No pārbaudēm līdz GDPR — kā Trusona vēlas aizsargāt jūsu ID

Kā tu pierādi, ka esi tas, par ko saki, ka esi? Var šķist, ka uz šo jautājumu ir viegli atbildēt, taču pasaulē, kurā var būt jūsu personiskākā privātā informācija novākts no jūsu kredītaģentūras vai sociālo tīklu konts, tas vieglums ir problēma. Krāpnieki un noziedznieki var arī pierādīt, ka esat jūs, izmantojot pārsteidzoši maz informācijas.

Tā ir mīkla, kuru Orijs Eizens cer atrisināt ar Trusona autentifikācija bez paroles sistēma. Tā piedāvā starpnieka validācijas pakalpojumus uzņēmumiem visā pasaulē, cerot uzlabot ikviena digitālo datu aizsardzību. Viņš izmanto 20 zināšanas^th gadsimta krāpnieki, piemēram, Frenks Abannāls, kas slaveni attēlots filmā Noķer mani, ja vari, lai atbalstītu mūsu moderno digitālo aizsardzību pret klasisko sociālās inženierijas taktiku.

Digitālās tendences: Frenku Abannālu, iespējams, lielākā daļa pazīst kā 2002. gada filmas tēmu Noķer mani, ja vari pamatojoties uz viņa bēgumiem 60. gados ar čeku krāpšanu un uzdošanos par citu personu. Kā jūs abi iesaistījāties kopā?

Ori Eizens: Īsā versija ir tāda, ka, kamēr es strādāju vienā no lielākajām kredītkaršu kompānijām, man prasīja papildus uz saviem interneta pienākumiem, uzzināt visu par karšu viltošanu, par ko es neko nezināju par. Par šo tēmu nav ne grāmatas, ne universitātes grāda, tāpēc es jautāju, kas var mani mācīt? Vārds Frenks Abagnale izskanēja atkal un atkal, vienkārši viņš nepieņem jaunus studentus.

Ciemos "Naudas vīri". @FairFX -ar vienīgo Frenku Abannālu. Ļaujiet #NavPasswords Sākas revolūcija. @trusona_incpic.twitter.com/soAYZ3Vn7u

— Ori Eizens (@orieisen) 2017. gada 7. decembris

Es lūdzu viņu mēnešiem un mēnešiem, lai viņš mani satiek un palīdz, jo ar manis starpniecību viņš varētu palīdzēt ierobežot noziedzību, jo es paņemšu viņa zināšanas un eju un sistu ļaunos puišus. Galu galā viņš piekrita tikšanās reizei, un kopš tā laika mēs strādājam kopā.

Lai gan šodien Abagnale pārvalda konsultāciju firmu, viņa zināšanas nāk no laikiem, kad datori bija neticami reti un nesalīdzināmi ar digitāli uzlaboto pasauli, kas mums patīk šodien. Kā viņa ieguldījums ir noderīgs mūsdienu laikmetā?

Vārds “Trusona” ir True un Persona saplūšana, un, lai uzzinātu, kas ir patiesā persona, jums ir jāiziet process, ko sauc par identitātes pārbaudi. Vispirms noskaidrosim, kas jūs esat kā persona [jo…] nav autentifikācijas bez identitātes pierādīšanas. Kā es varu apstiprināt, ka tas esat jūs, ja sākumā nepierādīšu, ka tas esat jūs?

Frenks patiešām labi palīdz mums tajā brīdī, kad veicat identitātes pārbaudi, pamanīt viltotu dokumentu. Kā slikts puisis aizstātu Frenka attēlu ar Stīvena Spīlberga attēlu. Kā jūs pārspētu sertifikātu vai kā jūs pārspētu melno tinti uz dokumenta vai visu smalko mikrodruku. Viņš tiešām daudz zina par šiem dokumentiem, jo ​​valdības tos izmanto šajā procesā.

Izstrādājot veidu, kā noskaidrot, kas ir patiesā persona, daudzos gadījumos, kad mēs būtu raduši risinājumu, viņš būtībā parādīja, kā jūs varat to ļoti viegli pārspēt. Tātad tas bija kā spēlēt šahu, līdz jūs nonākat līdz vietai, kur viņš nevarēja pārspēt to, ko mēs darījām.

Kādas sistēmas jūs izstrādājāt, kas bija aizsargātas pret tādiem sociālās inženierijas uzbrukumiem, kādus Frenks Abagnale ievieš tik efektīvi?

Kad Trusona debitēja, mēs sākām darbu ar līkni, kas norāda, ko jūs mēģināt aizsargāt, un tas ir mūsu sniegtā pakalpojuma līmenis. Visās no tām nebūs nekāda veida paroles.

Dažādiem pakalpojumu līmeņiem ir nepieciešami dažādi atklāšanas līmeņi. Mūsu pamata līmenis, ko sauc par “Essential”, ir tikai prasība jums norādīt e-pasta adresi, uz kuru mēs nosūtām e-pastu, lai pārbaudītu, vai jums patiešām ir piekļuve tai. Nav iesaistīti nekādi dokumenti, nav attēlu, nekas tamlīdzīgs. Tas var piesaistīt jūs kontam, multivides straumēšanai vai tamlīdzīgi. Jo tas ir pietiekami labs. Tā joprojām izmanto mūsu pretatkārtošanas tehnoloģiju, tāpēc pat tad, ja ļaundari to klausās, viņi nevarētu to izmantot atkārtoti.

Mūsu nākamais līmenis ir "Executive". Šajā līmenī ir teikts: “Labi, jūs joprojām varat atrasties savā mājā, taču es vēlos, lai jūs skenētu ne tikai jūsu e-pastu attālināti, vai nu pase, vai autovadītāja apliecība.” Trusona jums to neliek darīt, mēs tikai izpildām mūsu lūgumu partneriem. Tātad jūs mēģināt kaut ko darīt ar savu banku vai kaut ko darīt ar savu veselības aprūpi, un mēs to darām viņu vārdā. Trusona neuzglabā nevienu no šiem datiem, jo ​​mēs nevēlamies kļūt par nākamo karsto kartupeli ļaunajam.

Trešais līmenis tiek saukts par “Elite”, un tajā tiek lūgts nosūtīt e-pastu, attālināti skenēt dokumentu un parādīt sevi klātienē. Mēs lūdzam jūs to izdarīt tikai vienu reizi, lai jūs iegūtu ļoti spēcīgu akreditācijas informāciju. Nav tā, ka katru reizi ir jāuzņem selfijs vai video, jo tas ir vienīgais līmenis, ko apdrošinātājs apdrošinās. Tas nav paredzēts masu tirgum, tas ir paredzēts unikālām situācijām, taču tas ir vienīgais veids, kā uzzināt patieso personību, kas ir mūsu biznesa pamatā.

Kā ar izaugsmi dziļi viltojumi un AI vadīta video manipulācijas programmatūra kas ļauj izveidot reālistisku video un attēlus, kuros redzami cilvēki lidojumā? Vai tas apdraud jūsu “elites” līmeni?

Uzņēmumi, piemēram, Adobe, izlaida Photoshop ekvivalentu tiešraides video. Tas var atdarināt balsi un seju […] Lai to pārsniegtu, jums jāsāk ar personisko identitāti pārbaudi, kas nozīmē, ka man ir jāsatiekas ar jums reālajā dzīvē un ar jūsu dokumentiem, lai pārliecinātos, ka tā ir tu. Jūs to nevarat izdarīt attālināti. Bet ne katrs lietošanas gadījums to prasa. Tas tiešām ir atkarīgs no tā, ko jūs mēģināt aizsargāt. Ja HBO vēlas ļaut jums skatīties filmu, viņiem šāds drošības līmenis nav vajadzīgs. Bet, ja Goldman Sachs vēlas pārvietot 50 miljonus ASV dolāru Stīvenam Spīlbergam, viņiem var būt nepieciešams šāds drošības līmenis.

Vai kādreiz Frenks Abagnale mēģinājis apmācīt Trusona darbiniekus par sociālo inženieri?

Lai kļūtu par pasaulē pirmo autentificēto uzņēmumu – neviens cits nav veicis šīs darbības, jo tas nav vienkārši – mums vispirms ir jāaizsargā savi dati no saviem darbiniekiem. Kā būtu, ja jūs nolaupītu vienu no viņiem un pateiktu mums: "Es viņus atlaidīšu tikai tad, ja jūs man dosiet piekļuvi atslēgām?"

Jau no sākuma mēs pavadījām gadu slepenā režīmā un izstrādājām sistēmu, ka pat tad, ja tu pieliksi man pie galvas ieroci, es nevarēšu tev palīdzēt. Tas ietver mūsu inženierzinātņu vadītāju un visus pārējos, kas izveidoja sistēmu, jo es viņiem paskaidroju, lai pasargātu pasauli no sliktajiem puišiem, mēs nevaram būt ķēdes vājākais posms un viņi saprast. Tāpēc mums ir jāpieņem ļoti īpaši cilvēki, lai pieteiktos šai misijai.

Mēs arī neuzglabājam karstus kartupeļus. Ja jūs šodien mūs uzlauzāt un mēs esam veikuši daudz pildspalvu testu ar dažādiem uzņēmumiem, viss, ko jūs saņemat, ir tikai viena veida datu jaukšana. Ja es paņēmu jūsu e-pastu, tas ir viens no veidiem. Ja es kaut ko izmantoju par darījumu, tas ir viens no veidiem, jaukts, tāpēc jūs nekad nevarat to atgriezt datos, jo mēs nezinām, kāda ir neapstrādātā vērtība.

Ja mūs uzlauztu nacionāla valsts, kas, manuprāt, notiks jebkurā dienā, viņi atrastu kaut ko nederīgu. Mēs paziņojām par savu apdrošināšanu 2016. gada 6. maijā – pirms diviem gadiem. Kopš tā laika 13 procenti mūsu tīmekļa trāpījumu nāk no Krievijas. Un mums tur nav neviena klienta, mums tur nav neviena pārdevēja. Tas ir daudz cilvēkiem, ar kuriem mēs neveicam darījumus!

Trešais ir treniņš. Es varu jums pateikt, ka pat pie mūsu atbalsta darbinieka, kurš pieņem atbalsta zvanus […], mēs apmācām viņus pieņemt zvanus no tādiem cilvēkiem kā “Donalds”. Tramps.’ Mēs ļoti protam viltot telefona zvanus un likt tiem izskatīties patiesi likumīgiem, lai liktos, ka zvana prezidents tu. Mēs zinām, kā to izdarīt, jo esam hakeri. Tieši soļi, jautājumi, nevis tikai jā saka visam, padara mūs tik stiprus, cik varam. Jo mēs apzināmies, ka, jo vairāk mēs kļūstam, mēs paši kļūstam par mērķi.

Kā ar valsts aģentūru likumīgajām prasībām? Vai Trusona dati ir aizsargāti no īstā Donalda Trampa?

Mums ir bijušas daudzas darīšanas ar trim vēstuļu aģentūrām, taču dizains ir tāds, ka es to nevaru izdarīt, pat ja jūs to vēlētos. Es nezinu, kas ir dati. Jūs varat man šodien izsaukt pavēsti un pateikt, lai es jums sniedzu visus datus par [klientu]. Labi, es saņemšu pavēsti un atbildēšu, ja varat man pateikt, kuri no mūsu ierakstiem pieder viņiem, tad varat to saņemt, bet es nezinu.

Viena no pēdējos gados visvairāk apspriestajām digitālajām sistēmām ir bijusi blokķēdes tehnoloģija. Mūsdienās to izmanto valdības un organizācijas, lai aizsargātu datu patiesumu. Vai tas ir efektīvs instruments arī privātuma un datu aizsardzības uzlabošanai?

Blockchain tehnoloģija ir viens no mūsu laika pārsteidzošākajiem izgudrojumiem, hard stop. Tomēr daudzi cilvēki uzskata, ka, ja tas ir matemātiski pareizi, viņi reālajā dzīvē ir nemainīgi, un šeit Frenks Abannāls par jums tikai pasmiesies.

Ja es izveidoju viltotu Džona Martindeila dokumentu un dodos uz banku un piesaku ar to, un viņi ievieto blokķēdē, līdz plkst. Kad jūs sapratīsit, ka tas nebijāt jūs, un mēģināsit to atsaukt, kā jūs to izdzēsīsit no blokķēde? Tas ir “GIGO” princips, atkritumi atkritumos ārā.

Matemātiski perfektas tehnoloģijas izveide ir brīnišķīga. Es domāju, ka ikvienam, kas pērk māju, tai vajadzētu būt blokķēdē, lai jūs nekad nepazaudētu savu māju. Tam ir daudz labu lietojumprogrammu, taču teikt, ka tas atrisinās galveno identitātes problēmu, ir nepatiesi. Problēma nekad nebija par to, kā uzglabāt datus, tā bija: kā es varu zināt, kurš ir kurš zoodārzā?

Tā kā notiek tik daudz lielu uzlaušanu un datu zādzību, cilvēki var viegli justies bezspēcīgi savu datu aizsardzībā. Vai jums ir kādi drošības ieteikumi mūsu lasītājiem, ko viņi var izmantot, lai palīdzētu sevi aizsargāt?

Es viņiem sniegšu ļoti vienkāršu padomu. Kamēr mēs nedzīvojam pasaulē bez parolēm, mans vienīgais padoms ir nomainīt paroles. Tas jums neko nemaksā. Pat ja paroles tika nozagtas vakar, to maiņa ir kā durvju slēdzenes maiņa. Par svarīgākajām lietām savā dzīvē, banka – veselības aprūpi, ievietojiet kalendāra ierakstu un katru mēnesi, ceturksni, vismaz reizi gadā mainiet paroles. Tas, ka mēs esam ieraduma radības, darbojas pret mums.