Facebook ATO 漏洞说明什么?请用哲学视角思考日益严峻的计算机安全威胁

从FacebookATO漏洞到众多区块链安全事件,这些均表明,建立起防范于未然的安全检测体系,关乎一切科技公司的存亡。

作者:VictorFang,Ph.D.,区块链安全公司AnChain.ai创始人

几天前开始,整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻:Facebook的5000~8000万账户存在「ViewAs」accesstoken漏洞。

该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击,也就是用户私人秘钥泄漏,让黑客能够在未授权情况下访问用户的隐私数据。

虽然Facebook官方公布的信息对细节讳莫如深,我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致,区别于2014年雅虎的heartbleed开源OpenSSL漏洞。

账户接管攻击其实是一个比较古老的话题,一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发,利用机器学习自动检测交易中的ATO漏洞,为客户挽回了数百万美元的ATO攻击。

Facebook宣布将于4月11日起结束对数字收藏品的支持:金色财经报道,Facebook在其帮助中心发布公告称,将逐步结束对数字收藏品的支持。这些变更将于2023年4月11日起开始生效。用户第三方电子钱包内容不会受到影响。

届时,用户将无法再在Facebook创建新的数字收藏品帖子;用户分享的所有收藏品仍将以帖子的形式留存,但不会包含任何闪光特效和区块链信息,用户仍可以随时删除这些帖子。此外,Facebook将不再与用户的第三方电子钱包绑定或将用户的帐户与第三方电子钱包关联,用户将无法再在关联的选项卡中查看自己的数字收藏品或管理第三方电子钱包绑定设置。用户将无法再访问或下载与收藏品相关的个人信息。如果想要下载个人信息,请于2023年4月11日前提交申请。Facebook将开始删除系统中的数字收藏品数据,包括用户的钱包地址。数据的存储和删除将遵照其隐私权政策和数字收藏品使用条款进行。

此前今日早些时候消息,Instagram宣布将于4月11日停止对数字收藏品的支持。[2023/4/8 13:52:02]

关于ATO安全问题,推荐大家看一篇2017年12月份的福布斯文章:

Instagram创始人推出应用程序Artifact:金色财经报道,Instagram两位创始人推出了一款新的“基于文本的”新闻应用程序。凯文·西斯特罗姆和迈克·克里格本周成立了一家名为Artifact的新公司。他们于2012年创立了照片分享应用Instagram,并以10亿美元的价格将其出售给了Facebook。[2023/2/3 11:44:20]

https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d

我刚从传统的网络安全行业跨界到新兴的区块链安全行业,创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会,和大家分享一下一些AnChain.ai对于安全问题的哲学思辨:

Facebook丑闻举报者:Meta元宇宙将重蹈覆辙:金色财经消息,揭露Facebook丑闻的前产品经理Frances Haugen在近期的一次采访中再次将矛头指向Meta,暗示其元宇宙将重复所有过去的错误:“他们对元宇宙的安全设计做出了非常宏伟的承诺。但如果他们不致力于透明度、访问权限和其他问责措施,我可以想象,你目前在Facebook上看到的所有伤害将会重演。”(Cointelegraph)[2022/4/13 14:22:00]

安全的本质是对抗,是战争

过去八年,我作为硅谷白帽,有幸亲身经历了很多个黑客组织的对抗,和相互之间共同演化升级。黑客组织一旦盯上了资产,他们将竭尽一切所能来攻陷这个目标,不论是数据,或是金钱,或是虚拟货币。

在这个游戏中,攻击方只需要找到一个漏洞即可攻陷防御方,而防御方则需要全局防范。这并不是一个公平的对抗游戏。

两千年前的孙子兵法称为:「知己知彼百战不殆」;美国前空军首席科学家MicaEndsley博士,在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论,异曲同工,都突出了安全的最佳实践准则。

Facebook创始人扎克伯格为自己的山羊取名“比特币”:5月11日,Facebook创始人Mark Zuckerberg在脸书上写道“我的山羊们:Max和比特币。”[2021/5/11 21:46:34]

只要是人写的软件,就会有漏洞

这里所指的「软件」是广义的,包括2017年的英特尔芯片的「meltdown」设计漏洞,或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。

计算机领域和学术界现在看好的圣杯是「形式化验证研究」,已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后,将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞,从而极大减少软件漏洞。但是在此之前,漏洞将继续存在。

另外,去年八月,Facebook工程团队发布了一篇技术干货文章:「Rapidreleaseatmassivescale」:

分析 | Facebook发布加密项目对于加密市场是极大的利好:今日,Facebook加密货币项目Libra白皮书如期发布。对此分析师Potter表示,Facebook进军加密领域一直是币圈热议的话题,同时该事件或影响着Facebook的股价,近期FB整体呈现持续拉升走势,目前FB收盘报189美元,日涨幅4.24%,据今年第一季业绩报告显示,Facebook在第一季度有月活23.8亿,日活15.6亿,用户数均同比增长8%,显然如此庞大的用户基数对于加密数字货币市场来说是极大的利好,而且Facebook数字货币的合作伙伴还包括了Visa及Mastercard等支付巨头。其他行业的传统金融巨头也将有机会重新认识数字货币。[2019/6/18]

https://code.fb.com/web/rapid-release-at-massive-scale/

对于如此大规模的软件系统,大家不妨自行脑补一些「attacksurface」攻击面。

Facebook拥有22亿用户,是世界最大的月活用户基数,拥有黑客垂涎的用户隐私数据。有没有可能,这个「ViewAs」的漏洞,只是冰山一角?

「交易安全」意义重大

综上两点,不管是传统的网络安全,或者区块链安全,最可靠的防护方式,是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。

Facebook对于如何发现该漏洞没有具体报道,我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常;或者内部审计登陆日志数据发现异常。

我们分析一下2018年安全圈子的两个热点,来突出了解一下为什么「交易安全」如此重要:

事件一:FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动

通过对海量的网络的分析,FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞,如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。

方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家,身后是FireEyefaceofAI

具体信息可以查阅官方版公告:

https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

中文版翻译:揭秘朝鲜黑客组织APT37近期活动

https://www.secrss.com/articles/1069

事件二:史上第一个BlockchainAPT区块链高级持续威胁——黑客军团

2018年8月,AnChain.ai团队和合作伙伴安比实验室,从若干个智能合约游戏的海量区块链交易数据,检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币,成功变现离场。

具体信息可以参阅该报道:

https://www.chainnews.com/articles/523983561023.htm

总结

Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。

这种黑客文化对于早期初创公司来说可能是好事,而对于掌握了22亿用户隐私数据的大公司,和广大用户,是巨大的灾难。

https://tech.newstatesman.com/guest-opinion/move-fast-break-things-mantra

一个数据驱动的技术公司,如何树立起全体员工重视安全的文化?如何对用户隐私数据负责?如何建立起防范于未然的安全检测体系?

对于所有科技公司,必须认真思索思考这些问题。因为,无论是传统互联网公司,或者新兴的区块链加密货币公司,这些都是关乎存亡,需要严肃面对的问题。

本文来源于非小号媒体平台:

AnChainAI

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627052.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

IBM获得基于区块链的网络安全系统新专利

下一篇:

46家交易所涉嫌8800万美元,ShapeShift成为重灾区

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:46ms0-0:967ms