CEB:Facebook ATO 漏洞說明什么？請用哲學視角思考日益嚴峻的計算機安全威脅_AllianceBlock Nexera

編者按：本文來自鏈聞ChainNews，作者：VictorFang，Ph.D.，區塊鏈安全公司AnChain.ai創始人，Odaily星球日報經授權發布。幾天前開始，整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞：Facebook的5000～8000萬賬戶存在「ViewAs」accesstoken漏洞。該漏洞對于Facebook這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管攻擊，也就是用戶私人秘鑰泄漏，讓黑客能夠在未授權情況下訪問用戶的隱私數據。雖然Facebook官方公布的信息對細節諱莫如深，我個人覺得這種漏洞極有可能是內部Web開發流程管理不慎導致，區別于2014年雅虎的heartbleed開源OpenSSL漏洞。賬戶接管攻擊其實是一個比較古老的話題，一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察算法研發，利用機器學習自動檢測交易中的ATO漏洞，為客戶挽回了數百萬美元的ATO攻擊。關于ATO安全問題，推薦大家看一篇2017年12月份的福布斯文章。我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業，創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會，和大家分享一下一些AnChain.ai對于安全問題的哲學思辨：安全的本質是對抗，是戰爭

Defactor獲得Algorand基金會贈款，將在Algorand上開發DeFi產品:3月2日消息，Defactor 宣布獲得 Algorand 基金會贈款，該筆贈款將用于在 Algorand 上開發包括流動性挖礦、NFT 質押在內的 DeFi 產品。[2022/3/2 13:31:10]

過去八年，我作為硅谷白帽，有幸親身經歷了很多個黑客組織的對抗，和相互之間共同演化升級。黑客組織一旦盯上了資產，他們將竭盡一切所能來攻陷這個目標，不論是數據，或是金錢，或是虛擬貨幣。在這個游戲中，攻擊方只需要找到一個漏洞即可攻陷防御方，而防御方則需要全局防范。這并不是一個公平的對抗游戲。兩千年前的孫子兵法稱為：「知己知彼百戰不殆」；美國前空軍首席科學家MicaEndsley博士，在1995年提出了「態勢感知SituationalAwareness」的理論。這兩套理論，異曲同工，都突出了安全的最佳實踐準則。只要是人寫的軟件，就會有漏洞

Facebook：Novi數字錢包“已經準備好進入市場”:Facebook周三表示，全球支付系統存在嚴重缺陷，社交媒體巨頭可以解決這個問題。Facebook區塊鏈負責人David Marcus發博文表示，他所監督的數字錢包子公司Novi \"已經準備好進入市場\"，只有在Novi內提供法定貨幣才能提供價值。他補充說：\"我堅信，如果有機會在互聯網上創建一個開放的、可互操作的貨幣協議，并真正改變全世界人民和企業的游戲，那就是現在。\"

馬庫斯指出，Facebook已經在美國幾乎所有的州獲得了Novi的許可和批準，并表示 \"我們不會在尚未獲得此類許可的地方推出。\"（Coindesk）[2021/8/18 22:22:31]

這里所指的「軟件」是廣義的，包括2017年的英特爾芯片的「meltdown」設計漏洞，或者兩周前去中心化的比特幣BitcoinCore代碼的「CVE-2018-17144」漏洞，也包括Facebook此次漏洞。計算機領域和學術界現在看好的圣杯是「形式化驗證研究」，已經由頂級計算機科研工作者進行了數十年。該技術成熟化之后，將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞，從而極大減少軟件漏洞。但是在此之前，漏洞將繼續存在。另外，去年八月，Facebook工程團隊發布了一篇技術干貨文章：「Rapidreleaseatmassivescale」。對于如此大規模的軟件系統，大家不妨自行腦補一些「attacksurface」攻擊面。Facebook擁有22億用戶，是世界最大的月活用戶基數，擁有黑客垂涎的用戶隱私數據。有沒有可能，這個「ViewAs」的漏洞，只是冰山一角？「交易安全」意義重大

動態 | Facebook被罰50億美元：創下民事罰單紀錄 對公司影響不大 股價上漲:據紐約時報近日報道，美國聯邦貿易委員會(FTC)批準和解協議，要求Facebook支付約50億美元罰款，結束FTC對其用戶數據處理方式的調查。這是FTC有史以來開出的最大民事罰單。分析稱，罰款金額對公司影響不大，消息傳出后，臉書股價上漲1.8%。據悉，FTC對Facebook的調查已經進行了一年多，起因是8700萬Facebook用戶數據被不當泄露，被用于在2016年的美國大選中支持現任美國總統特朗普。今年Facebook推出Libra項目，Facebook基本面受到部分利好，但仍然被FTC對其用戶數據處理方式的調查所影響，如今批準和解，并開出罰單，不確定性因素解除，Facebook基本面有望好轉。[2019/7/13]

綜上兩點，不管是傳統的網絡安全，或者區塊鏈安全，最可靠的防護方式，是基于交易數據的安全檢測和態勢感知。這里的「交易」指的是廣義的Transaction數據,比如網絡數據包、用戶登陸日志等。Facebook對于如何發現該漏洞沒有具體報道，我猜測極有可能是從交易數據發現了漏洞端倪。內部RedTeam或者外部白帽檢測到網絡包數據異常；或者內部審計登陸日志數據發現異常。我們分析一下2018年安全圈子的兩個熱點，來突出了解一下為什么「交易安全」如此重要：事件一：FireEye公司報告的2018年2月份朝鮮黑客組織APT37的活動通過對海量的網絡的分析，FireEye公司重現了來自朝鮮的黑客利用Flash和韓文文字處理器零日漏洞，如何竊取了東亞國家的化學品、電子、制造業、航空航天、汽車和醫療保健行業企業數據資產。方博士是硅谷上市網絡安全公司FireEye史上第一位首席數據科學家，身后是FireEyefaceofAI，具體信息可以查閱官方版公告，中文版翻譯：揭秘朝鮮黑客組織APT37近期活動。事件二：史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團2018年8月，AnChain.ai團隊和合作伙伴安比實驗室，從若干個智能合約游戲的海量區塊鏈交易數據，檢測到史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團。該團伙短短幾天盜取了千萬元的以太坊虛擬貨幣，成功變現離場。具體信息可以參閱該報道。總結

聲音 | CSDN副總裁：Facebook借鑒區塊鏈和加密貨幣以避免采用傳統方式啟動全球支付網絡:據CoinDesk報道，CSDN副總裁孟巖表示，Facebook在世界各地的用戶群分散，其沒有更好的選擇，只能借鑒區塊鏈和加密貨幣的想法，以避免采用傳統方式啟動全球支付網絡。Facebook無法通過傳統方法建立全球支付網絡，這是因為傳統方法需要申請許可證并在每個市場的本地銀行準備外匯儲備。孟巖認為，這種方法甚至可能不適用于中國的支付公司，因為他們來自使用同一種法幣的單一經濟體。中國已經擁有完善的支付結算網絡，因此目前可能并不需要使用加密穩定幣。[2019/6/20]

Facebook的企業文化DNA是「Movefastandbreakthings」的黑客精神。這種黑客文化對于早期初創公司來說可能是好事，而對于掌握了22億用戶隱私數據的大公司，和廣大用戶，是巨大的災難。一個數據驅動的技術公司，如何樹立起全體員工重視安全的文化？如何對用戶隱私數據負責？如何建立起防范于未然的安全檢測體系？對于所有科技公司，必須認真思索思考這些問題。因為，無論是傳統互聯網公司，或者新興的區塊鏈加密貨幣公司，這些都是關乎存亡，需要嚴肅面對的問題。

Tags：ACEFACEBOOCEBSpaceCorgiFACEMETABOO價格AllianceBlock Nexera

比特幣價格實時行情