编者按:本文来自链闻ChainNews,作者:VictorFang,Ph.D.,区块链安全公司AnChain.ai创始人,Odaily星球日报经授权发布。几天前开始,整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻:Facebook的5000~8000万账户存在「ViewAs」accesstoken漏洞。该漏洞对于Facebook这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管攻击,也就是用户私人秘钥泄漏,让黑客能够在未授权情况下访问用户的隐私数据。虽然Facebook官方公布的信息对细节讳莫如深,我个人觉得这种漏洞极有可能是内部Web开发流程管理不慎导致,区别于2014年雅虎的heartbleed开源OpenSSL漏洞。账户接管攻击其实是一个比较古老的话题,一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察算法研发,利用机器学习自动检测交易中的ATO漏洞,为客户挽回了数百万美元的ATO攻击。关于ATO安全问题,推荐大家看一篇2017年12月份的福布斯文章。我刚从传统的网络安全行业跨界到新兴的区块链安全行业,创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会,和大家分享一下一些AnChain.ai对于安全问题的哲学思辨:安全的本质是对抗,是战争
Facebook要求法院永久驳回FTC的反垄断诉讼:12月2日消息,Meta旗下Facebook周三要求一家美国法院驳回美国联邦贸易委员会(FTC)对其提起的反垄断诉讼,而且不得允许FTC再次提起诉讼。FTC在诉讼中督促法院要求Facebook出售两家子公司——Instagram和WhatsApp。Facebook在诉状中辩称,FTC声称该公司拥有推高社交网络市场价格的市场影响力的说法“没有貌似可信的事实支持”。Facebook还表示,FTC未能“合理地证明”Facebook采取了非法行动来保护垄断地位。另外,Facebook还再次要求FTC主席LinaKhan回避此案,认为她此前参与投票批准FTC发起这一诉讼是不正当的,因为她在加入FTC之前就对该公司提出了批评。(IT之家)[2021/12/2 12:45:35]
过去八年,我作为硅谷白帽,有幸亲身经历了很多个黑客组织的对抗,和相互之间共同演化升级。黑客组织一旦盯上了资产,他们将竭尽一切所能来攻陷这个目标,不论是数据,或是金钱,或是虚拟货币。在这个游戏中,攻击方只需要找到一个漏洞即可攻陷防御方,而防御方则需要全局防范。这并不是一个公平的对抗游戏。两千年前的孙子兵法称为:「知己知彼百战不殆」;美国前空军首席科学家MicaEndsley博士,在1995年提出了「态势感知SituationalAwareness」的理论。这两套理论,异曲同工,都突出了安全的最佳实践准则。只要是人写的软件,就会有漏洞
声音 | 美联储理事:Facebook天秤币对于消费者并不透明 需要保障措施:据外媒消息,美联储理事莱尔·布雷纳德日前对Facebook的“天秤币”进行了猛烈抨击,称该项目面临“一系列核心的法律和监管挑战”。布雷纳德称,Facebook将Libra视为“稳定币”,即一种与政府支持的货币或其他可靠资产挂钩的数字货币,以避免比特币等纯加密货币的剧烈波动,Libra的概念仍有待验证,消费者的权益还不明确。如果Facebook的天秤币得以推进,它将把一个代表全球1/3以上人口的活跃用户网络与一种与一篮子主权货币不透明地捆绑在一起的私人数字货币结合在一起。若无必要的保障措施,全球范围内的稳定币网络可能将消费者置于危险境地。[2019/12/19]
这里所指的「软件」是广义的,包括2017年的英特尔芯片的「meltdown」设计漏洞,或者两周前去中心化的比特币BitcoinCore代码的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。计算机领域和学术界现在看好的圣杯是「形式化验证研究」,已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后,将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞,从而极大减少软件漏洞。但是在此之前,漏洞将继续存在。另外,去年八月,Facebook工程团队发布了一篇技术干货文章:「Rapidreleaseatmassivescale」。对于如此大规模的软件系统,大家不妨自行脑补一些「attacksurface」攻击面。Facebook拥有22亿用户,是世界最大的月活用户基数,拥有黑客垂涎的用户隐私数据。有没有可能,这个「ViewAs」的漏洞,只是冰山一角?「交易安全」意义重大
声音 | Muneeb Ali:支持比特币 对Facebook的天秤座持谨慎乐观态度:据AMBCrypto 7月12日消息,BlockStack的首席执行官兼联合创始人Muneeb Ali向CNBC讲述了他对比特币和媒体巨头Facebook的天秤座的看法,以及他们未来的表现。Ali说:“我站在比特币一边,但我对Facebook的天秤座也持谨慎乐观态度。天秤座面临批评,更重要的是,它让监管机构感到不安,监管机构要求Facebook暂停天秤座的发展。尽管天秤座已经停止了,它的影响肯定已经蔓延到加密生态系统,这非常明显。\"[2019/7/12]
综上两点,不管是传统的网络安全,或者区块链安全,最可靠的防护方式,是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的Transaction数据,比如网络数据包、用户登陆日志等。Facebook对于如何发现该漏洞没有具体报道,我猜测极有可能是从交易数据发现了漏洞端倪。内部RedTeam或者外部白帽检测到网络包数据异常;或者内部审计登陆日志数据发现异常。我们分析一下2018年安全圈子的两个热点,来突出了解一下为什么「交易安全」如此重要:事件一:FireEye公司报告的2018年2月份朝鲜黑客组织APT37的活动通过对海量的网络的分析,FireEye公司重现了来自朝鲜的黑客利用Flash和韩文文字处理器零日漏洞,如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。方博士是硅谷上市网络安全公司FireEye史上第一位首席数据科学家,身后是FireEyefaceofAI,具体信息可以查阅官方版公告,中文版翻译:揭秘朝鲜黑客组织APT37近期活动。事件二:史上第一个BlockchainAPT区块链高级持续威胁——黑客军团2018年8月,AnChain.ai团队和合作伙伴安比实验室,从若干个智能合约游戏的海量区块链交易数据,检测到史上第一个BlockchainAPT区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币,成功变现离场。具体信息可以参阅该报道。总结
分析 | 渣打银行Edward Bowles可能加入Facebook 或表明Libra项目有兴趣在欧洲市场推出:据AMBCrypto 6月15日消息,渣打银行公共和监管事务主管Edward Bowles的领英个人资料仍显示渣打银行董事总经理的职位。 Bowles将加入Facebook团队表明,该公司越来越有兴趣在欧洲市场推出GlobalCoin。据悉,Facebook已与美国商品期货交易委员会(CFTC)就其在美国的启动进行会谈。据BBC报道,扎克伯格领导的公司还就Libra项目的监管问题咨询了英格兰银行行长Mark Carney。该报道称,GlobalCoin将在2020年第一季度进入市场。 此外此前有报道称,PayPal前总裁David Marcus加入Facebook担任信息产品副总裁,推动该项目;另一位PayPal高管Tomer Barel担任区块链风险和运营副总裁;现在,随着Bowles的加入,Libra的监管战线看起来更加稳固了。英国《金融时报》此前报道称,渣打银行公共和监管事务主管Edward Bowles将于今年9月加入Facebook,并可能担任类似的监管角色。[2019/6/15]
Facebook的企业文化DNA是「Movefastandbreakthings」的黑客精神。这种黑客文化对于早期初创公司来说可能是好事,而对于掌握了22亿用户隐私数据的大公司,和广大用户,是巨大的灾难。一个数据驱动的技术公司,如何树立起全体员工重视安全的文化?如何对用户隐私数据负责?如何建立起防范于未然的安全检测体系?对于所有科技公司,必须认真思索思考这些问题。因为,无论是传统互联网公司,或者新兴的区块链加密货币公司,这些都是关乎存亡,需要严肃面对的问题。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。