ACE:Facebook ATO 漏洞说明什么？请用哲学视角思考日益严峻的计算机安全威胁_FACE

编者按：本文来自链闻ChainNews，作者：VictorFang，Ph.D.，区块链安全公司AnChain.ai创始人，Odaily星球日报经授权发布。几天前开始，整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻：Facebook的5000～8000万账户存在「ViewAs」accesstoken漏洞。该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击，也就是用户私人秘钥泄漏，让黑客能够在未授权情况下访问用户的隐私数据。虽然Facebook官方公布的信息对细节讳莫如深，我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致，区别于2014年雅虎的heartbleed开源OpenSSL漏洞。账户接管攻击其实是一个比较古老的话题，一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发，利用机器学习自动检测交易中的ATO漏洞，为客户挽回了数百万美元的ATO攻击。关于ATO安全问题，推荐大家看一篇2017年12月份的福布斯文章。我刚从传统的网络安全行业跨界到新兴的区块链安全行业，创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会，和大家分享一下一些AnChain.ai对于安全问题的哲学思辨：安全的本质是对抗，是战争

谷歌前CEO：Facebook的元宇宙对人类未必是最好选择:11月1日消息，谷歌前CEO埃里克·施密特(Eric Schmidt)接受《纽约时报》采访时表示，Facebook的元宇宙对人类社会而言未必是最好的选择，但他也相信这项技术将无所不在。他说：所有谈论元宇宙的人都在谈论一个比当今世界更美好的未来，你会更富有、更英俊、更美丽、更强大、更快。他们说再过一些年，人们会戴着头戴设备，在元宇宙中花更多时间。但谁来制定规则？世界将变得更加数字化而非实体化。这对人类社会而言未必是最好的选择。他认为帮助元宇宙运行大部分平台算法的人工智能技术是一个巨大的伪神，会营造出不健康和准社会性的关系。（Business Insider）[2021/11/1 6:24:22]

过去八年，我作为硅谷白帽，有幸亲身经历了很多个黑客组织的对抗，和相互之间共同演化升级。黑客组织一旦盯上了资产，他们将竭尽一切所能来攻陷这个目标，不论是数据，或是金钱，或是虚拟货币。在这个游戏中，攻击方只需要找到一个漏洞即可攻陷防御方，而防御方则需要全局防范。这并不是一个公平的对抗游戏。两千年前的孙子兵法称为：「知己知彼百战不殆」；美国前空军首席科学家MicaEndsley博士，在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论，异曲同工，都突出了安全的最佳实践准则。只要是人写的软件，就会有漏洞

Facebook撤销加密货币广告禁令:金色财经报道，Facebook周三宣布决定撤销长期以来阻止大多数加密货币公司在其服务上投放广告的政策，将允许在Facebook和Instagram上投放更多加密货币和区块链广告。该公司正在将其接受的监管许可证数量从3个增加到27个。在更新之前，只有一小部分加密公司能够在Facebook上投放广告。根据更新后的政策，以下加密产品和服务现在可以获得书面许可，以在Facebook上投放广告，包括加密货币交易所和交易平台、加密货币借贷服务、加密货币钱包及加密货币挖矿基础设施。此外，可以无需经过事先书面许可宣传与区块链技术、加密新闻、教育、支付方式和商品相关的产品和服务。Meta（Facebook母公司）发言人证实，这些变化也会影响到该公司拥有的Instagram。[2021/12/2 12:44:57]

这里所指的「软件」是广义的，包括2017年的英特尔芯片的「meltdown」设计漏洞，或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞，也包括Facebook此次漏洞。计算机领域和学术界现在看好的圣杯是「形式化验证研究」，已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后，将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞，从而极大减少软件漏洞。但是在此之前，漏洞将继续存在。另外，去年八月，Facebook工程团队发布了一篇技术干货文章：「Rapidreleaseatmassivescale」。对于如此大规模的软件系统，大家不妨自行脑补一些「attacksurface」攻击面。Facebook拥有22亿用户，是世界最大的月活用户基数，拥有黑客垂涎的用户隐私数据。有没有可能，这个「ViewAs」的漏洞，只是冰山一角？「交易安全」意义重大

声音 | Coinbase英国CEO:需要类似中央银行和Facebook的中央实体来支持加密生态系统:Coinbase英国首席执行官Zeeshan Feroz近日在接受采访时表示，他看到了加密货币成为主流的两种方式：中央银行数字货币（CBDC）和Facebook的Libra。他表示，与加密货币不同，CBDC是由央行发行的数字货币，其法定货币地位取决于政府监管或法律。Libra有潜力成为真正普遍的货币，但想要挑战现状并不容易，目前仍处在初级阶段。我们需要中央银行和Facebook等中央实体来支持加密生态系统的发展。（Cointelegraph）[2019/10/24]

综上两点，不管是传统的网络安全，或者区块链安全，最可靠的防护方式，是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。Facebook对于如何发现该漏洞没有具体报道，我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常；或者内部审计登陆日志数据发现异常。我们分析一下2018年安全圈子的两个热点，来突出了解一下为什么「交易安全」如此重要：事件一：FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动通过对海量的网络的分析，FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞，如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家，身后是FireEyefaceofAI，具体信息可以查阅官方版公告，中文版翻译：揭秘朝鲜黑客组织APT37近期活动。事件二：史上第一个BlockchainAPT区块链高级持续威胁——黑客军团2018年8月，AnChain.ai团队和合作伙伴安比实验室，从若干个智能合约游戏的海量区块链交易数据，检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币，成功变现离场。具体信息可以参阅该报道。总结

声音 | 孙宇晨：Facebook加入加密领域将促进区块链的“光明未来”:孙宇晨最近在接受Freewallet的采访时保证了他对USDT的支持，并建议生态系统需要稳定币，以便为投资者提供“信心和稳定”。此外，被问及是否有兴趣与以太坊的V神（Vitalik Buterin）合作时，他回复称：“欢迎乘坐Tron列车！” 孙宇晨认为区块链技术的能力已经传播到各个地方。像Facebook这样的大公司采用它，将成为其“光明未来”的保证。此外，随着时间的推移，中心化VS去中心化的问题将会得到解决，人们会选择他们认为最有效的方式。他认为，加密货币获得大规模采用需要很长时间。（AMBCrypto）[2019/8/27]

Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。这种黑客文化对于早期初创公司来说可能是好事，而对于掌握了22亿用户隐私数据的大公司，和广大用户，是巨大的灾难。一个数据驱动的技术公司，如何树立起全体员工重视安全的文化？如何对用户隐私数据负责？如何建立起防范于未然的安全检测体系？对于所有科技公司，必须认真思索思考这些问题。因为，无论是传统互联网公司，或者新兴的区块链加密货币公司，这些都是关乎存亡，需要严肃面对的问题。

标签：ACEFACE区块链BOOKACES价格facedao币怎么买入卖出区块链域名谁在管理bookchain

瑞波币热门资讯