Kraken 資安長 Nick Percoco 談加密貨幣交易所的安全攻防經驗。本文源自 Marco Quiroz-Gutierrez 的文章《Future of Finance: Kraken’s Percoco breaks down crypto security and explains why Americans are targeted so often by scammers》,由Foresight News編譯、整理、撰稿。
(前情提要:Kraken交易所也想發鏈!傳合作Polygon、Matter Labs..開發Layer2網路)
(背景補充:Kraken投降!將給美國國稅局「交易量2萬鎂以上」用戶資訊,包含交易記錄、納稅人身分證號碼)
在二十多年的職業生涯中,Nick Percoco 幫助多家公司建立了網路安全機制。自 2018 年 Percoco 擔任 Kraken 資安長以來,他一直致力於協助其安全策略正規化。現在,他負責監管加密貨幣交易所的安全、IT 和詐欺行為。
《財星》雜誌最近採訪了 Percoco,詳細討論了為什麼 Kraken 能透過友善的駭客攻擊來提高安全性,以及為什麼美國人特別容易受到惡意攻擊。
你是如何開始進入加密貨幣領域的?又是如何加入 Kraken 的?
我有一個取證實驗室(SpiderLabs,Percoco 創立的,現在是 Trustwave 的一部分),它擁有大量用於密碼破解的 GPU。因此,我們從事取證工作,我們獲得加密檔案,我們嘗試解密(嘗試在環境中找到弱密碼),但這些 GPU 大多時候是閒置的。 2011 年、2012 年左右,我們實驗室的一些人開始談論比特幣,例如,「嘿,我們可以用這些 GPU 挖一些比特幣。」他們問是否可以做到這一點,當時比特幣幾乎一文不值,我說,「是的,當然。我們來玩玩吧。」 然後每個人都建立錢包,我們互相傳送比特幣,那個時候有點像在探索貨幣的未來。
這實際上並不是為了任何形式的投資或長期策略,隻是因為「這真的很酷。正是這種無需許可的技術,你可以在網際網路上匯款,而不必通過任何人,就像區塊鏈上的一個錢包到另一個錢包一樣。」今天,人們瞭解到這項技術很有趣,但十年前,它更像是科幻小說。所以我對此非常感興趣,但並沒有真正深入到成為比特幣愛好者。我沒有說,「我要開採數百個比特幣或數千個比特幣,我沒有走那條路。 」
我曾在安全社群和駭客社群工作,加密社群和安全社群之間有一點重疊。在做了一些新創公司的安全工作之後,Trustwave 被賣給了新加坡電信 (Singtel),然後我在 Rapid7 工作,幫助他們上市,這是另一家網路安全公司。後來,我加入了一家人工智慧公司,並為他們負責了幾年的安全工作。我的一位朋友和 Kraken 執行長 Dave Ripley 聯絡了我們。 Kraken 正在招募人才來決定安全計畫。我開始與 Dave(當時他是我們的營運長)聊天,然後被介紹給 Kraken 前執行長和創辦人 Jesse Powell。在 2018 年秋天,我正是加入 Kraken,擔任資安長。今天,我在這裡負責安全、IT 和詐欺工作。
資安長的日常工作是怎樣的?
我將它組織得有點像堆疊,技術含量最低的東西位於頂部,技術含量最高的東西位於底部。在這個堆疊的最頂層,與我一起工作的人基本上處於我們稱之為安全策略的世界。我們不斷思考:「安全計畫需要走向何方?我們看到了什麼?我們看到了哪些趨勢?有哪些值得我們學習的地方?」
下一層基本上是我們的資訊安全治理小組 — 政策和程式、安全監管要求、外部審計、供應商盡職調查和安全審計,以及客戶盡職調查。
再下一層是公司內部的安全營運職能,這是我們的藍隊,負責監控對安全事件的偵測回應,無論這些事件是我們公司內部還是外部的。這是公司內 24/7/365 的團隊。這對我們來說非常關鍵。當事情發生時,我們需要在幾秒鐘內知道,而不是三週後。當公司內部或外部發生與我們相關的事情時,我們會在幾秒鐘內知道。
我們還有一支紅隊,本質上是我招募的駭客團隊,定期對我們進行駭客攻擊,從外部、從內部、社會工程等等多個層次發起攻擊,因為犯罪分子沒有任何規則,他們會嘗試每一個可能的角度。
我們還有一個應用程式安全團隊,基本上會檢查每一行程式碼,無論是在我們的行動應用程式中還是在我們的網站上。每一個變更都會對每一行程式碼進行仔細檢查 —— 我們可能引入該程式碼庫的每個依賴項都會被仔細檢查。我們不斷地偵測潛在的漏洞、真正的漏洞,提交錯誤賞金報告,這是一個不斷識別和修復的迴圈。
Kraken 如何為受騙局影響的客戶提供支援?
客戶受騙很多都是透過釣魚網站、假網站或詐騙網站等方式。客戶在我們的生態系統之外徘徊,並在任何特定時間與這些網站進行互動,因此我們有專門的人員負責 —— 平均而言,我們每天要取締三到四個網站、社交媒體帳戶和其他詐騙網站。
常見的加密貨幣詐騙有哪些例子?
很多時候,這些騙局的技術含量非常低。它們更像是社會工程,而不是人們所說的駭客攻擊。在這些情況下,通常會發生的情況是,有人與他們交朋友,讓他們覺得可以信任,並開始告訴他們做他們不太理解的事情,然後他們的資金就被偷了。事情可能是這樣的,「哦,將會有一個空投,我們正在註冊錢包以獲得代幣,所以你需要進入你的錢包並向我們提供助記詞。然後我們會給你註冊,註冊之後你就可以獲得價值 10,000 美元的空投代幣。」然後人們就這麼做了,大約 10 分鐘後,錢包被洗劫一空,他們就被踢出了 Discord。
還有其他技術含量很低的騙局實際上隻是投資騙局,人們看到一個看起來合法的投資網站,最終將資金傳送給這家公司,而這家公司竊取了他們的資金。
你能談談你們追蹤到一個漏洞的經驗以及過程是什麼樣的嗎?
這裡有一個例子:我們有一個客戶的帳戶有問題。他們聲稱正在與我們的支援人員交談。他們說有人登入了他們的帳戶並從中提取資金。在與我們的支援人員的談話中,他們提到了他們正在使用的行動應用程式,以及他們描述行動應用程式的方式與我們的行動裝置體驗不符。
因此支援人員要求他們傳送一些行動應用程式的螢幕截圖。果然,這不是我們的行動應用程式。它有相同的名稱,並且有我們的 logo,但它不是我們的。這隻是一個非常初級的 Kraken 應用程式。然後我們詢問他們從哪裡下載該應用程式,結果發現他們使用的是一家你可以從旁邊下載應用程式的商店。它不像 Google Play 或 App Store,那裡有很多加密應用程式。
美國的網路安全與國外有何不同?
犯罪集團往往更多地針對美國公民。主要原因是在美國,犯罪集團更容易取得受害者的身分資訊。在美國有資料聚合器的概念,隻要付費,基本上你可以找到任何個人的任何資訊。你可以找到他們過去的所有住址、家人、電子郵件地址、電話號碼等等敏感資訊。而在境外,由於一些隱私權法的存在,這有點困難。
作為一名罪犯,如果我想瞄準活躍在加密貨幣領域的人,我可能會在社群媒體上找到他們。他們可能在加密推特上非常活躍。我可以做一些研究並確定他們是誰,但如果他們在美國境外,這可能會很困難。事實上,作為一名罪犯,我可能會找到一個人,但我不一定要以他為目標 —— 我可能會以住在同一所房子裡的家庭成員為目標,而他們可能不那麼精通安全。一旦我進入該家庭成員的電腦,我就與我想要追蹤的人位於同一網路上。
人工智慧將如何影響網路安全?
人工智慧使藍隊能夠擴大規模。例如,你可以訓練 AI 模型來偵測更大資料集中的潛在惡意活動。對於傳統工具,你通常必須套用更多靜態規則。有了人工智慧,這些規則不必那麼靜態,它可以更符合人類邏輯 —— 就像你讓一個人檢視日誌檔案,也許能夠確定某些東西是否看起來可疑,而不僅僅是一個簡單的規則集。規則集可能會錯過它,人類可以檢測到它,但隻能以一定的速度檢測到。你無法每小時向人類提供十億條日誌,但你可以每小時向人工智慧提供十億條日誌。我認為這對防守方有幫助。
在攻擊者方面,人工智慧也在提供協助。例如視訊通話、變聲的深度偽造。從詐騙者的角度來看,它可以讓受害者卸下防禦。事實上,我們的紅隊就是這樣做的。他們拍攝了我做過的所有影片或其中的一部分,然後將它們輸入人工智慧。他們創造了我的聲音來給不同的員工打電話,要求他們做事,看看員工是否真的會這麼做,因為這聽起來和我一模一樣。當我聽到這些模擬出來的聲音時,這聽起來有點不可思議。這讓我有點畏縮,因為它就像我的聲音,但又不完全一樣。
這對金融的未來意味著什麼?
我認為金融的未來是這樣一個世界,無論你是誰或住在哪裡,你都可以自由地在你的世界中以無需許可的方式與任何人進行交易,這就是加密貨幣的承諾。這就是我們來這裡的目的,讓人們能夠做到這一點。在這個星球上,很多人處於不利地位,他們無法使用傳統金融系統做這些事情,因此加密貨幣的承諾就是讓人們能夠做到這一點。
📍相關報導📍
美國稅局勝利!法院責令 Kraken 交出「年交易額 2 萬鎂以上」帳戶資訊