黑客盗窃2500万美元,黑客盗取银行百亿

hacker|
133

DeFi安全吗?

越来越多的人希望通过攻击智能合约来窃取资金,他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。

  2020年,对DeFi的攻击中,被套取或盗取的总金额已经达到了3600万美元。但因为dForce的攻击者退还了被盗的2500万美元,所以实际金额大约有 1100 万美元。

  与以太坊早期相比,每次黑客攻击的平均损失价值已经明显下降。在2020年的10次攻击中,有8次的攻击金额低于100万美元。

DeFi

在以太坊早期,大多数攻击都是基于找到个别漏洞,让攻击者有能力冻结或耗尽智能合约。2016年臭名昭著的DAO黑客事件就是如此,1.6亿美元的ETH被盗,以太坊最终因此分叉。同样,2017年的Parity多签袭击让黑客盗取了3000万美元,Parity钱包中1.5亿美元被冻结,都是这类漏洞造成的后果。

这类智能合约的漏洞仍不时被人利用。最近,一名攻击者成功地从代币合约中窃取了所有的VETH,仅通过耗尽VETH-ETH Uniswap池就获利了90万美元。但这是VETH造成的一个简单失误,因为VETH修改ERC20代币标准的方式有逻辑上的错误。

总的来说,现在的安全性有所提高,特别是那些关注度比较高的项目。它们的安全性提升是由于用户对审计的期望和围绕测试的工具改进推动的。最近DeFi中更大的安全问题是dForce 2500万美元的数字资产在借贷市场中被盗。然而,由于攻击者的IP地址被发现并与新加坡警方共享,因此这些资金被退了回去。

链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径,推进专业学位研究生产学研结合培养模式改革,构建应用型、复合型人才培养体系。

怎么规避数据风险?

如果企业认为自己的数据存储已经非常安全了,那就大错特错了。目前,企业数据泄露的问题非常突出,这里我们介绍五种常见的数据安全风险,并给出规避风险的建议。

让我们一起来思考一个问题: 企业数据所面临的更大安全威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用 *** 文件共享或者乱用笔记本电脑造成数据泄露的可能性更大。

据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的更大威胁,由此造成的数据安全事故高达78%。在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。

存储 *** 工业协会(SNIA)曾发布过企业存储安全性自我评估 *** ,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄露问题的困扰。ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%。“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。

事实上,现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。但是,到目前为止,企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。

目前,解决问题惟一的 *** 就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。

内部窃取

2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。

还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。依据这些犯罪记录,法院宣判其服刑18个月。

代价:在DuPont的案例中,虽然最终美国 *** 为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。

据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。

分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。

CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。

建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。

其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。此外,保存客户和员工信息的数据库更应当对访问加以严格限制。事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。

再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。但是目前,很多企业都没有应用类似的审查记录工具。

此外,加强内部控制和审计也非常重要。举个例子,企业可以通过设立 *** 审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。

设备失窃

2006年5月,由于美国退伍军人事务部的一名工作人员丢失了自己的笔记本电脑,致使2650万退伍军人的个人资料丢失。万幸的是,最后小偷被捕,并没有酿成更严重的后果。虽然事后FBI(美国联邦调查局)宣称数据没有被泄露,但这个事件的发生还是给退伍军人事务部带来了巨大的影响。无独有偶,2007年1月,退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件,致使53.5万退伍军人和超过130万内科医生的个人数据被泄露。

代价:在事件发生后的一个多月的时间里,退伍军人事务部为了支撑回答人们关于数据被窃问题的 *** 应答中心,每天就要花费20万美元,此外,他们还要支付100万美元用来打印和邮寄通知信。

退伍军人事务部因此还遭到了联名起诉,起诉中包括要求其对每个人造成的损失赔偿1000美元。在2007年第二次数据泄露事件之后,退伍军人事务部为现役和已经退伍的军人总共赔偿了2000多万美元,才结束了这场联名诉讼。为此,美国 *** 还为其拨款2500万美元用来补偿损失。

分析:设备失窃成为了数据泄露的最主要原因—在2008年,大约占到了20%。据芝加哥法律事务所Seyfarth Shaw的合伙人Bart Lazar介绍,在他所处理的数据泄露案件中,由于笔记本电脑丢失而造成的数据泄露占绝大部分。

建议:首先要对存储在笔记本电脑上的个人身份信息加以限定。比如说,不要将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息放在一起保存。可以将这些数字“截断”存储,或者考虑建立个人特殊信息,比如说将每个人的姓氏与社会保险号码的后四位连在一起保存。

其次,对笔记本电脑上存储的个人信息进行加密,尽管这会产生一些潜在成本(大约每台笔记本电脑50到100美元),同时还会损失一些性能,但这是必须的。美国存储 *** 工业协会负责存储安全的副主席Blair Semple曾表示,对数据进行加密,需要企业和员工都形成这种强烈的意识才行,在很多情况下,对数据进行加密并不困难,但人们却没有这么做,不难看出,管理层面上的问题才是更大的。

最后,建议在数据载体上设置保护性更强的口令密码。

外部入侵

2007年1月,零售商TJX Companies 发现其客户交易系统被黑客入侵,令人不解的是,此入侵从2003年就已经开始了,一直延续到2006年12月,黑客从中获取了9400万客户的账户信息,而数据被盗事件在4年后才因一次伪造信用卡事件被发现。2008年夏天,11人因与此事相关而被起诉,这是美国法律部门有史以来受理的更大规模的黑客盗窃案件。

代价:据估计,TJX在此次数据泄露事件中的损失大约在2.56亿美元,包括恢复计算机系统、法律诉讼费、调查研究以及其他支持费用,损失中还包括对VISA和MasterCard的赔偿。此外,美国联邦商务委员会还要求TJX必须每隔一年委托独立的第三方机构进行安全检查,并持续20年。

甚至有人预测,TJX因此受到的损失会达到10亿美元以上,因为还要将法律和解费用以及因此失去很多客户的代价计算在内。据Ponemon在2008年4月进行的一项研究表明,通常发生数据泄露事故的企业将会失去31%的客户基础和收入来源。在Ponemon最近发布的年度数据泄露损失统计报告中显示,每泄露一份客户信息,公司就将损失202美元,而在1997年,这个数字是197美元,其中因数据泄露失去的商业机会所带来的损失是损失增长中最重要的部分。

分析:据Ponemon的研究,黑客入侵造成的数据泄露在安全威胁中名列第五。据ITRC的调查,在2008年有记载的数据泄露事件中有14%是由黑客攻击所造成的。但这并不意味着企业对此就应该束手无策,甚至放任不管。

在TJX的案例中,黑客是利用War-Driving渗透到系统内并入侵企业 *** 的。而这主要是因为TJX使用的 *** 编码低于标准规格,且在 *** 上的计算机并没有安装防火墙,传输数据也没有进行加密,这才使得黑客可以在 *** 上安装软件并访问系统上的客户信息,甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。

建议:如果对数据库的访问非常容易的话,那么建议企业使用高级别的数据安全措施和数据编码。

员工大意

Pfizer公司的一名员工一直是通过 *** 和笔记本电脑进行远程办公的,没想到,他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件,致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息,其中包括姓名、社保账号、地址和奖金信息等。统计显示,大约有1.57万人通过P2P软件下载了这些数据,另外有1250人转发了这些数据。

代价:为了将数据泄露事件的危害降至更低,并避免类似事件的发生,Pfizer与一家信用报告 *** 商签署了一项“支持与保护”合同,合同包括对与泄露数据相关的信息进行为期一年的信用监控服务,以及一份因数据泄露对个人损失进行赔偿的保险单。

分析:据Ponemon的最新研究表明,粗心的员工(虽然不是故意的)是数据安全的更大威胁。有数据显示,88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识,数据泄露的数量将会大幅下降。在Pfizer的案例中,就是因为员工的妻子在其笔记本电脑上安装了文件共享软件,这才使得其他人能够通过P2P软件获得笔记本电脑上的数据,包括Pfizer公司的内部数据信息。

大意的员工再加上文件共享软件,这绝对是个危险的组合。Dartmouth College在2007年的研究表明,虽然大部分企业不允许在企业 *** 上安装P2P软件,但是很多员工却在远程计算机和家用PC上安装了这种软件。研究发现,有三十家美国银行的员工在使用P2P软件分享音乐和其他文件,并在不经意间向潜在的 *** 犯罪分子泄露了银行账户数据。一旦业务数据发生泄露,将会通过P2P软件扩散到全世界的很多计算机上。

建议:企业的IT部门应该全面禁止员工使用P2P软件,或者制定规章限制P2P的使用,并安装工具来强化这一规章。并且,应该对员工的计算机系统进行审核,阻止员工进行软件下载。比如,可以将员工的管理员资格取消,这样他们就不能安装任何程序了。同时,最重要的就是教育和培训,因为这样能够让员工了解P2P的危险性。

合作伙伴泄露

2008年11月,亚利桑那州经济安全部给大约4万名儿童的家长发出了通知——这些孩子的个人信息可能已经因为 *** 商将几个磁盘丢失而被泄露。磁盘虽然有密码保护,但却没有进行加密。

代价:统计数据显示,对企业来说,合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的调查统计,合作伙伴泄露一份数据记录企业要损失231美元,而企业内部泄露一份数据记录造成的损失约为171美元。

分析:Ponemon的年度损失报告表明,外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长,去年大约占到所有数据泄露事件的44%,比2007年增长了40%。ITRC的研究也指出,2008年10%的数据泄露与 *** 商有关。

建议:企业需要签订更高服务级别的详细合同,确保 *** 商遵守协议,一旦其违反了合同就能够对其进行处罚。此外,在使用备份磁带或者磁盘时,一定要进行加密和密码保护。

历史上最著名的几次黑客事件

1999年,梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒,该病毒的编写者戴维·史密斯在编写此病毒时仅30岁1983年,凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的电脑,而被判在加州的青年管教所管教6个月。1988年,凯文·米特尼克被执法当局逮捕,原因是:DEC指控他从公司 *** 上盗取了价值100万美元的软件,并造成了400万美元损失。1995年,来自俄罗斯的黑客“弗拉季米尔·列宁”在互联网上上演了精彩的偷天换日,他是历史上之一个通过入侵银行电脑系统来获利的黑客,1995年,他侵入美国花旗银行并盗走一千万元,之后,他把账户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。1999年,梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒,该病毒的编写者戴维·史密斯在编写此病毒时仅30岁。戴维·史密斯被判处5年徒刑。2000年,年仅15岁,绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器,他成功阻止服务器向用户提供服务,他于当年被捕。2001年,中美撞机事件发生后,中美黑客之间发生的 *** 大战愈演愈烈。自4月4日以来,美国黑客组织PoizonBox不断袭击中国网站。对此,我国的 *** 安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”。2002年,英国著名黑客加里·麦金农伦被指控侵入美国军方90多个电脑系统,造成约140万美元损失,美方称此案为史上“更大规模入侵军方 *** 事件”。2009年英法院裁定准许美方引渡麦金农。2007年,俄罗斯黑客成功劫持Windows Update下载服务器。2008年,一个全球性的黑客组织,利用ATM 欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。最关键的是,目前FBI 还没破案,甚至据说连一个嫌疑人还没找到。2009年,7月7日,韩国总统府、国会、国情院和国防部等国家机关,以及金融界、媒体和防火墙企业网站遭到黑客的攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。

电影《世纪大劫案》中,盗贼们的心理素质到底有多强,敢盗走那么多钱?

最吸引眼球的是电影世纪大劫案改编自一个真实发生过的银行抢劫案。2006年1月13日,星期五,300多名警察包围着布宜诺斯艾利斯郊外的里约热内卢银行分行。

在里面有6名盗贼劫持了数十个名人质,正在努力把存在保险箱里面的现金、金条和珠宝偷走。当警察最终攻入银行,发现只有摆放整齐的玩具枪、受惊的人质以及空空的保险箱。盗贼早已经不翼而飞。

准备工作做好后,抢劫正式开始

费尔南多,一名柔道教练。热衷于武术和造型艺术的他,还没有找到可以让自己为之奋斗一生的事业。一个雨夜,他在街边点燃了一支烟。

没成想,烟被路过的汽车溅起的水花给弄湿了。没办法,费尔南多只能把这支烟给扔掉。这支烟顺着雨水漂流,最终流进了下水道。好巧不巧,下水道的旁边,是一家里约银行。

费尔南多继续顺着水流方向一直走,直到看见了排水口。一个大胆的想法浮现在了他的脑海中:挖地道抢银行。挖地道抢银行是一个大工程,没有资金支持和团队不行。

很快,费尔南多就通过朋友召集了4个人,组成了一个5人团伙。其中有人是工程师,有人是职业小偷。资金有了,团队有了,接下来是准备工作。

之一步,去银行秘密拍照,搞到银行的平面图,确定地道在银行的入口。用自行车车胎测量出下水井到银行的距离,用尺子测量下水井的深度。如此一来,两个直角边有了,再加上一个经纬仪,斜边(地道)的角度也就确定了。

第二步,去其他银行租一个保险箱,研究保险箱的结构,获取打开保险箱的办法。问题来了。深更半夜用非正常途径打开一个保险箱就能触动警报,更何况打开多个保险箱?

终于,费尔南多想到了一个既能开所有保险箱又能不触动警报的办法。银行营业期间警报不会开启,一伙人挟持人质以拖延时间,另一伙人趁机开保险箱拿钱。

一群突发奇想的“乌合之众”

警方认为策划这起银行大劫案的,肯定是专业的犯罪团伙。可实际上,他们只是一群突发奇想的“乌合之众”。总策划人费尔南多,是个造型艺术家、柔术高手,可他并不满足于平淡无聊的生活。

想要成为一名“人物”,找寻伟大的终生事业。没错,他找到的这项事业,便是“抢银行”。在一个雨夜,费尔南多无意中发现了里约银行门口的井盖和不远处排水渠出口的位置。

萌生了要“干点大事”的想法。说干就干。擅长造型艺术的他偷 *** 下银行内部的照片,摸清了地下保险库的位置,画出了银行构造平面图。为了避开银行的防盗系统。

费尔南多策划出了“抢劫”与“盗窃”同时进行的方案,用表面的“抢劫”来给实际上的“盗窃”打掩护。费尔南多的朋友是一名机械工程师,他精确地测算了所挖地道的位置、角度和长度。

并设计了像加农炮一样的开锁装置,轻松开锁,只需7秒。为了研究安全锁的构造,他们还专门去别家银行租用了一个保险柜。以上这两位都是“技术人员”,没有什么“实战经验”。

费尔南多找来了自称为“职业盗贼”的马里奥,他在劫案中扮演成劫匪“穿灰色西装的人”。为了和谈判专家周旋,他事先熟读了《谈判手册》,专门上培训班学习表演技巧。

另外参与者中还有一名医生、神父和司机。就是这样一群人,成功将警察耍得团团转。成功逃脱后,他们望着眼前堆成山的现金和珠宝,简直不敢相信真的成功了。

他们烧掉作案的汽车,分配好赃物,把钱藏在天花板、冰箱等等各种地方,买新车换新房,走上了人生巅峰。

心理素质

这群盗贼的放在明面上犯罪手法就像影片表现的那样,几个老家伙灵机一动计上心来,想到了声东击西的鬼点子,成功盗走两千万财富,并且戏耍了警察。

作案过程中,他们顶住巨大压力,处理了多个状况,顺利脱身。但有的人会说,他们不还是被抓起来了么。这就是影片没有拍出来,却隐晦地告诉观众们的精髓所在。

你以为警察在之一层,这群盗贼在第二层,其实盗贼们在第五层。这群盗贼做了世纪大案后,并没有想着隐姓埋名享受生活,而是维系原有生活,仿佛等着暴露身份。

猛一看仿佛是打江山容易守江山难,实际上这才是他们真正的计划。最为关键的是,他们作案过程中的情节几乎都可以套上更低刑罚期限,坐牢1年之后又是一条好汉。

影片在最后的彩蛋环节,放出了一些有关案件的描述:本案的失窃数额将永远成谜,据估测,大致金额在800万到2500万美元之间。警方追回117.2万美元和8公斤珠宝,所有财产受损的客户由银行赔付损失。

这里就有很多值得玩味的地方,也是品味精髓的关键。失窃金额和被追回金额相差巨大,只能说明盗贼们事先将大笔财富藏了起来,等着自己出狱后享用,同时银行也会夸大财产损失。

一方面可以带掉自身的坏账,另一方面可以多多向保险公司索赔。因此劫案后被捕也是计划的一部分。盗贼们可以顺利洗白身份。

漂白赃款,用极短的牢狱生活换取一辈子荣华富贵。

4条大神的评论

  • avatar
    访客 2022-09-25 上午 12:30:02

    他移动存储设备所存在的安全隐患。 存储网络工业协会(SNIA)曾发布过企业存储安全性自我评估方法,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄

  • avatar
    访客 2022-09-24 下午 08:03:48

    数据安全的最大威胁。有数据显示,88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识,数据泄露的数量将会大幅下降。在Pfizer的案例中,就是因为员工的妻子在其笔记本电脑上安装了文件共享软件,这

  • avatar
    访客 2022-09-25 上午 05:53:53

    同样,2017年的Parity多签袭击让黑客盗取了3000万美元,Parity钱包中1.5亿美元被冻结,都是这类漏洞造成的后果。这类智能合约的漏洞仍不时被人利用。最近,一名攻击者成功地从代币合约中窃

  • avatar
    访客 2022-09-25 上午 01:35:17

    后FBI(美国联邦调查局)宣称数据没有被泄露,但这个事件的发生还是给退伍军人事务部带来了巨大的影响。无独有偶,2007年1月,退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件,致使53.5万退伍

发表评论