Trusona vyhráva Best in Show na Finovate 2018
Ako dokážete, že ste tým, kým hovoríte, že ste? To sa môže zdať ako jednoduchá otázka na odpoveď, ale vo svete, kde môžu byť vaše najosobnejšie súkromné informácie získané od vašej úverovej agentúry alebo účet na sociálnej sieti, tá ľahkosť je problém. Podvodníci a zločinci môžu tiež dokázať, že ste vy, a to pomocou prekvapivo malého množstva informácií.
To je hádanka, ktorú chce Ori Eisen vyriešiť Overenie Trusona bez hesla systém. Spoločnostiam na celom svete ponúka overovacie služby pre sprostredkovateľov v nádeji, že zlepší ochranu digitálnych údajov každého. Využíva odbornosť 20th storočia podvodníci ako Frank Abagnale, skvele zobrazený vo filme Chyť ma ak to dokážeš, aby sme podporili našu modernú digitálnu obranu proti klasickým taktikám sociálneho inžinierstva.
Odporúčané videá
Digitálne trendy: Franka Abagnala pravdepodobne väčšina pozná ako predmet filmu z roku 2002 Chyť ma ak to dokážeš na základe jeho eskapád v 60. rokoch so šekovými podvodmi a odcudzením identity. Ako ste sa vy dvaja spolu zaplietli?
Ori Eisen: Skrátená verzia je, že kým som pracoval pre jednu z najväčších spoločností vydávajúcich kreditné karty, požiadali ma navyše k mojim internetovým povinnostiam, dozvedieť sa všetko o falšovaní kariet, o ktorých som nič nevedel o. Na túto tému neexistuje žiadna kniha ani univerzitný diplom, tak som sa spýtal, kto ma môže učiť? Meno Frank Abagnale sa objavovalo znova a znova, len neberie nových študentov.
Návšteva „Money Men“. @FairFX -s jediným Frankom Abagnale. Nechaj #NoPasswords Revolúcia začína. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7. decembra 2017
Celé mesiace a mesiace som ho prosil, aby sa so mnou stretol a pomohol mi, pretože cezo mňa by mohol pomôcť potlačiť zločin, pretože by som zobral jeho vedomosti a šiel biť tých zlých. Nakoniec so stretnutím súhlasil a odvtedy spolu pracujeme.
Aj keď dnes Abagnale prevádzkuje poradenskú firmu, jeho odborné znalosti pochádzajú z čias, keď boli počítače neuveriteľne vzácne a neporovnateľné s digitálne vylepšeným svetom, ktorý si dnes užívame. Ako je jeho príspevok užitočný v modernej dobe?
Slovo „Trusona“ je fúziou True a Persona, a aby ste vedeli, kto je skutočný persona, musíte prejsť procesom nazývaným overovanie identity. Najprv zistime, kto ste ako osoba [pretože...] neexistuje overenie bez preukázania totožnosti. Ako môžem overiť, že ste to vy, ak nepreukážem, že ste to vy?
"Neexistuje žiadna autentifikácia bez preukázania totožnosti."
Frank je naozaj dobrý v tom, že nám pomáha premyslieť si v momente, keď vykonávate overovanie totožnosti, ako rozpoznať falošný dokument. Ako by zlý človek nahradil fotku Franka obrázkom Stevena Spielberga. Ako by ste porazili certifikát alebo ako by ste porazili čierny atrament na dokumente alebo všetky jemné mikrotlače. O týchto dokumentoch vie naozaj veľa, pretože vlády ich v tomto procese používajú.
Na ceste vymýšľania spôsobu, ako zistiť, kto je skutočná osoba, v mnohých prípadoch, keď by sme prišli s riešením, nám v podstate ukázal, ako ju môžete veľmi ľahko poraziť. Takže to bolo ako hrať šach, kým ste neprišli do bodu, keď nemohol poraziť to, čo sme robili.
Aký druh systémov ste vyvinuli, aby boli chránené proti druhom útokov sociálneho inžinierstva, pri ktorých implementácii je Frank Abagnale taký efektívny?
Keď Trusona debutovala, začali sme s krivkou, ktorá hovorí, čo sa snažíte chrániť, a to je úroveň služieb, ktoré poskytujeme. Vo všetkých z nich nebude žiadny druh hesla.
Rôzne úrovne služieb vyžadujú rôzne úrovne odhalenia. Naša základná úroveň, nazvaná „Essential“, od vás vyžaduje iba zadanie e-mailovej adresy, na ktorú vám pošleme e-mail, aby sme overili, že k nej skutočne máte prístup. Nejedná sa o žiadne dokumenty, žiadne obrázky, nič podobné. To vás môže spojiť s účtom na streamovanie médií alebo podobne. Pretože je to dosť dobré. Stále používa našu technológiu proti opakovanému prehrávaniu, takže aj keby ju zlí ľudia počúvali, nemohli ju znova použiť.
Technológia Trusona Anti-Replay
Naša ďalšia úroveň je „Executive“. Táto úroveň hovorí: „Dobre, stále môžete byť vo svojom dome, ale okrem vášho e-mailu chcem, aby ste naskenovali na diaľku, buď pas alebo vodičský preukaz.‘ Nehovorí vám to Trusona, iba dokončujeme požiadavku nášho partneri. Takže sa snažíte urobiť niečo so svojou bankou alebo urobiť niečo so zdravotnou starostlivosťou a my to robíme v ich mene. Trusona neuchováva žiadne z týchto údajov, pretože sa nechceme stať ďalším horúcim zemiakom pre zlého chlapa.
Tretia úroveň sa nazýva „Elite“ a požiada vás o e-mail, naskenovanie dokumentu na diaľku a osobné zobrazenie. Žiadame vás, aby ste to urobili iba raz, aby sme vás spojili s veľmi silným poverením. Nie je to tak, že zakaždým, keď potrebujete urobiť selfie alebo video, pretože to je jediná úroveň, ktorú si upisovateľ poistí. Nie je to pre masový trh, je to pre jedinečné situácie, ale je to jediný spôsob, ako spoznať skutočnú osobnosť, o čom je naše podnikanie.
Čo sa týka rastu v deepfakes a softvér na manipuláciu s videom poháňaný AI čo umožňuje vytvárať realistické videá a obrázky ľudí za behu? Predstavuje to hrozbu pre vašu „Elitnú“ úroveň?
Spoločnosti ako Adobe vydali ekvivalent pre Photoshop pre živé video. Dokáže napodobňovať hlas a tvár […] Aby ste to prekročili, museli by ste začať s osobnou identitou proofing, čo znamená, že sa s vami musím stretnúť v reálnom živote a s vašimi dokumentmi, aby som zistil, že je to tak vy. Nemôžete to urobiť na diaľku. Ale nie každý prípad použitia to vyžaduje. Naozaj záleží na tom, čo sa snažíte chrániť. Ak vám HBO chce umožniť sledovať film, nepotrebuje túto úroveň zabezpečenia. Ale ak chce Goldman Sachs presunúť 50 miliónov dolárov pre Stevena Spielberga, možno bude potrebovať túto úroveň zabezpečenia.
Už ste niekedy mali Franka Abagnala vyskúšať sociálneho inžiniera zamestnancov Trusony?
Aby sme sa stali prvou overenou spoločnosťou na svete – nikto iný tieto kroky neurobil, pretože to nie je jednoduché – musíme najprv chrániť svoje vlastné údaje pred našimi zamestnancami. Čo keby ste jedného z nich uniesli a povedali nám: ‚Prepustím ich, iba ak mi dáte prístup ku kľúčom?‘
Hneď od začiatku sme strávili rok v utajenom režime a navrhli sme systém, že aj keď mi priložíš zbraň k hlave, nemôžem ti pomôcť. To zahŕňa nášho vedúceho inžinierstva a všetkých ostatných, ktorí vytvorili systém, pretože som im vysvetlil, aby sme ochránili svet pred zlými ľuďmi, nemôžeme byť najslabším článkom reťaze a oni rozumieť. Preto musíme vziať veľmi špeciálnych ľudí, ktorí sa prihlásia do tejto misie.
„Navrhli sme systém, v ktorom vám nemôžem pomôcť, aj keď mi priložíte zbraň k hlave“
Tiež neskladujeme žiadne horúce zemiaky. Ak ste nás dnes hackli a vykonali sme veľa testov perom s rôznymi spoločnosťami, získate iba jednosmernú hašovanie údajov. Ak som vzal váš e-mail, je to jednosmerný hash. Ak vezmem niečo o transakcii, je to jednosmerne hašované, takže to nikdy nemôžete vrátiť späť k údajom, pretože nevieme, aká je nespracovaná hodnota.
Ak by nás hackol národný štát, čo očakávam, že sa to stane každým dňom, našli by niečo, čo by bolo zbytočné. Poistenie sme ohlásili 6. mája 2016 – pred dvoma rokmi. Odvtedy 13 percent našich webových hitov pochádza z Ruska. A nemáme tam ani jedného zákazníka, nemáme tam ani jedného predajcu. To je veľa pre ľudí, s ktorými neobchodujeme!
Tretím je tréning. Môžem vám povedať, že aj u nášho podporného chlapíka, ktorý prijíma telefonáty na podporu […], ich trénujeme, aby prijímali hovory od ľudí ako ‘Donald Trump.‘ Sme veľmi zbehlí v predstieraní telefonátov a v tom, aby to vyzeralo skutočne legitímne, aby to vyzeralo, že volá prezident vy. Vieme, ako to urobiť, pretože sme hackeri. Sú to kroky, otázky, nielen povedať áno na všetko, čo nás robí tak silnými, ako len môžeme byť. Pretože si uvedomujeme, že čím viac sa stávame všadeprítomnejšími, sami sa stávame cieľom.
A čo legitímne požiadavky od vládnych agentúr? Sú údaje Trusony chránené pred skutočným Donaldom Trumpom?
Mali sme veľa rokovaní s tromi listovými agentúrami, ale dizajn je taký, že to nemôžem urobiť, aj keby ste to chceli. Neviem, aké sú údaje. Môžete ma dnes predvolať a povedať mi, aby som vám dal všetky údaje o [klientovi]. Ok, dostanem predvolanie a odpoviem, ak mi môžete povedať, ktoré z našich záznamov sú ich, potom ho môžete mať, ale neviem.
Jedným z najdiskutovanejších digitálnych systémov v posledných rokoch bol blockchain technológie. Dnes ho používajú vlády a organizácie na ochranu pravdivosti údajov. Je to účinný nástroj aj na zlepšenie ochrany súkromia a údajov?
Technológia blockchain je jedným z najúžasnejších vynálezov našej doby, ťažké zastavenie. Mnoho ľudí však spája, že ak je to matematicky správne, sú v skutočnom živote nemenní a tu sa vám Frank Abagnale bude len smiať.
Ak vytvorím falošný dokument Jona Martindalea a pôjdeme do banky a požiadam s ním, a oni ho vložia do blockchainu, keď zistíte, že ste to neboli vy a pokúsite sa to vrátiť späť, ako to odstránite z blockchain? Je to princíp „GIGO“, odpad v odpade von.
Vytvoriť technológiu, ktorá je matematicky dokonalá, je úžasné. Vlastne si myslím, že každý, kto si kúpi dom, by ho mal mať na blockchaine, aby ste o svoj dom nikdy neprišli. Na to existuje veľa dobrých aplikácií, ale tvrdiť, že to vyrieši hlavný problém identity, je klamstvo. Problém nikdy nebol v tom, ako uložiť dáta, bol to: Ako zistím, kto je kto v zoo?
S toľkými veľkými hacknutiami a krádežami údajov sa ľudia môžu ľahko cítiť bezmocní pri ochrane svojich údajov. Máte pre našich čitateľov nejaké bezpečnostné odporúčania, ktoré môžu použiť na ochranu?
Dám im veľmi jednoduchý tip. Kým nebudeme žiť vo svete bez hesiel, moja jediná rada je zmeniť si heslá. Nič vás to nestojí. Aj keď boli heslá ukradnuté včera, ich zmena je ako výmena zámku na dverách. Na najdôležitejšie veci vo vašom živote, banke, zdravotníctve, si dajte záznam do kalendára a každý mesiac, každý štvrťrok, minimálne raz za rok si zmeňte heslá. Fakt, že sme tvory zo zvyku, pracuje proti nám.