財星雜誌專訪Kraken首席安全長：我們為何要雇駭客團隊來攻擊自己？

Kraken 首席安全長Nick Percoco 談加密貨幣交易所的安全攻防經驗。

撰文：Marco Quiroz-Gutierrez

受訪者：Nick Percoco，Kraken 首席安全官

編譯：Luffy，Foresight News

 Nick Percoco，Kraken 首席安全官

在二十多年的職業生涯中，Nick Percoco 幫助多家公司建立了網路安全機製。自2018 年Percoco 擔任Kraken 首席安全長以來，他一直致力於協助其安全策略正規化。現在，他負責監管加密貨幣交易所的安全、IT 和詐欺行為。

《財星》雜誌最近採訪了Percoco，詳細討論了為什麼Kraken 能透過友善的駭客攻擊來提高安全性，以及為什麼美國人特別容易受到惡意攻擊。

你是如何開始進入加密貨幣領域的？又是如何加入Kraken 的？

我有一個取證實驗室（SpiderLabs，Percoco 創立的，現在是Trustwave 的一部分），它擁有大量用於密碼破解的GPU。因此，我們從事取證工作，我們獲得加密文件，我們嘗試解密（嘗試在環境中找到弱密碼），但這些GPU 大多時候是閒置的。 2011 年、2012 年左右，我們實驗室的一些人開始談論比特幣，例如，「嘿，我們可以用這些GPU 挖一些比特幣。」他們問是否可以做到這一點，當時比特幣幾乎一文不值，我說，「是的，當然。我們來玩玩吧。」 然後每個人都創建錢包，我們互相發送比特幣，那個時候有點像在探索貨幣的未來。

這實際上並不是為了任何形式的投資或長期策略，隻是因為「這真的很酷。正是這種無需許可的技術，你可以在互聯網上匯款，而不必通過任何人，就像區塊鏈上的一個錢包到另一個錢包一樣。」今天，人們了解到這項技術很有趣，但十年前，它更像是科幻小說。所以我對此非常感興趣，但並沒有真正深入到成為比特幣愛好者。我沒有說，「我要開採數百個比特幣或數千個比特幣，我沒有走那條路。 」

我曾在安全社群和駭客社群工作，加密社群和安全社群之間有一點重疊。在做了一些新創公司的安全工作之後，Trustwave 被賣給了新加坡電信(Singtel)，然後我在Rapid7 工作，幫助他們上市，這是另一家網路安全公司。後來，我加入了一家人工智慧公司，並為他們負責了幾年的安全工作。我的一位朋友和Kraken 執行長Dave Ripley 聯繫了我們。 Kraken 正在招募人才來決定安全計畫。我開始與Dave（當時他是我們的營運長）聊天，然後被介紹給Kraken 前執行長和創辦人Jesse Powell。在2018 年秋天，我正是加入Kraken，擔任首席安全長。今天，我在這裡負責安全、IT 和詐欺工作。

首席安全官的日常工作是怎樣的？

我將它組織得有點像堆棧，技術含量最低的東西位於頂部，技術含量最高的東西位於底部。在這個堆疊的最頂層，與我一起工作的人基本上處於我們稱之為安全策略的世界。我們不斷思考：「安全計畫需要走向何方？我們看到了什麼？我們看到了哪些趨勢？有哪些值得我們學習的地方？」

下一層基本上是我們的資訊安全治理小組—政策和程序、安全監管要求、外部審計、供應商盡職調查和安全審計，以及客戶盡職調查。

再下一層是公司內部的安全營運職能，這是我們的藍隊，負責監控對安全事件的偵測回應，無論這些事件是我們公司內部還是外部的。這是公司內24/7/365 的團隊。這對我們來說非常關鍵。當事情發生時，我們需要在幾秒鐘內知道，而不是三週後。當公司內部或外部發生與我們相關的事情時，我們會在幾秒鐘內知道。

我們還有一支紅隊，本質上是我招募的黑客團隊，定期對我們進行黑客攻擊，從外部、從內部、社會工程等等多個層次發起攻擊，因為犯罪分子沒有任何規則，他們會嘗試每一個可能的角度。

我們還有一個應用程式安全團隊，基本上會檢查每一行程式碼，無論是在我們的行動應用程式中還是在我們的網站上。每一個變更都會對每一行程式碼進行仔細檢查——我們可能引入該程式碼庫的每個依賴項都會被仔細檢查。我們不斷地偵測潛在的漏洞、真正的漏洞，提交錯誤賞金報告，這是一個不斷識別和修復的循環。

Kraken 如何為受騙局影響的客戶提供支援？

客戶受騙很多都是透過釣魚網站、假網站或詐騙網站等方式。客戶在我們的生態係統之外徘徊，並在任何特定時間與這些網站進行互動，因此我們有專門的人員負責——平均而言，我們每天要取締三到四個網站、社交媒體帳戶和其他詐騙網站。

常見的加密貨幣詐騙有哪些例子？

很多時候，這些騙局的技術含量非常低。它們更像是社會工程，而不是人們所說的駭客攻擊。在這些情況下，通常會發生的情況是，有人與他們交朋友，讓他們覺得可以信任，並開始告訴他們做他們不太理解的事情，然後他們的資金就被偷了。事情可能是這樣的，「哦，將會有一個空投，我們正在註冊錢包以獲得代幣，所以你需要進入你的錢包並向我們提供助記詞。然後我們會給你註冊，註冊之後你就可以獲得價值10,000 美元的空投代幣。」然後人們就這麼做了，大約10 分鐘後，錢包被洗劫一空，他們就被踢出了Discord。

還有其他技術含量很低的騙局實際上隻是投資騙局，人們看到一個看起來合法的投資網站，最終將資金發送給這家公司，而這家公司竊取了他們的資金。

你能談談你們追蹤到一個漏洞的經驗以及過程是什麼樣的嗎？

這裡有一個例子：我們有一個客戶的帳戶有問題。他們聲稱正在與我們的支援人員交談。他們說有人登入了他們的帳戶並從中提取資金。在與我們的支援人員的談話中，他們提到了他們正在使用的行動應用程序，以及他們描述行動應用程式的方式與我們的行動裝置體驗不符。

因此支援人員要求他們發送一些行動應用程式的螢幕截圖。果然，這不是我們的行動應用程式。它有相同的名稱，並且有我們的logo，但它不是我們的。這隻是一個非常初級的Kraken 應用程式。然後我們詢問他們從哪裡下載該應用程序，結果發現他們使用的是一家你可以從旁邊下載應用程式的商店。它不像Google Play 或App Store，那裡有很多加密應用程式。

美國的網路安全與國外有何不同？

犯罪集團往往更多地針對美國公民。主要原因是在美國，犯罪集團更容易取得受害者的身分資訊。在美國有數據聚合器的概念，隻要付費，基本上你可以找到任何個人的任何資訊。你可以找到他們過去的所有住址、家人、電子郵件地址、電話號碼等等敏感資訊。而在境外，由於一些隱私權法的存在，這有點困難。

作為一名罪犯，如果我想瞄準活躍在加密貨幣領域的人，我可能會在社群媒體上找到他們。他們可能在加密推特上非常活躍。我可以做一些研究並確定他們是誰，但如果他們在美國境外，這可能會很困難。事實上，作為一名罪犯，我可能會找到一個人，但我不一定要以他為目標——我可能會以住在同一所房子裡的家庭成員為目標，而他們可能不那麼精通安全。一旦我進入該家庭成員的計算機，我就與我想要追蹤的人位於同一網路上。

人工智慧將如何影響網路安全？

人工智慧使藍隊能夠擴大規模。例如，你可以訓練AI 模型來偵測更大資料集中的潛在惡意活動。對於傳統工具，你通常必須套用更多靜態規則。有了人工智慧，這些規則不必那麼靜態，它可以更符合人類邏輯——就像你讓一個人查看日誌文件，也許能夠確定某些東西是否看起來可疑，而不僅僅是一個簡單的規則集。規則集可能會錯過它，人類可以檢測到它，但隻能以一定的速度檢測到。你無法每小時向人類提供十億條日誌，但你可以每小時向人工智慧提供十億條日誌。我認為這對防守方有幫助。

在攻擊者方面，人工智慧也在提供協助。例如視訊通話、變聲的深度偽造。從詐騙者的角度來看，它可以讓受害者卸下防禦。事實上，我們的紅隊就是這樣做的。他們拍攝了我做過的所有影片或其中的一部分，然後將它們輸入人工智慧。他們創造了我的聲音來給不同的員工打電話，要求他們做事，看看員工是否真的會這麼做，因為這聽起來和我一模一樣。當我聽到這些模擬出來的聲音時，這聽起來有點不可思議。這讓我有點畏縮，因為它就像我的聲音，但又不完全一樣。

這對金融的未來意味著什麼？

我認為金融的未來是這樣一個世界，無論你是誰或住在哪裡，你都可以自由地在你的世界中以無需許可的方式與任何人進行交易，這就是加密貨幣的承諾。這就是我們來這裡的目的，讓人們能夠做到這一點。在這個星球上，很多人處於不利地位，他們無法使用傳統金融係統做這些事情，因此加密貨幣的承諾就是讓人們能夠做到這一點。