Săpă tunel sub mal. Treceți prin podeaua bolții. Suflați ușa sigură folosind gelignite. Strângeți bani, lingouri de aur etc. Săriți în mașina de evadare.

Aceasta este vechea rețetă pentru îmbogățirea ilegală, dar acum bandele criminale o fac de la distanță, folosind computerele. Știm asta cu toții, iar securitatea este una dintre problemele mari ale vremurilor noastre. În prima jumătate a anului 2018, cripto-ul în valoare de 1,1 miliarde de dolari a fost furat de hackeri, aproximativ 75% din acestea fiind „eliberate” de schimburi. Cifra furtului criptografic în 2017 a fost de doar 606 milioane dolari, deci tendința este mereu ascendentă. Și acestea sunt lucrurile pe care le știm de fapt, deoarece schimburile nu sunt dornice să împărtășească știrile despre pierderile lor, așa că este foarte probabil ca sângerarea fondurilor să se ridice considerabil.

Un hacker împărtășește adevărul despre securitate

Acum numiți-mă naiv, dar mi-am imaginat că ceea ce au făcut băncile, instituțiile financiare, bursele și întreprinderile criptografice a fost să-și facă sistemul cât mai robust posibil, apoi să stea pe spate și să aștepte să vadă dacă au fost vreodată atacate și, dacă da, cum și unde . Nu asa. Recent am avut plăcerea de a vorbi cu un hacker profesionist, numit Mr. X. (De fapt, nu numele său adevărat, dar poate că ați ghicit deja asta). Domnul X este angajat să plouă teroarea și ravagiile asupra apărării băncilor și a burselor pentru a-și găsi vulnerabilitățile. Când reușește, ca un bun cetățean, raportează culegerea și este reparată, sperăm.

Problemele mari nu sunt totuși legate de un atac frontal sau un atac DOS, vital, deși este pentru a proteja împotriva acestora. Domnul X a explicat că două domenii actuale ale activității sale se referă la identificare și autentificare. Cu alte cuvinte, de unde știe întreprinderea că clientul său este cine spune că sunt; și atunci de unde știu că clientul care se întoarce este aceeași persoană?

În trecut, am dovedit cine suntem, prezentând un pașaport sau un document de identitate cu fotografie, poate o factură de utilități sau două pentru a ne dovedi reședința. Grefierul de peste birou a făcut apoi o judecată de valoare că totul era bine. Acum, funcționarul de pe birou poate fi un sistem automat care folosește AI pentru a înregistra un nou utilizator prin intermediul smartphone-ului lor, deci cum se ocupă de identitatea frauduloasă? Un exemplu extraordinar de care am auzit recent, de la un STO pe cale să fie lansat, este modul în care, în mijlocul procesului de integrare, clientului i se cere brusc să scoată limba, de exemplu. AI nu caută în mod special acțiunea de scoatere a limbii, ci aspectul caracteristic de surpriză de pe toate fețele umane atunci când se face o cerere ciudată. Se pare că ochii noștri se măresc și ne întoarcem cu toții departe de camera foto / persoana care face cererea. „OK”, spune AI, „Aceasta este o persoană reală cu care am de-a face”.

Domnul X a confirmat că acest tip de „analiză comportamentală” va deveni din ce în ce mai răspândită, în special în zona de autentificare. Suntem cu toții familiarizați cu metoda numelui / parolei de introducere a site-urilor, plus câteva informații suplimentare reținute ca „pentru orice eventualitate”, cum ar fi numele primului nostru animal de companie sau ziua de naștere a mamei noastre. Aceasta este autentificarea cu mai mulți factori, la cel mai simplu nivel. Cu toate acestea, un hacker s-ar fi putut pregăti pentru acest tip de răspunsuri de autentificare și ar putea fi în măsură să dezvăluie imediat data nașterii mamei ca „23 septembrie 19__” (voi lăsa anul necompletat pentru a-i scuti de roșii). Cu toate acestea, ca descendenți mai puțin perfecți, probabil că voi răspunde: „Um, da, greșește, știu asta. Este 22 septembrie … Nu, este 23 septembrie, eu cred … ”

Acesta este exact genul de comportament pe care AI îl va analiza ca fiind mai credibil decât răspunsul „lin”.

Și tot timpul se întâmplă orice interacțiune între portofelul dvs. și schimb, de exemplu, se întâmplă mult mai multe sub suprafață. La nivel de tehnologie, back-end-ul site-ului la care sunteți conectat își verifică propriul factor multiplu. Acesta este telefonul dvs., este utilizat dintr-o locație și rețea „probabilă”, există ceva diferit în ceea ce privește configurarea? În calitate de utilizator, nu veți fi la curent cu oricare dintre strângerile de mână multiple care au loc, dar, așa cum a explicat dl X, există un proces constant de verificare și verificare încrucișată.

Suntem noi cei mai răi dușmani??

Deci, putem dormi cu toții în siguranță în paturile noastre noaptea? Nu chiar. Domnul X și alții ca el lucrează pentru a proteja împotriva atacurilor, dar ghiciți unde sunt cele mai mari vulnerabilități? Tu. Si eu. Și majoritatea dintre noi. Noi suntem cei care încă folosim parola „ironică” preferată din lume, Password123. Suntem cei din povestea următoare la care am asistat zilele trecute. OK, nu este cripto, dar s-a întâmplat și nu este atipic:

Stau în spatele unei femei la casă la supermarket. Pe punctul de a plăti cu cardul ei de credit, ea strigă către partenerul ei, care împachetează cumpărăturile: „Este cardul meu VISA PIN 6754 sau 6745? Am uitat.” Are un gând și strigă înapoi: „Cred că sunt 6754”. Femeia introduce codul PIN „Da, 6754, așa este.” Așadar, acum aproximativ cincizeci de persoane din imediata lor vecinătate au detaliile – minunat!

Probabil ar fi suficient să-l faci pe domnul X să plângă.