从 Facebook ATO 漏洞到众多区块链安全事件，这些均表明，建立起防范于未然的安全检测体系，关乎一切科技公司的存亡。

作者：Victor Fang，Ph.D.，区块链安全公司 AnChain.ai 创始人

几天前开始，整个硅谷的计算机安全圈子的同行们都在讨论一件爆炸性新闻：Facebook 的 5000～8000 万账户存在「View As」 access token 漏洞。

该漏洞对于 Facebook 这个世界最大社交网络用户隐私数据的影响是毁灭性的。这个漏洞会导致账户接管（account takeover，ATO）攻击，也就是用户私人秘钥泄漏，让黑客能够在未授权情况下访问用户的隐私数据。

虽然 Facebook 官方公布的信息对细节讳莫如深，我个人觉得这种漏洞极有可能是内部 Web 开发流程管理不慎导致，区别于 2014 年雅虎的 heartbleed 开源 OpenSSL 漏洞。

账户接管攻击其实是一个比较古老的话题， 一般银行这种金融机构是重灾区。五年前我曾负责一个美国金融客户的反欺诈侦察（Fraud Detection）算法研发， 利用机器学习自动检测交易中的 ATO 漏洞， 为客户挽回了数百万美元的 ATO 攻击。

关于 ATO 安全问题，推荐大家看一篇 2017 年 12 月份的福布斯文章：

https://www.forbes.com/sites/forbescoachescouncil/2017/12/21/account-takeover-attacks-are-on-the-rise-and-you-need-to-hear-about-it/#5587ec05565d

我刚从传统的网络安全行业跨界到新兴的区块链安全行业，创立了全新的通过人工智能技术护卫区块链安全的初创公司「AnChain.ai」。我想趁这个机会，和大家分享一下一些 AnChain.ai 对于安全问题的哲学思辨：

安全的本质是对抗， 是战争

过去八年，我作为硅谷白帽，有幸亲身经历了很多个黑客组织的对抗， 和相互之间共同演化升级。 黑客组织一旦盯上了资产，他们将竭尽一切所能来攻陷这个目标， 不论是数据（比如 Facebook 此次 ATO 漏洞事件），或是金钱（例如针对银行账号的 ATO 攻击），或是虚拟货币（ AnChain.ai 上个月发布的 BAPT 黑客军团）。

在这个游戏中，攻击方只需要找到一个漏洞即可攻陷防御方， 而防御方则需要全局防范。 这并不是一个公平的对抗游戏。

两千年前的孙子兵法称为：「知己知彼百战不殆」；美国前空军首席科学家 Mica Endsley 博士， 在 1995 年提出了「态势感知 Situational Awareness」的理论。这两套理论，异曲同工，都突出了安全的最佳实践准则。

只要是人写的软件， 就会有漏洞

这里所指的「软件」是广义的， 包括 2017 年的英特尔芯片的「meltdown」设计漏洞，或者两周前去中心化的比特币 Bitcoin Core 代码的「CVE-2018-17144」漏洞，也包括 Facebook 此次漏洞。

计算机领域和学术界现在看好的圣杯是「形式化验证研究」， 已经由顶级计算机科研工作者进行了数十年。该技术成熟化之后，将可以如同证明数学定理一样来「证明」人写的代码是否有漏洞，从而极大减少软件漏洞。 但是在此之前， 漏洞将继续存在。

另外，去年八月，Facebook 工程团队发布了一篇技术干货文章：「Rapid release at massive scale」：
https://code.fb.com/web/rapid-release-at-massive-scale/

对于如此大规模的软件系统，大家不妨自行脑补一些「attack surface」攻击面。

Facebook 拥有 22亿用户，是世界最大的月活用户基数，拥有黑客垂涎的用户隐私数据。有没有可能， 这个「View As」的漏洞， 只是冰山一角？

「交易安全」意义重大

综上两点，不管是传统的网络安全， 或者区块链安全， 最可靠的防护方式， 是基于交易数据的安全检测和态势感知。这里的「交易」指的是广义的 Transaction 数据 , 比如网络数据包、用户登陆日志等。

Facebook 对于如何发现该漏洞没有具体报道，我猜测极有可能是从交易数据发现了漏洞端倪。 内部 Red Team或者外部白帽检测到网络包数据异常；或者内部审计登陆日志数据发现异常。

我们分析一下 2018 年安全圈子的两个热点，来突出了解一下为什么「交易安全」如此重要：

事件一： FireEye 公司报告的 2018 年 2 月份朝鲜黑客组织 APT37 的活动

通过对海量的网络的分析， FireEye 公司重现了来自朝鲜的黑客利用 Flash 和韩文文字处理器零日漏洞，如何窃取了东亚国家的化学品、电子、制造业、航空航天、汽车和医疗保健行业企业数据资产。

方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家，身后是 FireEye face of AI

具体信息可以查阅官方版公告：

https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

中文版翻译： 揭秘朝鲜黑客组织APT37 近期活动

事件二： 史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团

2018 年 8 月， AnChain.ai团队和合作伙伴安比实验室，从若干个智能合约游戏的海量区块链交易数据， 检测到史上第一个 Blockchain APT 区块链高级持续威胁——黑客军团。该团伙短短几天盗取了千万元的以太坊虚拟货币， 成功变现离场。

具体信息可以参阅该报道：

https://www.chainnews.com/articles/523983561023.htm

总结

Facebook 的企业文化 DNA 是「Move fast and break things」的黑客精神。

这种黑客文化对于早期初创公司来说可能是好事， 而对于掌握了 22 亿用户隐私数据的大公司， 和广大用户， 是巨大的灾难。

一个数据驱动的技术公司，如何树立起全体员工重视安全的文化？ 如何对用户隐私数据负责？如何建立起防范于未然的安全检测体系？

对于所有科技公司，必须认真思索思考这些问题。因为，无论是传统互联网公司，或者新兴的区块链加密货币公司， 这些都是关乎存亡，需要严肃面对的问题。