No facis que el Pro Hacker plori

Cavar túnel sota la riba. Trencar el terra de la volta. Bufeu la porta segura amb gelignita. Agafeu diners en efectiu, barres d’or, etc. Salteu al cotxe d’escapada.

Aquesta és la vella recepta per enriquir-se de manera il·legal, però ara les bandes criminals ho fan de manera remota mitjançant ordinadors. Això ho sabem tots, i la seguretat és un dels grans problemes del nostre temps. Durant la primera meitat del 2018, els pirates informàtics van robar cripto per valor de 1.100 milions de dòlars, amb aproximadament el 75% d’aquests “alliberats” dels intercanvis. La xifra de robatori de criptografia el 2017 va ser de només 606 milions de dòlars, de manera que la tendència és sempre ascendent. I això és el que coneixem realment, perquè els intercanvis no desitgen compartir notícies de les seves pèrdues, de manera que és molt probable que el sagnat de fons pugui augmentar considerablement.

Un hacker comparteix la veritat sobre seguretat

Ara digueu-me ingenu, però m’imaginava que el que feien els bancs, les institucions financeres, les borses i les empreses criptogràfiques era fer que el seu sistema fos el més robust possible, després seure i esperar a veure si van ser atacats mai i, en cas afirmatiu, com i on . No és així. Fa poc vaig tenir el plaer de parlar amb un pirata informàtic professional, anomenat Mr. X. (En realitat, no és el seu nom real, però potser ja ho heu endevinat). El senyor X és emprat per fer caure el terror i els estralls en les defenses dels bancs i les borses per trobar les seves vulnerabilitats. Quan té èxit, com a bon ciutadà, informa de l’escut i, amb sort, es repara.

No obstant això, els grans problemes no estan relacionats amb un atac frontal o atac DOS, encara que és vital per protegir-los. El senyor X va explicar que dues àrees actuals del seu treball són la identificació i l’autenticació. En altres paraules, com sap l’empresa que el seu client és qui diu que és; i després, com saben que el client que torna és la mateixa persona?

En el passat, vam demostrar qui érem presentant-nos amb un passaport o document d’identitat amb fotografia, potser una factura de serveis públics o dos per demostrar la nostra residència. El secretari de l’escriptori va fer un judici de valor que tot anava bé. Ara, l’empleat de l’escriptori pot ser un sistema automàtic que utilitza IA per registrar un usuari nou a través del seu telèfon intel·ligent, així que, com es tracta d’una identitat fraudulenta? Un gran exemple del qual he sentit parlar recentment, des d’una STO a punt de llançar-se, és com, en ple procés d’incorporació, es demana al client que sobtadament tregui la llengua, per exemple. L’IA no busca especialment l’acció de treure la llengua, sinó la característica aparença de sorpresa de tots els rostres humans quan es fa una petició estranya. Aparentment, els nostres ulls s’eixamplen i tots ens allunyem de la càmera / persona que fa la sol·licitud. “D’acord”, diu la IA, “Aquesta és una persona real amb la qual estic tractant”.

El senyor X va confirmar que aquest tipus d ‘”anàlisi del comportament” esdevindrà cada vegada més freqüent, especialment a l’àrea d’autenticació. Tots coneixem el mètode del nom / contrasenya per entrar als llocs, a més d’algunes informacions addicionals retingudes com a “per si de cas”, com el nom de la nostra primera mascota o l’aniversari de la nostra mare. Es tracta d’una autenticació de múltiples factors, al seu nivell més senzill. Tanmateix, un pirata informàtic podria haver-se preparat per a aquest tipus de respostes d’autenticació i pot revelar immediatament la data de naixement de la meva mare com a “23 de setembre del 19__” (deixaré l’any en blanc per estalviar-li els rubors). Com a descendència menys que perfecta, però, és probable que respongui: “Um, sí, err, ho sé. És el 22 de setembre … No, és el 23 de setembre, crec …

Aquest és exactament el tipus de comportament que la IA analitzarà com a més creïble que la resposta “suau”.

I tot el temps que es produeix qualsevol interacció entre la cartera i l’intercanvi, per exemple, hi ha moltes coses més a sota de la superfície. A nivell tecnològic, la part posterior del lloc al qual esteu connectat fa la seva pròpia comprovació de diversos factors. Aquest és el vostre telèfon, s’utilitza des d’una ubicació i una xarxa ‘probable’, hi ha alguna cosa diferent en la configuració? Com a usuari, no coneixereu cap de les múltiples encaixades de mans que s’estan produint, però, tal com va explicar el senyor X, hi ha un procés constant de comprovació i comprovació creuada.

Som els nostres pitjors enemics??

Per tant, tots podem dormir amb seguretat als nostres llits a la nit? No exactament. El senyor X i altres com ell treballen per protegir-se dels atacs, però suposo que són les vulnerabilitats més grans? Vostè. I jo. I la majoria de nosaltres. Som els que encara fem servir la contrasenya ‘irònica’ preferida del món, Password123. Som els de la següent història que vaig presenciar l’altre dia. D’acord, no és criptogràfic, però va passar i no és atípic:

Estic darrere d’una dona a la caixa del supermercat. A punt de pagar amb la seva targeta de crèdit, crida a la seva parella, que fa les maletes, “La meva targeta VISA és el PIN 6754 o 6745? Oblido.” Té un pensament i torna a cridar: “Crec que són 6754”. La dona introdueix el PIN: “Sí, 6754, és correcte”. Així doncs, ara hi ha una cinquantena de persones a les seves rodalies que en tenen els detalls;!

Probablement n’hi hauria prou de fer plorar al senyor X..