit dollarit teisaldada, võivad nad vajada seda turvalisuse taset.
Kas olete kunagi lasknud Frank Abagnale'il Trusona töötajaid sotsiaalinseneri juhendada?
Et saada maailma esimeseks autentitud ettevõtteks – keegi teine pole neid samme astunud, sest see pole lihtne –, peame esmalt kaitsma oma andmeid oma töötajate eest. Mis siis, kui rööviksite ühe neist ja ütleksite meile: "Ma vabastan nad ainult siis, kui annate mulle juurdepääsu võtmetele?"
Kohe algusest peale veetsime aasta salarežiimis ja kavandasime süsteemi, mida ma ei saa aidata, isegi kui paned mulle relva pähe. See hõlmab meie insenerijuhti ja kõiki teisi, kes süsteemi ehitasid, sest ma selgitasin neile, selleks, et kaitsta maailma kurjade eest, ei saa me olla ahela nõrgim lüli ja nemad aru saada. Sellepärast peame sellele missioonile registreerumiseks võtma väga erilisi inimesi.
"[Me] kavandasime süsteemi, kus isegi kui paned mulle relva pähe, ei saa ma teid aidata"
Samuti ei säilita me kuuma kartulit. Kui häkkisite meid täna ja oleme teinud erinevate ettevõtetega palju pliiatsiteste, saate ainult ühesuunalise andmete räsi. Kui võtsin teie meili, on see ühesuunaline räsi. Kui ma tehingu kohta midagi võtsin, on see ühel viisil räsitud, nii et te ei saa seda kunagi andmete juurde tagasi saata, kuna me ei tea, mis on algväärtus.
Kui rahvusriik meid häkkiks, mis ma loodan, et see juhtub igal päeval, leiaksid nad midagi, mis oli kasutu. Teatasime oma kindlustusest 6. mail 2016 – kaks aastat tagasi. Sellest ajast peale on 13 protsenti meie veebihittidest pärit Venemaalt. Ja meil pole seal ainsatki klienti, meil pole seal ühtegi müügimeest. See on palju inimestele, kellega me äri ei tee!
Kolmas on koolitus. Võin teile öelda, et isegi meie tugimehe juures, kes võtab vastu tugikõnesid […], õpetame neid vastu võtma kõnesid inimestelt nagu "Donald". Trump.’ Oleme väga osavad telefonikõnede teesklemises ja nende õige seaduspärasuse muutmises, et jätta mulje, nagu helistaks president sina. Me teame, kuidas seda teha, sest oleme häkkerid. Just sammud, küsimused, mitte ainult kõigele jah-ütlemine, teevad meid nii tugevaks kui võimalik. Sest me mõistame, et mida läbivamaks me muutume, oleme me ise muutumas sihtmärgiks.
Kuidas on lood valitsusasutuste õigustatud nõudmistega? Kas Trusona andmed on kaitstud tõelise Donald Trumpi eest?
Meil on olnud palju tehinguid kolme kirjaagentuuriga, kuid kujundus on selline, et ma ei saa seda teha, isegi kui soovite. Ma ei tea, mis andmed on. Võite mulle täna kohtusse kutsuda ja öelda, et annan teile kõik andmed [kliendi] kohta. Ok, ma saan kohtukutse ja vastan, kui saate mulle öelda, millised meie kirjed on nende omad, siis võite selle saada, aga ma ei tea.
Viimaste aastate üks enim kõneainet pakkuvaid digisüsteeme on olnud plokiahela tehnoloogia. Tänapäeval kasutavad valitsused ja organisatsioonid seda andmete õigsuse kaitsmiseks. Kas see on tõhus vahend ka privaatsuse ja andmekaitse parandamiseks?
Plokiahela tehnoloogia on meie aja üks hämmastavamaid leiutisi, hard stop. Kuid paljud inimesed viitavad sellele, et kui see on matemaatiliselt õige, on nad päriselus muutumatud ja Frank Abagnale lihtsalt naerab teie üle.
Kui ma koostan Jon Martindale'ist võltsitud dokumendi ja lähen panka ja taotlen sellega ning nad panevad plokiahelasse, kui saate aru, et see polnud sina, ja proovite seda tagasi võtta, kuidas kustutate selle plokiahel? See on "GIGO" põhimõte, prügi prügi sees välja.
Matemaatiliselt täiusliku tehnoloogia loomine on imeline. Ma arvan tegelikult, et kõigil, kes maja ostavad, peaks see olema plokiahelas, et te ei saaks kunagi oma maja kaotada. Selle jaoks on palju häid rakendusi, kuid väita, et see lahendab identiteedi põhiprobleemi, on vale. Probleem ei olnud kunagi selles, kuidas andmeid salvestada, vaid: kuidas ma tean, kes on kes loomaaias?
Kuna toimub nii palju suuri häkkimisi ja andmevargusi, on inimestel lihtne tunda end oma andmete kaitsmisel jõuetuna. Kas teil on meie lugejatele turvasoovitusi, mida nad saaksid enda kaitsmiseks kasutada?
Ma annan neile väga lihtsa näpunäite. Kuni me elame maailmas, kus pole paroole, on minu ainus nõuanne muuta oma paroole. See ei maksa teile midagi. Isegi kui paroolid varastati eile, on nende muutmine nagu ukse luku vahetamine. Kõige olulisemate asjade jaoks oma elus, pank oma tervishoid, pane kalendrisse sissekanne ja vaheta iga kuu, kvartalis, vähemalt kord aastas oma paroole. Fakt, et oleme harjumuspärased olendid, töötab meile vastu.
