Выкопайте туннель под берегом. Пробейте пол хранилища. Продуть дверь сейфа гелигнитом. Соберите наличные, золотые слитки и т. Д. Прыгайте в машину для побега..

Это старый рецепт незаконного обогащения, но теперь преступные группировки делают это удаленно, с помощью компьютеров. Мы все это знаем, а безопасность – одна из важнейших проблем нашего времени. В первой половине 2018 года хакеры украли криптовалюту на сумму 1,1 миллиарда долларов, причем около 75% этой суммы было «освобождено» от бирж. В 2017 году количество краж криптовалюты составляло всего 606 миллионов долларов, поэтому тенденция постоянно растет. И это то, о чем мы на самом деле знаем, потому что биржи не стремятся делиться новостями о своих убытках, поэтому весьма вероятно, что утечка средств составит значительно больше.

Хакер делится правдой о безопасности

Теперь называйте меня наивным, но я представлял, что то, что сделали банки, финансовые учреждения, биржи и криптографические предприятия, – это сделать свою систему как можно более устойчивой, а затем расслабиться и ждать, чтобы увидеть, подверглись ли они когда-либо атаке, и если да, то как и где . Не так. Недавно я имел удовольствие поговорить с профессиональным хакером по имени мистер Икс (на самом деле, это не его настоящее имя, но, возможно, вы уже догадались). Мистер X нанят, чтобы обрушить ужас и опустошить защиту банков и бирж, чтобы найти их уязвимые места. Когда ему это удается, он, как порядочный гражданин, сообщает о затылке, и он, надеюсь, отремонтирован..

Однако большие проблемы связаны не с фронтальной атакой или атакой DOS, хотя она жизненно важна для защиты от них. Г-н X объяснил, что двумя текущими областями его работы являются идентификация и аутентификация. Другими словами, как предприятие узнает, что его клиент – это тот, кем они себя называют; а затем как они узнают, что постоянный покупатель – это тот же человек?

Раньше мы доказывали, кто мы, явившись с паспортом или удостоверением личности с фотографией, может быть, счетом за коммунальные услуги или двумя, чтобы подтвердить свое место жительства. Клерк за стойкой сделал оценочное суждение, что все в порядке. Теперь клерк за столом вполне может быть автоматической системой, использующей ИИ для регистрации нового пользователя через свой смартфон, так как же он справляется с мошенническими идентификационными данными? Один замечательный пример, о котором я слышал недавно, от STO, готового к запуску, – это то, как, например, в середине процесса адаптации клиента внезапно просят высунуть язык. Искусственный интеллект не ищет особенно действия высунутого языка, но для характерного удивления на всех человеческих лицах, когда делается странная просьба. Видно, наши глаза расширяются, и мы все отступаем от камеры / человека, делающего запрос. «Хорошо, – говорит ИИ, – я имею дело с реальным человеком».

Г-н X подтвердил, что этот вид «поведенческого анализа» будет становиться все более распространенным, особенно в области аутентификации. Все мы знакомы с методом имени / пароля для входа на сайты, а также с некоторыми дополнительными частями информации, которые хранятся как «на всякий случай», например, имя нашего первого питомца или день рождения нашей матери. Это многофакторная аутентификация на самом простом уровне. Однако хакер мог бы подготовиться к такого рода ответам на аутентификацию и сразу же сообщить дату рождения моей матери как «23 сентября 19__» (я оставлю год пустым, чтобы она не краснела). Однако как неидеальное потомство я, скорее всего, отвечу: «Гм, да, эээ, я знаю это. Сейчас 22 сентября … Нет, это 23 сентября, я думаю … “

Это именно тот тип поведения, который AI будет анализировать как более правдоподобный, чем «плавный» ответ..

И все время, когда между вашим кошельком и биржей происходит какое-либо взаимодействие, на поверхности, например, происходит гораздо больше. На технологическом уровне серверная часть сайта, к которому вы подключены, выполняет свою собственную многофакторную проверку. Это ваш телефон, используется ли он из «вероятного» местоположения и сети, есть ли какие-то отличия в настройке? Как пользователь, вы не будете знать ни о каком из множества происходящих рукопожатий, но, как объяснил г-н Х, существует постоянный процесс проверки и перекрестной проверки..

Мы сами худшие враги?

Значит, мы все можем спокойно спать по ночам в наших кроватях? Не совсем. Мистер Икс и ему подобные работают над защитой от атак, но угадайте, где самые большие уязвимости? Ты. И я. И большинство из нас. Мы до сих пор пользуемся самым популярным в мире «ироничным» паролем Password123. Это мы из следующей истории, свидетелем которой я был на днях. Ладно, это не криптовалюта, но это случилось, и в этом нет ничего необычного:

Я стою за женщиной у кассы супермаркета. Собираясь расплатиться кредитной картой, она кричит партнеру, который упаковывает покупки: «PIN-код моей карты VISA 6754 или 6745? Я забыл.” Он думает и кричит в ответ: «Думаю, 6754». Женщина вводит PIN-код: «Да, 6754, верно». Итак, теперь около пятидесяти человек в непосредственной близости от них имеют подробности – отлично!

Вероятно, этого будет достаточно, чтобы мистер Икс заплакал.