Kraken 首席安全官 Nick Percoco 谈加密货币交易所的安全攻防经验。
撰文:Marco Quiroz-Gutierrez
受访者:Nick Percoco,Kraken 首席安全官
编译:Luffy,Foresight News
Nick Percoco,Kraken 首席安全官
在二十多年的职业生涯中,Nick Percoco 帮助多家公司建立了网络安全机制。自 2018 年 Percoco 担任 Kraken 首席安全官以来,他一直致力于帮助其安全策略正规化。现在,他负责监管加密货币交易所的安全、IT 和欺诈行为。
《财富》杂志最近采访了 Percoco,详细讨论了为什么 Kraken 能通过友好的黑客攻击来提高安全性,以及为什么美国人特别容易受到恶意攻击。
你是如何开始进入加密货币领域的?又是如何加入 Kraken 的?
我有一个取证实验室(SpiderLabs,Percoco 创立的,现在是 Trustwave 的一部分),它拥有大量用于密码破解的 GPU。因此,我们从事取证工作,我们获得加密文件,我们尝试解密(尝试在环境中找到弱密码),但这些 GPU 大多时候是闲置的。2011 年、2012 年左右,我们实验室的一些人开始谈论比特币,比如,「嘿,我们可以使用这些 GPU 挖一些比特币。」 他们问是否可以做到这一点,当时比特币几乎一文不值,我说,「是的,当然。我们来玩玩吧。」 然后每个人都创建钱包,我们互相发送比特币,那个时候有点像在探索货币的未来。
这实际上并不是为了任何形式的投资或长期战略,只是因为「这真的很酷。正是这种无需许可的技术,你可以在互联网上汇款,而不必通过任何人,就像区块链上的一个钱包到另一个钱包一样。」 今天,人们了解到这项技术很有趣,但十年前,它更像是科幻小说。所以我对此非常感兴趣,但并没有真正深入到成为一名比特币爱好者。我没有说,「我要开采数百个比特币或数千个比特币,我没有走那条路。 」
我曾在安全社区和黑客社区工作,加密社区和安全社区之间有一点重叠。在做了一些初创公司的安全工作之后,Trustwave 被卖给了新加坡电信 (Singtel),然后我在 Rapid7 工作,帮助他们上市,这是另一家网络安全公司。后来,我加入了一家人工智能公司,并为他们负责了几年的安全工作。我的一位朋友和 Kraken 首席执行官 Dave Ripley 联系了我们。Kraken 正在招聘人才来确定安全计划。我开始与 Dave(当时他是我们的首席运营官)聊天,然后被介绍给 Kraken 前首席执行官和创始人 Jesse Powell。在 2018 年秋天,我正是加入 Kraken,担任首席安全官。今天,我在这里负责安全、IT 和欺诈工作。
首席安全官的日常工作是怎样的?
我将它组织得有点像堆栈,技术含量最低的东西位于顶部,技术含量最高的东西位于底部。在这个堆栈的最顶层,与我一起工作的人基本上处于我们称之为安全策略的世界中。我们不断思考:「安全计划需要走向何方?我们看到了什么?我们看到了哪些趋势?有哪些值得我们学习的地方?」
下一层基本上是我们的信息安全治理小组——政策和程序、安全监管要求、外部审计、供应商尽职调查和安全审计,以及客户尽职调查。
再下一层是公司内部的安全运营职能,这是我们的蓝队,负责监控对安全事件的检测响应,无论这些事件是我们公司内部还是外部的。这是公司内一个 24/7/365 的团队。这对我们来说非常关键。当事情发生时,我们需要在几秒钟内知道,而不是三周后。当公司内部或外部发生与我们相关的事情时,我们会在几秒钟内知道。
我们还有一支红队,本质上是我招募的黑客团队,定期对我们进行黑客攻击,从外部、从内部、社会工程等等多个层次发起攻击,因为犯罪分子没有任何规则,他们会尝试每一个可能的角度。
我们还有一个应用程序安全团队,基本上会检查每一行代码,无论是在我们的移动应用程序中还是在我们的网站上。每一个更改都会对每一行代码进行仔细检查——我们可能引入该代码库的每个依赖项都会被仔细检查。我们不断地检测潜在的漏洞、真正的漏洞,提交错误赏金报告,这是一个不断识别和修复的循环。
Kraken 如何为受骗局影响的客户提供支持?
客户受骗很多都是通过钓鱼网站、假冒网站或诈骗网站等方式。客户在我们的生态系统之外徘徊,并在任何特定时间与这些网站进行互动,因此我们有专门的人员负责——平均而言,我们每天要取缔三到四个网站、社交媒体帐户和其他诈骗网站。
常见的加密货币诈骗有哪些例子?
很多时候,这些骗局的技术含量非常低。它们更像是社会工程,而不是人们所说的黑客攻击。在这些情况下,通常会发生的情况是,有人与他们交朋友,让他们觉得可以信任,并开始告诉他们做他们不太理解的事情,然后他们的资金就被盗了。事情可能是这样的,「哦,将会有一个空投,我们正在注册钱包以获得代币,所以你需要进入你的钱包并向我们提供助记词。然后我们会给你注册,注册之后你就可以获得价值 10,000 美元的空投代币。」 然后人们就这么做了,大约 10 分钟后,钱包被洗劫一空,他们就被踢出了 Discord。
还有其他技术含量很低的骗局实际上只是投资骗局,人们看到一个看起来合法的投资网站,最终将资金发送给这家公司,而这家公司窃取了他们的资金。
你能谈谈你们追踪到一个漏洞的经历以及过程是什么样的吗?
这里有一个例子:我们有一个客户的帐户有问题。他们声称正在与我们的支持人员交谈。他们说有人登录了他们的账户并从中提取资金。在与我们的支持人员的谈话中,他们提到了他们正在使用的移动应用程序,以及他们描述移动应用程序的方式与我们的移动端体验不符。
因此支持人员要求他们发送一些移动应用程序的屏幕截图。果然,这不是我们的移动应用程序。它有相同的名称,并且有我们的 logo,但它不是我们的。这只是一个非常初级的 Kraken 应用程序。然后我们询问他们从哪里下载该应用程序,结果发现他们使用的是一家你可以从旁边下载应用程序的商店。它不像 Google Play 或 App Store,那里有很多加密应用程序。
美国的网络安全与国外有何不同?
犯罪团伙往往更多地针对美国公民。主要原因是在美国,犯罪团伙更容易获取受害者的身份信息。在美国有数据聚合器的概念,只要付费,你基本上可以找到任何个人的任何信息。你可以找到他们过去的所有住址、家庭成员、电子邮件地址、电话号码等等敏感信息。而在境外,由于一些隐私法的存在,这有点困难。
作为一名罪犯,如果我想瞄准活跃在加密货币领域的人,我可能会在社交媒体上找到他们。他们可能在加密推特上非常活跃。我可以做一些研究并确定他们是谁,但如果他们在美国境外,这可能会很困难。事实上,作为一名罪犯,我可能会找到一个人,但我不一定要以他为目标——我可能会以住在同一所房子里的家庭成员为目标,而他们可能不那么精通安全。一旦我进入该家庭成员的计算机,我就与我想要追踪的人位于同一网络上。
人工智能将如何影响网络安全?
人工智能使蓝队能够扩大规模。例如,你可以训练 AI 模型来检测更大数据集中的潜在恶意活动。对于传统工具,你通常必须应用更多静态规则。有了人工智能,这些规则不必那么静态,它可以更符合人类逻辑——就像你让一个人查看日志文件,也许能够确定某些东西是否看起来可疑,而不仅仅是一个简单的规则集。规则集可能会错过它,人类可以检测到它,但只能以一定的速度检测到。你无法每小时向人类提供十亿条日志,但你可以每小时向人工智能提供十亿条日志。我认为这对防守方有帮助。
在攻击者方面,人工智能也在提供帮助。比如视频通话、变声的深度伪造。从诈骗者的角度来看,它可以让受害者卸下防御。事实上,我们的红队就是这样做的。他们拍摄了我做过的所有视频或其中的一部分,然后将它们输入人工智能。他们创造了我的声音来给不同的员工打电话,要求他们做事,看看员工是否真的会这么做,因为这听起来和我一模一样。当我听到这些模拟出来的声音时,这听起来有点不可思议。这让我有点畏缩,因为它就像我的声音,但又不完全一样。
这对金融的未来意味着什么?
我认为金融的未来是这样一个世界,无论你是谁或住在哪里,你都可以自由地在你的世界中以无需许可的方式与任何人进行交易,这就是加密货币的承诺。这就是我们来这里的目的,让人们能够做到这一点。在这个星球上,很多人处于不利地位,他们无法使用传统金融系统做这些事情,因此加密货币的承诺就是让人们能够做到这一点。
