Trusona виграв Best in Show на Finovate 2018
Як довести, що ти той, за кого себе видаєш? Це може здатися легким запитанням, але у світі, де ваша особиста інформація може бути найбільш особистою отримані від вашого кредитного агентства або обліковий запис соціальної мережі, що легкість є проблемою. Шахраї та злочинці також можуть довести, що вони ви, використовуючи напрочуд мало інформації.
Ось головоломку, яку Орі Айзен сподівається вирішити за допомогою Аутентифікація Trusona без пароля система. Він пропонує компаніям по всьому світу послуги перевірки посередників, сподіваючись покращити захист цифрових даних кожного. Він використовує досвід 20тис шахраїв століття, таких як Френк Абаньейл, відомого у фільмі Спіймай мене, якщо зможеш, щоб зміцнити наш сучасний цифровий захист від класичної тактики соціальної інженерії.
Рекомендовані відео
Цифрові тенденції: Френк Абаньейл, мабуть, відомий більшості як тема фільму 2002 року Спіймай мене, якщо зможеш на основі його ескапад у 60-х із шахрайством з чеками та видаванням себе за іншу особу. Як ви двоє стали разом?
Орі Айзен: Коротка версія полягає в тому, що коли я працював в одній з найбільших компаній кредитних карток, мене попросили додатково до моїх обов’язків в Інтернеті, щоб дізнатися все про підробку карток, про що я нічого не знав приблизно. Немає жодної книжки чи університетського диплому на цю тему, тому я запитав, хто може мене навчити? Ім’я Френка Абаньейла згадувалося знову і знову, просто він не бере нових студентів.
В гостях «грошові люди». @FairFX -з єдиним Френком Абаньейлом. Нехай #БезПаролів Починається революція. @trusona_incpic.twitter.com/soAYZ3Vn7u
— Орі Айзен (@orieisen) 7 грудня 2017 року
Я багато місяців благав його зустрітися зі мною та допомогти мені, тому що через мене він міг допомогти приборкати злочинність, тому що я б взяв його знання та пішов бити поганих хлопців. Зрештою він погодився на зустріч, і з тих пір ми працюємо разом.
Хоча сьогодні Abagnale керує консалтинговою фірмою, його досвід походить з часів, коли комп’ютери були неймовірно рідкісними і непорівнянними з цифровим світом, яким ми насолоджуємося сьогодні. Чим його внесок корисний у сучасну епоху?
Слово «Trusona» є злиттям True і Persona, і щоб дізнатися, хто є справжньою персоною, вам потрібно пройти процес підтвердження особи. Спочатку давайте визначимо, хто ви є як особа [оскільки…] немає автентифікації без підтвердження особи. Як я можу підтвердити вашу автентичність, якщо я не доведу, що це ви?
«Немає автентифікації без підтвердження особи».
Френк дуже добре допомагає нам продумати, коли ви проводите перевірку особи, як виявити підроблений документ. Як би поганий хлопець замінив фотографію Френка фотографією Стівена Спілберга. Як би ви перемогли сертифікат або як би ви перемогли чорне чорнило на документі чи весь дрібний мікродрук. Він справді багато знає про ці документи, тому що уряди використовують їх у цьому процесі.
Під час розробки способу дізнатися, хто є справжньою персоною, у багатьох випадках, коли ми знайшли б рішення, він, по суті, показав нам, як ви можете перемогти це дуже легко. Тож це було як грати в шахи, поки ви не дійшли до моменту, коли він не зміг перемогти те, що ми робили.
Які системи ви розробили, захищені від атак соціальної інженерії, які Френк Абаньейл так ефективно впроваджує?
Коли Trusona дебютувала, ми запустили криву, яка показує, що ви намагаєтеся захистити, і це рівень обслуговування, який ми надаємо. У всіх з них не буде жодного пароля.
Різні рівні обслуговування вимагають різних рівнів виявлення. Наш базовий рівень, який називається «Основний», вимагає від вас лише вказати адресу електронної пошти, яку ми надсилаємо електронною поштою, щоб підтвердити, що ви справді маєте до неї доступ. Немає ні документів, ні фотографій, нічого подібного. Це може прив’язати вас до облікового запису для потокового передавання медіа тощо. Тому що це достатньо добре. Він досі використовує нашу технологію запобігання повторам, тож навіть якщо погані хлопці прослуховували його, вони не могли використати його повторно.
Технологія Trusona Anti-Replay
Наш наступний рівень — «Виконавчий». Цей рівень каже: «Добре, ви все ще можете бути вдома, але окрім вашої електронної пошти, я хочу, щоб ви сканували дистанційно, або паспорт, або водійські права». Це не Трусона каже вам це зробити, ми лише виконуємо запит нашого партнери. Отже, ви намагаєтеся щось зробити зі своїм банком або з охороною здоров’я, і ми робимо це від їхнього імені. Trusona не зберігає жодної з цих даних, тому що ми не хочемо стати наступною гарячою картоплею для поганого хлопця.
Третій рівень називається «Елітний», і він просить вас надіслати електронний лист, відсканувати ваш документ віддалено та з’явитися особисто. Ми просимо вас зробити це лише один раз, щоб підключити вас до дуже надійних облікових даних. Справа не в тому, що щоразу вам потрібно робити селфі чи відео, тому що це єдиний рівень, який страхувальник застрахує. Це не для масового ринку, це для унікальних ситуацій, але це єдиний спосіб пізнати справжню особу, а саме це й суть нашого бізнесу.
Що щодо зростання в дипфейки та програмне забезпечення для обробки відео на основі ШІ що дає змогу створювати реалістичні відео та зображення людей на льоту? Чи становить це загрозу для вашого «Елітного» рівня?
Такі компанії, як Adobe, випустили еквівалент Photoshop для живого відео. Він може імітувати голос і обличчя […] Щоб вийти за рамки цього, вам доведеться почати з особистої ідентифікації перевірка, тобто мені потрібно зустрітися з вами в реальному житті та з вашими документами, щоб підтвердити, що це так ви. Ви не можете зробити це дистанційно. Але не кожен випадок використання вимагає цього. Це дійсно залежить від того, що ви намагаєтеся захистити. Якщо HBO хоче дозволити вам дивитися фільм, їм не потрібен такий рівень безпеки. Але якщо Goldman Sachs хоче перерахувати 50 мільйонів доларів для Стівена Спілберга, їм може знадобитися такий рівень безпеки.
Чи доводилося вам коли-небудь Френку Абагнейлу працювати з соціальними інженерами Трусона?
Щоб стати першою в світі аутентифікованою компанією – ніхто інший не робив цих кроків, тому що це непросто – ми повинні спочатку захистити власні дані від наших власних співробітників. Що, якби ви викрали одного з них і сказали нам: «Я відпущу їх, лише якщо ви дасте мені доступ до ключів?»
З самого початку ми провели рік у стелс-режимі та розробили систему, що навіть якщо ви приставите пістолет до моєї голови, я не зможу вам допомогти. Це включає нашого головного інженерного відділу та всіх інших, хто створював систему, тому що я їм пояснив, щоб захистити світ від поганих хлопців, ми не можемо бути найслабшою ланкою в ланцюзі, а вони зрозуміти. Ось чому ми повинні брати дуже особливих людей, щоб зареєструватися в цій місії.
«[Ми] розробили систему, у якій навіть якщо ви приставите пістолет до моєї голови, я не зможу вам допомогти»
Ми також не зберігаємо гарячу картоплю. Якщо ви зламали нас сьогодні, і ми провели багато перо-тестів з різними компаніями, все, що ви отримаєте, це односторонній хеш даних. Якщо я взяв вашу електронну адресу, це односторонній хеш. Якщо я взяв щось про транзакцію, це хешується в один спосіб, тому ви ніколи не зможете повернутися до даних, оскільки ми не знаємо, яке необроблене значення.
Якби нас зламала національна держава, що, я очікую, станеться найближчого дня, вони знайшли б щось марне. Ми оголосили про нашу страховку 6 травня 2016 року – два роки тому. Відтоді 13 відсотків наших веб-показів надходять із Росії. І у нас там немає жодного клієнта, у нас немає жодного продавця. Це дуже багато для людей, з якими ми не ведемо справи!
Третє – навчання. Я можу сказати вам, що навіть у нашому хлопці зі служби підтримки, який приймає дзвінки в службу підтримки […], ми навчаємо їх приймати дзвінки від таких людей, як «Дональд». Трамп». Ми дуже вправно вміємо підробляти телефонні дзвінки та створювати враження, що телефонує президент. ви. Ми знаємо, як це зробити, тому що ми хакери. Саме кроки, запитання, а не просто сказати «так» усьому, роблять нас настільки сильними, наскільки ми можемо бути. Тому що ми усвідомлюємо, що чим більш проникливими ми стаємо, ми самі стаємо мішенню.
А як щодо законних вимог державних органів? Чи дані Trusona захищені від справжнього Дональда Трампа?
Ми багато співпрацювали з трьома листівними агентствами, але дизайн такий, що я не можу цього зробити, навіть якби ви хотіли. Я не знаю, які дані. Ви можете викликати мене сьогодні і сказати, щоб я надав вам усі дані про [клієнта]. Гаразд, я отримаю повістку в суд і відповім, якщо ви зможете сказати мені, які з наших записів належать їм, тоді ви можете отримати їх, але я не знаю.
Однією з найбільш обговорюваних цифрових систем за останні роки була технологія блокчейн. Сьогодні він використовується урядами та організаціями для захисту правдивості даних. Чи є це також ефективним інструментом для покращення конфіденційності та захисту даних?
Технологія Blockchain є одним із найдивовижніших винаходів нашого часу, важка зупинка. Однак багато людей роблять посилання на те, що якщо це математично правильно, вони незмінні в реальному житті, і ось тут Френк Абаньейл просто посміється з вас.
Якщо я роблю фальшивий документ на Джона Мартіндейла, іду в банк і подаю заявку з ним, і вони вводять у блокчейн, час, коли ви зрозумієте, що це були не ви, і спробуєте це скасувати, як ви видалите це з блокчейн? Це принцип «GIGO», сміття в смітті назовні.
Створення математично досконалої технології — це чудово. Я насправді вважаю, що кожен, хто купує будинок, повинен мати його на блокчейні, щоб ви ніколи не втратили свій будинок. Для цього існує багато хороших програм, але говорити, що це вирішить основну проблему ідентичності, – неправда. Проблема ніколи не полягала в тому, як зберігати дані, а в тому, як я знаю, хто є хто в зоопарку?
З такою кількістю серйозних зломів і крадіжок даних людям легко відчути себе безсилими у захисті своїх даних. Чи є у вас якісь рекомендації щодо безпеки для наших читачів, якими вони можуть скористатися, щоб захистити себе?
Я дам їм дуже просту пораду. Поки ми не живемо у світі без паролів, моя єдина порада — змінити паролі. Це вам нічого не коштує. Навіть якщо паролі були вкрадені вчора, змінити їх все одно, що змінити замок у ваших дверях. Для найважливіших речей у вашому житті, збережіть своє медичне обслуговування, додайте запис у календарі та щомісяця, щокварталу, принаймні раз на рік змінюйте свої паролі. Той факт, що ми породжені звичкою, працює проти нас.
