Trusona wygrywa Best in Show na Finovate 2018
Jak udowodnić, że jesteś tym, za kogo się podajesz? Odpowiedź na to pytanie może wydawać się łatwa, ale w świecie, w którym mogą znajdować się Twoje najbardziej osobiste informacje zebrane od Twojej agencji kredytowej Lub konto w serwisie społecznościowym, ta łatwość jest problemem. Oszuści i przestępcy mogą również udowodnić, że to Ty, wykorzystując zaskakująco mało informacji.
To zagadka, którą Ori Eisen ma nadzieję rozwiązać za pomocą Uwierzytelnianie bez hasła Trusona system. Oferuje usługi weryfikacji pośredników firmom na całym świecie, mając nadzieję na poprawę ochrony danych cyfrowych wszystkich osób. Korzysta z wiedzy i doświadczenia 20t stuletnich oszustów, takich jak Frank Abagnale, którego słynna postać została przedstawiona w filmie Złap mnie jeśli potrafisz, aby wzmocnić naszą nowoczesną cyfrową obronę przed klasycznymi taktykami inżynierii społecznej.
Polecane filmy
Trendy cyfrowe: Frank Abagnale jest prawdopodobnie znany większości jako bohater filmu z 2002 roku Złap mnie jeśli potrafisz na podstawie jego eskapad z lat 60. związanych z fałszowaniem czeków i podszywaniem się pod inne osoby. Jak to się stało, że się ze sobą związaliście?
Ori Eisena: W skrócie jest tak, że gdy pracowałem dla jednej z największych firm obsługujących karty kredytowe, zostałem dodatkowo o to poproszony do moich obowiązków internetowych, aby dowiedzieć się wszystkiego o fałszowaniu kart, o czym nic nie wiedziałem o. Nie ma żadnej książki ani dyplomu uniwersyteckiego na ten temat, więc zapytałem, kto może mnie uczyć? Nazwisko Frank Abagnale pojawiało się raz po raz, tyle że nie przyjmuje nowych studentów.
Wizyta „Ludzi od pieniędzy”. @FairFX -z jedynym i jedynym Frankiem Abagnale. Niech #Brak haseł Rozpocznij rewolucję. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7 grudnia 2017 r
Błagałem go przez wiele miesięcy, aby się ze mną spotkał i pomógł, ponieważ dzięki mnie mógłby pomóc w ograniczeniu przestępczości, ponieważ skorzystałbym z jego wiedzy i poszedł i pokonał złych facetów. W końcu zgodził się na spotkanie i od tamtej pory współpracujemy.
Chociaż dzisiaj Abagnale prowadzi firmę konsultingową, jego wiedza pochodzi z czasów, gdy komputery były niezwykle rzadkie i nieporównywalne z cyfrowym światem, którym się dzisiaj cieszymy. Jak jego wkład jest przydatny w czasach nowożytnych?
Słowo „Trusona” to połączenie słów True i Persona. Aby dowiedzieć się, kto jest prawdziwą osobą, należy przejść proces zwany sprawdzaniem tożsamości. Najpierw ustalmy, kim jesteś jako osoba, [ponieważ…] nie ma uwierzytelnienia bez potwierdzenia tożsamości. Jak mogę potwierdzić, że to Ty, jeśli od początku nie udowodnię, że to Ty?
„Nie ma uwierzytelnienia bez potwierdzenia tożsamości”.
Frank naprawdę dobrze pomaga nam przemyśleć, w momencie przeprowadzania weryfikacji tożsamości, jak rozpoznać fałszywy dokument. Jak zły facet zamieniłby zdjęcie Franka na zdjęcie Stevena Spielberga. Jak pokonasz certyfikat, jak pokonasz czarny atrament na dokumencie lub cały drobny mikrodruk. Naprawdę dużo wie o tych dokumentach, ponieważ rządy wykorzystują je w tym procesie.
Podczas swojej podróży polegającej na opracowywaniu sposobu na odkrycie prawdziwej osoby, w wielu przypadkach, w których znaleźlibyśmy rozwiązanie, po prostu pokazał nam, jak bardzo łatwo można ją pokonać. To było jak gra w szachy, dopóki nie doszliśmy do punktu, w którym nie mógł pokonać tego, co robiliśmy.
Jakiego rodzaju systemy opracowaliście, które były chronione przed atakami socjotechnicznymi, które Frank Abagnale tak skutecznie wdraża?
Kiedy Trusona zadebiutowała, wprowadziliśmy na rynek krzywą określającą, co próbujesz chronić i jaki jest poziom świadczonych przez nas usług. We wszystkich nie będzie żadnego hasła.
Różne poziomy usług wymagają różnych poziomów ujawnienia. Nasz podstawowy poziom, zwany „Essential”, wymaga jedynie podania adresu e-mail, na który wysyłamy wiadomość e-mail w celu sprawdzenia, czy rzeczywiście masz do niego dostęp. Nie ma żadnych dokumentów, zdjęć, nic takiego. Może to powiązać Cię z kontem w celu strumieniowego przesyłania multimediów lub podobnego. Ponieważ jest wystarczająco dobre. Nadal korzysta z naszej technologii zapobiegającej powtórkom, więc nawet gdyby podsłuchiwali ją przestępcy, nie mogliby jej ponownie wykorzystać.
Technologia zapobiegająca powtórkom firmy Trusona
Nasz następny poziom to „wykonawczy”. Ten poziom mówi: „OK, nadal możesz być w domu, ale oprócz poczty e-mail chcę, żebyś zeskanował”. zdalnie paszport lub prawo jazdy”. To nie Trusona Ci tego każe, my jedynie realizujemy prośbę naszego wzmacniacz. Próbujesz więc coś zrobić ze swoim bankiem lub ze swoją opieką zdrowotną, a my robimy to w ich imieniu. Trusona nie przechowuje żadnych takich danych, ponieważ nie chcemy stać się kolejnym gorącym ziemniakiem dla złego faceta.
Trzeci poziom nazywa się „Elite” i prosi Cię o przesłanie e-maila, zdalne zeskanowanie dokumentu i osobiste stawienie się. Prosimy Cię o zrobienie tego tylko raz, aby połączyć Cię z bardzo silnymi referencjami. Nie jest tak, że za każdym razem trzeba zrobić sobie selfie czy nagrać film, bo tylko taki poziom ubezpieczy ubezpieczyciel. Nie jest przeznaczony na rynek masowy, przeznaczony jest do wyjątkowych sytuacji, ale tylko w ten sposób można poznać prawdziwą osobowość i na tym właśnie polega nasza działalność.
A co ze wzrostem deepfakes i oprogramowanie do manipulacji wideo oparte na sztucznej inteligencji co umożliwia tworzenie realistycznych filmów i obrazów ludzi w locie? Czy stanowi to zagrożenie dla Twojego poziomu „Elitarnego”?
Firmy takie jak Adobe wypuściły odpowiednik Photoshopa do wideo na żywo. Potrafi imitować głos i twarz […] Aby wyjść poza to, należałoby zacząć od tożsamości osobistej sprawdzanie, co oznacza, że muszę spotkać się z Tobą w prawdziwym życiu i z Twoimi dokumentami, aby ustalić, że tak jest Ty. Nie da się tego zrobić zdalnie. Ale nie każdy przypadek użycia tego wymaga. To naprawdę zależy od tego, co próbujesz chronić. Jeśli HBO chce umożliwić Ci obejrzenie filmu, nie potrzebuje takiego poziomu bezpieczeństwa. Ale jeśli Goldman Sachs chce przekazać 50 milionów dolarów Stevenowi Spielbergowi, może potrzebować takiego poziomu bezpieczeństwa.
Czy kiedykolwiek Frank Abagnale próbował wykorzystać inżynierię społeczną pracowników Trusony?
Aby zostać pierwszą uwierzytelnioną firmą na świecie – nikt inny nie podjął takich kroków, bo to nie jest proste – musimy najpierw chronić własne dane przed własnymi pracownikami. Co by było, gdybyś porwał jednego z nich i powiedział nam: „Wypuszczę ich tylko wtedy, gdy dasz mi dostęp do kluczy?”
Od samego początku spędziliśmy rok w trybie ukrytym i zaprojektowaliśmy system, w którym nawet jeśli przyłożysz mi pistolet do głowy, nie będę mógł ci pomóc. Obejmuje to naszego szefa inżynierii i wszystkich innych, którzy zbudowali system, ponieważ im wyjaśniłem: aby chronić świat przed złymi ludźmi, nie możemy być najsłabszym ogniwem w łańcuchu i oni zrozumieć. Dlatego do tej misji musimy zaangażować bardzo wyjątkowe osoby.
„[Zaprojektowaliśmy] system, w którym nawet jeśli przyłożysz mi pistolet do głowy, nie będę mógł ci pomóc”
Nie przechowujemy również gorących ziemniaków. Jeśli dzisiaj nas zhakowałeś, a my przeprowadziliśmy wiele testów piórowych z różnymi firmami, jedyne, co otrzymasz, to jednokierunkowy skrót danych. Jeśli wziąłem Twój e-mail, jest to skrót jednokierunkowy. Jeśli wziąłem cokolwiek na temat transakcji, jest to zaszyfrowane jednokierunkowo, więc nigdy nie można przywrócić tego z powrotem do danych, ponieważ nie wiemy, jaka jest surowa wartość.
Gdybyśmy zostali zhakowani przez państwo narodowe, co, jak się spodziewam, stanie się lada dzień, znaleźliby coś, co byłoby bezużyteczne. O naszym ubezpieczeniu ogłosiliśmy 6 maja 2016 roku – dwa lata temu. Od tego czasu 13 procent naszych odsłon w Internecie pochodzi z Rosji. I nie mamy tam ani jednego klienta, nie mamy tam ani jednego sprzedawcy. To dużo jak na osoby, z którymi nie robimy interesów!
Trzeci to trening. Mogę powiedzieć, że nawet u naszego specjalisty, który przyjmuje telefony z pomocą […], szkolimy ich, jak odbierać telefony od osób takich jak „Donald Trump”. Jesteśmy bardzo biegli w fałszowaniu rozmów telefonicznych i sprawianiu, by wyglądało to naprawdę wiarygodnie, tak aby wyglądało na to, że dzwoni prezydent Ty. Wiemy, jak to zrobić, ponieważ jesteśmy hakerami. To kroki i pytania, a nie tylko mówienie „tak” na wszystko, czynią nas tak silnymi, jak to tylko możliwe. Ponieważ zdajemy sobie sprawę, że im bardziej stajemy się wszechobecni, tym sami stajemy się celem.
A co z uzasadnionymi żądaniami agencji rządowych? Czy dane Trusony są chronione przed prawdziwym Donaldem Trumpem?
Mieliśmy wiele kontaktów z agencjami trzyliterowymi, ale projekt jest taki, że nie mogę tego zrobić, nawet jeśli byś tego chciał. Nie wiem jakie to dane. Możesz mnie dzisiaj wezwać do sądu i powiedzieć, żebym przekazał ci wszystkie dane [klienta]. OK, dostanę wezwanie do sądu i odpowiem, jeśli możesz mi powiedzieć, które z naszych akt należą do nich, wtedy możesz je wziąć, ale nie wiem.
Jednym z najgłośniejszych tematów w ostatnich latach są systemy cyfrowe technologia blockchain. Dziś jest używany przez rządy i organizacje do ochrony prawdziwości danych. Czy jest to również skuteczne narzędzie poprawy prywatności i ochrony danych?
Technologia Blockchain to jeden z najbardziej niesamowitych wynalazków naszych czasów, twardy stop. Jednak wiele osób twierdzi, że jeśli jest to poprawne matematycznie, w prawdziwym życiu są one niezmienne i w tym przypadku Frank Abagnale po prostu się z ciebie wyśmieje.
Jeśli zrobię fałszywy dokument Jona Martindale’a, pójdę do banku i złożę z nim wniosek, a oni umieścili go w blockchainie, przez kiedy zorientujesz się, że to nie byłeś ty i spróbujesz to cofnąć, jak usuniesz to z pamięci blockchain? To zasada „GIGO”, śmieci w śmieciach.
Tworzenie technologii matematycznie doskonałej jest czymś wspaniałym. Właściwie uważam, że każdy, kto kupuje dom, powinien mieć go na blockchainie, aby nigdy nie stracić domu. Jest na to wiele dobrych zastosowań, ale twierdzenie, że rozwiąże to podstawowy problem tożsamości, jest kłamstwem. Problem nigdy nie dotyczył sposobu przechowywania danych, a raczej: skąd mam wiedzieć, kto jest kim w zoo?
Przy tak dużej liczbie poważnych włamań i kradzieży danych ludzie mogą czuć się bezsilni w ochronie swoich danych. Czy masz jakieś zalecenia dotyczące bezpieczeństwa dla naszych czytelników, z których mogą skorzystać, aby się chronić?
Dam im bardzo prostą wskazówkę. Dopóki nie będziemy żyć w świecie bez haseł, moja jedyna rada to zmienić hasła. To nic Cię nie kosztuje. Nawet jeśli wczoraj skradziono hasła, ich zmiana jest jak zmiana zamka w drzwiach. Dla najważniejszych spraw w Twoim życiu, Twoim banku, Twojej służbie zdrowia, umieść wpis w kalendarzu i co miesiąc, co kwartał, minimum raz w roku, zmieniaj swoje hasła. Fakt, że jesteśmy istotami przyzwyczajonymi, działa przeciwko nam.
