Facebook ATO 漏洞說明什么？請用哲學視角思考日益嚴峻的計算機安全威脅_CEB:FACEMETA價格

從FacebookATO漏洞到眾多區塊鏈安全事件，這些均表明，建立起防范于未然的安全檢測體系，關乎一切科技公司的存亡。

作者：VictorFang，Ph.D.，區塊鏈安全公司AnChain.ai創始人

幾天前開始，整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞：Facebook的5000～8000萬賬戶存在「ViewAs」accesstoken漏洞。

該漏洞對于Facebook這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管攻擊，也就是用戶私人秘鑰泄漏，讓黑客能夠在未授權情況下訪問用戶的隱私數據。

雖然Facebook官方公布的信息對細節諱莫如深，我個人覺得這種漏洞極有可能是內部Web開發流程管理不慎導致，區別于2014年雅虎的heartbleed開源OpenSSL漏洞。

賬戶接管攻擊其實是一個比較古老的話題，一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察算法研發，利用機器學習自動檢測交易中的ATO漏洞，為客戶挽回了數百萬美元的ATO攻擊。

Facebook：正說服美國立法者再給加密貨幣一次機會，讓NFT驅動元宇宙蓬勃發展:12月7日消息，Facebook正試圖說服美國立法者再給加密貨幣一次機會，不要因為FTX破產和SBF的欺詐指控就實施過于嚴厲的監管，而應該讓NFT驅動的元宇宙蓬勃發展，因為到2031年元宇宙將會讓全球GDP增加3萬億美元，所以他們希望立法者不要像對待Libra一樣對待元宇宙的Web3組件。Facebook希望監管機構采用一個不會排除非廣告商收入流的監管框架，這樣就能更好地為創作者提供“貨幣化工具”、訪問數字資產和市場、與社區互動、消費數字產品和服務。（vice）[2022/12/8 21:29:41]

關于ATO安全問題，推薦大家看一篇2017年12月份的福布斯文章：

https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d

Dora Factory將于5月1日開啟Open Grant Program，資助DAO和鏈上治理相關模塊:據官方消息，DAO-as-a-Service基礎設施Dora Factory將于2021年5月1日開啟Open Grant Program。Open Grant Program將以DORA和USDC的形式，資助基于Substrate和以太坊生態DAO及鏈上治理相關的模塊，包括研究和開發工作。Dora Factory Open Grant Program第一階段的資助下限是500 USDC或等值的DORA，資助上限是10,000 USDC或等值的DORA。5月1日開始，開發者或團隊可以通過GitHub向Dora Factory提交Open Grant Proposal，流程與Web3 Foundation Grant相似。

除Open Grant以外，Dora Factory還將通過HackerLink.io賞金計劃（Bounty）發布定向課題，開發者可以通過GitHub解決Bounty問題從智能合約獲得賞金，通常的Bounty賞金規模在100 USDC至5000 USDC之間。[2021/4/10 20:06:05]

我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業，創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會，和大家分享一下一些AnChain.ai對于安全問題的哲學思辨：

聲音 | 英國央行行長：需要像Facebook這樣的公司參與當前金融系統以提高付款效率:英格蘭銀行（英國央行）行長Mark Carney表示，目前的金融系統有幾個缺點，它的付款速度不像它應該做到的那樣高效。因此，歡迎像Facebook這樣的高科技公司參與進來，以幫助他們加快當前付款流程的效率。Carney認為，目前轉移資金的成本非常高，小型企業和企業家通常為此付出太多成本。他申明，人們不應該對現在的金融系統感到滿足，付款應該更快，應該是即時的，而且也應該“幾乎沒有成本”并且具有很大的彈性，因為我們擁有做到這幾點的技術。（Bitcoin Exchange Guide）[2019/10/16]

安全的本質是對抗，是戰爭

過去八年，我作為硅谷白帽，有幸親身經歷了很多個黑客組織的對抗，和相互之間共同演化升級。黑客組織一旦盯上了資產，他們將竭盡一切所能來攻陷這個目標，不論是數據，或是金錢，或是虛擬貨幣。

在這個游戲中，攻擊方只需要找到一個漏洞即可攻陷防御方，而防御方則需要全局防范。這并不是一個公平的對抗游戲。

聲音 | 比特幣安全專家：Libra需要將其與母公司Facebook區分開來:據AMBCrypto消息，比特幣安全專家Andreas Antonopoulos認為，Libra的主要挑戰是在與Facebook公司的第一次接觸中生存下來，并將其與母公司區分開來。他解釋，“因為目前這是一個孵化項目。它是理想主義、進步的，它的愿景是積極的。它專注于現在和將來更多的去中心化。現在有一點許可，未來無需許可，現在證明權威，未來證明利害關系。”[2019/7/8]

兩千年前的孫子兵法稱為：「知己知彼百戰不殆」；美國前空軍首席科學家MicaEndsley博士，在1995年提出了「態勢感知SituationalAwareness」的理論。這兩套理論，異曲同工，都突出了安全的最佳實踐準則。

只要是人寫的軟件，就會有漏洞

這里所指的「軟件」是廣義的，包括2017年的英特爾芯片的「meltdown」設計漏洞，或者兩周前去中心化的比特幣BitcoinCore代碼的「CVE-2018-17144」漏洞，也包括Facebook此次漏洞。

動態 | 南美電子商務平臺Mercado Libre與Facebook合作開發Libra加密項目:據cointelegraph消息，南美最大電子商務平臺之一Mercado Libre正與Facebook就開發加密貨幣項目Libra展開合作。[2019/6/17]

計算機領域和學術界現在看好的圣杯是「形式化驗證研究」，已經由頂級計算機科研工作者進行了數十年。該技術成熟化之后，將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞，從而極大減少軟件漏洞。但是在此之前，漏洞將繼續存在。

另外，去年八月，Facebook工程團隊發布了一篇技術干貨文章：「Rapidreleaseatmassivescale」：

https://code.fb.com/web/rapid-release-at-massive-scale/

對于如此大規模的軟件系統，大家不妨自行腦補一些「attacksurface」攻擊面。

Facebook擁有22億用戶，是世界最大的月活用戶基數，擁有黑客垂涎的用戶隱私數據。有沒有可能，這個「ViewAs」的漏洞，只是冰山一角？

「交易安全」意義重大

綜上兩點，不管是傳統的網絡安全，或者區塊鏈安全，最可靠的防護方式，是基于交易數據的安全檢測和態勢感知。這里的「交易」指的是廣義的Transaction數據,比如網絡數據包、用戶登陸日志等。

Facebook對于如何發現該漏洞沒有具體報道，我猜測極有可能是從交易數據發現了漏洞端倪。內部RedTeam或者外部白帽檢測到網絡包數據異常；或者內部審計登陸日志數據發現異常。

我們分析一下2018年安全圈子的兩個熱點，來突出了解一下為什么「交易安全」如此重要：

事件一：FireEye公司報告的2018年2月份朝鮮黑客組織APT37的活動

通過對海量的網絡的分析，FireEye公司重現了來自朝鮮的黑客利用Flash和韓文文字處理器零日漏洞，如何竊取了東亞國家的化學品、電子、制造業、航空航天、汽車和醫療保健行業企業數據資產。

方博士是硅谷上市網絡安全公司FireEye史上第一位首席數據科學家，身后是FireEyefaceofAI

具體信息可以查閱官方版公告：

https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

中文版翻譯：揭秘朝鮮黑客組織APT37近期活動

https://www.secrss.com/articles/1069

事件二：史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團

2018年8月，AnChain.ai團隊和合作伙伴安比實驗室，從若干個智能合約游戲的海量區塊鏈交易數據，檢測到史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團。該團伙短短幾天盜取了千萬元的以太坊虛擬貨幣，成功變現離場。

具體信息可以參閱該報道：

https://www.chainnews.com/articles/523983561023.htm

總結

Facebook的企業文化DNA是「Movefastandbreakthings」的黑客精神。

這種黑客文化對于早期初創公司來說可能是好事，而對于掌握了22億用戶隱私數據的大公司，和廣大用戶，是巨大的災難。

https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra

一個數據驅動的技術公司，如何樹立起全體員工重視安全的文化？如何對用戶隱私數據負責？如何建立起防范于未然的安全檢測體系？

對于所有科技公司，必須認真思索思考這些問題。因為，無論是傳統互聯網公司，或者新興的區塊鏈加密貨幣公司，這些都是關乎存亡，需要嚴肅面對的問題。

本文來源于非小號媒體平臺：

AnChainAI

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627052.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

IBM獲得基于區塊鏈的網絡安全系統新專利

下一篇：

46家交易所涉嫌洗錢8800萬美元，ShapeShift成為重災區

Tags：ACEFACECEBBOOKSpaceXCoinFACEMETA價格ICEBRKBitBook

USDT