安全的哲學思辨 - 從Facebook ATO 漏洞到區塊鏈安全事件

從 Facebook ATO 漏洞到衆多區塊鏈安全事件，這些均代表，創建起防範於未然的安全檢測體系，關乎一切科技公司的存亡。

做者：Victor Fang，Ph.D.，區塊鏈安全公司 AnChain.ai 創始人

幾天前開始，整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞：Facebook 的 5000～8000 萬帳戶存在「View As」 access token 漏洞。

該漏洞對於 Facebook 這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會致使帳戶接管（account takeover，ATO）攻擊，也就是用戶私人祕鑰泄漏，讓黑客可以在未受權狀況下訪問用戶的隱私數據。

雖然 Facebook 官方公佈的信息對細節諱莫如深，我我的以爲這種漏洞極有多是內部 Web 開發流程管理不慎致使，區別於 2014 年雅虎的 heartbleed 開源 OpenSSL 漏洞。

帳戶接管攻擊實際上是一個比較古老的話題， 通常銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察（Fraud Detection）算法研發， 利用機器學習自動檢測交易中的 ATO 漏洞， 爲客戶挽回了數百萬美圓的 ATO 攻擊。

關於 ATO 安全問題，推薦你們看一篇 2017 年 12 月份的福布斯文章：

我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業，創立了全新的經過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會，和你們分享一下一些 AnChain.ai 對於安全問題的哲學思辨：

安全的本質是對抗， 是戰爭

過去八年，我做爲硅谷白帽，有幸親身經歷了不少個黑客組織的對抗， 和相互之間共同演化升級。 黑客組織一旦盯上了資產，他們將竭盡一切所能來攻陷這個目標， 不管是數據（好比 Facebook 這次 ATO 漏洞事件），或是金錢（例如針對銀行帳號的 ATO 攻擊），或是虛擬貨幣（ AnChain.ai 上個月發佈的 BAPT 黑客軍團）。

在這個遊戲中，攻擊方只須要找到一個漏洞便可攻陷防護方， 而防護方則須要全局防範。 這並非一個公平的對抗遊戲。

兩千年前的孫子兵法稱爲：「知己知彼百戰不殆」；美國前空軍首席科學家 Mica Endsley 博士， 在 1995 年提出了「態勢感知 Situational Awareness」的理論。這兩套理論，殊途同歸，都突出了安全的最佳實踐準則。

只要是人寫的軟件， 就會有漏洞

這裏所指的「軟件」是廣義的， 包括 2017 年的英特爾芯片的「meltdown」設計漏洞，或者兩週前去中心化的比特幣 Bitcoin Core 代碼的「CVE-2018-17144」漏洞，也包括 Facebook 這次漏洞。

計算機領域和學術界如今看好的聖盃是「形式化驗證研究」， 已經由頂級計算機科研工做者進行了數十年。該技術成熟化以後，將能夠如同證實數學定理同樣來「證實」人寫的代碼是否有漏洞，從而極大減小軟件漏洞。 可是在此以前， 漏洞將繼續存在。

另外，去年八月，Facebook 工程團隊發佈了一篇技術乾貨文章：「Rapid release at massive scale」： code.fb.com/web/rapid-r…

對於如此大規模的軟件系統，你們不妨自行腦補一些「attack surface」攻擊面。

Facebook 擁有 22億用戶，是世界最大的月活用戶基數，擁有黑客垂涎的用戶隱私數據。有沒有可能， 這個「View As」的漏洞， 只是冰山一角？

「交易安全」意義重大

綜上兩點，不論是傳統的網絡安全， 或者區塊鏈安全， 最可靠的防禦方式， 是基於交易數據的安全檢測和態勢感知。這裏的「交易」指的是廣義的 Transaction 數據 , 好比網絡數據包、用戶登錄日誌等。

Facebook 對於如何發現該漏洞沒有具體報道，我猜想極有多是從交易數據發現了漏洞端倪。 內部 Red Team或者外部白帽檢測到網絡包數據異常；或者內部審計登錄日誌數據發現異常。

咱們分析一下 2018 年安全圈子的兩個熱點，來突出瞭解一下爲何「交易安全」如此重要：

事件一： FireEye 公司報告的 2018 年 2 月份朝鮮黑客組織 APT37 的活動

經過對海量的網絡的分析， FireEye 公司重現了來自朝鮮的黑客利用 Flash 和韓文文字處理器零日漏洞，如何竊取了東亞國家的化學品、電子、製造業、航空航天、汽車和醫療保健行業企業數據資產。

方博士是硅谷上市網絡安全公司 FireEye 史上第一位首席數據科學家，身後是 FireEye face of AI

具體信息能夠查閱官方版公告：

www.fireeye.com/blog/threat…

中文版翻譯： 揭祕朝鮮黑客組織APT37 近期活動

事件二： 史上第一個 Blockchain APT 區塊鏈高級持續威脅——黑客軍團

2018 年 8 月， AnChain.ai團隊和合做夥伴安比實驗室，從若干個智能合約遊戲的海量區塊鏈交易數據， 檢測到史上第一個 Blockchain APT 區塊鏈高級持續威脅——黑客軍團。該團伙短短几天盜取了千萬元的以太坊虛擬貨幣， 成功變現離場。

具體信息能夠參閱該報道：

www.chainnews.com/articles/52…

總結

Facebook 的企業文化 DNA 是「Move fast and break things」的黑客精神。

這種黑客文化對於早期初創公司來講多是好事， 而對於掌握了 22 億用戶隱私數據的大公司， 和廣大用戶， 是巨大的災難。

一個數據驅動的技術公司，如何樹立起全體員工重視安全的文化？ 如何對用戶隱私數據負責？如何創建起防範於未然的安全檢測體系？

對於全部科技公司，必須認真思索思考這些問題。由於，不管是傳統互聯網公司，或者新興的區塊鏈加密貨幣公司， 這些都是關乎存亡，須要嚴肅面對的問題。