FACE:Facebook ATO 漏洞说明什么？请用哲学视角思考日益严峻的计算机安全威胁_BOO

从FacebookATO漏洞到众多区块链安全事件，这些均表明，建立起防范于未然的安全检测体系，关乎一切科技公司的存亡。

作者：VictorFang，Ph.D.，区块链安全公司AnChain.ai创始人

几天前开始，整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻：Facebook的5000～8000万账户存在「ViewAs」accesstoken漏洞。

该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击，也就是用户私人秘钥泄漏，让黑客能够在未授权情况下访问用户的隐私数据。

虽然Facebook官方公布的信息对细节讳莫如深，我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致，区别于2014年雅虎的heartbleed开源OpenSSL漏洞。

账户接管攻击其实是一个比较古老的话题，一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发，利用机器学习自动检测交易中的ATO漏洞，为客户挽回了数百万美元的ATO攻击。

动态 | Facebook推出新支付服务，完全独立于Calibra钱包:金色财经报道，美东时间11月12日，Facebook宣布推出名为Facebook Pay的支付服务，将横跨Facebook、Messenger、Instagram和WhatsApp四大社交媒体平台。Facebook在公告中指出，Facebook Pay建立在其现有基础设施和合作伙伴关系之上，并且完全独立于即将推出的基于加密货币的Calibra钱包。[2019/11/13]

关于ATO安全问题，推荐大家看一篇2017年12月份的福布斯文章：

https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d

我刚从传统的网络安全行业跨界到新兴的区块链安全行业，创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会，和大家分享一下一些AnChain.ai对于安全问题的哲学思辨：

动态 | Facebook局利用澳大利亚主持人及NAB高管照片和虚假新闻投资者购买比特币:澳大利亚电视主持人Waleed Aly的照片被用于Facebook上的比特币投资局。Facebook虚假广告还使用新南威尔士州前州长Mike Baird的照片，将用户引向一篇虚假文章，该文章引用了Aly和Baird之间的采访，并鼓励读者购买加密货币。由于Mike Baird是澳大利亚国民银行（NAB）的高管，该银行目前正在调查“虚假新闻”网站和广告。NAB一位发言人表示，银行知道并证实Baird“与所提到的公司或产品没有关联”。（dailymaill）[2019/10/31]

安全的本质是对抗，是战争

过去八年，我作为硅谷白帽，有幸亲身经历了很多个黑客组织的对抗，和相互之间共同演化升级。黑客组织一旦盯上了资产，他们将竭尽一切所能来攻陷这个目标，不论是数据，或是金钱，或是虚拟货币。

在这个游戏中，攻击方只需要找到一个漏洞即可攻陷防御方，而防御方则需要全局防范。这并不是一个公平的对抗游戏。

声音 | 特朗普：Facebook的Libra将几乎没有可靠性:美国总统特朗普发推表示，如果Facebook和其他企业想要成为一家银行，它们必须寻求新的银行章程，并像其他银行一样遵守所有的银行监管规定，包括国内及国际性的。Facebook的Libra没什么可靠性和地位。此外，特朗普表示，美国只有一种真正的货币，而且它比以往任何时候都要强大。迄今为止，它是世界上最主要的货币，而且它将永远保持这种地位，它叫美元。我不是比特币和其他加密货币的热衷者，它们不是货币，它们的价值波动很大，而且是凭空而来的。不受监管的加密资产可以促进非法行为，包括交易和其他非法活动。[2019/7/12]

两千年前的孙子兵法称为：「知己知彼百战不殆」；美国前空军首席科学家MicaEndsley博士，在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论，异曲同工，都突出了安全的最佳实践准则。

只要是人写的软件，就会有漏洞

声音 | 欧洲议会议员：Facebook或成为“影子银行”，监管机构应高度警惕:据彭博社报道，法国财政部长Bruno Le Maire和德国的欧洲议会议员Markus Ferber都呼吁对Facebook的区块链项目进行监管审查。Ferber警告称，拥有超过20亿用户的Facebook可能成为“影子银行”，监管机构应高度警惕。他表示，在推出虚拟货币时，不得允许像Facebook这样的跨国公司在监管天堂中运营。法国财长则称，毫无疑问，Libra不可能成为主权货币，它不可能也不会发生。[2019/6/19]

这里所指的「软件」是广义的，包括2017年的英特尔芯片的「meltdown」设计漏洞，或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞，也包括Facebook此次漏洞。

计算机领域和学术界现在看好的圣杯是「形式化验证研究」，已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后，将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞，从而极大减少软件漏洞。但是在此之前，漏洞将继续存在。

分析 | Facebook发币可能会带来垄断以及破坏金融稳定的双重威胁:彭博社专栏作者Lionel Laurent就Facebook发币发表评论，其表示，Facebook发币可能会带来垄断以及破坏金融稳定的双重威胁。当Facebook本周公布其加密货币项目时，监管机构将密切关注。Facebook创始人Mark Zuckerberg不会通过复制比特币热潮中最严重的过度行为来他仅存的公众形象。他不是在制造投机货币，不愿意让自己的钱蒙受损失。他只是想要一个数字交换媒介以用于他的应用程序。如果使用其加密货币项目Libra带来的财务和商业利益主要体现在Facebook上，那么它只会体现其市场支配地位。此外，Facebook发币也可能会破坏金融稳定性，监管机构应该要求对Libra的结构进行透明化。[2019/6/18]

另外，去年八月，Facebook工程团队发布了一篇技术干货文章：「Rapidreleaseatmassivescale」：

https://code.fb.com/web/rapid-release-at-massive-scale/

对于如此大规模的软件系统，大家不妨自行脑补一些「attacksurface」攻击面。

Facebook拥有22亿用户，是世界最大的月活用户基数，拥有黑客垂涎的用户隐私数据。有没有可能，这个「ViewAs」的漏洞，只是冰山一角？

「交易安全」意义重大

综上两点，不管是传统的网络安全，或者区块链安全，最可靠的防护方式，是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。

Facebook对于如何发现该漏洞没有具体报道，我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常；或者内部审计登陆日志数据发现异常。

我们分析一下2018年安全圈子的两个热点，来突出了解一下为什么「交易安全」如此重要：

事件一：FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动

通过对海量的网络的分析，FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞，如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。

方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家，身后是FireEyefaceofAI

具体信息可以查阅官方版公告：

https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

中文版翻译：揭秘朝鲜黑客组织APT37近期活动

https://www.secrss.com/articles/1069

事件二：史上第一个BlockchainAPT区块链高级持续威胁——黑客军团

2018年8月，AnChain.ai团队和合作伙伴安比实验室，从若干个智能合约游戏的海量区块链交易数据，检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币，成功变现离场。

具体信息可以参阅该报道：

https://www.chainnews.com/articles/523983561023.htm

总结

Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。

这种黑客文化对于早期初创公司来说可能是好事，而对于掌握了22亿用户隐私数据的大公司，和广大用户，是巨大的灾难。

https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra

一个数据驱动的技术公司，如何树立起全体员工重视安全的文化？如何对用户隐私数据负责？如何建立起防范于未然的安全检测体系？

对于所有科技公司，必须认真思索思考这些问题。因为，无论是传统互联网公司，或者新兴的区块链加密货币公司，这些都是关乎存亡，需要严肃面对的问题。

本文来源于非小号媒体平台：

AnChainAI

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627052.html

漏洞风险安全

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

IBM获得基于区块链的网络安全系统新专利

下一篇：

46家交易所涉嫌8800万美元，ShapeShift成为重灾区

标签：FACEACE区块链BOOFACEMETA币RACE区块链dapp开发费多少钱BOOM

TUSD热门资讯