從 Facebook ATO 漏洞到衆多區塊鏈安全事件,這些均表明,建立起防範於未然的安全檢測體系,關乎一切科技公司的存亡。
作者:Victor Fang,Ph.D.,區塊鏈安全公司 AnChain.ai 創始人
幾天前開始,整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞:Facebook 的 5000~8000 萬賬戶存在「View As」 access token 漏洞。
該漏洞對於 Facebook 這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管(account takeover,ATO)攻擊,也就是用戶私人祕鑰泄漏,讓黑客能夠在未授權情況下訪問用戶的隱私數據。
雖然 Facebook 官方公佈的信息對細節諱莫如深,我個人覺得這種漏洞極有可能是內部 Web 開發流程管理不慎導致,區別於 2014 年雅虎的 heartbleed 開源 OpenSSL 漏洞。
賬戶接管攻擊其實是一個比較古老的話題, 一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察(Fraud Detection)算法研發, 利用機器學習自動檢測交易中的 ATO 漏洞, 爲客戶挽回了數百萬美元的 ATO 攻擊。
關於 ATO 安全問題,推薦大家看一篇 2017 年 12 月份的福布斯文章:
我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業,創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會,和大家分享一下一些 AnChain.ai 對於安全問題的哲學思辨:
安全的本質是對抗, 是戰爭
過去八年,我作爲硅谷白帽,有幸親身經歷了很多個黑客組織的對抗, 和相互之間共同演化升級。 黑客組織一旦盯上了資產,他們將竭盡一切所能來攻陷這個目標, 不論是數據(比如 Facebook 此次 ATO 漏洞事件),或是金錢(例如針對銀行賬號的 ATO 攻擊),或是虛擬貨幣(蔽日 AnChain.ai 上個月發佈的 BAPT 黑客軍團)。
在這個遊戲中, 攻擊方只需要找到一個漏洞即可攻陷防禦方, 而防禦方則需要全局防範。 這並不是一個公平的對抗遊戲。
兩千年前的孫子兵法稱爲:「知己知彼百戰不殆」;美國前空軍首席科學家 Mica Endsley 博士, 在 1995 年提出了「態勢感知 Situational Awareness」的理論。這兩套理論,異曲同工,都突出了安全的最佳實踐準則。
只要是人寫的軟件, 就會有漏洞
這裏所指的「軟件」是廣義的, 包括 2017 年的英特爾芯片的「meltdown」設計漏洞,或者兩週前去中心化的比特幣 Bitcoin Core 代碼的「CVE-2018-17144」漏洞,也包括 Facebook 此次漏洞。
計算機領域和學術界現在看好的聖盃是「形式化驗證研究」, 已經由頂級計算機科研工作者進行了數十年。該技術成熟化之後,將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞,從而極大減少軟件漏洞。 但是在此之前, 漏洞將繼續存在。
另外,去年八月,Facebook 工程團隊發佈了一篇技術乾貨文章:「Rapid release at massive scale」:
https://code.fb.com/web/rapid-release-at-massive-scale/
對於如此大規模的軟件系統,大家不妨自行腦補一些「attack surface」攻擊面。
Facebook 擁有 22 億用戶,是世界最大的月活用戶基數,擁有黑客垂涎的用戶隱私數據。有沒有可能, 這個「View As」的漏洞, 只是冰山一角?
「交易安全」意義重大
綜上兩點,不管是傳統的網絡安全, 或者區塊鏈安全, 最可靠的防護方式, 是基於交易數據的安全檢測和態勢感知。這裏的「交易」指的是廣義的 Transaction 數據 , 比如網絡數據包、用戶登陸日誌等。
Facebook 對於如何發現該漏洞沒有具體報道, 我猜測極有可能是從交易數據發現了漏洞端倪。 內部 Red Team 或者外部白帽檢測到網絡包數據異常;或者內部審計登陸日誌數據發現異常。
我們分析一下 2018 年安全圈子的兩個熱點, 來突出瞭解一下爲什麼「交易安全」如此重要:
事件一: FireEye 公司報告的 2018 年 2 月份朝鮮黑客組織 APT37 的活動
通過對海量的網絡的分析, FireEye 公司重現了來自朝鮮的黑客利用 Flash 和韓文文字處理器零日漏洞,如何竊取了東亞國家的化學品、電子、製造業、航空航天、汽車和醫療保健行業企業數據資產。
方博士是硅谷上市網絡安全公司 FireEye 史上第一位首席數據科學家,身後是 FireEye face of AI
具體信息可以查閱官方版公告:
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
中文版翻譯: 揭祕朝鮮黑客組織 APT37 近期活動
https://www.secrss.com/articles/1069
事件二: 史上第一個 Blockchain APT 區塊鏈高級持續威脅——黑客軍團
2018 年 8 月, AnChain.ai 團隊和合作夥伴安比實驗室,從若干個智能合約遊戲的海量區塊鏈交易數據, 檢測到史上第一個 Blockchain APT 區塊鏈高級持續威脅——黑客軍團。 該團伙短短几天盜取了千萬元的以太坊虛擬貨幣, 成功變現離場。
具體信息可以參閱該報道:
https://talkstocks.club/articles/523983561023.htm
總結
Facebook 的企業文化 DNA 是「Move fast and break things」的黑客精神。
這種黑客文化對於早期初創公司來說可能是好事, 而對於掌握了 22 億用戶隱私數據的大公司, 和廣大用戶, 是巨大的災難。
https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra
一個數據驅動的技術公司,如何樹立起全體員工重視安全的文化? 如何對用戶隱私數據負責? 如何建立起防範於未然的安全檢測體系?
對於所有科技公司,必須認真思索思考這些問題。因爲,無論是傳統互聯網公司,或者新興的區塊鏈加密貨幣公司, 這些都是關乎存亡,需要嚴肅面對的問題。
繁體中文
简体中文
English
日本語
Español