Трусона је најбоља на сајму на Финовате 2018
Како доказујеш да си оно за шта кажеш да јеси? То би могло изгледати као питање на које је лако одговорити, али у свету у коме могу бити ваши најличнији приватни подаци прикупљено од ваше кредитне агенције или налог за друштвено умрежавање, та лакоћа је проблем. Преваранти и криминалци такође могу доказати да сте ви, користећи изненађујуће мало информација.
То је загонетка коју Ори Еисен нада да ће решити са Трусона аутентификација без лозинке система. Компанијама широм света нуди услуге провере посредничке вредности, у нади да ће побољшати заштиту дигиталних података свих. Користи стручност 20тх века преваранти попут Франка Абагналеа, познатог у филму Ухвати ме ако можеш, да ојачамо нашу модерну дигиталну одбрану од класичних тактика друштвеног инжењеринга.
Препоручени видео снимци
Дигитални трендови: Франк Абагнале је вероватно познат већини као тема филма из 2002 Ухвати ме ако можеш на основу његових ескапада 60-их са преварама са чековима и лажним представљањем. Како сте вас двоје постали заједно?
Ори Еисен: Кратка верзија је да су ме, док сам радио за једну од највећих компанија за кредитне картице, додатно питали мојим интернет обавезама, да сазнам све о фалсификовању картица, за које нисам знао ништа О томе. Не постоји књига или универзитетска диплома на ту тему, па сам питао, ко може да ме научи? Име Франк Абагнале се изнова појављивало, само што не прима нове студенте.
„Мушкарци новца“ у посети @ФаирФКС -са једним и јединим Франком Абагналеом. Нека #НоПассвордс Револуција почиње. @трусона_инцпиц.твиттер.цом/соАИЗ3Вн7у
— Ори Еисен (@ориеисен) 7. децембра 2017. године
Молио сам га месецима и месецима да ме упозна и помогне јер би преко мене могао да помогне у сузбијању криминала јер бих узео његово знање и отишао да победим лоше момке. На крају је пристао на састанак и од тада радимо заједно.
Иако данас Абагнале води консултантску фирму, његова стручност потиче из времена када су рачунари били невероватно ретки и неупоредиви са дигитално побољшаним светом у коме данас уживамо. Колико је његов допринос користан у модерном добу?
Реч „Трусона“ је спој Труе и Персона и да бисте знали ко је права персона, морате проћи кроз процес који се зове провера идентитета. Прво хајде да установимо ко сте ви као особа [јер...] нема аутентификације без провере идентитета. Како могу да потврдим да сте то ви ако за почетак не докажем да сте то ви?
„Нема аутентификације без провере идентитета.“
Франк је заиста добар у томе да нам помогне да размислимо у том тренутку када спроводите проверу идентитета, како да уочимо лажни документ. Како би лош момак слику Френка заменио сликом Стивена Спилберга. Како бисте победили сертификат или како бисте победили црно мастило на документу или сав фини микроотисак. Он заиста зна много о тим документима јер их владе користе у том процесу.
На путовању осмишљавања начина да сазнамо ко је права особа, у многим случајевима где бисмо дошли до решења, он нам је у суштини показао како можете да га победите веома лако. Тако да је било као да играте шах док не дођете до тачке у којој није могао да победи оно што смо ми радили.
Које сте системе развили који су били заштићени од врсте напада друштвеног инжењеринга у којима је Френк Абагнејл толико ефикасан у примени?
Када је Трусона дебитовала, кренули смо са кривом која говори шта покушавате да заштитите, а то је ниво услуге коју пружамо. У свима њима неће бити никаква лозинка.
Различити нивои услуге захтевају различите нивое откривања. Наш основни ниво, назван „Основни“, тражи само од вас да наведете адресу е-поште на коју шаљемо имејл како бисмо потврдили да јој заиста имате приступ. Нема докумената, нема слика, ништа слично. То вас може везати за налог, за стримовање медија или слично. Зато што је довољно добро. И даље користи нашу технологију против понављања, тако да чак и ако су га лоши момци слушали, не би могли поново да га користе.
Трусонина технологија против понављања
Наш следећи ниво је „Извршни“. Тај ниво каже: „ок, још увек можеш да будеш у својој кући, али поред е-поште, желим да скенираш даљински, било пасош или возачка дозвола.’ Није вам Трусона рекао да то урадите, ми само испуњавамо захтев нашег партнери. Дакле, ви покушавате да урадите нешто са својом банком или да урадите нешто са својом здравственом заштитом, а ми то радимо у њихово име. Трусона не чува ниједан од ових података, јер не желимо да постанемо следећи врући кромпир за лошег момка.
Трећи ниво се зове „Елит“ и тражи од вас имејл, да скенирате документ на даљину и да се појавите лично. Тражимо од вас да то урадите само једном, да бисмо вас повезали са веома јаким акредитивима. Није то сваки пут када треба да снимите селфи или видео, јер је то једини ниво који осигуравач осигурава. Није за масовно тржиште, већ за јединствене ситуације, али то је једини начин да сазнамо праву личност, што је оно што је наш посао.
Шта је са растом у деепфакес и софтвер за видео манипулацију вођен АИ то омогућава стварање реалистичних видео записа и слика људи у ходу? Да ли то представља претњу вашем нивоу „Елите“?
Компаније попут Адобе-а објавиле су еквивалент за Пхотосхоп за видео уживо. Може да имитира глас и лице […] Да бисте отишли даље од тога, морали бисте да почнете са личним идентитетом провере, што значи да морам да те сретнем у стварном животу, и са твојим документима, да утврдим да јесте ти. Не можете то учинити на даљину. Али то не захтева сваки случај употребе. Заиста зависи шта покушавате да заштитите. Ако ХБО жели да вам дозволи гледање филма, не треба им тај ниво сигурности. Али ако Голдман Сацхс жели да пребаци 50 милиона долара за Стивена Спилберга, можда ће им требати тај ниво сигурности.
Да ли сте икада имали Франк Абагналеа да покуша да социјалног инжењера Трусона запослене?
Да бисмо постали прва светска компанија са аутентиком – нико други није предузео ове кораке, јер то није једноставно – морамо прво да заштитимо сопствене податке од сопствених запослених. Шта ако сте киднаповали једног од њих и рекли нам 'Ослободићу их само ако ми дате приступ кључевима?'
Од самог почетка провели смо годину дана у скривеном режиму и дизајнирали систем да чак и ако ми прислоните пиштољ на главу, не могу вам помоћи. То укључује нашег шефа инжењеринга и све остале који су градили систем, јер сам им објаснио, да бисмо заштитили свет од лоших момака, ми не можемо бити најслабија карика у ланцу и они разумети. Зато морамо узети веома посебне људе да се пријаве за ову мисију.
„[Ми] смо дизајнирали систем у којем чак и ако ми прислоните пиштољ на главу, не могу вам помоћи“
Такође не складиштимо врући кромпир. Ако сте нас хаковали данас, а урадили смо много тестова оловком са различитим компанијама, све што добијате је једносмерни хеш података. Ако сам узео твоју е-пошту, то је једносмерни хеш. Ако сам узео било шта у вези са трансакцијом, то је једносмерно хеширано, тако да то никада не можете да вратите на податке јер не знамо која је сирова вредност.
Да нас је хаковала национална држава, што очекујем да ће се десити сваког дана, нашли би нешто што је бескорисно. Осигурање смо објавили 6. маја 2016. – пре две године. Од тада, 13 одсто наших веб хитова долази из Русије. И тамо немамо ниједног купца, немамо ни једног продавца. То је много за људе са којима не послујемо!
Трећи је тренинг. Могу вам рећи да чак и код нашег типа за подршку, који прима позиве за подршку […], ми их обучавамо да примају позиве од људи као што је „Доналд Трамп.’ Веома смо вешти у лажирању телефонских позива и да то изгледа заиста легитимно, како би изгледало као да председник зове ти. Знамо како то да урадимо јер смо хакери. Кораци, питања, а не само пристајање на све, чине нас јаким колико можемо. Зато што схватамо да што постајемо све продорнији, ми сами постајемо мета.
Шта је са легитимним захтевима владиних агенција? Да ли су подаци Трусоне заштићени од правог Доналда Трампа?
Имали смо много послова са три агенције за писма, али дизајн је такав да ја то не могу да урадим, чак и да желите. Не знам који су подаци. Можете ми данас затражити судски позив и рећи ми да вам дам све податке о [клијенту]. У реду, добићу судски позив и одговорићу ако ми можете рећи који од наших записа је њихов, онда га можете добити, али ја не знам.
Један од дигиталних система о којима се највише говори последњих година био је блоцкцхаин технологија. Данас га владе и организације користе за заштиту истинитости података. Да ли је то ефикасан алат за побољшање приватности и заштите података?
Блоцкцхаин технологија је један од најневероватнијих изума нашег времена, тешко зауставити. Међутим, многи људи повезују да су, ако је математички тачна, непроменљиви у стварном животу и ту ће вам се Франк Абагнале само смејати.
Ако направим лажни документ Џона Мартиндејла и одем у банку и пријавим се са њим и они ставе у блок ланац, до када ћете схватити да то нисте били ви и покушаћете да то поништите, како ћете то избрисати из блоцкцхаин? То је „ГИГО“ принцип, ђубре у ђубре напоље.
Прављење технологије која је математички савршена је дивно. Заправо мислим да свако ко купује кућу треба да је има на блокчејну, тако да никада не можете изгубити своју кућу. Постоји много добрих апликација за то, али рећи да ће то решити суштински проблем идентитета је лаж. Проблем никада није био у томе како чувати податке, већ је био: Како да знам ко је ко у зоолошком врту?
Са толико великих хакова и крађа података који се дешавају, људима је лако да се осећају немоћно у заштити својих података. Имате ли неке безбедносне препоруке за наше читаоце које могу да користе да би се заштитили?
Постоји врло једноставан савет који ћу им дати. Док не живимо у свету без лозинки, мој једини савет је да промените своје лозинке. Не кошта вас ништа. Чак и ако су лозинке украдене јуче, њихова промена је као мењање браве на вратима. За најважније ствари у вашем животу, ваша банка ваше здравство, унесите унос у календар и сваког месеца, сваког квартала, најмање једном годишње, мењајте своје лозинке. Чињеница да смо створења навике ради против нас.
