編者按:本文來自鏈聞ChainNews,作者:VictorFang,Ph.D.,區塊鏈安全公司AnChain.ai創始人,Odaily星球日報經授權發布。幾天前開始,整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞:Facebook的5000~8000萬賬戶存在「ViewAs」accesstoken漏洞。該漏洞對于Facebook這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管攻擊,也就是用戶私人秘鑰泄漏,讓黑客能夠在未授權情況下訪問用戶的隱私數據。雖然Facebook官方公布的信息對細節諱莫如深,我個人覺得這種漏洞極有可能是內部Web開發流程管理不慎導致,區別于2014年雅虎的heartbleed開源OpenSSL漏洞。賬戶接管攻擊其實是一個比較古老的話題,一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察算法研發,利用機器學習自動檢測交易中的ATO漏洞,為客戶挽回了數百萬美元的ATO攻擊。關于ATO安全問題,推薦大家看一篇2017年12月份的福布斯文章。我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業,創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會,和大家分享一下一些AnChain.ai對于安全問題的哲學思辨:安全的本質是對抗,是戰爭
亞馬遜、Facebook等科技巨頭承諾臨時開源專利,助力新冠疫情相關工具開發:DLA Piper律師事務所合伙人Mark Radcliffe幫助撰寫了《Open COVID Pledge(開源COVID承諾)》,這是一項由大學、公司和其他組織持有的開源專利倡議,旨在支持藥物、測試工具、疫苗和接觸者追蹤工具的開發。該承諾稱:“我們所擁有的每一種工具都必須被應用于大規模、無障礙地開發和部署技術,這是一項現實和道義上的當務之急。”簽署承諾書的人被要求對其知識產權給予免費許可,否則將阻礙潛在救生產品的自主開發。今天,亞馬遜、Facebook、惠普、IBM、微軟和桑迪亞國家實驗室都宣布參與該承諾。
Radcliffe表示,本月早些時候Mozilla和Creative Commons已經簽署該承諾,僅英特爾一家公司就提供超過72000項專利供公眾使用。截至今日,該承諾已持有幾十萬項專利可供特殊時期使用。(CoinDesk)[2020/4/21]
過去八年,我作為硅谷白帽,有幸親身經歷了很多個黑客組織的對抗,和相互之間共同演化升級。黑客組織一旦盯上了資產,他們將竭盡一切所能來攻陷這個目標,不論是數據,或是金錢,或是虛擬貨幣。在這個游戲中,攻擊方只需要找到一個漏洞即可攻陷防御方,而防御方則需要全局防范。這并不是一個公平的對抗游戲。兩千年前的孫子兵法稱為:「知己知彼百戰不殆」;美國前空軍首席科學家MicaEndsley博士,在1995年提出了「態勢感知SituationalAwareness」的理論。這兩套理論,異曲同工,都突出了安全的最佳實踐準則。只要是人寫的軟件,就會有漏洞
聲音 | 福布斯撰稿人:不要把Facebook的隱私問題與整個加密行業混為一談:據福布斯消息,福布斯撰稿人Roslyn Layton發文稱:自從Facebook宣布其數字代幣項目Libra以來,圍繞加密貨幣的討論已從區塊鏈技術固有的承諾,轉向了對消費者隱私擔憂和大型科技過度擴張的擔憂。國會加大對區塊鏈的關注是受歡迎的,但不應以損害整個行業為代價。如果國會想成為加密貨幣方面的專家,那么第一件事就是不要把所有的加密貨幣混為一談。現在是時候對數字貨幣進行細致入微、務實的審視了,而不是為了單一問題就Facebook大打嘴仗。[2019/8/1]
這里所指的「軟件」是廣義的,包括2017年的英特爾芯片的「meltdown」設計漏洞,或者兩周前去中心化的比特幣BitcoinCore代碼的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。計算機領域和學術界現在看好的圣杯是「形式化驗證研究」,已經由頂級計算機科研工作者進行了數十年。該技術成熟化之后,將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞,從而極大減少軟件漏洞。但是在此之前,漏洞將繼續存在。另外,去年八月,Facebook工程團隊發布了一篇技術干貨文章:「Rapidreleaseatmassivescale」。對于如此大規模的軟件系統,大家不妨自行腦補一些「attacksurface」攻擊面。Facebook擁有22億用戶,是世界最大的月活用戶基數,擁有黑客垂涎的用戶隱私數據。有沒有可能,這個「ViewAs」的漏洞,只是冰山一角?「交易安全」意義重大
聲音 | 紐約郵報專欄作者:若Libra被用于恐怖事件,將對Facebook造成重創:紐約郵報專欄作者、加密貨幣反對者John Crudele在其最新文章中寫道:如果美國國土上再發生一起重大恐怖襲擊,而政府能夠證明它得到了Facebook Libra的幫助,扎克伯格和他的股東們可能會損失慘重。Facebook甚至可能在最終被政府控制。[2019/7/18]
綜上兩點,不管是傳統的網絡安全,或者區塊鏈安全,最可靠的防護方式,是基于交易數據的安全檢測和態勢感知。這里的「交易」指的是廣義的Transaction數據,比如網絡數據包、用戶登陸日志等。Facebook對于如何發現該漏洞沒有具體報道,我猜測極有可能是從交易數據發現了漏洞端倪。內部RedTeam或者外部白帽檢測到網絡包數據異常;或者內部審計登陸日志數據發現異常。我們分析一下2018年安全圈子的兩個熱點,來突出了解一下為什么「交易安全」如此重要:事件一:FireEye公司報告的2018年2月份朝鮮黑客組織APT37的活動通過對海量的網絡的分析,FireEye公司重現了來自朝鮮的黑客利用Flash和韓文文字處理器零日漏洞,如何竊取了東亞國家的化學品、電子、制造業、航空航天、汽車和醫療保健行業企業數據資產。方博士是硅谷上市網絡安全公司FireEye史上第一位首席數據科學家,身后是FireEyefaceofAI,具體信息可以查閱官方版公告,中文版翻譯:揭秘朝鮮黑客組織APT37近期活動。事件二:史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團2018年8月,AnChain.ai團隊和合作伙伴安比實驗室,從若干個智能合約游戲的海量區塊鏈交易數據,檢測到史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團。該團伙短短幾天盜取了千萬元的以太坊虛擬貨幣,成功變現離場。具體信息可以參閱該報道。總結
動態 | Facebook證實正在探索許多區塊鏈應用:據Computerworld報道,近日有報道稱,Facebook正在開發自己的加密貨幣。對此,Facebook回應稱:“像許多其他公司一樣,Facebook正在探索利用區塊鏈技術的方法。有個新的小團隊正在探索許多不同的應用。我們沒有任何進一步內容可以分享。”科技業分析機構J. Gold Associates的總裁兼首席分析師J. Gold Associates認為,Facebook可利用其自有加密貨幣對抗假新聞。[2019/3/22]
Facebook的企業文化DNA是「Movefastandbreakthings」的黑客精神。這種黑客文化對于早期初創公司來說可能是好事,而對于掌握了22億用戶隱私數據的大公司,和廣大用戶,是巨大的災難。一個數據驅動的技術公司,如何樹立起全體員工重視安全的文化?如何對用戶隱私數據負責?如何建立起防范于未然的安全檢測體系?對于所有科技公司,必須認真思索思考這些問題。因為,無論是傳統互聯網公司,或者新興的區塊鏈加密貨幣公司,這些都是關乎存亡,需要嚴肅面對的問題。
本文攝影:寫“小明學習筆記”的小明9月20日,數字資產硬件錢包開發商庫神正式發布其新款冷錢包,ColdLarPro3.
1900/1/1 0:00:00不久前,百度區塊鏈實驗室發布白皮書,介紹了百度超級鏈的架構和實現模式。昨日,有部分媒體刊文指出,超級鏈中有個類token的機制設計——超級燃料,這一產品或讓百度超級鏈面臨監管風險.
1900/1/1 0:00:00據CCN8月25日報道,當前,菲律賓、泰國和韓國紛紛在區塊鏈領域加碼,都想在其國內打造出一個亞洲版加密谷,以成為亞洲的區塊鏈中心.
1900/1/1 0:00:00法國公司投資230萬美元創建新區塊鏈研發子公司,目標客戶位于亞洲和南歐。9月7日,Engie公司在一份新聞稿中宣布與商業咨詢集團Maltem合作,將投資230萬美元創建進行區塊鏈技術研發的子公司.
1900/1/1 0:00:00據CoinDesk報道,近日,韓國電商平臺TMON推出的穩定幣項目Terra,獲得3200萬美元種子輪融資.
1900/1/1 0:00:00頭條 火幣高管刷屏告別HADAX照片為事件營銷,HADAX或將改名為“創業板”9月10日晚7點左右,火幣眾多高管,包括火幣COO朱嘉偉、火幣高級商務總監魯邁等.
1900/1/1 0:00:00