从FacebookATO漏洞到众多区块链安全事件,这些均表明,建立起防范于未然的安全检测体系,关乎一切科技公司的存亡。
作者:VictorFang,Ph.D.,区块链安全公司AnChain.ai创始人
几天前开始,整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻:Facebook的5000~8000万账户存在「ViewAs」accesstoken漏洞。
该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击,也就是用户私人秘钥泄漏,让黑客能够在未授权情况下访问用户的隐私数据。
虽然Facebook官方公布的信息对细节讳莫如深,我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致,区别于2014年雅虎的heartbleed开源OpenSSL漏洞。
账户接管攻击其实是一个比较古老的话题,一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发,利用机器学习自动检测交易中的ATO漏洞,为客户挽回了数百万美元的ATO攻击。
知情人士:Facebook计划在下周改名,以反映其专注于构建“元宇宙”:10月20日消息,知情人士透露,Facebook计划在下周改名,以反映其专注于构建“元宇宙”。马克·扎克伯格计划在10月28日的公司年度Connect会议上谈论即将到来的更名,但可能会更早公布,旨在表明这家科技巨头的雄心壮志。(TheVerge)[2021/10/20 20:42:24]
关于ATO安全问题,推荐大家看一篇2017年12月份的福布斯文章:
https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d
我刚从传统的网络安全行业跨界到新兴的区块链安全行业,创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会,和大家分享一下一些AnChain.ai对于安全问题的哲学思辨:
声音 | Abra CEO:Facebook的Libra可能会填补比特币作为支付网络的空白:据AMBCrypto消息,加密钱包和交易所Abra首席执行官兼创始人Bill Barhydt表示,尽管Facebook以隐私相关问题而闻名,但它仍然拥有庞大的用户基础。他详细描述了普通消费者如何缺乏对隐私重要性的理解。在被黑客攻击后,普通消费者对隐私的看法完全改变了。他表示,Facebook之前的记录让立法者更容易质疑这家社交媒体巨头。Barhydt解释了Facebook作为一家公司是如何对汇款使用案例感兴趣,其庞大的用户基础可以被视为交易前景的红利。 Barhydt进一步详述了Facebook可能会考虑使用比特币的情况,然后得出结论,比特币“没有被正确地优化”为支付网络,而是被优化为“数字现金”。他补充说,“我认为人们对比特币模式有着巨大的信心,但我也认为人们已经认识到,考虑到这些问题,考虑到他们试图解决的显而易见的问题,比特币不可能为他们解决这些问题。”他最后指出,Facebook“无限地”比任何其他公司更有可能实现这一目标。[2019/9/1]
安全的本质是对抗,是战争
声音 | Circle USDC产品主管:加密货币行业将受益于Facebook的Libra:据ejinsight报道,Circle公司稳定币USDC产品主管Joao Reginatto最近针对Facebook的Libra分享自己的观点,以及稳定币如何刺激加密货币的大规模采用。据Facebook称,Libra将使该集团在世界各地数十亿用户能够在几乎零费用和摩擦的情况下购买东西或向人们寄钱。然而,Reginatto认为,Libra在2020年推出使用时将面临监管不确定性。 他表示,“Facebook做的任何事情都会受到政府的严格审查,但是他们进入加密系统应该是监管和主流意识的转折点。\"当被问及Libra是否会成为USDC压倒性的竞争对手时,Reginatto称,他相信Circle和USDC将受益于Facebook给加密领域带来的日益增强的意识。[2019/7/2]
过去八年,我作为硅谷白帽,有幸亲身经历了很多个黑客组织的对抗,和相互之间共同演化升级。黑客组织一旦盯上了资产,他们将竭尽一切所能来攻陷这个目标,不论是数据,或是金钱,或是虚拟货币。
动态 | 美国参议院银行委员会要求Facebook分享加密货币项目细节:据Coindesk报道,美国参议院银行委员会周五给Facebook创始人兼首席执行官马克扎克伯格写了一封公开信,要求他分享有关Facebook加密货币项目的细节,特别关注消费者隐私,以及它将如何处理个人的财务信息。[2019/5/11]
在这个游戏中,攻击方只需要找到一个漏洞即可攻陷防御方,而防御方则需要全局防范。这并不是一个公平的对抗游戏。
两千年前的孙子兵法称为:「知己知彼百战不殆」;美国前空军首席科学家MicaEndsley博士,在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论,异曲同工,都突出了安全的最佳实践准则。
只要是人写的软件,就会有漏洞
这里所指的「软件」是广义的,包括2017年的英特尔芯片的「meltdown」设计漏洞,或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。
以太坊创始人Vitalik指责Instagram和Facebook允许虚假账户在平台上存在:以太坊的创始人Vitalik Buterin一直在处理大量欺诈的Twitter模仿者,这些犯试图从天真的投资者那里盗取密码,而最近V神的注意力被Instagram和Facebook转移了。这他在推特上批评Facebook和Instagram,因为他们的平台上存在明显的虚假账户。[2018/3/30]
计算机领域和学术界现在看好的圣杯是「形式化验证研究」,已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后,将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞,从而极大减少软件漏洞。但是在此之前,漏洞将继续存在。
另外,去年八月,Facebook工程团队发布了一篇技术干货文章:「Rapidreleaseatmassivescale」:
https://code.fb.com/web/rapid-release-at-massive-scale/
对于如此大规模的软件系统,大家不妨自行脑补一些「attacksurface」攻击面。
Facebook拥有22亿用户,是世界最大的月活用户基数,拥有黑客垂涎的用户隐私数据。有没有可能,这个「ViewAs」的漏洞,只是冰山一角?
「交易安全」意义重大
综上两点,不管是传统的网络安全,或者区块链安全,最可靠的防护方式,是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。
Facebook对于如何发现该漏洞没有具体报道,我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常;或者内部审计登陆日志数据发现异常。
我们分析一下2018年安全圈子的两个热点,来突出了解一下为什么「交易安全」如此重要:
事件一:FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动
通过对海量的网络的分析,FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞,如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。
方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家,身后是FireEyefaceofAI
具体信息可以查阅官方版公告:
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
中文版翻译:揭秘朝鲜黑客组织APT37近期活动
https://www.secrss.com/articles/1069
事件二:史上第一个BlockchainAPT区块链高级持续威胁——黑客军团
2018年8月,AnChain.ai团队和合作伙伴安比实验室,从若干个智能合约游戏的海量区块链交易数据,检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币,成功变现离场。
具体信息可以参阅该报道:
https://www.chainnews.com/articles/523983561023.htm
总结
Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。
这种黑客文化对于早期初创公司来说可能是好事,而对于掌握了22亿用户隐私数据的大公司,和广大用户,是巨大的灾难。
https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra
一个数据驱动的技术公司,如何树立起全体员工重视安全的文化?如何对用户隐私数据负责?如何建立起防范于未然的安全检测体系?
对于所有科技公司,必须认真思索思考这些问题。因为,无论是传统互联网公司,或者新兴的区块链加密货币公司,这些都是关乎存亡,需要严肃面对的问题。
本文来源于非小号媒体平台:
AnChainAI
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627052.html
漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
IBM获得基于区块链的网络安全系统新专利
下一篇:
46家交易所涉嫌8800万美元,ShapeShift成为重灾区
文:余锡清 编辑:王巧 数字经济时代是一个科技至上的时代,更是一个版权裸露的时代。今年4月,视觉中国因黑洞及国旗国徽图片导致的版权维权争议,引发了公众对“版权碰瓷”行为的关注.
据coingape.com报道,比特币ETF的申请者之一Bitwise资产管理公司向美国证券交易委员会再次提交了一份关于比特币交易市场虚假成交量的报告.
来源|36Kr 「苹果拒绝任何时候,以技术为借口,剥夺用户的隐私权」,今年5月份,库克在他的母校美国杜克大学演讲时,说了这样一句话。在库克眼中,用户自己的数据,只属于用户本人.
文章来源:慢雾科技作者:慢雾安全团队 引子 慢雾区前后两位白帽黑客给我们反馈了这个XSS0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后.
BTC近期走势比较疲软,这几天一直处于小幅阴跌走势,盘面上也能够看出有形成M头的趋势,下方颈线位支撑在7100美元附近,同时也是日线20均线的支撑位,目前币价已破位5日线与10日线.
2018年,是区块链发展最迅猛的一年,全球加密货币总市值一度接近8000亿美金。但层出不穷的漏洞,使2018年成为黑客最为猖獗的一年.
链资讯