編者按:本文來自鏈聞ChainNews,作者:VictorFang,Ph.D.,區塊鏈安全公司AnChain.ai創始人,Odaily星球日報經授權發布。幾天前開始,整個硅谷的計算機安全圈子的同行們都在討論一件爆炸性新聞:Facebook的5000~8000萬賬戶存在「ViewAs」accesstoken漏洞。該漏洞對于Facebook這個世界最大社交網絡用戶隱私數據的影響是毀滅性的。這個漏洞會導致賬戶接管攻擊,也就是用戶私人秘鑰泄漏,讓黑客能夠在未授權情況下訪問用戶的隱私數據。雖然Facebook官方公布的信息對細節諱莫如深,我個人覺得這種漏洞極有可能是內部Web開發流程管理不慎導致,區別于2014年雅虎的heartbleed開源OpenSSL漏洞。賬戶接管攻擊其實是一個比較古老的話題,一般銀行這種金融機構是重災區。五年前我曾負責一個美國金融客戶的反欺詐偵察算法研發,利用機器學習自動檢測交易中的ATO漏洞,為客戶挽回了數百萬美元的ATO攻擊。關于ATO安全問題,推薦大家看一篇2017年12月份的福布斯文章。我剛從傳統的網絡安全行業跨界到新興的區塊鏈安全行業,創立了全新的通過人工智能技術護衛區塊鏈安全的初創公司「AnChain.ai」。我想趁這個機會,和大家分享一下一些AnChain.ai對于安全問題的哲學思辨:安全的本質是對抗,是戰爭
聲音 | dForce創始人楊民道:個人感覺Facebook有點像在劫取區塊鏈的勝利果實:在“Facebook變革后的開放金融時代”圓桌論壇上,dForce創始人、前渣打直投董事楊民道表示,Libra跟區塊鏈本身沒有太大關系的,大家都知道Facebook參議院的聽證會,基本Facebook投降了,他們說Facebook你們想干什么就干什么,其實Facebook討論的問題不是一個技術問題,他們想做是一個貨幣系統,但是我覺得對于區塊鏈來講,應該更加去著重于一些技術的問題。我個人感覺Facebook有點劫取區塊鏈的勝利果實。Facebook給大家最好一點是,突然間Libra從貨幣的事情變成一個合法性的問題,所以我個人領域當中非常多的朋友,這個事情表示,突然感覺加密貨幣不是以前小孩子玩的而是一個成人游戲。這是一個非常正面的現象。[2019/8/11]
過去八年,我作為硅谷白帽,有幸親身經歷了很多個黑客組織的對抗,和相互之間共同演化升級。黑客組織一旦盯上了資產,他們將竭盡一切所能來攻陷這個目標,不論是數據,或是金錢,或是虛擬貨幣。在這個游戲中,攻擊方只需要找到一個漏洞即可攻陷防御方,而防御方則需要全局防范。這并不是一個公平的對抗游戲。兩千年前的孫子兵法稱為:「知己知彼百戰不殆」;美國前空軍首席科學家MicaEndsley博士,在1995年提出了「態勢感知SituationalAwareness」的理論。這兩套理論,異曲同工,都突出了安全的最佳實踐準則。只要是人寫的軟件,就會有漏洞
動態 | 英國央行計劃向科技公司開放隔夜存款賬戶,Facebook的Libra或將受益:據AMBCrypto消息,英國央行計劃首次向科技公司開放隔夜存款賬戶,并提供支付系統。這項服務目前只對商業銀行開放。懷俄明州區塊鏈聯盟聯合創始人Caitlin Long在推特上表示,“之前說過Facebook會從政府那里得到特殊待遇。非常有趣的發展可能也有利于其他加密初創企業。但他們將利息收入放入口袋——銀行的企業福利現在也將流向科技公司。”[2019/6/23]
這里所指的「軟件」是廣義的,包括2017年的英特爾芯片的「meltdown」設計漏洞,或者兩周前去中心化的比特幣BitcoinCore代碼的「CVE-2018-17144」漏洞,也包括Facebook此次漏洞。計算機領域和學術界現在看好的圣杯是「形式化驗證研究」,已經由頂級計算機科研工作者進行了數十年。該技術成熟化之后,將可以如同證明數學定理一樣來「證明」人寫的代碼是否有漏洞,從而極大減少軟件漏洞。但是在此之前,漏洞將繼續存在。另外,去年八月,Facebook工程團隊發布了一篇技術干貨文章:「Rapidreleaseatmassivescale」。對于如此大規模的軟件系統,大家不妨自行腦補一些「attacksurface」攻擊面。Facebook擁有22億用戶,是世界最大的月活用戶基數,擁有黑客垂涎的用戶隱私數據。有沒有可能,這個「ViewAs」的漏洞,只是冰山一角?「交易安全」意義重大
聲音 | Facebook區塊鏈主管:Facebook不會訪問Calibra錢包上的財務數據:據Decrypt報道,Facebook區塊鏈主管在接受采訪時表示:“我們不希望混合財務數據和社交數據。我們清楚地聽到了各種聲音。如果我們想在網絡上與其他錢包競爭,唯一的辦法就是做出強有力的承諾,即使是Facebook公司也不會訪問Calibra錢包上的財務數據。” David還駁斥了有關“花1000萬美元成為Libra節點的大公司是為了購買財務數據”的說法。他表示,大部分交易將在托管錢包之間進行。這意味著交易將被內部記錄,大量的交易將在區塊鏈上結算。他指出,驗證程序無法觀察到這些數據。 此外,David還表示,Facebook不會提供像Monero或Zcash這樣的隱私交易。[2019/6/19]
綜上兩點,不管是傳統的網絡安全,或者區塊鏈安全,最可靠的防護方式,是基于交易數據的安全檢測和態勢感知。這里的「交易」指的是廣義的Transaction數據,比如網絡數據包、用戶登陸日志等。Facebook對于如何發現該漏洞沒有具體報道,我猜測極有可能是從交易數據發現了漏洞端倪。內部RedTeam或者外部白帽檢測到網絡包數據異常;或者內部審計登陸日志數據發現異常。我們分析一下2018年安全圈子的兩個熱點,來突出了解一下為什么「交易安全」如此重要:事件一:FireEye公司報告的2018年2月份朝鮮黑客組織APT37的活動通過對海量的網絡的分析,FireEye公司重現了來自朝鮮的黑客利用Flash和韓文文字處理器零日漏洞,如何竊取了東亞國家的化學品、電子、制造業、航空航天、汽車和醫療保健行業企業數據資產。方博士是硅谷上市網絡安全公司FireEye史上第一位首席數據科學家,身后是FireEyefaceofAI,具體信息可以查閱官方版公告,中文版翻譯:揭秘朝鮮黑客組織APT37近期活動。事件二:史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團2018年8月,AnChain.ai團隊和合作伙伴安比實驗室,從若干個智能合約游戲的海量區塊鏈交易數據,檢測到史上第一個BlockchainAPT區塊鏈高級持續威脅——黑客軍團。該團伙短短幾天盜取了千萬元的以太坊虛擬貨幣,成功變現離場。具體信息可以參閱該報道。總結
歐亞區塊鏈協會(EBA)就Facebook、Google、Twitter等互聯網巨頭禁止加密貨幣廣告一事向美國提起訴訟:成員來自俄羅斯,中國和韓國的新成立的歐亞區塊鏈協會(EBA)計劃將于5月,對禁止加密廣告的互聯網公司向美國司法管轄區提起集體訴訟。這起訴訟將挑戰Facebook,Google,Twitter和Yandex的限制。[2018/3/28]
Facebook的企業文化DNA是「Movefastandbreakthings」的黑客精神。這種黑客文化對于早期初創公司來說可能是好事,而對于掌握了22億用戶隱私數據的大公司,和廣大用戶,是巨大的災難。一個數據驅動的技術公司,如何樹立起全體員工重視安全的文化?如何對用戶隱私數據負責?如何建立起防范于未然的安全檢測體系?對于所有科技公司,必須認真思索思考這些問題。因為,無論是傳統互聯網公司,或者新興的區塊鏈加密貨幣公司,這些都是關乎存亡,需要嚴肅面對的問題。
9月5日,在由Odaily星球日報主辦、36Kr集團戰略協辦的區塊鏈P.O.D大會上,清華大學數據科學研究院劉運渠發表了題為《數據驅動的云網鏈一體化:下一代數據網提供區塊鏈平臺即服務》的演講.
1900/1/1 0:00:00頭條 廣東印發深化自由貿易試驗區制度意見,加快區塊鏈等技術在金融領域研究運用廣東省政府正式印發公布《深化中國自由貿易試驗區制度創新實施意見》,指出將大力發展金融科技和創新金融監管.
1900/1/1 0:00:008月28日,中國互聯網金融舉報信息平臺發布互聯網金融舉報范圍,并將“代幣發行融資”列入其中。關于其具體的舉報內容,包括如下6條:\t從事法定貨幣與代幣、“虛擬貨幣”相互之間的兌換業務;買賣或作為.
1900/1/1 0:00:00編者按:本文來自橙皮書,作者:orangefans,星球日報經授權轉載。我在區塊鏈行業里最經常碰到兩類人:騙子和理想主義者。騙子割韭菜,理想主義者造夢。后者是真的想用技術創造更好的世界.
1900/1/1 0:00:00編者按:本文來自哈希派,作者:LucyCheng,星球日報經授權轉載。以太坊發布之初,團隊就已宣布將項目的發布分為四個階段,即Froniter、Homestead、Metropolis和Sere.
1900/1/1 0:00:00本文來自:橙皮書,作者:橙皮書,星球日報經授權轉發。這篇文章是一場針鋒相對的辯論,它是行業里很典型的兩種人的對話碰撞,一種在大公司做企業區塊鏈應用,或者是鏈圈老兵,相信落地、生態和社區;一種是天.
1900/1/1 0:00:00