安全的哲学思辨 - 从Facebook ATO 漏洞到区块链安全事件

从 Facebook ATO 漏洞到众多区块链安全事件，这些均代表，创建起防范于未然的安全检测体系，关乎一切科技公司的存亡。

做者：Victor Fang，Ph.D.，区块链安全公司 AnChain.ai 创始人

几天前开始，整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻：Facebook 的 5000～8000 万帐户存在「View As」 access token 漏洞。

该漏洞对于 Facebook 这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会致使帐户接管（account takeover，ATO）攻击，也就是用户私人秘钥泄漏，让黑客可以在未受权状况下访问用户的隐私数据。

虽然 Facebook 官方公布的信息对细节讳莫如深，我我的以为这种漏洞极有多是内部 Web 开发流程管理不慎致使，区别于 2014 年雅虎的 heartbleed 开源 OpenSSL 漏洞。

帐户接管攻击实际上是一个比较古老的话题， 通常银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察（Fraud Detection）算法研发， 利用机器学习自动检测交易中的 ATO 漏洞， 为客户挽回了数百万美圆的 ATO 攻击。

关于 ATO 安全问题，推荐你们看一篇 2017 年 12 月份的福布斯文章：

我刚从传统的网络安全行业跨界到新兴的区块链安全行业，创立了全新的经过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会，和你们分享一下一些 AnChain.ai 对于安全问题的哲学思辨：

安全的本质是对抗， 是战争

过去八年，我做为硅谷白帽，有幸亲身经历了不少个黑客组织的对抗， 和相互之间共同演化升级。 黑客组织一旦盯上了资产，他们将竭尽一切所能来攻陷这个目标， 不管是数据（好比 Facebook 这次 ATO 漏洞事件），或是金钱（例如针对银行帐号的 ATO 攻击），或是虚拟货币（ AnChain.ai 上个月发布的 BAPT 黑客军团）。

在这个游戏中，攻击方只须要找到一个漏洞便可攻陷防护方， 而防护方则须要全局防范。 这并非一个公平的对抗游戏。

两千年前的孙子兵法称为：「知己知彼百战不殆」；美国前空军首席科学家 Mica Endsley 博士， 在 1995 年提出了「态势感知 Situational Awareness」的理论。这两套理论，殊途同归，都突出了安全的最佳实践准则。

只要是人写的软件， 就会有漏洞

这里所指的「软件」是广义的， 包括 2017 年的英特尔芯片的「meltdown」设计漏洞，或者两周前去中心化的比特币 Bitcoin Core 代码的「CVE-2018-17144」漏洞，也包括 Facebook 这次漏洞。

计算机领域和学术界如今看好的圣杯是「形式化验证研究」， 已经由顶级计算机科研工做者进行了数十年。该技术成熟化以后，将能够如同证实数学定理同样来「证实」人写的代码是否有漏洞，从而极大减小软件漏洞。 可是在此以前， 漏洞将继续存在。

另外，去年八月，Facebook 工程团队发布了一篇技术干货文章：「Rapid release at massive scale」： code.fb.com/web/rapid-r…

对于如此大规模的软件系统，你们不妨自行脑补一些「attack surface」攻击面。

Facebook 拥有 22亿用户，是世界最大的月活用户基数，拥有黑客垂涎的用户隐私数据。有没有可能， 这个「View As」的漏洞， 只是冰山一角？

「交易安全」意义重大

综上两点，不论是传统的网络安全， 或者区块链安全， 最可靠的防御方式， 是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的 Transaction 数据 , 好比网络数据包、用户登录日志等。

Facebook 对于如何发现该漏洞没有具体报道，我猜想极有多是从交易数据发现了漏洞端倪。 内部 Red Team或者外部白帽检测到网络包数据异常；或者内部审计登录日志数据发现异常。

咱们分析一下 2018 年安全圈子的两个热点，来突出了解一下为何「交易安全」如此重要：

事件一： FireEye 公司报告的 2018 年 2 月份朝鲜黑客组织 APT37 的活动

经过对海量的网络的分析， FireEye 公司重现了来自朝鲜的黑客利用 Flash 和韩文文字处理器零日漏洞，如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。

方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家，身后是 FireEye face of AI

具体信息能够查阅官方版公告：

www.fireeye.com/blog/threat…

中文版翻译： 揭秘朝鲜黑客组织APT37 近期活动

事件二： 史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团

2018 年 8 月， AnChain.ai团队和合做伙伴安比实验室，从若干个智能合约游戏的海量区块链交易数据， 检测到史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币， 成功变现离场。

具体信息能够参阅该报道：

www.chainnews.com/articles/52…

总结

Facebook 的企业文化 DNA 是「Move fast and break things」的黑客精神。

这种黑客文化对于早期初创公司来讲多是好事， 而对于掌握了 22 亿用户隐私数据的大公司， 和广大用户， 是巨大的灾难。

一个数据驱动的技术公司，如何树立起全体员工重视安全的文化？ 如何对用户隐私数据负责？如何创建起防范于未然的安全检测体系？

对于全部科技公司，必须认真思索思考这些问题。由于，不管是传统互联网公司，或者新兴的区块链加密货币公司， 这些都是关乎存亡，须要严肃面对的问题。