Trusona vence o prêmio de melhor exposição no Finovate 2018
Como você prova que é quem diz ser? Essa pode parecer uma pergunta fácil de responder, mas em um mundo onde suas informações mais pessoais e privadas podem ser colhido de sua agência de crédito ou conta de rede social, essa facilidade é um problema. Fraudadores e criminosos também podem provar que são você, usando surpreendentemente poucas informações.
Esse é o quebra-cabeça que Ori Eisen espera resolver com o Autenticação sem senha Trusona sistema. Oferece serviços de validação de intermediários para empresas em todo o mundo, na esperança de melhorar a proteção dos dados digitais de todos. Ele está usando a experiência de 20º fraudadores do século como Frank Abagnale, famoso retratado no filme Apanha-me Se Puderes, para reforçar nossas defesas digitais modernas contra táticas clássicas de engenharia social.
Vídeos recomendados
Tendências Digitais: Frank Abagnale é provavelmente conhecido pela maioria como o tema do filme de 2002 Apanha-me Se Puderes baseado em suas aventuras nos anos 60 com fraude em cheques e falsificação de identidade. Como vocês dois se envolveram?
Ori Eisen: A versão resumida é que, enquanto eu trabalhava para uma das maiores empresas de cartão de crédito, pediram-me, além disso, às minhas responsabilidades na internet, para saber tudo sobre falsificação de cartões, que eu não sabia de nada sobre. Não existe livro ou diploma universitário sobre esse assunto, então perguntei: quem pode me ensinar? O nome Frank Abagnale apareceu repetidas vezes, só que ele não aceita novos alunos.
Os “Homens do Dinheiro” visitando @FairFX -com o único Frank Abagnale. Deixe o #NoPasswords A revolução começa. @trusona_incpic.twitter.com/soAYZ3Vn7u
-Ori Eisen (@orieisen) 7 de dezembro de 2017
Implorei-lhe durante meses e meses que me conhecesse e me ajudasse, porque através de mim ele poderia ajudar a coibir o crime, porque eu usaria o seu conhecimento e iria derrotar os bandidos. Eventualmente, ele concordou com a reunião e temos trabalhado juntos desde então.
Embora hoje Abagnale opera uma empresa de consultoria, sua experiência vem de uma época em que os computadores eram incrivelmente raros e incomparáveis com o mundo digitalmente aprimorado que desfrutamos hoje. Como sua contribuição é útil na era moderna?
A palavra “Trusona” é uma fusão de True e Persona e para saber quem é a verdadeira persona é necessário passar por um processo denominado prova de identidade. Primeiro, vamos estabelecer quem você é como pessoa [porque…] não há autenticação sem prova de identidade. Como posso autenticar que é você se não provar que é você, para começar?
“Não há autenticação sem prova de identidade.”
Frank é muito bom em nos ajudar a pensar, naquele momento em que você realiza a prova de identidade, como identificar um documento falso. Como um bandido substituiria uma foto de Frank por uma foto de Steven Spielberg. Como você venceria o certificado ou como venceria a tinta preta do documento ou todas as microimpressões finas. Ele realmente sabe muito sobre esses documentos porque os governos os utilizam nesse processo.
Na jornada de descobrir quem é a verdadeira persona, em muitos casos em que teríamos encontrado uma solução, ele basicamente nos mostrou como você poderia vencê-la com muita facilidade. Então era como jogar xadrez até chegar ao ponto em que ele não conseguia vencer o que estávamos fazendo.
Que tipo de sistemas você desenvolveu que foram protegidos contra o tipo de ataques de engenharia social que Frank Abagnale é tão eficaz na implementação?
Quando o Trusona estreou, lançamos com uma curva que diz o que você está tentando proteger e esse é o nível de serviço que oferecemos. Em todos eles não haverá nenhum tipo de senha.
Diferentes níveis de serviço exigem diferentes níveis de revelação. Nosso nível básico, chamado “Essencial”, pede apenas que você forneça um endereço de e-mail, ao qual enviaremos um e-mail para verificar se você realmente tem acesso a ele. Não há documentos envolvidos, nem fotos, nada disso. Isso pode vincular você a uma conta, para streaming de mídia ou similar. Porque é bom o suficiente. Ele ainda usa nossa tecnologia anti-replay, então mesmo que os bandidos estivessem ouvindo, eles não poderiam reutilizá-lo.
Tecnologia Anti-Replay da Trusona
Nosso próximo nível é “Executivo”. Esse nível diz: ‘ok, você ainda pode estar em sua casa, mas além do seu e-mail, quero que você digitalize remotamente, seja um passaporte ou uma carteira de motorista. 'Não é Trusona dizendo para você fazer isso, estamos apenas atendendo ao pedido de nosso parceiros. Então, você está tentando fazer algo com seu banco ou com sua saúde, e em nome deles nós fazemos isso. Trusona não armazena nenhum desses dados, porque não queremos nos tornar a próxima batata quente para um bandido.
O terceiro nível chama-se “Elite” e pede-lhe um e-mail, para digitalizar o seu documento remotamente e para comparecer pessoalmente. Pedimos que você faça isso apenas uma vez, para conectá-lo a uma credencial muito forte. Não é que toda vez você precise tirar uma selfie ou fazer um vídeo, porque esse é o único nível que um segurador irá garantir. Não é para o mercado de massa, é para situações únicas, mas só assim é possível conhecer a verdadeira persona, que é a essência do nosso negócio.
E quanto ao crescimento em deepfakes e software de manipulação de vídeo baseado em IA que torna possível criar vídeos e imagens realistas de pessoas em tempo real? Isso representa uma ameaça ao seu nível “Elite”?
Empresas como a Adobe lançaram o equivalente ao Photoshop para vídeo ao vivo. Pode imitar voz e rosto [...] Para ir além disso, você teria que começar com a identidade pessoal revisão, o que significa que preciso encontrá-lo na vida real, e com seus documentos, para estabelecer que é você. Você não pode fazer isso remotamente. Mas nem todo caso de uso exige isso. Realmente depende do que você está tentando proteger. Se a HBO quiser permitir que você assista a um filme, eles não precisam desse nível de segurança. Mas se a Goldman Sachs quiser movimentar US$ 50 milhões para Steven Spielberg, eles poderão precisar desse nível de segurança.
Você já fez Frank Abagnale tentar fazer engenharia social nos funcionários da Trusona?
Para nos tornarmos a primeira empresa autenticada do mundo – ninguém mais tomou estas medidas, porque não é simples – temos primeiro de proteger os nossos próprios dados dos nossos próprios funcionários. E se você sequestrasse um deles e nos dissesse ‘Só os libertarei se você me der acesso às chaves?’
Desde o início, passamos um ano em modo furtivo e projetamos um sistema que, mesmo que você coloque uma arma na minha cabeça, não poderei ajudá-lo. Isso inclui nosso chefe de engenharia e todos os demais que construíram o sistema, porque expliquei a eles, para proteger o mundo dos bandidos, não podemos ser o elo mais fraco da cadeia e eles entender. É por isso que temos que levar pessoas muito especiais para se inscreverem nesta missão.
“[Nós] projetamos um sistema onde mesmo que você coloque uma arma na minha cabeça, eu não posso ajudá-lo”
Também não armazenamos batatas quentes. Se você nos hackeou hoje e fizemos muitos testes de penetração com diferentes empresas, tudo o que você obtém é um hash unilateral de dados. Se eu peguei seu e-mail, é hash unilateral. Se eu pegar alguma coisa sobre uma transação, é um hash unilateral, então você nunca pode reverter para os dados porque não sabemos qual é o valor bruto.
Se fôssemos hackeados por um Estado-nação, o que espero que aconteça a qualquer momento, eles encontrariam algo inútil. Anunciamos nosso seguro em 6 de maio de 2016 – há dois anos. Desde então, 13% dos nossos acessos na web vêm da Rússia. E não temos um único cliente lá, não temos um único vendedor lá. Isso é muito para pessoas com quem não fazemos negócios!
O terceiro é o treinamento. Posso te dizer que até no nosso suporte, que atende ligações [...] nós os treinamos para atender ligações de pessoas como ‘Donald Trump.’ Somos muito hábeis em fingir telefonemas e fazer com que pareçam realmente legítimos, para fazer parecer que o presidente está ligando você. Sabemos como fazer isso porque somos hackers. São os passos, as perguntas, e não apenas dizer sim para tudo, que nos tornam tão fortes quanto podemos ser. Porque percebemos que quanto mais difundidos nos tornamos, mais nos tornamos um alvo.
E quanto às demandas legítimas de agências governamentais? Os dados da Trusona estão protegidos do verdadeiro Donald Trump?
Tivemos muitos negócios com agências de três cartas, mas o design é tal que não posso fazê-lo, mesmo que você queira. Não sei quais são os dados. Você pode me intimar hoje e pedir para lhe fornecer todos os dados de [um cliente]. Ok, vou pegar a intimação e responderei se você puder me dizer quais dos nossos registros são deles, então você pode ficar com eles, mas não sei.
Um dos sistemas digitais mais comentados nos últimos anos tem sido tecnologia blockchain. Hoje é usado por governos e organizações para proteger a veracidade dos dados. É também uma ferramenta eficaz para melhorar a privacidade e a proteção de dados?
A tecnologia Blockchain é uma das invenções mais incríveis do nosso tempo, parada difícil. No entanto, muitas pessoas afirmam que, se for matematicamente correto, eles são imutáveis na vida real e é aí que Frank Abagnale simplesmente rirá de você.
Se eu fizer um documento falso de Jon Martindale e for a um banco e solicitar com ele e eles colocarem em um blockchain, por o momento em que você descobrirá que não foi você e tentará desfazer isso, como você eliminará isso do blockchain? É o princípio “GIGO”, lixo dentro, lixo fora.
Criar uma tecnologia matematicamente perfeita é maravilhoso. Na verdade, acho que todo mundo que compra uma casa deveria tê-la em um blockchain para que você nunca perca sua casa. Existem muitas aplicações boas para isso, mas dizer que isso resolverá o problema central da identidade é uma falsidade. O problema nunca foi como armazenar os dados, mas sim: como posso saber quem é quem no zoológico?
Com tantos hacks e roubos de dados importantes ocorrendo, é fácil para as pessoas se sentirem impotentes na proteção de seus dados. Você tem alguma recomendação de segurança para nossos leitores que eles possam usar para ajudar a se proteger?
Há uma dica muito simples que vou dar a eles. Até vivermos em um mundo sem senhas, meu único conselho é alterar suas senhas. Não custa nada. Mesmo que as senhas tenham sido roubadas ontem, alterá-las é como alterar a fechadura da sua porta. Para as coisas mais importantes da sua vida, seu banco, sua saúde, coloque uma entrada no calendário e todo mês, todo trimestre, no mínimo uma vez por ano, altere suas senhas. O fato de sermos criaturas de hábitos está trabalhando contra nós.