Trusona זוכה בפרס הטוב ביותר בהצגה ב-Finovate 2018
איך אתה מוכיח שאתה מי שאתה אומר שאתה? זו אולי נראית כמו שאלה שקל לענות עליה, אבל בעולם שבו המידע הפרטי ביותר שלך יכול להיות נקצר מסוכנות האשראי שלך אוֹ חשבון רשת חברתית, הקלות היא בעיה. רמאים ופושעים יכולים גם להוכיח שהם אתה, תוך שימוש במידע מועט באופן מפתיע.
זו החידה שאורי אייזן מקווה לפתור עם אימות ללא סיסמה של Trusona מערכת. היא מציעה שירותי אימות מתווך לחברות בכל רחבי העולם, בתקווה לשפר את ההגנה על הנתונים הדיגיטליים של כולם. הוא משתמש במומחיות של 20ה' רמאים מהמאה כמו פרנק אבגנייל, המתואר בסרט תפוס אותי אם תוכל, כדי לחזק את ההגנות הדיגיטליות המודרניות שלנו נגד טקטיקות קלאסיות של הנדסה חברתית.
סרטונים מומלצים
טרנדים דיגיטליים: פרנק אבגנייל כנראה ידוע לרוב כנושא הסרט מ-2002 תפוס אותי אם תוכל בהתבסס על ההימלטות שלו בשנות ה-60 עם הונאת צ'קים והתחזות. איך התערבתם ביחד?
אורי אייזן: הגרסה הקצרה היא שבזמן שעבדתי באחת מחברות האשראי הגדולות, נשאלתי בנוסף לאחריות האינטרנט שלי, ללמוד על הכול על זיוף כרטיסים, שלא ידעתי כלום על אודות. אין ספר או תואר אוניברסיטאי בנושא הזה, אז שאלתי, מי יכול ללמד אותי? השם פרנק אבגנייל עלה שוב ושוב, רק שהוא לא לוקח תלמידים חדשים.
"אנשי הכסף" בביקור @FairFX -עם פרנק אבגנלה האחד והיחיד. תן ל #ללא סיסמאות מהפכה מתחילה. @trusona_incpic.twitter.com/soAYZ3Vn7u
— אורי אייזן (@orieisen) 7 בדצמבר 2017
התחננתי אליו במשך חודשים על גבי חודשים שיפגוש אותי ויעזור לי כי דרכי הוא יכול לעזור לבלום את הפשע כי אני אקח את הידע שלו ואלך להכות את הרעים. בסופו של דבר הוא הסכים לפגישה ומאז אנחנו עובדים יחד.
אמנם היום אבגנלה מפעילה חברת ייעוץ, המומחיות שלו מגיעה מתקופה שבה מחשבים היו נדירים להפליא ואינם ניתנים להשוואה לעולם המשופר הדיגיטלי שאנו נהנים ממנו כיום. כיצד התרומה שלו מועילה בעידן המודרני?
המילה "טרוסונה" היא מיזוג של אמת ופרסונה וכדי לדעת מי הפרסונה האמיתית, אתה צריך לעבור תהליך שנקרא הוכחת זהות. ראשית בואו נבדוק מי אתה כאדם [כי...] אין אימות ללא הוכחת זהות. איך אני יכול לאמת שזה אתה אם אני לא מוכיח שזה אתה מלכתחילה?
"אין אימות ללא הוכחת זהות."
פרנק הוא באמת טוב בלעזור לנו לחשוב על הרגע הזה שבו אתה מבצע הגהת זהות, איך לזהות מסמך מזויף. איך בחור רע יחליף תמונה של פרנק בתמונה של סטיבן שפילברג. איך היית מנצח את התעודה או איך היית מנצח את הדיו השחור על המסמך או כל המיקרו-הדפסה העדינה. הוא באמת יודע הרבה על המסמכים האלה כי ממשלות משתמשות בהם בתהליך הזה.
במסע למציאת דרך לגלות מי הפרסונה האמיתית, במקרים רבים שבהם היינו מגיעים לפתרון, הוא בעצם הראה לנו איך אפשר לנצח אותה בקלות רבה. אז זה היה כמו לשחק שח עד שמגיעים לנקודה שבה הוא לא יכול היה לנצח את מה שעשינו.
איזה סוג של מערכות פיתחתם שהיו מוגנות מפני התקפות הנדסה חברתיות שפרנק אבגנלה כל כך יעיל ביישום?
כשטרוסונה הופיע לראשונה, התחלנו עם עקומה שאומרת על מה אתה מנסה להגן, וזו רמת השירות שאנו מספקים. בכולם, לא תהיה שום סוג של סיסמה.
רמות שירות שונות דורשות רמות שונות של חשיפה. הרמה הבסיסית שלנו, המכונה "חיוני", היא רק מבקשת ממך לספק כתובת דוא"ל שאנו שולחים אימייל כדי לוודא שאכן יש לך גישה אליה. אין מסמכים מעורבים, אין תמונות, שום דבר כזה. זה יכול לקשור אותך לחשבון, להזרמת מדיה או דומה. כי זה מספיק טוב. הוא עדיין משתמש בטכנולוגיית האנטי-שידור החוזר שלנו, כך שגם אם הרעים היו מקשיבים לו, הם לא יכלו לעשות בו שימוש חוזר.
טכנולוגיית Anti-Replay של Trusona
הרמה הבאה שלנו היא "ניהול". הרמה הזו אומרת, 'בסדר אתה עדיין יכול להיות בבית שלך, אבל בנוסף למייל שלך, אני רוצה שתסרוק מרחוק, או דרכון או רישיון נהיגה.' זה לא טרוסון אומר לך לעשות את זה, אנחנו רק משלימים את הבקשה שלנו שותפים. אז אתה מנסה לעשות משהו עם הבנק שלך או לעשות משהו עם שירותי הבריאות שלך, ומטעמם אנחנו עושים את זה. טרוסונה לא אוגרת אף אחד מהנתונים האלה, כי אנחנו לא רוצים להפוך לתפוח האדמה החם הבא עבור בחור רע.
הרמה השלישית נקראת "עלית" והיא מבקשת ממך אימייל, ולסרוק את המסמך שלך מרחוק, ולהופיע באופן אישי. אנו מבקשים ממך לעשות זאת רק פעם אחת, כדי לחבר אותך לאישור חזק מאוד. זה לא שבכל פעם אתה צריך לצלם סלפי או סרטון, כי זו הרמה היחידה שחתם יבטח. זה לא עבור שוק המוני, זה עבור מצבים ייחודיים, אבל זו הדרך היחידה לדעת את הפרסונה האמיתית, וזה מה שהעסק שלנו עוסק בו.
מה לגבי הצמיחה פנימה זיופים עמוקים ותוכנות מניפולציות וידאו מונעות בינה מלאכותית שמאפשר ליצור וידאו ותמונות דמויות חיים של אנשים תוך כדי תנועה? האם זה מהווה איום על רמת ה"עלית" שלך?
חברות כמו אדובי פרסמו את המקבילה לפוטושופ לווידאו חי. זה יכול לחקות את הקול והפנים […] כדי ללכת מעבר לזה, תצטרך להתחיל עם זהות אישית הגהה, כלומר אני צריך לפגוש אותך בחיים האמיתיים, ועם המסמכים שלך, כדי לקבוע שזה כן אתה. אתה לא יכול לעשות את זה מרחוק. אבל לא כל מקרה שימוש דורש זאת. זה באמת תלוי על מה אתה מנסה להגן. אם HBO רוצה לאפשר לך לצפות בסרט, הם לא צריכים את רמת האבטחה הזו. אבל אם גולדמן זאקס רוצה להעביר 50 מיליון דולר עבור סטיבן ספילברג, ייתכן שהם צריכים את רמת האבטחה הזו.
האם אי פעם גרמת לפרנק אבגנלה לנסות להנדס חברתי את עובדי טרוסון?
כדי להפוך לחברה המאומתת הראשונה בעולם - אף אחד אחר לא נקט את הצעדים האלה, כי זה לא פשוט - עלינו קודם כל להגן על הנתונים שלנו מהעובדים שלנו. מה אם חטפת אחד מהם ואמרת לנו 'אני אשחרר אותם רק אם תיתן לי גישה למפתחות?'
כבר מההתחלה בילינו שנה במצב התגנבות ותכננו מערכת שגם אם תניח לי אקדח לראש אני לא יכול לעזור לך. זה כולל את ראש ההנדסה שלנו וכל השאר שבנו את המערכת, כי הסברתי להם, כדי להגן על העולם מפני הרעים, אנחנו לא יכולים להיות החוליה החלשה בשרשרת והם מבין. לכן אנחנו צריכים לקחת אנשים מאוד מיוחדים כדי להירשם למשימה הזו.
"[אנחנו] תכננו מערכת שבה גם אם תצמיד לי אקדח לראש, אני לא יכול לעזור לך"
אנחנו גם לא מאחסנים תפוחי אדמה חמים. אם פרצתם לנו היום, ועשינו הרבה בדיקות עטים עם חברות שונות, כל מה שתקבל הוא גיבוב חד-כיווני של נתונים. אם לקחתי את האימייל שלך, זה hash one way. אם לקחתי משהו בקשר לעסקה, זה נעשה בגיבוש דרך אחת, כך שלעולם לא תוכל להחזיר אותו לנתונים כי אנחנו לא יודעים מה הערך הגולמי.
אם היינו פורצים על ידי מדינת לאום, מה שאני מצפה שיקרה בכל יום עכשיו, הם היו מוצאים משהו חסר תועלת. הודענו על הביטוח שלנו ב-6 במאי 2016 - לפני שנתיים. מאז, 13 אחוז מהכניסות שלנו באינטרנט מגיעות מרוסיה. ואין לנו שם לקוח אחד, אין לנו שם איש מכירות אחד. זה הרבה עבור אנשים שאנחנו לא עושים איתם עסקים!
השלישי הוא אימון. אני יכול להגיד לך שאפילו אצל איש התמיכה שלנו, שמקבל שיחות תמיכה […] אנחנו מאמנים אותם לקבל שיחות מאנשים כמו 'דונלד' טראמפ." אנחנו מאוד מיומנים בלזייף שיחות טלפון ולגרום לזה להיראות ממש לגיטימי, כדי שזה ייראה כאילו הנשיא מתקשר אתה. אנחנו יודעים לעשות את זה כי אנחנו האקרים. הצעדים, השאלות, לא רק להגיד כן להכל, הם שגורמים לנו להיות חזקים ככל האפשר. מכיוון שאנו מבינים שככל שנהיה נרחבים יותר, אנו בעצמנו הופכים למטרה.
מה לגבי דרישות לגיטימיות מסוכנויות ממשלתיות? האם נתוני Trusona מוגנים מפני דונלד טראמפ האמיתי?
היו לנו הרבה עסקאות עם שלוש סוכנויות מכתבים, אבל העיצוב הוא כזה שאני לא יכול לעשות את זה, גם אם תרצי. אני לא יודע מה הנתונים. אתה יכול לזמן אותי היום, ולהגיד לי לתת לך את כל הנתונים על [לקוח]. אוקיי, אני אקבל את הזימון ואענה אם אתה יכול להגיד לי אילו מהרשומות שלנו הם שלהם, אז אתה יכול לקבל אותו, אבל אני לא יודע.
אחת המערכות הדיגיטליות המדוברות ביותר בשנים האחרונות הייתה טכנולוגיית בלוקצ'יין. כיום הוא משמש על ידי ממשלות וארגונים כדי להגן על אמיתות הנתונים. האם זה כלי יעיל גם לשיפור הפרטיות והגנת הנתונים?
טכנולוגיית הבלוקצ'יין היא אחת ההמצאות המדהימות של זמננו, עצירה קשה. עם זאת, אנשים רבים יוצרים את הקישור שאם זה נכון מבחינה מתמטית הם בלתי ניתנים לשינוי בחיים האמיתיים ושם פרנק אבגנייל פשוט יצחק עליך.
אם אני מכין מסמך מזויף של ג'ון מרטינדייל ואני הולך לבנק ומגיש בקשה איתו והם מכניסים לבלוקצ'יין, על ידי ברגע שתבין שזה לא היית אתה ותנסה לבטל את זה, איך תמחק את זה מה בלוקצ'יין? זה עקרון "GIGO", זבל נכנס זבל החוצה.
ליצור טכנולוגיה מושלמת מבחינה מתמטית, זה נפלא. אני למעשה חושב שכל מי שקונה בית צריך שיהיה לו בבלוקצ'יין כדי שלעולם לא תוכל לאבד את הבית שלך. יש הרבה יישומים טובים לזה, אבל לומר שזה יפתור את בעיית הזהות המרכזית זה שקר. הבעיה אף פעם לא הייתה לגבי איך לאחסן את הנתונים, היא הייתה: איך אני יודע מי זה מי בגן החיות?
עם כל כך הרבה פריצות גדולות וגניבות נתונים שמתרחשות, קל לאנשים להרגיש חסרי אונים בהגנה על הנתונים שלהם. האם יש לך המלצות אבטחה לקוראים שלנו שהם יכולים להשתמש בהם כדי להגן על עצמם?
יש טיפ מאוד פשוט שאני אתן להם. עד שנחיה בעולם ללא סיסמאות, העצה היחידה שלי היא לשנות את הסיסמאות שלך. זה לא עולה לך כלום. גם אם אתמול נגנבו סיסמאות, החלפתן היא כמו החלפת המנעול בדלת שלך. עבור הדברים החשובים ביותר בחייך, הבנק שלך שירותי הבריאות שלך, שים רישום לוח שנה וכל חודש, כל רבעון, לפחות פעם בשנה, שנה את הסיסמאות שלך. העובדה שאנחנו יצורים של הרגל פועלת לרעתנו.
