Authentifizierung und biometrische Sicherheit neu denken, The Toptal Way

Toptal ist ein riesiges Netzwerk von Tech-Talenten und wir können uns derzeit der größten verteilten Belegschaft der Branche rühmen. Darauf sind viele Toptaler stolz, insbesondere unser fleißiges Entwicklerteam. Warum? Weil wir es so einfach und nahtlos erscheinen lassen, und wir tun es jeden Tag. Während ein traditionelles Technologieunternehmen zwangsläufig über eine riesige Infrastruktur verfügt (jede Menge Büroflächen, Server, standardisierte Ausrüstung, reichlich physische und Cyber-Sicherheitsressourcen usw.), haben wir dies nicht.

Wir setzen auf Technologien und Dienstleistungen von der Stange. Traditionelle Unternehmen haben Schwierigkeiten, mit einer kleinen Anzahl von BYOD-Benutzern fertig zu werden, aber hier bei Toptal ist unsere gesamte Hardware BYOD . Das Problem mit unserem plattformunabhängigen Ansatz und der Abhängigkeit von einem verteilten Netzwerk liegt auf der Hand: Wie können wir die Sicherheit gewährleisten und aufrechterhalten?

Es war nie einfach, aber wir mögen gute Herausforderungen und bleiben gerne einen Schritt voraus. Deshalb haben wir uns letztes Jahr daran gemacht, mehrere Authentifizierungs- und Onboarding-Verfahren zu entwerfen. Wir haben das erste Quartal 2016 für Versuche und Piloten genutzt, und sie waren ermutigend. Aus diesem Grund haben wir uns entschlossen, die Ergebnisse unserer Tests bekannt zu geben und unsere Rollout-Pläne vorzustellen.

Bis Ende des dritten Quartals werden alle Toptaler unsere neuen Lösungen kennen und wenn alles gut geht, bis Ende des Jahres damit beginnen.

Die Herausforderung

Wie stellen wir sicher, dass jeder, der sich in unserem Netzwerk anmeldet, der ist, für den er sich ausgibt? Die meisten unserer Teammitglieder haben sich noch nie im wirklichen Leben getroffen, aber sie arbeiten täglich zusammen. Was ist, wenn die Sicherheit einer Person kompromittiert wurde? Oder was ist, wenn ein verärgertes Mitglied beschließt, das Netzwerk zu untergraben?

Wir haben uns für einen zweifachen Ansatz entschieden, um diese Bedenken auszuräumen:

• Aufnahme einer Reihe persönlicher Zuverlässigkeitstests in unseren Screening-Prozess.
• Einführung einer neuen Ebene der biometrischen Sicherheit.

Welche Art von Tests werden wir durchführen? Unser Ansatz wurde vom Personal Reliability Program (PRP) des US-Verteidigungsministeriums inspiriert. Das Programm ist darauf ausgelegt, Mitarbeiter mit dem höchsten Maß an Zuverlässigkeit zu identifizieren, wobei ihr vorheriges Verhalten, ihre Vertrauenswürdigkeit, ihr Verhalten und ihre Loyalität berücksichtigt werden. Die PRP-Konformität wird kontinuierlich von unserer neu gebildeten Abteilung für innere Sicherheit (ISD) bewertet, die mit Veteranen des Militärgeheimdienstes aus Israel und Bosnien besetzt ist.

Der Zugang zur Plattform ist auf Personen beschränkt, die die strengen PRP-Kriterien erfüllen. Die Nichterfüllung dieser Standards ist jedoch kein Grund für eine Kündigung oder Herabstufung. Es wird lediglich die mangelnde Eignung der Person für bestimmte Rollen widerspiegeln und ihren Zugang zu vertraulichen Informationen einschränken.

Um die kontinuierliche Einhaltung sicherzustellen, muss jedes Toptal-Mitglied eine neue Geheimhaltungsvereinbarung unterzeichnen und sich einer Bewertung unterziehen. Das Abkommen wird Bestimmungen zur Behandlung vertraulicher Informationen enthalten und eine Reihe von Sanktionen für Personen enthalten, die gegen dieses Abkommen verstoßen.

Da wir ein verteiltes Netzwerk sind, sind wir auch auf den Input unserer Mitglieder angewiesen. Unsere bestehenden monatlichen TopTeam-Berichte werden um einen persönlichen Zuverlässigkeitsfragebogen erweitert. Mit anderen Worten, jedes Netzwerkmitglied kann verdächtige Mitarbeiter oder Verhaltensweisen über ein anonymes Bewertungsformular melden.

Oberstleutnant David Finci, Leiter der internen Sicherheitsabteilung von Toptal, erklärt die Entscheidung, anonyme „Tipps“ aufzunehmen:

Unser Ziel ist es nicht, Meinungsverschiedenheiten zu fördern und Spannungen zwischen den Teammitgliedern zu erzeugen, aber wir sind davon überzeugt, dass dies für die Gewährleistung persönlicher Zuverlässigkeit unerlässlich ist. Wir müssen den Netzwerkmitgliedern erlauben, die professionelle Leistung und persönliche Integrität ihrer Mitarbeiter zu hinterfragen. Andernfalls wäre unsere Fähigkeit, umsetzbare, zeitkritische Informationen zu beschaffen, beeinträchtigt.

Netzwerkmitglieder mit vollständiger PRP-Freigabe erhalten Sicherheitstoken und Einmal-Pads, um die Verschlüsselung sicherzustellen, falls die Integrität unseres Netzwerks gefährdet ist. Außerdem erhalten sie Ausweise mit scanbarem QR-Code und/oder Barcode.

Die Anwendung dieser Sicherheitsmaßnahmen ist obligatorisch, und der Verlust oder Diebstahl von Ausweisen wird ernst genommen. Glücklicherweise werden diese Karten eine Übergangslösung sein und auslaufen, sobald unsere neue Sicherheitsplattform als bereit gilt. Wir erwarten eine Veröffentlichung Anfang 2017.

Biometrie: Unvollkommene Zweckheirat

Wir haben letztes Jahr eher zufällig mit dem Experimentieren mit quasi-biometrischer Sicherheit begonnen. Nachdem sich ein Toptaler entschieden hatte, unser Logo auf seinen Arm zu tätowieren, erkannten wir, dass dieser Ansatz für QR-Codes verwendet werden könnte. Niemand möchte noch eine Karte in der Brieftasche mit sich herumtragen, und QR-Codes sind relativ klein und können daher leicht tätowiert oder sogar in Fingernägel eingraviert werden.

Sie fragen sich vielleicht, ob wir das ernst meinen, und die Antwort ist offensichtlich nein . Grahams Tattoo brachte uns jedoch auf eine gute Idee: Warum nicht biometrische Technologie verwenden, unterstützt durch handelsübliche Tracking-Lösungen?

Wir bewegen uns bereits auf eine passwortlose Zukunft zu und Toptal möchte auf dem neuesten Stand sein. Warum Menschen mit Passwörtern, albernen QR-Codes, Zwei-Faktor-Authentifizierung oder Sicherheitstoken belasten, wenn wir auch ohne sie überlegene Sicherheit gewährleisten können?

Es gab schon früher Versuche mit persönlicher Technologie wie Smartphones und Fingerabdruckscannern, aber diese Techniken sind nicht kugelsicher. (Im Fall von Smartphone-Fingerabdruckscannern können sie von einem einfachen Tintenstrahldrucker oder Messer geschlagen werden.)

Außerdem öffnet die Verwendung von Smartphones zur Authentifizierung eine Büchse der Pandora mit anderen Problemen.

Bluetooth LE: Persönliche Sicherheit kugelsicher und nahtlos machen

Ein verlorenes Telefon ist ein Rezept für eine Katastrophe, und bei allem Respekt vor all der Anti-Diebstahl- und Anti-Verlust-Technologie da draußen funktioniert vieles davon nicht gut oder erfordert Benutzereingaben, um seine Magie zu entfalten. Außerdem, warum sollten wir uns ausschließlich auf Smartphones verlassen, wenn wir Menschen auf ihrer Bürohardware authentifizieren müssen?

Ein verlorenes Telefon wird aus einem bestimmten Grund als verlorenes Telefon bezeichnet, da der Benutzer zunächst nicht weiß, dass es verloren gegangen ist. Wenn Sie aufwachen und feststellen, dass Sie letzte Nacht Ihr Telefon verloren haben, ist es zu spät. Wenn Sie jedoch die Angewohnheit haben, an fremden Orten ohne Ihr Telefon aufzuwachen oder sich an die Nacht zuvor zu erinnern, sollten Sie auch nach Nierendiebstahl Ausschau halten.

Hier wird es interessant. Sicherheitstoken und Dongles funktionieren, aber es ist mühsam, sie herumzutragen, und sie haben die Angewohnheit, im schlimmsten Moment verloren zu gehen. Aus diesem Grund haben wir geplant, dass unsere ID-Karten eine vorübergehende Maßnahme sind, die nur etwa 9 Monate aktiv ist. Wir beabsichtigen, sie durch kostengünstige, tragbare Bluetooth-Geräte zu ersetzen.

Ja, Toptaler müssen sie immer bei sich tragen, aber das ist kein Problem. Bluetooth LE ist eine Killertechnologie, zumindest in Bezug auf den Stromverbrauch, und diese Geräte können relativ einfach gesichert werden, indem sie eine neue Authentifizierungsebene bieten (wir können die Details aufgrund von NDA-Einschränkungen nicht diskutieren).

Wir haben zunächst eine Reihe billiger Fitness-Tracker und Anti-Loss-Tags ausprobiert, um zu beweisen, dass unser Ansatz machbar ist. Es funktionierte, aber diese handelsüblichen Geräte waren nicht ideal für unsere Bedürfnisse geeignet, also machten wir uns daran, unsere eigenen zu entwerfen, was sich als überraschend einfach herausstellte.

Geben Sie das Toptal TopBand ein

Wir haben eine Reihe namhafter chinesischer OEMs um Beratung und technischen Input gebeten. Wir haben ihnen die technischen Daten zur Verfügung gestellt, sie haben uns ihr Angebot und ein Versanddatum mitgeteilt. Ja, so einfach war das und ja, wir waren angenehm überrascht.

Wir sind derzeit dabei, verschiedene Toptal TopBand-Designs und Formfaktoren durchzugehen und arbeiten an der Softwareseite. Diese Geräte verbinden sich nicht nur als drahtlose Sicherheitstoken mit Ihrem Telefon und Computer, sondern verfolgen auch Ihre Arbeits- und Schlafgewohnheiten.

Warum? Weil sie es können. Sie basieren auf Hardware, die in Fitness-Trackern verwendet wird, sodass wir das Rad nicht neu erfinden und die Hardware von Grund auf neu entwickeln mussten. Tatsächlich würde es mehr kosten, unnötige Funktionen und Sensoren zu entfernen, als Lösungen von der Stange zu verwenden.

Hier sind die Spezifikationen unseres ersten Produkts:

• Bluetooth 4.0-Chip, hergestellt von Dialog
• Beschleunigungsmesser von ADI
• 50 mAh Lithium-Polymer-Akku von Sony, 40 Tage Akkulaufzeit
• Vibrationsbaugruppe, drei LED-UI, Benachrichtigungslautsprecher
• Abmessungen: 8 mm x 15 mm x 35 mm (geschätzt)
• Gewicht: 8 g (geschätzt, ohne Schlaufe oder Clip-on)

Wir haben das Design noch nicht fertiggestellt, daher sind die physischen Abmessungen nur Schätzungen. Wir sind noch in der Entscheidung, ob wir für das Gehäuse Aluminium oder Polycarbonat verwenden oder eine Kombination aus beidem (wir wollen, dass es wahnsinnig cool aussieht). In jedem Fall ist das Gerät wetterfest nach IP67, sodass Sie es nicht einmal abnehmen müssen, wenn Sie unter die Dusche gehen.

Deshalb sind wir davon überzeugt, dass das Gerät nicht lästig sein wird. Es ist winzig , Sie müssen es nicht jeden zweiten Tag aufladen, es kann wie ein Standard-Fitness-Tracker am Handgelenk oder am Schlüsselbund getragen werden und passt sogar in Ihre Brieftasche (als zusätzlicher Bonus kann es zur Benachrichtigung verwendet werden Benutzer, wenn sie ihre Brieftasche oder Schlüssel verlegen).

Natürlich könnten Sie es einfach als drahtloses Sicherheitsgerät mit Ihrem Computer koppeln und diese Funktionen vergessen, aber wo bleibt der Spaß dabei?

Hier ist, was das TopBand auf den Tisch bringt und es den Benutzern ermöglicht:

• Sichern Sie ihre Hardware, indem Sie den Zugriff auf unsere Plattform einschränken, wenn das TopBand nicht gekoppelt ist und sich in Reichweite des Geräts befindet.
• Lokalisieren Sie verlegte Telefone oder umgekehrt (verwenden Sie ein Telefon, um das TopBand zu finden).
• Erhalten Sie Benachrichtigungen über Vibrations- und Audioalarme.
• Sammeln Sie Daten zur körperlichen Aktivität, die zur Vorbeugung von Burnout und zur Verfolgung Ihrer Arbeitsgewohnheiten (bei Verwendung als Wearable) verwendet werden können.

Der letzte Punkt mag sich als umstritten erweisen, kann aber unter bestimmten Umständen nützlich sein. Zum Beispiel können Ihre Teammitglieder wissen, ob Sie wach sind und arbeiten, und es ist perfekt für die Zeiterfassung. Selbstverständlich wird Toptal diese Daten nicht ohne vorherige Zustimmung erheben oder verwenden. Es ist für Ihre Bequemlichkeit da; Verwenden Sie es, um Ihre Gesundheit zu verbessern und die Produktivität zu steigern.

Toptal Pet-Projekt

Während wir an den Prototypen bastelten, beschlossen einige Toptaler, ein potenzielles Spin-off zu gründen, eine Art Lieblingsprojekt, und wenn wir „Haustierprojekt“ sagen, meinen wir wörtlich Lieblingsprojekt. Viele unserer Leute sind besessen von ihren vierbeinigen Freunden, also haben sie Wege gefunden, unsere Hardware auf eine Weise zu nutzen, die wir nicht erwartet hatten: Sie haben das TopBand in einen Haustier-Tracker verwandelt.

Die Hardware war bereit, also brauchte es nur etwas optimierten Code. Wir ermutigten sie, das Gerät an ihren Haustieren zu testen; Die gesammelten Daten würden sich als wertvoll erweisen, um sicherzustellen, dass unethische Entwickler das System nicht betrügen könnten, indem sie das TopBand an ihrer Katze anbringen und allen sagen, dass sie zu Hause sind und hart arbeiten.

Haustierspezifische Funktionen werden noch getestet, aber die Ergebnisse sind ermutigend. Derzeit überwachen die Geräte grundlegende Aktivitäten, überprüfen, ob Ihr Haustier schläft oder nicht, und vibrieren, wenn sich Ihr Haustier außerhalb der Reichweite befindet. Klingt doch etwas humaner als diese fiesen Elektroschockhalsbänder, oder?

Da es Katzen und Hunde in allen Formen und Größen gibt, ist das größte Problem die Sensorkalibrierung, an der das Team arbeitet. Das Gerät wurde an einigen Katzen getestet, darunter eine krankhaft fettleibige italienische Katze, und an Hunden von Jack Russells bis Akita Inus.

Darüber hinaus können wir nicht viele Details preisgeben, und hier ist der Grund; Unsere Entwickler haben aus ihrem Lieblingsprojekt ein ernsthaftes Unterfangen gemacht. Sie wandten sich an einige potenzielle Investoren und sicherten sich die Finanzierung für eine begrenzte kommerzielle Einführung (ebenfalls für 2017 geplant), aber dies ist nur der erste Schritt in Richtung einer vollständigen Heimtierproduktlinie.

Unser Team arbeitet bereits an der nächsten Generation von Haustier-Trackern, basierend auf proprietärer Hardware, mit kabelloser Aufladung und der Fähigkeit, als subdermales Implantat verwendet zu werden.

Klingt geeky, aber Ihre Haustiere werden es lieben

Subdermale Implantate haben einen schlechten Ruf, aber das meiste davon ist ungerechtfertigt und wird von Verschwörungskurbeln hausieren gelassen. Wenn Sie einen Tierfachmann fragen, wird er Ihnen sagen, dass Tiere, die größer als eine Ratte sind, sie nicht einmal bemerken, und tatsächlich neigen sie dazu, sicherer und bequemer zu sein als die meisten intelligenten Halsbänder. Das Mikrochipping ist weltweit bereits eine weithin unterstützte Praxis, um die Populationen streunender Haustiere zu minimieren. das geht nur einen Schritt weiter.

Bisher waren subdermale Implantate auf eine rudimentäre RFID-Funktionalität beschränkt, was ihre Attraktivität einschränkte. Dies ist kein Seitenhieb auf die RFID-Technologie; Viele legitime Unternehmen arbeiten an RFID-Implantaten, und Dangerous Things ist ein Startup, das sich durch Innovation auszeichnet.

Qi-Wireless-Charging-Baugruppen werden jedoch mit jeder neuen Generation kleiner und billiger. Dies ermöglicht es Ingenieuren offensichtlich, funktionsreiche Implantate zu entwickeln, da sie es sich leisten können, mehr Batterieleistung für Sensoren und eine ständig aktive Bluetooth-Konnektivität zu verwenden.

Leider sind wir immer noch nicht so weit und die ersten Prototypen werden frühestens 2018 fertig sein. Unsere Hardwarepartner haben uns auch darüber informiert, dass sie aufgrund der strengen und unflexiblen Tierrechtsgesetzgebung des Landes keine Tierversuche in Festlandchina durchführen können.

Daher werden die Geräte in Kambodscha getestet. Uns wurde versichert, dass die Forschung ethisch vertretbar sein würde, also gibt es nichts, worüber man sich Sorgen machen müsste. Unser Team ist bestrebt, die Implantate an ihren eigenen Haustieren auszuprobieren, und sie würden nicht im Traum daran denken, etwas zu tun, was ihre pelzigen Wonneproppen gefährden würde.

Wenn es gut genug für meinen Hund ist …

Hier treffen wir auf einen kleinen Haken. Dank der Gung-Ho-Kultur von Toptal haben sich zwei unserer Teammitglieder freiwillig bereit erklärt, die Implantate an sich und nicht nur an ihren Haustieren testen zu lassen. Während es für Versuche am Menschen noch zu früh ist, zeigt es, dass es den Menschen vielleicht nichts ausmacht, subdermale Implantate zu verwenden, vorausgesetzt, sie können der Technologie vertrauen. Da diese Personen eine entscheidende Rolle bei der Entwicklung unseres TopBand gespielt haben, sind sie bestrebt, das Konzept zu beweisen. Uns wurde gesagt, dass es nach einer Weile unter die Haut geht.

Wir brauchen menschliche Probanden, um das kabellose Laden und einige andere Funktionen zu testen, da Versuche, Katzen und Hunden beizubringen, stundenlang an einem Ort zu sitzen, wahrscheinlich nicht funktionieren werden. Wir haben uns für die Pilotphase für einen alternativen Ansatz entschieden, bei dem sich die Tiere immer noch bewegen und ihre Implantate aufladen können, aber dazu müssen den Tieren eine große Powerbank und eine Qi-Ladematte umgeschnallt werden. Als Zwischenlösung planen wir, Käfige und Katzenminze für „Katzenwohnungen“ zu nutzen, um das Konzept im Laufe einiger Stunden zu erproben.

Versuche am Menschen sind noch weit entfernt und erfordern mehr Planung und behördliche Aufsicht. Während dieser Ansatz für neue Medikamente funktioniert, haben wir nicht die Zeit oder die Ressourcen, die für klinische Studien erforderlich sind. Unsere Freiwilligen erklärten sich jedoch bereit, eine Verzichtserklärung zu unterschreiben und die Implantate trotzdem einsetzen zu lassen. Da dies zu rechtlichen Problemen in der EU oder den USA führen könnte, gelang es ihnen, eine kleine brasilianische Klinik für plastische Chirurgie zu finden, die bereit war, die Arbeit zu übernehmen. Die Klinik bot auch einen großzügigen Rabatt auf Gynäkomastie-Verfahren an.

Toptal sucht nach weiteren Freiwilligen, und ich habe keinen Zweifel daran, dass wir sie finden werden. Immerhin gelang es Google, Tausende von Menschen zu finden, die bereit waren, 1.500 US-Dollar für ein nutzloses Wearable zu zahlen, nur um die Entwicklung Monate später einzustellen, und sie nannten es immer noch einen Erfolg! Diesen mutigen Entdeckern machte es nichts aus, von den Interwebs Glassholes genannt zu werden.

Wie ein Toptal-Freiwilliger es ausdrückte:

Ich hätte lieber ein Implantat in der Größe einer Avocado in meiner Leistengegend als Google Glass im Gesicht!

Hinweis: Bei der Erstellung dieses Beitrags wurden keine Katzen verletzt.