Не карайте Pro Hacker да плаче

Изкопайте тунел под банката. Пробийте пода на свода. Издухайте безопасната врата с помощта на гелигнит. Вземете пари, златни кюлчета и др. Скочете в колата за бягство.

Това е старата рецепта за незаконно забогатяване, но сега престъпните банди го правят отдалечено, използвайки компютри. Това всички знаем, а сигурността е един от големите проблеми на нашето време. През първата половина на 2023 г. криптовалута на стойност 1,1 млрд. Долара беше открадната от хакери, като около 75% от тези бяха „освободени“ от борси. Цифрата за кражба на крипто през 2023 г. е била само 606 милиона долара, така че тенденцията е все по-висока. И това са нещата, за които всъщност знаем, тъй като борсите не искат да споделят новини за своите загуби, така че е много вероятно изтичането на средства да бъде значително повече.

Хакер споделя истината за сигурността

Сега ме наричайте наивен, но си представях, че това, което банките, финансовите институции, борсите и крипто предприятията направиха, беше да направят системата им възможно най-стабилна, след това да се отпуснат и да изчакат дали някога са били атакувани и ако да, как и къде . Не е така. Наскоро имах удоволствието да говоря с професионален хакер, наречен г-н X. (Всъщност не истинското му име, но може би вече се досещате за това). Г-н Х е нает да вали терор и хаос върху защитата на банките и борсите, за да открие техните уязвимости. Когато успее, като добър гражданин той съобщава за седалището и се надява, че е поправено.

Големите проблеми обаче не са свързани с пълно фронтално нападение или DOS атака, които са жизненоважни, въпреки че е за защита срещу тях. Г-н X обясни, че две текущи области на неговата работа са свързани с идентификацията и удостоверяването. С други думи, откъде предприятието знае, че неговият клиент е такъв, какъвто се казва; и откъде тогава да знаят, че клиентът, който се връща, е същият човек?

В миналото доказахме кои сме, като се появихме с паспорт или документ за самоличност със снимка, може би сметки за комунални услуги или две, за да докажем местожителството си. Тогава чиновникът пред бюрото направи ценна преценка, че всичко е наред. Сега служителят от бюрото може да е автоматична система, използваща AI, за да регистрира нов потребител през смартфона си, така че как се справя с измамна самоличност? Един чудесен пример, за който чух наскоро от STO, който е на път да стартира, е как в средата на процеса на включване клиентът изведнъж е помолен да си протегне езика, например. ИИ не търси особено действието на стърчане на езика, а характерния поглед на изненада на всички човешки лица, когато е отправена странна молба. Очевидно очите ни се разширяват и всички се отдръпваме от камерата / лицето, отправящо искането. „Добре“, казва ИИ, „Това е истински човек, с когото имам работа.“

Г-н X потвърди, че този вид „поведенчески анализ“ ще става все по-разпространен, особено в областта на удостоверяването. Всички сме запознати с метода за име / парола за въвеждане на сайтове, плюс няколко допълнителни части информация, задържана като „за всеки случай“, като името на първия ни домашен любимец или рождения ден на майка ни. Това е многофакторно удостоверяване на най-простото ниво. Въпреки това, хакер би могъл да се подготви за този вид отговори за удостоверяване и може веднага да успее да разкрие датата на раждане на майка ми като „23-ти септември 19__ г.“ (ще оставя годината празна, за да пощадя зачервяванията й). Като по-малко перфектно потомство обаче, аз вероятно ще отговоря: „Хм, да, грешка, знам това. Това е 22 септември … Не, това е 23 септември, хм, мисля, че … “

Точно това е поведението, което ИИ ще анализира като по-правдоподобно от „гладкия“ отговор.

И през цялото време на каквото и да е взаимодействие между вашия портфейл и борсата, например, има много повече неща, които се случват под повърхността. На технологично ниво задният край на сайта, към който сте свързани, прави своя собствена многофакторна проверка. Това вашият телефон ли е, използва ли се от „вероятно“ местоположение и мрежа, има ли нещо различно в настройката? Като потребител няма да сте наясно с нито едно от многобройните ръкостискания, които се случват, но както г-н X обясни, има постоянен процес на проверка и кръстосана проверка.

Ние сами ли сме си най-лошите врагове?

Значи всички можем да спим спокойно в леглата си през нощта? Не точно. Господин Х и други като него работят за защита срещу атаки, но познайте къде са най-големите уязвимости? Ти. И аз. И повечето от нас. Ние все още използваме любимата в света „иронична“ парола, Password123. Ние сме тези в следващата история, на която бях свидетел онзи ден. Добре, не е крипто, но се е случило и не е нетипично:

Стоя зад жена на касата в супермаркета. На път да плати с кредитната си карта, тя извиква на партньора си, който опакова пазаруването: „ПИН кодът ми на VISA карта 6754 или 6745 ли е? Забравих.” Той се замисля и вика в отговор: „Мисля, че е 6754“. Жената вписва в ПИН кода: „Да, 6754, така е.“ Така че сега около петдесет души в тяхната непосредствена близост разполагат с подробности – чудесно!

Вероятно би било достатъчно да накарате господин Х да плаче.