Trusona voitti parhaan näyttelyn Finovate 2018 -tapahtumassa
Miten todistat olevasi se, joka väität olevasi? Se saattaa tuntua helpolta kysymykseltä vastata, mutta maailmassa, jossa henkilökohtaisimmat yksityiset tietosi voivat olla korjattu luottotoimistoltasi tai sosiaalisen verkoston tili, helppous on ongelma. Huijarit ja rikolliset voivat myös todistaa olevansa sinä, käyttämällä yllättävän vähän tietoja.
Se on pulma, jonka Ori Eisen toivoo ratkaisevansa Trusona salasanaton todennus järjestelmä. Se tarjoaa keskimiehen validointipalveluita yrityksille kaikkialla maailmassa, toivoen parantavan kaikkien digitaalisten tietojen suojausta. Hän käyttää 20:n asiantuntemustath vuosisadan huijareita, kuten Frank Abagnale, joka tunnetaan elokuvassa Ota kiinni jos saat, tukemaan nykyaikaisia digitaalisia puolustuskeinojamme klassisia sosiaalisen suunnittelun taktiikoita vastaan.
Suositellut videot
Digitaaliset trendit: Frank Abagnale tunnetaan luultavasti vuoden 2002 elokuvan aiheena Ota kiinni jos saat perustuu hänen 60-luvun escapadeihinsa shekkipetoksista ja toisena henkilönä esiintymisestä. Miten liityitte yhteen?
Ori Eisen: Lyhyt versio on, että kun olin töissä yhdessä suurimmista luottokorttiyhtiöistä, minulta kysyttiin lisäksi Internet-tehtäviini, oppia kaikesta korttien väärentämisestä, josta en tiennyt mitään noin. Tästä aiheesta ei ole kirjaa tai yliopistotutkintoa, joten kysyin, kuka voi opettaa minua? Nimi Frank Abagnale tuli esiin uudestaan ja uudestaan, koska hän ei vain ota uusia opiskelijoita.
"Rahamiehet" vierailemassa @FairFX -Ainutlaatuisen Frank Abagnalen kanssa. Anna #Ei salasanoja Vallankumous alkaa. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7. joulukuuta 2017
Pyysin häntä kuukausia ja kuukausia tapaamaan minua ja auttamaan minua, koska kauttani hän voisi auttaa hillitsemään rikollisuutta, koska ottaisin hänen tietonsa ja menisin lyömään pahikset. Lopulta hän suostui tapaamiseen, ja olemme työskennelleet yhdessä siitä lähtien.
Vaikka tänään Abagnalella on konsulttiyritys, hänen asiantuntemuksensa on peräisin ajasta, jolloin tietokoneet olivat uskomattoman harvinaisia ja verrattomia nykypäivän digitaalisesti tehostettuun maailmaan. Miten hänen panoksestaan on hyötyä nykyaikana?
Sana "Trusona" on fuusio sanasta True ja Persona, ja saadaksesi tietää, kuka todellinen persoona on, sinun on käytävä läpi prosessi, jota kutsutaan henkilöllisyyden tarkistamiseksi. Selvitetään ensin, kuka olet ihmisenä [koska…] ei ole olemassa todennusta ilman henkilöllisyyden todistamista. Kuinka voin todistaa henkilöllisyytesi, jos en aluksi todista, että olet sinä?
"Todennusta ei ole ilman henkilöllisyyden todistamista."
Frank on todella hyvä auttamaan meitä siinä hetkessä, kun teet henkilöllisyyden todentamisen, kuinka tunnistaa väärennetty asiakirja. Kuinka paha kaveri korvaisi Frankin kuvan Steven Spielbergin kuvalla. Kuinka voittaisit sertifikaatin tai kuinka voittaisit asiakirjan mustan musteen tai kaiken hienon mikroprintin. Hän tietää todella paljon näistä asiakirjoista, koska hallitukset käyttävät niitä tässä prosessissa.
Suunnitellessaan tapaa selvittää, kuka todellinen persoona on, monissa tapauksissa, joissa olisimme löytäneet ratkaisun, hän periaatteessa osoitti meille, kuinka voit voittaa sen erittäin helposti. Joten se oli kuin olisi pelannut shakkia, kunnes saavuit siihen pisteeseen, että hän ei voinut voittaa sitä, mitä teimme.
Millaisia järjestelmiä kehitit, jotka oli suojattu sellaisilta social engineering-hyökkäyksiltä, joita Frank Abagnale on niin tehokas toteuttamaan?
Kun Trusona debytoi, lanseerasimme käyrällä, joka kertoo, mitä yrität suojata, ja tämä on tarjoamamme palvelun taso. Kaikissa niissä ei ole minkäänlaista salasanaa.
Eri palvelutasot vaativat eri tason paljastamista. Perustasomme, nimeltään "Essential", pyytää sinua vain antamaan sähköpostiosoitteen, josta lähetämme sähköpostin varmistaaksemme, että sinulla on pääsy siihen. Siihen ei liity asiakirjoja, ei kuvia, ei mitään sellaista. Tämä voi yhdistää sinut tiliin median suoratoistoa tai vastaavaa varten. Koska se on tarpeeksi hyvä. Se käyttää edelleen toiston estotekniikkaamme, joten vaikka pahikset kuuntelisivat sitä, he eivät voisi käyttää sitä uudelleen.
Trusonan Anti-Replay-tekniikka
Seuraava tasomme on "Executive". Tämä taso sanoo: 'ok, voit silti olla kotonasi, mutta sähköpostisi lisäksi haluan sinun skannaavan etänä, joko passi tai ajokortti.” Trusona ei käske sinua tekemään niin, me vain täytämme pyyntömme kumppaneita. Joten yrität tehdä jotain pankkisi kanssa tai tehdä jotain terveydenhuoltosi kanssa, ja me teemme sen heidän puolestaan. Trusona ei tallenna mitään näistä tiedoista, koska emme halua olla pahiksen seuraava kuuma peruna.
Kolmas taso on nimeltään "Elite", ja se pyytää sinua sähköpostilla, skannaamaan asiakirjasi etänä ja näyttämään itsesi henkilökohtaisesti. Pyydämme sinua tekemään sen vain kerran, jotta saat erittäin vahvan valtuutuksen. Ei ole niin, että joka kerta sinun täytyy ottaa selfie tai video, koska se on ainoa taso, jonka vakuutuksenantaja vakuuttaa. Se ei ole tarkoitettu massamarkkinoille, se on ainutlaatuisia tilanteita varten, mutta se on ainoa tapa tuntea todellinen persoona, josta liiketoimintamme on kyse.
Entä kasvu deepfakes ja tekoälypohjainen videonkäsittelyohjelmisto jonka avulla on mahdollista luoda todenmukaisia videoita ja kuvia ihmisistä lennossa? Onko se uhka "eliittitasolle"?
Yritykset, kuten Adobe, julkaisivat vastaavan Photoshopin live-videota varten. Se voi jäljitellä ääntä ja kasvoja […] Jotta voisit mennä pidemmälle, sinun on aloitettava henkilökohtaisesta identiteetistä todentaminen, mikä tarkoittaa, että minun täytyy tavata sinut tosielämässä ja asiakirjoillasi varmistaakseni, että se on sinä. Et voi tehdä sitä etänä. Mutta kaikki käyttötapaukset eivät sitä vaadi. Se riippuu todellakin siitä, mitä yrität suojella. Jos HBO haluaa sallia sinun katsoa elokuvaa, he eivät tarvitse tätä suojaustasoa. Mutta jos Goldman Sachs haluaa siirtää 50 miljoonaa dollaria Steven Spielbergille, he saattavat tarvita tämän tason turvallisuutta.
Oletko koskaan yrittänyt Frank Abagnalen työllistää Trusonan työntekijöitä?
Jotta voisimme tulla maailman ensimmäiseksi autentikoiduksi yritykseksi – kukaan muu ei ole ryhtynyt näihin vaiheisiin, koska se ei ole yksinkertaista – meidän on ensin suojattava omat tietomme omilta työntekijöiltään. Mitä jos kidnapaisit yhden heistä ja sanoisit meille: "Päästän heidät vain, jos annat minulle pääsyn avaimiin?"
Heti alusta lähtien vietimme vuoden salakavalassa ja suunnittelimme järjestelmän, jota en voi auttaa, vaikka laittaisit aseen päähäni. Tämä sisältää suunnittelupäällikkömme ja kaikki muut, jotka rakensivat järjestelmän, koska selitin heille, suojellaksemme maailmaa pahoilta, emme voi olla ketjun heikoin lenkki ja he ymmärtää. Siksi meidän on otettava hyvin erityisiä ihmisiä ilmoittautumaan tähän tehtävään.
"[Me] suunnittelimme järjestelmän, jossa vaikka laittaisit aseen päähäni, en voi auttaa sinua"
Emme myöskään säilytä kuumia perunoita. Jos hakkeroit meidät tänään ja olemme tehneet paljon kynätestejä eri yritysten kanssa, saat vain yksisuuntaisen hajautustuloksen. Jos otin sähköpostisi, se on yksi tapa hash. Jos otin jotain tapahtumasta, se on yksi tapa tiivistetty, joten et voi koskaan palauttaa sitä takaisin tietoihin, koska emme tiedä raaka-arvoa.
Jos kansallisvaltio hakkeroi meidät, minkä odotan tapahtuvan minä päivänä tahansa, he löytäisivät jotain hyödytöntä. Ilmoitimme vakuutuksestamme 6.5.2016 – kaksi vuotta sitten. Siitä lähtien 13 prosenttia verkkoosoituksistamme on peräisin Venäjältä. Ja meillä ei ole siellä ainuttakaan asiakasta, meillä ei ole siellä yhtäkään myyjää. Se on paljon ihmisille, joiden kanssa emme tee kauppaa!
Kolmas on koulutus. Voin kertoa, että jopa meidän tukihenkilömme, joka ottaa vastaan tukipuheluita […], koulutamme heidät ottamaan vastaan puheluita ihmisiltä, kuten "Donald" Trump.’ Olemme erittäin taitavia teeskentelemään puheluita ja saamaan ne näyttämään todella laillisilta, jotta näyttäisi siltä, että presidentti soittaa sinä. Tiedämme, miten se tehdään, koska olemme hakkereita. Askeleet, kysymykset, ei vain kaikkeen kyllä sanominen, tekevät meistä niin vahvoja kuin voimme olla. Koska ymmärrämme, että mitä laajempi meistä tulee, meistä itsestämme on tulossa kohde.
Entä valtion virastojen oikeutetut vaatimukset? Onko Trusonan tiedot suojattu oikealta Donald Trumpilta?
Olemme olleet paljon tekemisissä kolmen kirjetoimiston kanssa, mutta suunnittelu on sellainen, että en voi tehdä sitä, vaikka haluaisit. En tiedä mitä data on. Voit haastaa minut tänään ja pyytää minua antamaan sinulle kaikki tiedot [asiakkaasta]. Ok, saan haasteen ja vastaan, jos voit kertoa minulle, mitkä tietueistamme ovat heidän, niin voit saada sen, mutta en tiedä.
Yksi viime vuosien puhutuimmista digitaalisista järjestelmistä on ollut blockchain-tekniikkaa. Nykyään hallitukset ja organisaatiot käyttävät sitä suojatakseen tietojen todenperäisyyttä. Onko se tehokas työkalu myös yksityisyyden ja tietosuojan parantamiseen?
Blockchain-tekniikka on yksi aikamme hämmästyttävimmistä keksinnöistä, hard stop. Monet ihmiset kuitenkin väittävät, että jos se on matemaattisesti oikein, he ovat muuttumattomia tosielämässä ja siellä Frank Abagnale vain nauraa sinulle.
Jos teen väärennetyn asiakirjan Jon Martindalesta ja menen pankkiin ja teen sen kanssa hakemuksen ja he laittavat lohkoketjuun, kun huomaat, että se et ollut sinä ja yrität kumota sen, kuinka poistat sen lohkoketju? Se on "GIGO"-periaate, roskat roskat pois.
Matemaattisesti täydellisen tekniikan tekeminen on upeaa. Olen itse asiassa sitä mieltä, että jokaisen talon ostajan pitäisi olla se lohkoketjussa, jotta et koskaan menetä taloasi. Siihen on monia hyviä sovelluksia, mutta väittää, että se ratkaisee ydinidentiteettiongelman, on valhetta. Ongelma ei koskaan ollut tietojen tallentamisessa, vaan: Mistä tiedän, kuka on kuka eläintarhassa?
Kun tapahtuu niin monia suuria hakkereita ja tietovarkauksia, ihmisten on helppo tuntea olonsa voimattomaksi suojella tietojaan. Onko sinulla lukijoillemme turvallisuussuosituksia, joiden avulla he voivat suojautua?
Annan heille hyvin yksinkertaisen vinkin. Ennen kuin elämme maailmassa, jossa ei ole salasanoja, ainoa neuvoni on vaihtaa salasanasi. Se ei maksa sinulle mitään. Vaikka salasanat varastettiin eilen, niiden vaihtaminen on kuin oven lukon vaihtaminen. Merkitse kalenteriisi elämäsi tärkeimpiä asioita, pankkisi terveydenhuoltoa varten ja vaihda salasanasi kuukausittain, neljännesvuosittain, vähintään kerran vuodessa. Se, että olemme tottumuksia, toimii meitä vastaan.
