شكر خاص لهدسون جيمسون، ضابط CIA وsamczsun لردود الفعل والمراجعة.
على مدار الأسبوع الماضي، انتشر مقال حول شركة خسرت 25 مليون دولار عندما تم إقناع موظف مالي بإرسال تحويل مصرفي إلى محتال يتظاهر بأنه المدير المالي... عبر ما يبدو أنه مكالمة فيديو مزيفة ومقنعة للغاية .
التزييف العميق (أي. الصوت والفيديو المزيفان الناتجان عن الذكاء الاصطناعي) يظهران بشكل متزايد في مجال العملات المشفرة وفي أماكن أخرى. على مدى الأشهر القليلة الماضية، تم استخدام التزييف العميق لي للإعلان عن جميع أنواع عمليات الاحتيال ، بالإضافة إلى العملات المعدنية للكلاب. تتحسن جودة التزييف العميق بسرعة: في حين أن التزييف العميق لعام 2020 كان واضحًا وسيئًا بشكل محرج ، أصبح من الصعب التمييز بين تلك التي ظهرت في الأشهر القليلة الماضية. لا يزال بإمكان أي شخص يعرفني جيدًا التعرف على مقطع الفيديو الأخير الذي يظهر لي وأنا أقوم بشلن عملة معدنية على أنه مزيف لأنه جعلني أقول "دعونانذهب" بينما لم أستخدم "LFG" إلا للإشارة إلى "البحث عن مجموعة" ، لكن الأشخاص الذين سمعوا صوتي عدة مرات فقط يمكن إقناعهم بسهولة.
يؤكد خبراء الأمن الذين ذكرت لهم سرقة الـ 25 مليون دولار المذكورة أعلاه بشكل موحد أنه كان فشلًا استثنائيًا ومحرجًا للأمن التشغيلي للمؤسسة على مستويات متعددة: الممارسة المعتادة هي طلب عدة مستويات من التوقيع قبل أن تتم عملية نقل في أي مكان قريب من هذا الحجم موافقة. ولكن حتى مع ذلك، تظل الحقيقة أنه اعتبارًا من عام 2024، لم يعد البث الصوتي أو حتى الفيديو لشخص ما وسيلة آمنة للتحقق من هويته.
وهذا يثير السؤال: ما هو؟
تعد القدرة على المصادقة الآمنة على الأشخاص أمرًا ذا قيمة لجميع أنواع الأشخاص في جميع أنواع المواقف: الأفراد الذين يستعيدون تعافيهم الاجتماعي أو محافظهم متعددة التوقيع ، والمؤسسات التي توافق على المعاملات التجارية، والأفراد الذين يوافقون على المعاملات الكبيرة للاستخدام الشخصي (على سبيل المثال، للاستثمار في شركة ناشئة، أو شراء منزل، وإرسال التحويلات المالية) سواء بالعملات المشفرة أو بالعملات الورقية، وحتى أفراد الأسرة الذين يحتاجون إلى المصادقة على بعضهم البعض في حالات الطوارئ. لذلك من المهم حقًا أن يكون لديك حل جيد يمكنه الصمود في العصر القادم من التزييف العميق السهل نسبيًا.
إحدى الإجابات على هذا السؤال والتي كثيرًا ما أسمعها في دوائر العملات المشفرة هي: "يمكنك التحقق من هويتك من خلال تقديم توقيع مشفر من عنوان مرفق بملف تعريف ENS/إثبات الإنسانية/مفتاح PGP العام الخاص بك". هذه إجابة جذابة. ومع ذلك، فإنه يخطئ تمامًا النقطة التي تجعل إشراك أشخاص آخرين عند التوقيع على المعاملات مفيدًا في المقام الأول. لنفترض أنك فرد لديه محفظة شخصية متعددة التوقيع، وأنك ترسل معاملة تريد أن يوافق عليها بعض الموقعين المشاركين. وتحت أي ظروف سيوافقون عليه؟ إذا كانوا واثقين من أنك الشخص الذي يريد بالفعل إجراء عملية النقل. إذا كان أحد المتسللين هو الذي سرق مفتاحك، أو خاطفًا، فلن يوافقوا. في سياق المؤسسة، لديك عمومًا المزيد من طبقات الدفاع؛ ولكن حتى مع ذلك، من المحتمل أن ينتحل المهاجم شخصية مدير ليس فقط للطلب النهائي، ولكن أيضًا للمراحل الأولى من عملية الموافقة. وقد يقومون أيضًا باختطاف طلب مشروع قيد التنفيذ من خلال تقديم عنوان خاطئ.
وهكذا، في كثير من الحالات، فإن قبول الموقعين الآخرين بأنك أنت إذا قمت بالتوقيع باستخدام مفتاحك يقضي على بيت القصيد: فهو يحول العقد بأكمله إلى توقيع متعدد 1 من 1 حيث يحتاج شخص ما فقط إلى السيطرة على مفتاحك الوحيد في من أجل سرقة الأموال!
هذا هو المكان الذي نصل فيه إلى إجابة واحدة منطقية بالفعل: الأسئلة الأمنية.
لنفترض أن شخصًا ما يرسل إليك رسالة نصية تدعي فيها أنه شخص معين وهو صديقك. إنهم يرسلون رسائل نصية من حساب لم تره من قبل، ويزعمون أنهم فقدوا جميع أجهزتهم. كيف يمكنك تحديد ما إذا كانوا هم من يقولون أنهم؟
هناك إجابة واضحة: اسألهم عن أشياء لا يعرفها أحد سواهم عن حياتهم. يجب أن تكون هذه الأشياء:
الشيء الطبيعي الذي يجب أن نسألهم عنه هو التجارب المشتركة. تشمل الأمثلة المحتملة ما يلي:
مثال فعلي لسؤال الأمان الذي استخدمه شخص ما مؤخرًا لمصادقتي.
كلما كان سؤالك فريدًا، كلما كان ذلك أفضل. الأسئلة التي تكون على الحافة حيث يتعين على شخص ما أن يفكر لبضع ثوان وربما ينسى الإجابة هي أسئلة جيدة: ولكن إذا كان الشخص الذي تسأله يدعي أنه نسي، فتأكد من طرح ثلاثة أسئلة أخرى عليه. غالبًا ما يكون السؤال عن التفاصيل "الجزئية" (ما أحبه أو لم يعجبه شخص ما، أو نكات معينة، وما إلى ذلك) أفضل من التفاصيل "الجزئية"، لأن التفاصيل "الجزئية" عادة ما تكون أكثر صعوبة بالنسبة لأطراف ثالثة حتى تتمكن من التنقيب عنها عن طريق الخطأ (على سبيل المثال. إذا قام شخص واحد بنشر صورة العشاء على Instagram، فقد يكون حاملو ماجستير إدارة الأعمال الحديثون سريعين بما يكفي لالتقاط تلك الصورة وتوفير الموقع في الوقت الفعلي). إذا كان من المحتمل أن يكون سؤالك قابلاً للتخمين (بمعنى أنه لا يوجد سوى عدد قليل من الخيارات المحتملة المنطقية)، قم بجمع الإنتروبيا عن طريق إضافة سؤال آخر.
غالبًا ما يتوقف الأشخاص عن الانخراط في الممارسات الأمنية إذا كانت مملة ومملة، لذا فمن الصحي جعل الأسئلة الأمنية ممتعة! يمكن أن تكون وسيلة لتذكر التجارب الإيجابية المشتركة. ويمكن أن تكون حافزًا للحصول على تلك التجارب بالفعل في المقام الأول.
لا توجد استراتيجية أمنية واحدة مثالية، ولذلك فمن الأفضل دائمًا تجميع تقنيات متعددة معًا.
هجوم متطور محتمل حيث ينتحل المهاجم شخصية مسؤول تنفيذي وحائز على المنحة في خطوات متعددة من عملية الموافقة. يمكن للأسئلة الأمنية والتأخيرات أن تحمي من ذلك؛ ربما يكون من الأفضل استخدام كليهما.
تعتبر الأسئلة الأمنية لطيفة، لأنه على عكس العديد من التقنيات الأخرى التي تفشل لأنها ليست صديقة للإنسان، فإن الأسئلة الأمنية تعتمد على معلومات يجيد البشر تذكرها بشكل طبيعي. لقد استخدمت الأسئلة الأمنية لسنوات، وهي عادة تبدو طبيعية جدًا وليست محرجة، وتستحق تضمينها في سير عملك - بالإضافة إلى طبقات الحماية الأخرى.
لاحظ أن أسئلة الأمان "من فرد إلى فرد" كما هو موضح أعلاه هي حالة استخدام مختلفة تمامًا عن الأسئلة الأمنية "من مؤسسة إلى فرد"، كما هو الحال عندما تتصل بالمصرف الذي تتعامل معه لإعادة تنشيط بطاقتك الائتمانية بعد إلغاء تنشيطها في اليوم السابع عشر. بعد وقت من سفرك إلى بلد مختلف، وبمجرد تجاوز قائمة الانتظار التي تبلغ 40 دقيقة من الموسيقى المزعجة، يظهر موظف البنك ويسألك عن اسمك، وتاريخ ميلادك، وربما آخر ثلاث معاملات أجريتها. تختلف أنواع الأسئلة التي يعرف الفرد إجاباتها اختلافًا كبيرًا عن تلك التي تعرف المؤسسة إجاباتها. ومن ثم، فمن المفيد التفكير في هاتين الحالتين بشكل منفصل تمامًا.
يعد موقف كل شخص فريدًا، وبالتالي فإن أنواع المعلومات المشتركة الفريدة التي لديك مع الأشخاص والتي قد تحتاج إلى المصادقة معهم تختلف باختلاف الأشخاص. من الأفضل عمومًا تكييف هذه التقنية مع الأشخاص، وليس الأشخاص مع هذه التقنية. ليس من الضروري أن تكون التقنية مثالية للعمل: فالنهج المثالي هو تجميع تقنيات متعددة معًا في نفس الوقت، واختيار التقنيات التي تناسبك بشكل أفضل. في عالم ما بعد التزييف العميق، نحتاج إلى تكييف استراتيجياتنا مع الواقع الجديد لما أصبح من السهل الآن تزييفه وما لا يزال من الصعب تزييفه، ولكن طالما فعلنا ذلك، يظل البقاء آمنًا أمرًا ممكنًا تمامًا.
شكر خاص لهدسون جيمسون، ضابط CIA وsamczsun لردود الفعل والمراجعة.
على مدار الأسبوع الماضي، انتشر مقال حول شركة خسرت 25 مليون دولار عندما تم إقناع موظف مالي بإرسال تحويل مصرفي إلى محتال يتظاهر بأنه المدير المالي... عبر ما يبدو أنه مكالمة فيديو مزيفة ومقنعة للغاية .
التزييف العميق (أي. الصوت والفيديو المزيفان الناتجان عن الذكاء الاصطناعي) يظهران بشكل متزايد في مجال العملات المشفرة وفي أماكن أخرى. على مدى الأشهر القليلة الماضية، تم استخدام التزييف العميق لي للإعلان عن جميع أنواع عمليات الاحتيال ، بالإضافة إلى العملات المعدنية للكلاب. تتحسن جودة التزييف العميق بسرعة: في حين أن التزييف العميق لعام 2020 كان واضحًا وسيئًا بشكل محرج ، أصبح من الصعب التمييز بين تلك التي ظهرت في الأشهر القليلة الماضية. لا يزال بإمكان أي شخص يعرفني جيدًا التعرف على مقطع الفيديو الأخير الذي يظهر لي وأنا أقوم بشلن عملة معدنية على أنه مزيف لأنه جعلني أقول "دعونانذهب" بينما لم أستخدم "LFG" إلا للإشارة إلى "البحث عن مجموعة" ، لكن الأشخاص الذين سمعوا صوتي عدة مرات فقط يمكن إقناعهم بسهولة.
يؤكد خبراء الأمن الذين ذكرت لهم سرقة الـ 25 مليون دولار المذكورة أعلاه بشكل موحد أنه كان فشلًا استثنائيًا ومحرجًا للأمن التشغيلي للمؤسسة على مستويات متعددة: الممارسة المعتادة هي طلب عدة مستويات من التوقيع قبل أن تتم عملية نقل في أي مكان قريب من هذا الحجم موافقة. ولكن حتى مع ذلك، تظل الحقيقة أنه اعتبارًا من عام 2024، لم يعد البث الصوتي أو حتى الفيديو لشخص ما وسيلة آمنة للتحقق من هويته.
وهذا يثير السؤال: ما هو؟
تعد القدرة على المصادقة الآمنة على الأشخاص أمرًا ذا قيمة لجميع أنواع الأشخاص في جميع أنواع المواقف: الأفراد الذين يستعيدون تعافيهم الاجتماعي أو محافظهم متعددة التوقيع ، والمؤسسات التي توافق على المعاملات التجارية، والأفراد الذين يوافقون على المعاملات الكبيرة للاستخدام الشخصي (على سبيل المثال، للاستثمار في شركة ناشئة، أو شراء منزل، وإرسال التحويلات المالية) سواء بالعملات المشفرة أو بالعملات الورقية، وحتى أفراد الأسرة الذين يحتاجون إلى المصادقة على بعضهم البعض في حالات الطوارئ. لذلك من المهم حقًا أن يكون لديك حل جيد يمكنه الصمود في العصر القادم من التزييف العميق السهل نسبيًا.
إحدى الإجابات على هذا السؤال والتي كثيرًا ما أسمعها في دوائر العملات المشفرة هي: "يمكنك التحقق من هويتك من خلال تقديم توقيع مشفر من عنوان مرفق بملف تعريف ENS/إثبات الإنسانية/مفتاح PGP العام الخاص بك". هذه إجابة جذابة. ومع ذلك، فإنه يخطئ تمامًا النقطة التي تجعل إشراك أشخاص آخرين عند التوقيع على المعاملات مفيدًا في المقام الأول. لنفترض أنك فرد لديه محفظة شخصية متعددة التوقيع، وأنك ترسل معاملة تريد أن يوافق عليها بعض الموقعين المشاركين. وتحت أي ظروف سيوافقون عليه؟ إذا كانوا واثقين من أنك الشخص الذي يريد بالفعل إجراء عملية النقل. إذا كان أحد المتسللين هو الذي سرق مفتاحك، أو خاطفًا، فلن يوافقوا. في سياق المؤسسة، لديك عمومًا المزيد من طبقات الدفاع؛ ولكن حتى مع ذلك، من المحتمل أن ينتحل المهاجم شخصية مدير ليس فقط للطلب النهائي، ولكن أيضًا للمراحل الأولى من عملية الموافقة. وقد يقومون أيضًا باختطاف طلب مشروع قيد التنفيذ من خلال تقديم عنوان خاطئ.
وهكذا، في كثير من الحالات، فإن قبول الموقعين الآخرين بأنك أنت إذا قمت بالتوقيع باستخدام مفتاحك يقضي على بيت القصيد: فهو يحول العقد بأكمله إلى توقيع متعدد 1 من 1 حيث يحتاج شخص ما فقط إلى السيطرة على مفتاحك الوحيد في من أجل سرقة الأموال!
هذا هو المكان الذي نصل فيه إلى إجابة واحدة منطقية بالفعل: الأسئلة الأمنية.
لنفترض أن شخصًا ما يرسل إليك رسالة نصية تدعي فيها أنه شخص معين وهو صديقك. إنهم يرسلون رسائل نصية من حساب لم تره من قبل، ويزعمون أنهم فقدوا جميع أجهزتهم. كيف يمكنك تحديد ما إذا كانوا هم من يقولون أنهم؟
هناك إجابة واضحة: اسألهم عن أشياء لا يعرفها أحد سواهم عن حياتهم. يجب أن تكون هذه الأشياء:
الشيء الطبيعي الذي يجب أن نسألهم عنه هو التجارب المشتركة. تشمل الأمثلة المحتملة ما يلي:
مثال فعلي لسؤال الأمان الذي استخدمه شخص ما مؤخرًا لمصادقتي.
كلما كان سؤالك فريدًا، كلما كان ذلك أفضل. الأسئلة التي تكون على الحافة حيث يتعين على شخص ما أن يفكر لبضع ثوان وربما ينسى الإجابة هي أسئلة جيدة: ولكن إذا كان الشخص الذي تسأله يدعي أنه نسي، فتأكد من طرح ثلاثة أسئلة أخرى عليه. غالبًا ما يكون السؤال عن التفاصيل "الجزئية" (ما أحبه أو لم يعجبه شخص ما، أو نكات معينة، وما إلى ذلك) أفضل من التفاصيل "الجزئية"، لأن التفاصيل "الجزئية" عادة ما تكون أكثر صعوبة بالنسبة لأطراف ثالثة حتى تتمكن من التنقيب عنها عن طريق الخطأ (على سبيل المثال. إذا قام شخص واحد بنشر صورة العشاء على Instagram، فقد يكون حاملو ماجستير إدارة الأعمال الحديثون سريعين بما يكفي لالتقاط تلك الصورة وتوفير الموقع في الوقت الفعلي). إذا كان من المحتمل أن يكون سؤالك قابلاً للتخمين (بمعنى أنه لا يوجد سوى عدد قليل من الخيارات المحتملة المنطقية)، قم بجمع الإنتروبيا عن طريق إضافة سؤال آخر.
غالبًا ما يتوقف الأشخاص عن الانخراط في الممارسات الأمنية إذا كانت مملة ومملة، لذا فمن الصحي جعل الأسئلة الأمنية ممتعة! يمكن أن تكون وسيلة لتذكر التجارب الإيجابية المشتركة. ويمكن أن تكون حافزًا للحصول على تلك التجارب بالفعل في المقام الأول.
لا توجد استراتيجية أمنية واحدة مثالية، ولذلك فمن الأفضل دائمًا تجميع تقنيات متعددة معًا.
هجوم متطور محتمل حيث ينتحل المهاجم شخصية مسؤول تنفيذي وحائز على المنحة في خطوات متعددة من عملية الموافقة. يمكن للأسئلة الأمنية والتأخيرات أن تحمي من ذلك؛ ربما يكون من الأفضل استخدام كليهما.
تعتبر الأسئلة الأمنية لطيفة، لأنه على عكس العديد من التقنيات الأخرى التي تفشل لأنها ليست صديقة للإنسان، فإن الأسئلة الأمنية تعتمد على معلومات يجيد البشر تذكرها بشكل طبيعي. لقد استخدمت الأسئلة الأمنية لسنوات، وهي عادة تبدو طبيعية جدًا وليست محرجة، وتستحق تضمينها في سير عملك - بالإضافة إلى طبقات الحماية الأخرى.
لاحظ أن أسئلة الأمان "من فرد إلى فرد" كما هو موضح أعلاه هي حالة استخدام مختلفة تمامًا عن الأسئلة الأمنية "من مؤسسة إلى فرد"، كما هو الحال عندما تتصل بالمصرف الذي تتعامل معه لإعادة تنشيط بطاقتك الائتمانية بعد إلغاء تنشيطها في اليوم السابع عشر. بعد وقت من سفرك إلى بلد مختلف، وبمجرد تجاوز قائمة الانتظار التي تبلغ 40 دقيقة من الموسيقى المزعجة، يظهر موظف البنك ويسألك عن اسمك، وتاريخ ميلادك، وربما آخر ثلاث معاملات أجريتها. تختلف أنواع الأسئلة التي يعرف الفرد إجاباتها اختلافًا كبيرًا عن تلك التي تعرف المؤسسة إجاباتها. ومن ثم، فمن المفيد التفكير في هاتين الحالتين بشكل منفصل تمامًا.
يعد موقف كل شخص فريدًا، وبالتالي فإن أنواع المعلومات المشتركة الفريدة التي لديك مع الأشخاص والتي قد تحتاج إلى المصادقة معهم تختلف باختلاف الأشخاص. من الأفضل عمومًا تكييف هذه التقنية مع الأشخاص، وليس الأشخاص مع هذه التقنية. ليس من الضروري أن تكون التقنية مثالية للعمل: فالنهج المثالي هو تجميع تقنيات متعددة معًا في نفس الوقت، واختيار التقنيات التي تناسبك بشكل أفضل. في عالم ما بعد التزييف العميق، نحتاج إلى تكييف استراتيجياتنا مع الواقع الجديد لما أصبح من السهل الآن تزييفه وما لا يزال من الصعب تزييفه، ولكن طالما فعلنا ذلك، يظل البقاء آمنًا أمرًا ممكنًا تمامًا.