從FacebookATO漏洞到眾多區塊鏈安全事件,這些均表明,建立起防范于未然的安全檢測體系,關乎一切科技公司的存亡。
作者:VictorFang,Ph.D.,區塊鏈安全公司AnChain.ai創始人
幾天前開始,整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞:Facebook的5000~8000萬賬戶存在「ViewAs」accesstoken漏洞。
該漏洞對于Facebook這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管攻擊,也就是用戶私人秘鑰泄漏,讓黑客能夠在未授權情況下訪問用戶的隱私數據。
雖然Facebook官方公布的信息對細節諱莫如深,我個人覺得這種漏洞極有可能是內部Web開發流程管理不慎導致,區別于2014年雅虎的heartbleed開源OpenSSL漏洞。
賬戶接管攻擊其實是一個比較古老的話題,一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察算法研發,利用機器學習自動檢測交易中的ATO漏洞,為客戶挽回了數百萬美元的ATO攻擊。
360創始人周鴻祎批facebook元宇宙:沒有找到用戶痛點:3月4日消息,近日,全國政協委員、360創始人周鴻祎表示,自己當年對于facebook的批判看來驗證了,現在股價已經跌了很多。因為行業內不看好它的元宇宙策略。它的元宇宙是個偽需求,不是剛需,所以這個產品他認為沒有真正找到痛點。(騰訊網)[2022/3/4 13:37:36]
關于ATO安全問題,推薦大家看一篇2017年12月份的福布斯文章:
https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d
我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業,創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會,和大家分享一下一些AnChain.ai對于安全問題的哲學思辨:
Facebook倡導的穩定幣項目Diem計劃在2021年推出數字貨幣試點:Facebook倡導的穩定幣項目Diem計劃在2021年推出數字貨幣試點。(CNBC)[2021/4/20 20:40:24]
安全的本質是對抗,是戰爭
過去八年,我作為硅谷白帽,有幸親身經歷了很多個黑客組織的對抗,和相互之間共同演化升級。黑客組織一旦盯上了資產,他們將竭盡一切所能來攻陷這個目標,不論是數據,或是金錢,或是虛擬貨幣。
在這個游戲中,攻擊方只需要找到一個漏洞即可攻陷防御方,而防御方則需要全局防范。這并不是一個公平的對抗游戲。
兩千年前的孫子兵法稱為:「知己知彼百戰不殆」;美國前空軍首席科學家MicaEndsley博士,在1995年提出了「態勢感知SituationalAwareness」的理論。這兩套理論,異曲同工,都突出了安全的最佳實踐準則。
只要是人寫的軟件,就會有漏洞
聲音 | 美前聯邦檢察官:美國封鎖Facebook加密貨幣Libra將對國家安全產生影響:美國前聯邦檢察官、現Andreessen Horowitz合伙人Katie Haun表示,美國封鎖Facebook加密貨幣Libra將對國家安全產生影響。Katie Haun強調,如果美國在加密貨幣開發方面落后,將對國家安全產生影響,中國和俄羅斯等國已計劃向Libra發起競爭。(CNBC)[2019/10/7]
這里所指的「軟件」是廣義的,包括2017年的英特爾芯片的「meltdown」設計漏洞,或者兩周前去中心化的比特幣BitcoinCore代碼的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。
計算機領域和學術界現在看好的圣杯是「形式化驗證研究」,已經由頂級計算機科研工作者進行了數十年。該技術成熟化之后,將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞,從而極大減少軟件漏洞。但是在此之前,漏洞將繼續存在。
動態 | Facebook尚未與瑞士監管機構聯系:據CNBC報道,在周二參議院銀行委員會的證詞中,Facebook數字貨幣項目負責人大衛馬庫斯說:“出于數據和隱私保護的目的,瑞士聯邦數據保護和信息專員(FDPIC)將成為Libra的隱私監管機構。當被問及該機構在管理Libra方面的作用時,FDPIC的溝通負責人Hugo Wyler在給CNBC的一份聲明中說:我們已經注意到Calibra的負責人David Marcus關于我們在Libra背景下作為數據保護監督機構的潛在作用所做的發言。直到今天,Libra的發起人還沒有聯系到我們。我們希望Facebook或其推動者在時機成熟時向我們提供具體信息。只有這樣,我們才能檢查我們的法律咨詢和監管能力的程度。無論如何,我們正在公眾辯論中關注該項目的發展。[2019/7/17]
另外,去年八月,Facebook工程團隊發布了一篇技術干貨文章:「Rapidreleaseatmassivescale」:
聲音 | Phillip Nunn:Facebook加密項目去掉銀行中介實現支付零費用 將成為新的高盛:對沖基金Blackmore Group and Wealth Chain Group的首席執行官Phillip Nunn發推文稱,Facebook終于公布了其穩定幣Libra的細節。Libra取消了銀行中介,會使得購物和匯款費用幾乎為零。Facebook將成為新的高盛。[2019/6/18]
https://code.fb.com/web/rapid-release-at-massive-scale/
對于如此大規模的軟件系統,大家不妨自行腦補一些「attacksurface」攻擊面。
Facebook擁有22億用戶,是世界最大的月活用戶基數,擁有黑客垂涎的用戶隱私數據。有沒有可能,這個「ViewAs」的漏洞,只是冰山一角?
「交易安全」意義重大
綜上兩點,不管是傳統的網絡安全,或者區塊鏈安全,最可靠的防護方式,是基于交易數據的安全檢測和態勢感知。這里的「交易」指的是廣義的Transaction數據,比如網絡數據包、用戶登陸日志等。
Facebook對于如何發現該漏洞沒有具體報道,我猜測極有可能是從交易數據發現了漏洞端倪。內部RedTeam或者外部白帽檢測到網絡包數據異常;或者內部審計登陸日志數據發現異常。
我們分析一下2018年安全圈子的兩個熱點,來突出了解一下為什么「交易安全」如此重要:
事件一:FireEye公司報告的2018年2月份朝鮮黑客組織APT37的活動
通過對海量的網絡的分析,FireEye公司重現了來自朝鮮的黑客利用Flash和韓文文字處理器零日漏洞,如何竊取了東亞國家的化學品、電子、制造業、航空航天、汽車和醫療保健行業企業數據資產。
方博士是硅谷上市網絡安全公司FireEye史上第一位首席數據科學家,身后是FireEyefaceofAI
具體信息可以查閱官方版公告:
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
中文版翻譯:揭秘朝鮮黑客組織APT37近期活動
https://www.secrss.com/articles/1069
事件二:史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團
2018年8月,AnChain.ai團隊和合作伙伴安比實驗室,從若干個智能合約游戲的海量區塊鏈交易數據,檢測到史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團。該團伙短短幾天盜取了千萬元的以太坊虛擬貨幣,成功變現離場。
具體信息可以參閱該報道:
https://www.chainnews.com/articles/523983561023.htm
總結
Facebook的企業文化DNA是「Movefastandbreakthings」的黑客精神。
這種黑客文化對于早期初創公司來說可能是好事,而對于掌握了22億用戶隱私數據的大公司,和廣大用戶,是巨大的災難。
https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra
一個數據驅動的技術公司,如何樹立起全體員工重視安全的文化?如何對用戶隱私數據負責?如何建立起防范于未然的安全檢測體系?
對于所有科技公司,必須認真思索思考這些問題。因為,無論是傳統互聯網公司,或者新興的區塊鏈加密貨幣公司,這些都是關乎存亡,需要嚴肅面對的問題。
本文來源于非小號媒體平臺:
AnChainAI
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627052.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
IBM獲得基于區塊鏈的網絡安全系統新專利
下一篇:
46家交易所涉嫌洗錢8800萬美元,ShapeShift成為重災區
Tags:FACEACEBOOKCEBghostface幣官網AstroSpaces.io元宇宙概念是什么意思FacebookICEBERG
世界上有三個主流隱私幣,分別是:DASH、Monero和Zcash。其中,DASH采用了混幣技術(CoinJoin),Monero采用環簽名技術,Zcash采用零知識證明技術.
1900/1/1 0:00:00譯者:玩幣族Sally 黑客們已經通過一個Drupal內容管理系統高危漏洞向數百個運行的網站植入了惡意軟件,被用于挖掘_數字貨幣_門羅幣(monero).
1900/1/1 0:00:00議案目的 FCoin計劃將創新板打造成通證經濟專區,支持有前景、創新型通證的交易。良好的制度基礎是進一步擴大該板塊的基本保障.
1900/1/1 0:00:00上周開始,一頭部交易所開始頻繁遭遇撞庫攻擊。「幾十個數據包,都在凌晨開始撞庫,嘗試登錄用戶的賬號。」該交易所安全負責人CC稱.
1900/1/1 0:00:00一家英國的新聞機構和一家區塊鏈分析公司Chainalysis共同調查推特上的加密貨幣欺詐行為和采用的方式。他們使用的樣本是像馬斯克這樣的科技巨頭,這些人的粉絲目前已經被偷去了成百上千美元.
1900/1/1 0:00:00但如何實現城市間各部位數據的共享呢?這又是個令人懊惱的問題。無論是企業或是政府各部門,對數據共享缺乏足夠的動力。數據被視為數字時代的石油,每家企業都想守著自己的數據挖掘出巨大的商業價值.
1900/1/1 0:00:00