Repensando Autenticação e Segurança Biométrica, The Toptal Way

Publicados: 2022-03-11

A Toptal é uma vasta rede de talentos em tecnologia e atualmente contamos com a maior força de trabalho distribuída do setor. Esta é uma fonte de orgulho para muitos Toptalers, especialmente nossa equipe de desenvolvimento que trabalha duro. Por quê? Porque fazemos com que pareça tão fácil e transparente, e fazemos isso todos os dias. Embora uma empresa de tecnologia tradicional tenha uma vasta infraestrutura (muito espaço de escritório, servidores, equipamentos padronizados, recursos físicos e de segurança cibernética abundantes e assim por diante), nós não.

Contamos com tecnologia e serviços de prateleira. As empresas tradicionais lutam para lidar com um pequeno número de usuários BYOD, mas aqui na Toptal, todo o nosso hardware é BYOD . O problema com nossa abordagem independente de plataforma e a dependência de uma rede distribuída é evidente: como podemos garantir e manter a segurança?

Nunca foi fácil, mas gostamos de um bom desafio e gostamos de estar um passo à frente. É por isso que começamos a projetar vários procedimentos de autenticação e integração no ano passado. Usamos o primeiro trimestre de 2016 para testes e pilotos, e eles foram encorajadores. Como resultado, decidimos anunciar os resultados de nossos testes e revelar nossos planos de lançamento.

Até o final do terceiro trimestre, todos os Toptalers estarão familiarizados com nossas novas soluções e, se tudo correr bem, começarão a usá-las até o final do ano.

O desafio

Como garantimos que todos os usuários conectados à nossa rede são quem afirmam ser? A maioria dos membros da nossa equipe nunca se conheceu na vida real, mas eles colaboram diariamente. E se a segurança de alguém foi comprometida? Ou, e se um membro descontente decidir minar a rede?

Estabelecemos uma abordagem dupla para abordar essas preocupações:

  • Incluindo um conjunto de testes de confiabilidade pessoal ao nosso processo de triagem.
  • Apresentando uma nova camada de segurança biométrica.

Que tipo de testes vamos instituir? Nossa abordagem foi inspirada no Programa de Confiabilidade do Pessoal (PRP), criado pelo Departamento de Defesa dos EUA. O programa é projetado para identificar pessoas com o mais alto grau de confiabilidade, levando em consideração sua conduta anterior, confiabilidade, comportamento e lealdade. A conformidade com o PRP será avaliada continuamente por nossa recém-formada Divisão de Segurança Interna (ISD), composta por veteranos da inteligência militar de Israel e da Bósnia.

A segurança começa com o pessoal. Se você não pode confiar em seu pessoal, toda a tecnologia do mundo não fará diferença.

A segurança começa com o pessoal. Se você não pode confiar em seu pessoal, toda a tecnologia do mundo não fará diferença.
Tweet

O acesso à plataforma será limitado a indivíduos que atendam a critérios rigorosos de PRP, no entanto, o não cumprimento desses padrões não será motivo para rescisão ou rebaixamento. Isso apenas refletirá a falta de adequação do indivíduo para determinadas funções, restringindo seu acesso a informações confidenciais.

Para garantir a conformidade contínua, cada membro da Toptal deverá assinar um novo acordo de confidencialidade e passar por avaliação. O acordo incluirá disposições que abrangem o tratamento de informações confidenciais e definirá um conjunto de sanções para os indivíduos que violarem o referido acordo.

Como somos uma rede distribuída, também contaremos com a contribuição de nossos membros. Nossos relatórios mensais existentes do TopTeam serão expandidos para incluir um questionário de confiabilidade pessoal. Em outras palavras, cada membro da rede poderá denunciar colegas de trabalho ou comportamentos suspeitos por meio de um formulário de avaliação anônimo.

O tenente-coronel David Finci, chefe da divisão de segurança interna da Toptal, explica a decisão de incluir 'dicas' anônimas:

Nosso objetivo não é incentivar a discordância e criar atritos entre os membros da equipe, mas estamos convencidos de que isso é vital para garantir a confiabilidade pessoal. Devemos permitir que os membros da rede examinem o desempenho profissional e a integridade pessoal de seus colegas de trabalho. Caso contrário, nossa capacidade de obter informações acionáveis ​​e sensíveis ao tempo seria comprometida.

Os membros da rede com autorização total de PRP receberão tokens de segurança e pads de uso único para garantir a criptografia caso a integridade de nossa rede seja comprometida. Eles também receberão cartões de identificação com um código QR e/ou código de barras digitalizável.

Cartão de identificação biométrico

O uso dessas medidas de segurança será obrigatório e a perda ou roubo de carteiras de identidade será levada a sério. Felizmente, esses cartões serão uma solução provisória e serão descontinuados assim que nossa nova plataforma de segurança estiver pronta. Esperamos um lançamento no início de 2017.

Biometria: casamento imperfeito de conveniência

Começamos a experimentar a segurança quase biométrica no ano passado, por acaso. Depois que um Toptaler decidiu tatuar nosso logotipo em seu braço, percebemos que essa abordagem poderia ser empregada para códigos QR. Ninguém quer carregar mais um cartão na carteira, e os códigos QR são relativamente pequenos e podem ser facilmente tatuados ou até mesmo gravados nas unhas.

Não, é claro que não pediremos aos desenvolvedores que tatuem nosso logotipo ou código QR. Ainda não de qualquer maneira, essa é a Fase Dois.

Não, é claro que não pediremos aos desenvolvedores para tatuar nosso logotipo ou código QR. Ainda não de qualquer maneira, essa é a Fase Dois.
Tweet

Você pode estar se perguntando se estamos falando sério ou não, e a resposta é obviamente não . No entanto, a tatuagem de Graham nos deu uma boa ideia: por que não usar tecnologia biométrica, apoiada por soluções de rastreamento prontas para uso?

Já estamos caminhando para um futuro sem senha, e a Toptal quer estar na vanguarda. Por que sobrecarregar as pessoas com senhas, códigos QR bobos, autenticação de dois fatores ou tokens de segurança, se podemos garantir segurança superior sem nenhum deles?

Já houve tentativas de fazer isso antes, usando tecnologia pessoal, como smartphones e scanners de impressão digital, mas essas técnicas não são à prova de balas. (No caso de scanners de impressão digital de smartphones, eles podem ser superados por uma simples impressora a jato de tinta ou faca.)

Os scanners de impressão digital de smartphones podem ser derrotados por uma impressora a jato de tinta, ou um Tim Roth frustrado com uma carne inteligente.

Os scanners de impressão digital de smartphones podem ser derrotados por uma impressora a jato de tinta, ou um Tim Roth frustrado com uma carne inteligente.
Tweet

Além disso, usar smartphones para autenticação abre uma caixa de Pandora de outros problemas.

Bluetooth LE: tornando a segurança pessoal à prova de balas e sem costura

Um telefone perdido é uma receita para o desastre e, com todo o respeito por toda a tecnologia anti-roubo e anti-perda existente, muitas delas não funcionam bem ou exigem a entrada do usuário para fazer sua mágica. Além disso, por que confiar apenas em smartphones quando precisamos autenticar pessoas em seu hardware de escritório?

Um telefone perdido é chamado de telefone perdido por um motivo, porque o usuário não sabe que está perdido para começar. Se você acordar e perceber que perdeu seu telefone ontem à noite, é tarde demais. Dito isto, se você tem o hábito de acordar em lugares estranhos sem seu telefone, ou qualquer lembrança da noite anterior, também deve estar atento a roubo de rim.

É aqui que fica interessante. Tokens de segurança e dongles funcionam, mas são difíceis de carregar e têm o hábito de se perder no pior momento possível. É por isso que planejamos que nossos cartões de identificação sejam uma medida temporária, ativa apenas por 9 meses ou mais. Pretendemos substituí-los por dispositivos Bluetooth baratos e vestíveis.

Sim, os Toptalers serão obrigados a carregá-los consigo o tempo todo, mas isso não será um problema. O Bluetooth LE é uma tecnologia matadora, pelo menos em termos de consumo de energia, e esses dispositivos podem ser protegidos com relativa facilidade, fornecendo uma nova camada de autenticação (não podemos discutir os detalhes devido a restrições de NDA).

Inicialmente, tentamos vários rastreadores de fitness baratos e etiquetas anti-perda para provar que nossa abordagem era viável. Funcionou, mas esses dispositivos prontos para uso não eram ideais para nossas necessidades, então começamos a projetar nossos próprios, o que provou ser surpreendentemente fácil.

Entre no Toptal TopBand

Entramos em contato com vários OEMs chineses respeitáveis ​​para consulta e informações técnicas. Fornecemos as especificações, eles nos forneceram sua cotação e uma data de envio. Sim, foi tão simples, e sim, fomos agradavelmente surpreendidos.

Atualmente, estamos no processo de passar por vários designs e fatores de forma diferentes da Toptal TopBand, além de trabalhar no lado do software. Esses dispositivos não apenas interagirão com seu telefone e computador como tokens de segurança sem fio, mas também rastrearão seus hábitos de trabalho e sono.

Por quê? Porque eles podem. Eles são baseados em hardware usado em rastreadores de fitness, então não precisamos reinventar a roda e projetar o hardware do zero. Na verdade, custaria mais remover recursos e sensores desnecessários do que usar soluções prontas para uso.

Aqui estão as especificações do nosso produto inicial:

  • Chip Bluetooth 4.0 fabricado pela Dialog
  • Acelerômetro da ADI
  • Bateria de polímero de lítio de 50mAh da Sony, duração da bateria de 40 dias
  • Conjunto de vibração, três UI de LED, alto-falante de notificação
  • Dimensões: 8mm x 15mm x 35mm (estimativa)
  • Peso: 8g (estimativa, sem alça ou clip-on)

Ainda não finalizamos o projeto, então as dimensões físicas são apenas estimativas. Ainda estamos no processo de decidir se usaremos alumínio ou policarbonato para a carcaça, ou uma combinação de ambos (queremos que pareça incrivelmente legal). De qualquer forma, o dispositivo será resistente às intempéries IP67, para que você nem precise tirá-lo quando for tomar banho.

É por isso que estamos convencidos de que o dispositivo não será um incômodo. É minúsculo , você não precisa carregá-lo em dias alternados, pode ser carregado como um rastreador de fitness padrão no pulso, chaveiro e pode até caber na sua carteira (como bônus adicional, pode ser usado para alertar usuários se perderem sua carteira ou chaves).

Claro, você pode simplesmente emparelhá-lo com seu computador como dispositivo de segurança sem fio e esquecer esses recursos, mas onde está a diversão nisso?

Aqui está o que o TopBand traz para a mesa, permitindo que os usuários:

  • Proteja o hardware deles limitando o acesso à nossa plataforma se o TopBand não estiver emparelhado e ao alcance do dispositivo.
  • Localize telefones perdidos ou vice-versa (use um telefone para encontrar o TopBand).
  • Receba notificações, via vibração e alarmes de áudio.
  • Colete dados de atividade física, que podem ser usados ​​para evitar o esgotamento e acompanhar seus hábitos de trabalho (quando usado como wearable).

O último ponto pode ser controverso, mas pode ser útil em algumas circunstâncias. Por exemplo, ele permitirá que os membros de sua equipe saibam se você está ou não acordado e trabalhando, e é perfeito para rastreamento de tempo. Naturalmente, a Toptal não coletará ou usará esses dados sem consentimento prévio. Está lá para sua conveniência; use-o para melhorar sua saúde e aumentar a produtividade.

Projeto Toptal Pet

Enquanto estávamos mexendo nos protótipos, alguns Toptalers decidiram criar um potencial spin-off, uma espécie de projeto de estimação e quando dizemos “projeto de estimação”, queremos dizer literalmente projeto de estimação. Muitos de nosso pessoal são obcecados por seus amigos de quatro patas, então eles inventaram maneiras de usar nosso hardware de maneiras que não esperávamos: eles transformaram o TopBand em um rastreador de animais de estimação.

O hardware estava pronto, então bastou algum código ajustado. Nós os incentivamos a testar o dispositivo em seus animais de estimação; os dados coletados seriam valiosos apenas para garantir que desenvolvedores antiéticos não pudessem enganar o sistema montando o TopBand em seu gato e dizendo a todos que estão em casa, trabalhando duro.

A funcionalidade específica para animais de estimação ainda está sendo testada, mas os resultados são animadores. Por enquanto, os dispositivos monitoram a atividade básica, verificam se o animal está dormindo ou não e vibram se o animal se afastar. Parece um pouco mais humano do que aqueles colares de choque elétrico desagradáveis, não é?

Pode parecer estranho, mas não há com o que se preocupar. Temos certeza de que os animais de estimação vão adorar nossos implantes Bluetooth. E nossos desenvolvedores também.

Pode parecer estranho, mas não há com o que se preocupar. Temos certeza de que os animais de estimação vão adorar nossos implantes Bluetooth. E nossos desenvolvedores também.
Tweet

Como os cães e gatos vêm em todas as formas e tamanhos, o maior problema é a calibração do sensor, na qual a equipe está trabalhando. O dispositivo foi testado em alguns gatos, incluindo um felino italiano com obesidade mórbida, e cães que vão desde Jack Russells até Akita Inus.

Além disso, não podemos revelar muitos detalhes, e aqui está o porquê; nossos desenvolvedores transformaram seu projeto de estimação em um empreendimento sério. Eles abordaram alguns investidores em potencial e garantiram financiamento para um lançamento comercial limitado (também programado para 2017), mas este é apenas o primeiro passo para uma linha completa de produtos para animais de estimação.

Nossa equipe já está trabalhando no rastreador de animais de estimação de próxima geração, baseado em hardware proprietário, com carregamento sem fio e capacidade de ser usado como implante subdérmico.

Parece nerd, mas seus animais de estimação vão adorar

Os implantes subdérmicos têm uma má reputação, mas a maior parte é injustificada e vendida por malucos da conspiração. Se você perguntar a qualquer profissional de animais de estimação, eles dirão que animais maiores que um rato nem os notam e, na verdade, eles tendem a ser mais seguros e confortáveis ​​do que a maioria das coleiras inteligentes. O microchip já é uma prática amplamente apoiada em todo o mundo para minimizar as populações de animais abandonados; isso só leva um passo adiante.

Até agora, os implantes subdérmicos eram limitados à funcionalidade RFID rudimentar e isso limitava seu apelo. Este não é um golpe na tecnologia RFID; muitas empresas legítimas estão trabalhando em implantes RFID, e a Dangerous Things é uma startup que se destaca em termos de inovação.

No entanto, os conjuntos de carregamento sem fio Qi estão ficando menores e mais baratos a cada nova geração. Isso, obviamente, permite que os engenheiros projetem implantes repletos de recursos, porque eles podem usar mais energia da bateria para sensores e conectividade Bluetooth sempre ativa.

Infelizmente, ainda não chegamos lá, e os primeiros protótipos não estarão prontos até 2018, no mínimo. Nossos parceiros de hardware também nos informaram que não poderão realizar testes em animais na China continental, devido à rígida e inflexível legislação de direitos dos animais do país.

Ver? Parece um gatinho feliz ou o quê?

Ver? Parece um gatinho feliz ou o quê?
Tweet

Portanto, os dispositivos serão testados no Camboja. Foi-nos garantido que a pesquisa seria ética, então não há com o que se preocupar. Nossa equipe está ansiosa para experimentar os implantes em seus próprios animais de estimação, e eles não sonhariam em fazer nada que colocasse seus pacotes peludos de alegria em risco.

Se for bom o suficiente para o meu cachorro…

É aqui que encontramos um pequeno problema. Graças à cultura entusiasmada da Toptal, dois dos membros de nossa equipe se ofereceram para testar os implantes neles, não apenas em seus animais de estimação. Embora ainda seja muito cedo para testes em humanos, isso mostra que as pessoas podem não se importar em usar implantes subdérmicos, desde que possam confiar na tecnologia. Como esses indivíduos desempenharam um papel fundamental no desenvolvimento de nossa TopBand, eles estão ansiosos para provar o conceito. Dizem-nos que isso meio que fica sob sua pele depois de um tempo.

Precisamos de seres humanos para testar o carregamento sem fio e alguns outros recursos, pois é improvável que as tentativas de treinar cães e gatos para ficarem sentados em um lugar por horas funcionem. Estabelecemos uma abordagem alternativa para o estágio piloto, em que os animais ainda podem se movimentar e recarregar seus implantes, mas isso envolve amarrar um grande banco de potência e um tapete carregador de Qi aos animais. Como solução provisória, planejamos fazer bom uso de gaiolas de 'condomínio de gatos' e catnip para provar o conceito ao longo de algumas horas.

Não se preocupe, o Big Brother não estará olhando para você. Como somos uma rede distribuída, todos estarão de olho em você!

Não se preocupe, o Big Brother não vai estar de olho em você. Como somos uma rede distribuída, todos estarão de olho em você!
Tweet

Os testes em humanos ainda estão muito distantes e exigem mais planejamento e supervisão regulatória. Embora essa abordagem funcione para novos medicamentos, não temos o tempo nem os recursos necessários para ensaios clínicos. No entanto, nossos voluntários concordaram em assinar uma renúncia e instalar os implantes de qualquer maneira. Como isso poderia criar problemas legais na UE ou nos EUA, eles conseguiram encontrar uma pequena clínica brasileira de cirurgia plástica disposta a fazer o trabalho. A clínica também ofereceu um desconto generoso em procedimentos de ginecomastia.

A Toptal está à procura de mais voluntários e não tenho dúvidas de que os encontraremos. Afinal, o Google conseguiu encontrar milhares de pessoas ansiosas para pagar US$ 1.500 por um wearable inútil, apenas para interromper o desenvolvimento meses depois, e ainda o chamaram de sucesso! Esses bravos Exploradores nem se importavam em serem chamados de Glassholes pelas interwebs.

Como disse um voluntário da Toptal:

Prefiro ter um implante do tamanho de um abacate na virilha do que o Google Glass no rosto!

Nota: Nenhum gato foi ferido na confecção deste post.

Relacionado: Toptal e Facebook - Criando um Escritório Virtual Global