Trusona vinner Best in Show på Finovate 2018
Hur bevisar du att du är den du säger att du är? Det kan tyckas vara en enkel fråga att besvara, men i en värld där din mest personliga privata information kan vara skördas från din kreditbyrå eller konto för sociala nätverk, den lättheten är ett problem. Bedragare och brottslingar kan också bevisa att de är du genom att använda förvånansvärt lite information.
Det är pusslet Ori Eisen hoppas kunna lösa med Trusona lösenordsfri autentisering systemet. Det erbjuder mellanhandsvalideringstjänster till företag över hela världen, i hopp om att förbättra skyddet av allas digitala data. Han använder expertis från 20th talet bedragare som Frank Abagnale, känd avbildad i filmen Ta mig om du kan, för att stödja våra moderna digitala försvar mot klassisk social ingenjörskonst.
Rekommenderade videor
Digitala trender: Frank Abagnale är förmodligen känd av de flesta som ämnet för filmen från 2002 Ta mig om du kan baserat på hans eskapader på 60-talet med checkbedrägeri och identitetsstöld. Hur blev ni involverade tillsammans?
Ori Eisen: Den korta versionen är att medan jag arbetade för ett av de största kreditkortsföretagen, blev jag tillfrågad dessutom till mitt internetansvar, för att lära mig om allt om förfalskning av kort, som jag inte visste något om handla om. Det finns ingen bok eller universitetsexamen i det ämnet, så jag frågade, vem kan lära mig? Namnet Frank Abagnale kom upp om och om igen, det är bara det att han inte tar nya studenter.
"Money Men" på besök @FairFX -med den enda Frank Abagnale. Låt #Inga lösenord Revolutionen börjar. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Ori Eisen (@orieisen) 7 december 2017
Jag bad honom i månader och månader att träffa mig och hjälpa mig för genom mig kunde han hjälpa till att stävja kriminalitet eftersom jag skulle ta hans kunskap och gå och slå de onda. Så småningom gick han med på mötet och vi har arbetat tillsammans sedan dess.
Fast idag Abagnale driver ett konsultföretag, kommer hans expertis från en tid då datorer var otroligt sällsynta och ojämförliga med den digitalt förbättrade värld vi åtnjuter idag. Hur är hans input användbar i modern tid?
Ordet "Trusona" är en sammansmältning av True och Persona och för att veta vem den sanna personan är måste du gå igenom en process som kallas identitetsbevis. Låt oss först fastställa vem du är som person [eftersom...] det finns ingen autentisering utan identitetsbevis. Hur kan jag autentisera att det är du om jag inte bevisar att det är du till att börja med?
"Det finns ingen autentisering utan identitetsbevis."
Frank är riktigt bra på att hjälpa oss att tänka igenom i det ögonblicket när du genomför identitetskontroll, hur man upptäcker ett falskt dokument. Hur en dålig kille skulle ersätta en bild på Frank med en bild på Steven Spielberg. Hur skulle du slå certifikatet eller hur skulle du slå det svarta bläcket på dokumentet eller alla fina mikrotryck. Han vet verkligen mycket om dessa dokument eftersom regeringar använder dem i den processen.
På resan med att utarbeta ett sätt att ta reda på vem den sanna personen är, i många fall där vi skulle ha kommit på en lösning, visade han oss i princip hur du kunde slå den väldigt lätt. Så det var som att spela schack tills man kommer till den punkt där han inte kunde slå det vi gjorde.
Vilken typ av system utvecklade du som var skyddade mot den typ av sociala ingenjörsattacker som Frank Abagnale är så effektiv på att implementera?
När Trusona debuterade lanserade vi med en kurva som säger vad du försöker skydda, och det är den servicenivå vi tillhandahåller. I dem alla kommer det inte att finnas någon form av lösenord.
Olika servicenivåer kräver olika nivåer av avslöjande. Vår grundläggande nivå, kallad "Essential", ber dig bara att ange en e-postadress som vi skickar ett e-postmeddelande för att verifiera att du verkligen har tillgång till den. Det finns inga dokument inblandade, inga bilder, inget sådant. Det kan knyta dig till ett konto, för mediastreaming eller liknande. För det är tillräckligt bra. Den använder fortfarande vår anti-replay-teknik, så att även om skurkarna lyssnade på den, kunde de inte återanvända den.
Trusonas Anti-Replay-teknik
Vår nästa nivå är "Executive". Den nivån säger: 'ok du kan fortfarande vara i ditt hus, men förutom din e-post vill jag att du skannar på distans, antingen ett pass eller ett körkort.’ Det är inte Trusona som säger åt dig att göra det, vi fullföljer bara begäran från vår partners. Så du försöker göra något med din bank eller att göra något med din sjukvård, och på deras vägnar gör vi det. Trusona lagrar inte någon av dessa data, eftersom vi inte vill bli nästa heta potatis för en dålig kille.
Den tredje nivån kallas "Elite" och den ber dig om ett e-postmeddelande och att skanna ditt dokument på distans och att visa dig själv. Vi ber dig bara att göra det en gång, för att koppla dig till en mycket stark legitimation. Det är inte så varje gång du behöver ta en selfie eller video, för det är den enda nivån som en försäkringsgivare kommer att försäkra. Det är inte för massmarknaden, det är för unika situationer, men det är det enda sättet att känna till den sanna personan, vilket är vad vår verksamhet handlar om.
Hur är det med tillväxten i deepfakes och AI-driven programvara för videomanipulation som gör det möjligt att skapa verklighetstrogna videor och bilder av människor i farten? Utgör det ett hot mot din "Elite"-nivå?
Företag som Adobe släppte motsvarande för Photoshop för livevideo. Det kan imitera röst och ansikte […] För att gå utöver det måste du börja med personlig identitet korrektur, vilket innebär att jag behöver träffa dig i verkligheten, och med dina dokument, för att fastställa att det är du. Du kan inte göra det på distans. Men inte alla användningsfall kräver det. Det beror verkligen på vad du försöker skydda. Om HBO vill tillåta dig att se en film behöver de inte den säkerhetsnivån. Men om Goldman Sachs vill flytta 50 miljoner dollar för Steven Spielberg kan de behöva den säkerhetsnivån.
Har du någonsin låtit Frank Abagnale försöka social ingenjör Trusonas anställda?
För att bli världens första autentiserade företag – ingen annan har tagit dessa steg, eftersom det inte är enkelt – måste vi först skydda vår egen data från våra egna anställda. Tänk om du kidnappade en av dem och sa till oss "Jag släpper dem bara om du ger mig tillgång till nycklarna?"
Redan från början tillbringade vi ett år i smygläge och designade ett system som jag inte kan hjälpa dig även om du sätter en pistol mot mitt huvud. Det inkluderar vår ingenjörschef och alla andra som byggde systemet, eftersom jag förklarade för dem, för att skydda världen från de onda kan vi inte vara den svagaste länken i kedjan och de förstå. Det är därför vi måste ta mycket speciella personer för att anmäla sig till detta uppdrag.
"[Vi] designade ett system där jag inte kan hjälpa dig även om du sätter en pistol mot mitt huvud"
Vi förvarar inte heller någon varm potatis. Om du hackade oss idag, och vi har gjort många penntester med olika företag, är allt du får en hash av data. Om jag tog din e-post så är det en enkelriktad hash. Om jag tog något om en transaktion är den hashad på ett sätt, så du kan aldrig återställa den till data eftersom vi inte vet vad råvärdet är.
Om vi blev hackade av en nationalstat, vilket jag förväntar mig ska hända vilken dag som helst nu, skulle de hitta något som var värdelöst. Vi annonserade vår försäkring den 6 maj 2016 – för två år sedan. Ända sedan dess kommer 13 procent av våra webbträffar från Ryssland. Och vi har inte en enda kund där, vi har inte en enda säljare där. Det är mycket för människor vi inte gör affärer med!
Det tredje är träning. Jag kan berätta att även hos vår supportkille, som tar emot supportsamtal […], tränar vi dem att ta emot samtal från människor som "Donald Trump.’ Vi är väldigt skickliga på att fejka telefonsamtal och få det att se riktigt legitimt ut, för att få det att verka som att presidenten ringer du. Vi vet hur man gör det eftersom vi är hackare. Det är stegen, frågorna, inte bara att säga ja till allt, som gör oss så starka som vi kan vara. Eftersom vi inser att ju mer genomgripande vi blir, blir vi själva ett mål.
Hur är det med legitima krav från statliga myndigheter? Är Trusonas data skyddad från den riktiga Donald Trump?
Vi har haft många affärer med tre brevförmedlingar, men designen är sådan att jag inte kan göra det, även om du ville att jag skulle det. Jag vet inte vad uppgifterna är. Du kan stämma mig idag och säga till mig att ge dig all information om [en klient]. Ok, jag tar emot stämningen och jag svarar om du kan berätta för mig vilka av våra skivor som är deras, då kan du få det, men jag vet inte.
Ett av de mest omtalade digitala systemen de senaste åren har varit blockchain-teknik. Idag används den av regeringar och organisationer för att skydda datas sanningsenlighet. Är det ett effektivt verktyg för att förbättra integritet och dataskydd också?
Blockchain-teknik är en av vår tids mest fantastiska uppfinningar, hårt stopp. Men många gör länken att om det är matematiskt korrekt så är de oföränderliga i verkliga livet och det är där Frank Abagnale bara kommer att skratta åt dig.
Om jag gör ett falskt dokument av Jon Martindale och jag går till en bank och ansöker med det och de lägger in i en blockchain, av när du kommer att ta reda på att det inte var du och du kommer att försöka ångra det, hur tar du bort det från blockchain? Det är "GIGO"-principen, skräp in skräp ut.
Att göra en teknik som är matematiskt perfekt, är underbart. Jag tycker faktiskt att alla som köper ett hus ska ha det på en blockchain så att man aldrig kan förlora sitt hus. Det finns många bra applikationer för det, men att säga att det kommer att lösa kärnidentitetsproblemet är en falskhet. Problemet handlade aldrig om hur man lagrade datan, det var: Hur vet jag vem som är vem i djurparken?
Med så många stora hack och datastölder som äger rum är det lätt för människor att känna sig maktlösa när det gäller att skydda sin data. Har du några säkerhetsrekommendationer för våra läsare som de kan använda för att skydda sig själva?
Det finns ett väldigt enkelt tips jag ska ge dem. Tills vi lever i en värld utan lösenord är mitt enda råd att byta lösenord. Det kostar dig ingenting. Även om lösenord stals igår, är att byta dem som att byta lås på din dörr. För de viktigaste sakerna i ditt liv, bank din sjukvård, lägg en kalenderpost och varje månad, varje kvartal, minst en gång om året, ändra dina lösenord. Det faktum att vi är vanedjur motverkar oss.
