从FacebookATO漏洞到众多区块链安全事件,这些均表明,建立起防范于未然的安全检测体系,关乎一切科技公司的存亡。
作者:VictorFang,Ph.D.,区块链安全公司AnChain.ai创始人
几天前开始,整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻:Facebook的5000~8000万账户存在「ViewAs」accesstoken漏洞。
该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击,也就是用户私人秘钥泄漏,让黑客能够在未授权情况下访问用户的隐私数据。
虽然Facebook官方公布的信息对细节讳莫如深,我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致,区别于2014年雅虎的heartbleed开源OpenSSL漏洞。
账户接管攻击其实是一个比较古老的话题,一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发,利用机器学习自动检测交易中的ATO漏洞,为客户挽回了数百万美元的ATO攻击。
OFAC制裁后Tornado Cash转出ETH价值突破5000万美元:金色财经报道,据 Dune Analytics 数据显示,自 8 月 8 日美国财政部海外资产控制办公室(The Office of Foreign Assets Control of the US Department of the Treasury)将部分与 Tornado Cash 协议或与之相关以太坊地址进行交互的地址放入 SDN List (美国特别制定国民名单)后,已有价值55,448,992美元的 ETH 从 Tornado Cash 转出,目前这些 ETH 被转入到了 701个独立接收者和 68 个独立 ENS 地址。[2022/8/10 12:16:08]
关于ATO安全问题,推荐大家看一篇2017年12月份的福布斯文章:
https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d
证券时报头版评论:元宇宙的未来不止于Facebook的想象:10月30日消息,证券时报头版内容中包括一篇名为《元宇宙的未来不止于Facebook的想象》的文章,其中提到Facebook改名为Meta事件,对元宇宙的定义,元宇宙需要秩序,文章最后得出结论:从Facebook的视角看,元宇宙是连接人的下一个前沿技术,正如最初的社交网站一样。但元宇宙仍处于非常早期的萌芽阶段,人的连接只是其中一环,未来远不止于此。[2021/10/30 6:21:19]
我刚从传统的网络安全行业跨界到新兴的区块链安全行业,创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会,和大家分享一下一些AnChain.ai对于安全问题的哲学思辨:
安全的本质是对抗,是战争
过去八年,我作为硅谷白帽,有幸亲身经历了很多个黑客组织的对抗,和相互之间共同演化升级。黑客组织一旦盯上了资产,他们将竭尽一切所能来攻陷这个目标,不论是数据,或是金钱,或是虚拟货币。
Facebook发布开源STARK证明程序Winterfell 0.1版本代码:Facebook近日宣布推出关于STARK证明程序的开源实现Winterfell。Winterfellv 0.1版本代码已发布到Rust工具库网站crates.io。据称,Winterfell抽象了STARK协议的大部分复杂性,能让开发人员更加容易使用零知识证明(ZKP),并且具有有高度的可配置性,能动态调整STARK协议几乎所有的参数,以实现特定的性能和安全目标。Winterfell零知识证明的一个潜在应用是为区块链提供隐私和可扩展性解决方案。
据此前5月份报道,数字钱包Novi Financial在GitHub建立Winterfell代码库,这是关于分布式STARK证明程序的实验项目。[2021/8/6 1:38:38]
在这个游戏中,攻击方只需要找到一个漏洞即可攻陷防御方,而防御方则需要全局防范。这并不是一个公平的对抗游戏。
两千年前的孙子兵法称为:「知己知彼百战不殆」;美国前空军首席科学家MicaEndsley博士,在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论,异曲同工,都突出了安全的最佳实践准则。
ChainFaces首个“衍生迷你游戏”已上线,利用Chainlink VRF技术:生成艺术项目ChainFaces开发者在周末宣布,利用ChainFace NFT开发的首个“衍生迷你游戏”现已上线。该游戏名为“FaceGolf!”,使用Chainlink的VRF技术,让拥有ChainFace藏品的用户可以参加在线迷你高尔夫比赛,获胜者可以从预定的高尔夫球池中获得一定奖励。
此前消息,Chainlink(Link)宣布推出可验证随机功能(VRF)服务,用户可以访问可证明的随机值,以证明基于智能合约的项目(如在线游戏)的完整性,以及通过区块链知道一个应用程序没有被篡改。(CryptoSlate)[2020/6/16]
只要是人写的软件,就会有漏洞
这里所指的「软件」是广义的,包括2017年的英特尔芯片的「meltdown」设计漏洞,或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。
声音 | Blockchain Capital合伙人:Facebook和Telegram的加入会促进加密市场大幅增长:据CCN报道,加密投资公司Blockchain Capital的合伙人Spencer Bogart在一篇新博客文章中指出,未来两年Facebook、Telegram和稳定币将为比特币行业带来有史以来最大的增长。这是一个良性循环,随着越来越多的用户进入加密市场,越来越多的开发人员用“可编程的钱”建立更多令人难以置信的事情,从而为行业带来更多用户和更多资金。最终结果是增长更快。Bogart称,重要的是,最初吸引新用户进入加密市场的东西可能与留住他们的不同。例如,Telegram的代币TON可能会成为加密市场的入口。但是一旦用户拥有TON,就很容易将其交换为具有更强的价值支持和更成熟跟踪记录的其他加密资产。此外,他还指出,最新推出的稳定币与此前长期存在的稳定币(如Tether)存在根本区别。[2019/4/20]
计算机领域和学术界现在看好的圣杯是「形式化验证研究」,已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后,将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞,从而极大减少软件漏洞。但是在此之前,漏洞将继续存在。
另外,去年八月,Facebook工程团队发布了一篇技术干货文章:「Rapidreleaseatmassivescale」:
https://code.fb.com/web/rapid-release-at-massive-scale/
对于如此大规模的软件系统,大家不妨自行脑补一些「attacksurface」攻击面。
Facebook拥有22亿用户,是世界最大的月活用户基数,拥有黑客垂涎的用户隐私数据。有没有可能,这个「ViewAs」的漏洞,只是冰山一角?
「交易安全」意义重大
综上两点,不管是传统的网络安全,或者区块链安全,最可靠的防护方式,是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。
Facebook对于如何发现该漏洞没有具体报道,我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常;或者内部审计登陆日志数据发现异常。
我们分析一下2018年安全圈子的两个热点,来突出了解一下为什么「交易安全」如此重要:
事件一:FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动
通过对海量的网络的分析,FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞,如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。
方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家,身后是FireEyefaceofAI
具体信息可以查阅官方版公告:
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
中文版翻译:揭秘朝鲜黑客组织APT37近期活动
https://www.secrss.com/articles/1069
事件二:史上第一个BlockchainAPT区块链高级持续威胁——黑客军团
2018年8月,AnChain.ai团队和合作伙伴安比实验室,从若干个智能合约游戏的海量区块链交易数据,检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币,成功变现离场。
具体信息可以参阅该报道:
https://www.chainnews.com/articles/523983561023.htm
总结
Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。
这种黑客文化对于早期初创公司来说可能是好事,而对于掌握了22亿用户隐私数据的大公司,和广大用户,是巨大的灾难。
https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra
一个数据驱动的技术公司,如何树立起全体员工重视安全的文化?如何对用户隐私数据负责?如何建立起防范于未然的安全检测体系?
对于所有科技公司,必须认真思索思考这些问题。因为,无论是传统互联网公司,或者新兴的区块链加密货币公司,这些都是关乎存亡,需要严肃面对的问题。
本文来源于非小号媒体平台:
AnChainAI
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627052.html
漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
IBM获得基于区块链的网络安全系统新专利
下一篇:
46家交易所涉嫌8800万美元,ShapeShift成为重灾区
标签:FACEACE区块链BOOGHOSTFACEMeta Space 2045区块链币在哪个平台交易BoozeMoon
活动时间:5月29日13:00:00-6月8日23:59:59活动奖励:10,000TAM活动规则:1活动期间,完成首单TAM买入交易且不低于1,000TAM的前100名IDAX实名用户.
1900/1/1 0:00:00一家网站的主要收入来源是广告,如果没有人点击广告,就等于没有收入。尤其是一些内容流量网站,就靠着广告活着。但是广告能给网站带来的收入毕竟有限,穷则思变,他们开始盯上了虚拟货币.
1900/1/1 0:00:001492年,哥伦布发现新大陆,给欧洲带来了几百年的财富累积;2009年,中本聪发明比特币,为世界开启了数字资产财富大门;2019年.
1900/1/1 0:00:00据红星新闻5月20日报道,多地暴风TV员工从各自区总那里收到了「解散」通知。在一些回复中,有区总解释说是由于「融资进度」问题,后续问题会统一回复.
1900/1/1 0:00:00JeremyAllaire该创业公司的联合创始人兼首席执行官在一条推文中写道“Circle仍然强大而健康,我们将继续推动全球新产品创新和增长,与提供有关数字资产业务的前瞻性政策的司法管辖区合作.
1900/1/1 0:00:00本篇文章是上一篇文章《区块链上的随机性概述与构造》的延续。本文会介绍以下四个项目:Algorand、Cardano,Dfinity和Randao分别是如何利用三种基本的方案构建随机数生成协议的.
1900/1/1 0:00:00