Trusona nyerte a Best in Show díjat a Finovate 2018-on
Hogyan bizonyítod be, hogy az vagy, akinek mondod magad? Úgy tűnhet, hogy ez egy könnyű kérdés megválaszolása, de egy olyan világban, ahol az Ön személyes adatai a legszemélyesebbek lehetnek a hitelügynökségétől szedték be vagy közösségi hálózati fiók, ez a könnyedség probléma. A csalók és a bűnözők meglepően kevés információ felhasználásával is bizonyítani tudják, hogy te vagy.
Ez az a rejtvény, amelyet Ori Eisen meg akar oldani a Trusona jelszó nélküli hitelesítés rendszer. Közép-emberi érvényesítési szolgáltatásokat kínál a vállalatoknak szerte a világon, abban a reményben, hogy javítani tudja mindenki digitális adatainak védelmét. 20 szakértelmét használjath századi csalók, mint a filmben híresen ábrázolt Frank Abagnale Kapj el, ha tudsz, hogy megerősítsük modern digitális védelmünket a klasszikus social engineering taktikákkal szemben.
Ajánlott videók
Digitális trendek: Frank Abagnale-t valószínűleg a legtöbben a 2002-es film témájaként ismerik Kapj el, ha tudsz a ’60-as években csekkcsalásokkal és személyeskedéssel történt megmenekülései alapján. Hogyan kerültetek kapcsolatba egymással?
Ori Eisen: A rövid verzió az, hogy miközben az egyik legnagyobb hitelkártya-társaságnál dolgoztam, rákérdeztek az internetes feladataimhoz, hogy mindent megtudjak a kártyahamisításról, amiről semmit sem tudtam ról ről. Ebben a témában nincs könyv vagy egyetemi végzettség, ezért megkérdeztem, ki taníthat? A Frank Abagnale név újra és újra felmerült, csak arról van szó, hogy nem vesz fel új hallgatókat.
A „Pénzemberek” látogatása @FairFX -az egyetlen Frank Abagnale-lel. Hagyja, hogy a #NoPasswords Kezdődik a forradalom. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 2017. december 7
Hónapokig könyörögtem neki, hogy találkozzon velem és segítsen nekem, mert rajtam keresztül segíthet megfékezni a bűnözést, mert átveszem a tudását, és megverem a rosszfiúkat. Végül beleegyezett a találkozóba, és azóta is együtt dolgozunk.
Bár ma Az Abagnale tanácsadó céget működtet, szakértelme abból az időből származik, amikor a számítógépek hihetetlenül ritkák voltak, és összehasonlíthatatlanok voltak a mai digitálisan továbbfejlesztett világgal. Mennyire hasznos az ő hozzászólása a modern korban?
A „Trusona” szó a True és a Persona fúziója, és ahhoz, hogy megtudja, ki az igazi személy, át kell mennie egy személyazonosság-igazolásnak nevezett folyamaton. Először is határozzuk meg, hogy ki vagy te, mint személy [mert…] nincs hitelesítés személyazonosság-igazolás nélkül. Hogyan igazolhatom, hogy te vagy, ha először nem bizonyítom, hogy te vagy az?
"Nincs hitelesítés személyazonosság-igazolás nélkül."
Frank nagyon jó abban, hogy abban a pillanatban, amikor Ön személyazonosság-ellenőrzést végez, átgondolja, hogyan lehet felismerni egy hamis dokumentumot. Hogyan cserélné le egy rosszfiú Frank képét Steven Spielberg képére. Hogyan verné le a tanúsítványt, vagy hogyan verné le a fekete tintát a dokumentumon vagy az összes finom mikronyomatot. Valóban sokat tud ezekről a dokumentumokról, mert a kormányok felhasználják őket ebben a folyamatban.
A valódi személy kiderítésére irányuló módszer kidolgozása során sok esetben, amikor találtunk volna megoldást, alapvetően megmutatta, hogyan lehet ezt nagyon könnyen legyőzni. Szóval olyan volt, mint sakkozni, amíg el nem jutsz arra a pontra, ahol nem tudta legyőzni azt, amit mi csináltunk.
Milyen rendszereket fejlesztettek ki, amelyek védettek voltak azokkal a social engineering támadásokkal szemben, amelyeket Frank Abagnale olyan hatékonyan hajt végre?
Amikor a Trusona debütált, egy olyan görbével indítottuk útját, amely azt mondja, hogy mit próbál védeni, és ez az általunk nyújtott szolgáltatás. Mindegyikben nem lesz semmilyen jelszó.
A különböző szolgáltatási szintek különböző szintű feltárást igényelnek. Az „Essential” nevű alapszintünk csak egy e-mail cím megadását kéri, amelyről e-mailt küldünk, hogy ellenőrizzük, valóban hozzáfér-e. Nincsenek dokumentumok, képek, semmi ilyesmi. Ez egy fiókhoz kötheti, médiastreaminghez vagy hasonlóhoz. Mert elég jó. Továbbra is a visszajátszás elleni technológiánkat használja, így még ha rosszfiúk is hallgatnák, nem tudták újra felhasználni.
A Trusona Anti-Replay technológiája
A következő szintünk az „Executive”. Ez a szint azt mondja: „Rendben, továbbra is otthon lehet, de az e-mailjei mellett azt szeretném, ha szkennelne távolról, akár útlevelet, akár jogosítványt.” Nem Trusona mondja, hogy tedd meg, mi csak teljesítjük a kérést partnerek. Tehát Ön megpróbál valamit tenni a bankjával vagy az egészségügyi ellátásával, és mi tesszük ezt a nevükben. A Trusona nem tárolja ezeket az adatokat, mert nem akarunk egy rosszfiú következő forró krumplijává válni.
A harmadik szintet „Elite”-nek hívják, és egy e-mailt kér, és távolról szkennelje be a dokumentumot, és mutassa meg magát személyesen. Ezt csak egyszer kérjük megtenni, hogy egy nagyon erős hitelesítéshez kapcsolódhasson. Nem arról van szó, hogy minden alkalommal szelfit vagy videót kell készítened, mert ez az egyetlen szint, amelyet egy fizetőbiztos biztosít. Nem tömegpiacra, hanem egyedi helyzetekre való, de ez az egyetlen módja annak, hogy megismerjük az igazi személyt, amiről a mi üzletünk szól.
Mi a helyzet a növekedéssel deepfakes és mesterséges intelligencia által vezérelt videomanipulációs szoftver amely lehetővé teszi, hogy élethű videókat és képeket készítsenek az emberekről? Ez veszélyt jelent az „elit” szintjére?
Az olyan cégek, mint az Adobe, kiadták a Photoshop megfelelőjét élő videóhoz. Képes utánozni a hangot és az arcot […] Ahhoz, hogy ezen túllépjünk, a személyes identitással kell kezdenünk proofing, ami azt jelenti, hogy találkoznom kell önnel a való életben, és a dokumentumaival, hogy megbizonyosodjak arról, hogy az te. Távolról nem tudod megtenni. De nem minden használati eset igényli ezt. Valóban attól függ, hogy mit próbálsz megvédeni. Ha az HBO meg akarja engedni, hogy nézzen egy filmet, nincs szüksége ilyen szintű biztonságra. De ha a Goldman Sachs 50 millió dollárt akar áthelyezni Steven Spielbergért, akkor szükségük lehet erre a biztonsági szintre.
Próbálta már Frank Abagnale-t szociális mérnökként kezelni a Trusona alkalmazottaival?
Ahhoz, hogy a világ első hitelesített vállalatává legyünk – senki más nem tette meg ezeket a lépéseket, mert ez nem egyszerű – először meg kell védenünk saját adatainkat saját alkalmazottainktól. Mi lenne, ha elrabolnád egyiküket, és azt mondanád nekünk: „Csak akkor engedem el őket, ha hozzáférést adsz a kulcsokhoz?”
Kezdettől fogva egy évet lopakodó üzemmódban töltöttünk, és megterveztünk egy olyan rendszert, amelyen még ha fegyvert adsz is a fejemhez, nem tudok segíteni. Ebbe beletartozik a mérnöki vezetőnk és mindenki más is, aki kiépítette a rendszert, mert elmagyaráztam nekik, hogy megvédjük a világot a rosszfiúktól, nem lehetünk a lánc leggyengébb láncszeme és ők megért. Éppen ezért nagyon különleges embereket kell fogadnunk, hogy jelentkezzenek erre a küldetésre.
„[Mi] egy olyan rendszert terveztünk, ahol még ha fegyvert adsz is a fejemhez, nem tudok segíteni rajtad”
Nem tárolunk forró burgonyát sem. Ha ma feltört minket, és sok tolltesztet végeztünk különböző cégekkel, akkor csak egyirányú adatkivonatot kap. Ha megvettem az e-mailedet, az egyirányú hash. Ha vettem valamit egy tranzakcióról, az egyirányú kivonat, így soha nem lehet visszaállítani az adatokhoz, mert nem tudjuk, mi a nyers érték.
Ha meghekkelne minket egy nemzetállam, ami várhatóan bármelyik nap megtörténik, találnának valami haszontalant. Biztosításunkat 2016. május 6-án hirdettük meg – két éve. Azóta internetes találataink 13 százaléka Oroszországból érkezik. És nincs ott egyetlen vásárlónk, nincs ott egyetlen értékesítőnk sem. Ez sok azoknak, akikkel nem üzletelünk!
A harmadik az edzés. Elmondhatom, hogy még az ügyfélszolgálati munkatársunknál is, aki fogadja a támogatási hívásokat […], megtanítjuk őket arra, hogy fogadják az olyan emberek hívását, mint „Donald”. Trump.” Nagyon ügyesen hamisítjuk a telefonhívásokat, és valóban legálisnak tűnünk, hogy úgy tűnjön, mintha az elnök telefonálna. te. Tudjuk, hogyan kell ezt csinálni, mert hackerek vagyunk. A lépések, a kérdések, nem csak az, hogy mindenre igent mondunk, tesz minket olyan erőssé, amennyire csak lehet. Mert felismerjük, hogy minél jobban elterjedünk, mi magunk is célponttá válunk.
Mi a helyzet a kormányhivatalok jogos követeléseivel? Védve vannak a Trusona-adatok az igazi Donald Trumptól?
Sokat volt dolgunk három levélügynökséggel, de a tervezés olyan, hogy nem tudom megcsinálni, még akkor sem, ha szeretné. nem tudom mik az adatok. Ma beidézhet, és megmondhatja, hogy adjak meg minden adatot [ügyfélről]. Rendben, megkapom az idézést, és válaszolok, ha meg tudja mondani, hogy melyik rekordunk az övék, akkor megkaphatja, de nem tudom.
Az elmúlt évek egyik legtöbbet emlegetett digitális rendszere az volt blokklánc technológia. Ma kormányok és szervezetek használják az adatok valódiságának védelmére. Hatékony eszköz a magánélet és az adatvédelem javítására is?
A blokklánc technológia korunk egyik legcsodálatosabb találmánya, hard stop. Sokan azonban azt állítják, hogy ha ez matematikailag helyes, akkor megváltoztathatatlanok a való életben, és Frank Abagnale ott fog csak nevetni rajtad.
Ha elkészítek egy hamis dokumentumot Jon Martindale-ről, és bemegyek egy bankba, jelentkezem vele, és berakják egy blokkláncba, amikor rájössz, hogy nem te voltál az, és megpróbálod visszavonni, hogyan fogod törölni a blokklánc? Ez a „GIGO” elv, szemetet a szemétben.
Csodálatos dolog matematikailag tökéletes technológiát készíteni. Valójában úgy gondolom, hogy mindenkinek, aki házat vásárol, blokkláncon kell lennie, hogy soha ne veszítse el a házát. Sok jó alkalmazás létezik erre, de hamisság azt állítani, hogy ez megoldja az alapvető identitásproblémát. A probléma soha nem az adatok tárolásával volt, hanem: Honnan tudhatom, hogy ki kicsoda az állatkertben?
Mivel sok jelentős feltörés és adatlopás történik, az emberek könnyen tehetetlennek érzik magukat adataik védelmében. Van olyan biztonsági javaslata olvasóink számára, amelyek segítségével megvédhetik magukat?
Van egy nagyon egyszerű tipp, amit adok nekik. Amíg egy olyan világban élünk, ahol nincsenek jelszavak, az egyetlen tanácsom, hogy változtassa meg a jelszavait. nem kerül semmibe. Még ha tegnap el is lopták a jelszavakat, azok megváltoztatása olyan, mint az ajtó zárjának lecserélése. Az életed legfontosabb dolgaihoz, a bankod az egészségügyedhez írj be egy naptári bejegyzést, és havonta, negyedévente, legalább évente egyszer változtasd meg jelszavaidat. Az a tény, hogy a megszokás teremtményei vagyunk, ellenünk dolgozik.