Trusona vince il Best in Show a Finovate 2018
Come dimostri di essere chi dici di essere? Potrebbe sembrare una domanda facile a cui rispondere, ma in un mondo in cui le tue informazioni private più personali possono essere raccolto dalla tua agenzia di credito O account di social network, quella facilità è un problema. I truffatori e i criminali possono anche dimostrare di essere te, utilizzando sorprendentemente poche informazioni.
Questo è il puzzle che Ori Eisen spera di risolvere con Autenticazione senza password Trusona sistema. Offre servizi di convalida intermediari alle aziende di tutto il mondo, nella speranza di migliorare la protezione dei dati digitali di tutti. Sta usando l’esperienza di 20th truffatori del secolo come Frank Abagnale, notoriamente raffigurato nel film Prendimi se ci riesci, per rafforzare le nostre moderne difese digitali contro le classiche tattiche di ingegneria sociale.
Video consigliati
Tendenze digitali: Frank Abagnale è probabilmente conosciuto dai più come il soggetto del film del 2002 Prendimi se ci riesci basato sulle sue scappatelle negli anni '60 con frode di assegni e imitazione. Come siete rimasti coinvolti insieme?
Ori Eisen: La versione breve è che mentre lavoravo per una delle più grandi società di carte di credito, mi è stato chiesto in più alle mie responsabilità su Internet, per informarmi sulla contraffazione delle carte, di cui non sapevo nulla Di. Non esiste un libro o una laurea su quell’argomento, quindi ho chiesto, chi può insegnarmelo? Il nome Frank Abagnale veniva fuori più e più volte, solo che non accetta nuovi studenti.
Gli “Uomini dei Soldi” in visita @FairFX -con l'unico e inimitabile Frank Abagnale. Lascia il #NoPassword Inizia la rivoluzione. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7 dicembre 2017
L'ho pregato per mesi e mesi di incontrarmi e di aiutarmi perché attraverso di me avrebbe potuto aiutare a frenare la criminalità perché avrei preso la sua conoscenza e sarei andato a sconfiggere i cattivi. Alla fine ha accettato l’incontro e da allora lavoriamo insieme.
Anche se oggi Abagnale gestisce una società di consulenza, la sua esperienza deriva da un'epoca in cui i computer erano incredibilmente rari e incomparabili rispetto al mondo potenziato digitalmente di cui godiamo oggi. In che modo il suo contributo è utile nell’era moderna?
La parola "Trusona" è una fusione di True e Persona e per sapere chi è la vera persona, devi passare attraverso un processo chiamato verifica dell'identità. Per prima cosa stabiliamo chi sei come persona [perché…] non esiste autenticazione senza prova dell’identità. Come posso autenticare che sei tu se non dimostro che sei tu fin dall'inizio?
"Non esiste autenticazione senza prova dell'identità."
Frank è davvero bravo ad aiutarci a riflettere nel momento in cui esegui la verifica dell'identità, come individuare un documento falso. Come un cattivo rimpiazzerebbe una foto di Frank con una foto di Steven Spielberg. Come batteresti il certificato o come batteresti l'inchiostro nero sul documento o tutta la microstampa fine. Sa davvero molto su questi documenti perché i governi li utilizzano in questo processo.
Nel viaggio volto a trovare un modo per scoprire chi è la vera persona, in molti casi in cui avremmo trovato una soluzione, in pratica ci ha mostrato come potresti sconfiggerlo molto facilmente. Quindi era come giocare a scacchi finché non arrivavi al punto in cui non poteva battere quello che stavamo facendo.
Che tipo di sistemi avete sviluppato per proteggervi dal tipo di attacchi di ingegneria sociale che Frank Abagnale è così efficace nell'implementare?
Quando Trusona ha debuttato, abbiamo lanciato una curva che indica cosa stai cercando di proteggere e questo è il livello di servizio che forniamo. In tutti non ci sarà alcun tipo di password.
Diversi livelli di servizio richiedono diversi livelli di rivelazione. Il nostro livello base, chiamato "Essenziale", ti chiede solo di fornire un indirizzo email a cui inviamo un'email per verificare che tu abbia effettivamente accesso ad esso. Non ci sono documenti coinvolti, nessuna foto, niente del genere. Ciò può legarti a un account, per lo streaming multimediale o simili. Perché è abbastanza buono. Utilizza ancora la nostra tecnologia anti-replay, in modo che anche se i malintenzionati lo stessero ascoltando, non potrebbero riutilizzarlo.
Tecnologia Anti-Replay di Trusona
Il nostro livello successivo è “Executive”. Quel livello dice: "ok, puoi ancora essere a casa tua, ma oltre alla tua email, voglio che tu esegua la scansione". a distanza, né il passaporto né la patente di guida”. Non è Trusona che ti dice di farlo, stiamo solo completando la richiesta del nostro partner. Quindi, stai cercando di fare qualcosa con la tua banca o di fare qualcosa con la tua assistenza sanitaria, e per loro conto lo facciamo. Trusona non memorizza nessuno di questi dati, perché non vogliamo diventare la prossima patata bollente per un cattivo.
Il terzo livello si chiama “Elite” e ti chiede una email, di scansionare il tuo documento da remoto e di presentarti di persona. Ti chiediamo di farlo solo una volta, per connetterti a credenziali molto forti. Non è così ogni volta che devi fare un selfie o un video, perché è l’unico livello che un assicuratore assicurerà. Non è per il mercato di massa, è per situazioni uniche, ma questo è l'unico modo per conoscere la vera persona, che è ciò di cui tratta la nostra attività.
Che dire della crescita in deepfake e software di manipolazione video basato sull'intelligenza artificiale che rende possibile creare video e immagini realistici di persone al volo? Ciò rappresenta una minaccia per il tuo livello “Elite”?
Aziende come Adobe hanno rilasciato l'equivalente di Photoshop per i video live. Può imitare la voce e il volto […] Per andare oltre, dovresti iniziare con l’identità di persona prove, il che significa che devo incontrarti nella vita reale e con i tuoi documenti per stabilire che lo è Voi. Non puoi farlo da remoto. Ma non tutti i casi d’uso lo richiedono. Dipende davvero da cosa stai cercando di proteggere. Se HBO vuole permetterti di guardare un film, non ha bisogno di quel livello di sicurezza. Ma se Goldman Sachs vuole spostare 50 milioni di dollari per Steven Spielberg, potrebbe aver bisogno di quel livello di sicurezza.
Hai mai chiesto a Frank Abagnale di provare a fare l'ingegnere sociale con i dipendenti di Trusona?
Per diventare la prima azienda autenticata al mondo – nessun altro ha fatto questi passi, perché non è semplice – dobbiamo prima proteggere i nostri dati dai nostri stessi dipendenti. E se ne rapissimo uno e ci dicessimo: "Li rilascerò solo se mi dai accesso alle chiavi?"
Fin dall’inizio abbiamo trascorso un anno in modalità invisibile e progettato un sistema che, anche se mi punti una pistola alla testa, non posso aiutarti. Ciò include il nostro capo dell'ingegneria e tutti gli altri che hanno costruito il sistema, perché ho spiegato loro: per proteggere il mondo dai cattivi, non possiamo essere l’anello più debole della catena e loro capire. Ecco perché dobbiamo assumere persone molto speciali per aderire a questa missione.
"[Abbiamo] progettato un sistema in cui anche se mi punti una pistola alla testa, non posso aiutarti"
Inoltre, non conserviamo patate bollenti. Se ci hackerassi oggi e avessimo effettuato numerosi test con diverse aziende, tutto ciò che otterresti sarebbe un hash di dati unidirezionale. Se ho preso la tua email, è un hash a senso unico. Se ho preso qualcosa su una transazione, è un hash unidirezionale, quindi non puoi mai ripristinarlo nei dati perché non sappiamo quale sia il valore grezzo.
Se venissimo hackerati da uno stato nazionale, cosa che mi aspetto che accada da un giorno all’altro, troverebbero qualcosa di inutile. Abbiamo annunciato la nostra assicurazione il 6 maggio 2016 – due anni fa. Da allora, il 13% delle nostre visite sul web provengono dalla Russia. E non abbiamo un solo cliente lì, non abbiamo un solo venditore lì. È molto per le persone con cui non facciamo affari!
Il terzo è la formazione. Posso dirti che anche il nostro addetto all'assistenza, che risponde alle chiamate di assistenza […] li addestriamo a ricevere chiamate da persone come "Donald Trump”. Siamo molto abili nel falsificare le telefonate e nel farle sembrare legittime, per far sembrare che il presidente stia chiamando Voi. Sappiamo come farlo perché siamo hacker. Sono i passi, le domande, non solo il dire sì a tutto, che ci rendono più forti possibile. Perché ci rendiamo conto che quanto più diventiamo pervasivi, tanto più diventiamo noi stessi un bersaglio.
Che dire delle richieste legittime da parte delle agenzie governative? I dati di Trusona sono protetti dal vero Donald Trump?
Abbiamo avuto molti rapporti con tre agenzie di lettere, ma la struttura è tale che non potrei farlo, anche se tu lo volessi. Non so quali siano i dati. Puoi citarmi oggi e dirmi di darti tutti i dati su [un cliente]. Ok riceverò il mandato di comparizione e ti risponderò, se puoi dirmi quali dei nostri dischi sono i loro, allora puoi averlo, ma non lo so.
Uno dei sistemi digitali più discussi negli ultimi anni è stato tecnologia blockchain. Oggi viene utilizzato da governi e organizzazioni per proteggere la veridicità dei dati. È uno strumento efficace anche per migliorare la privacy e la protezione dei dati?
La tecnologia Blockchain è una delle invenzioni più sorprendenti del nostro tempo, difficile da fermare. Tuttavia, molte persone collegano che, se è matematicamente corretto, sono immutabili nella vita reale ed è qui che Frank Abagnale riderà di te.
Se creo un documento falso di Jon Martindale e vado in una banca e ne faccio richiesta e loro lo inseriscono in una blockchain, il momento in cui capirai che non sei stato tu e proverai a disfarlo, come farai a cancellarlo dal mondo blockchain? È il principio “GIGO”, spazzatura nella spazzatura.
Realizzare una tecnologia matematicamente perfetta è meraviglioso. In realtà penso che tutti coloro che acquistano una casa dovrebbero averla su una blockchain in modo da non poter mai perdere la propria casa. Ci sono molte buone applicazioni per questo, ma dire che ciò risolverà il problema fondamentale dell’identità è una menzogna. Il problema non è mai stato come archiviare i dati, bensì: come faccio a sapere chi è chi nello zoo?
Con così tanti attacchi informatici e furti di dati in atto, è facile per le persone sentirsi impotenti nel proteggere i propri dati. Hai qualche consiglio di sicurezza per i nostri lettori che possono utilizzare per proteggersi?
C’è un consiglio molto semplice che darò loro. Finché non vivremo in un mondo senza password, il mio unico consiglio è di cambiare le tue password. Non ti costa nulla. Anche se le password sono state rubate ieri, cambiarle è come cambiare la serratura della tua porta. Per le cose più importanti della tua vita, la tua banca, la tua assistenza sanitaria, inserisci una voce nel calendario e ogni mese, ogni trimestre, almeno una volta all'anno, cambia le tue password. Il fatto che siamo creature abitudinarie sta lavorando contro di noi.
