财富杂志专访Kraken首席安全官：我们为何要雇黑客团队来攻击我们自己？

撰文：Marco Quiroz-Gutierrez

受访者：Nick Percoco，Kraken 首席安全官

编译：Luffy，Foresight News

Nick Percoco，Kraken 首席安全官

在二十多年的职业生涯中，Nick Percoco 帮助多家公司建立了网络安全机制。自 2018 年 Percoco 担任 Kraken 首席安全官以来，他一直致力于帮助其安全策略正规化。现在，他负责监管加密货币交易所的安全、IT 和欺诈行为。

《财富》杂志最近采访了 Percoco，详细讨论了为什么 Kraken 能通过友好的黑客攻击来提高安全性，以及为什么美国人特别容易受到恶意攻击。

你是如何开始进入加密货币领域的？又是如何加入 Kraken 的？

我有一个取证实验室（SpiderLabs，Percoco 创立的，现在是 Trustwave 的一部分），它拥有大量用于密码破解的 GPU。因此，我们从事取证工作，我们获得加密文件，我们尝试解密（尝试在环境中找到弱密码），但这些 GPU 大多时候是闲置的。2011 年、2012 年左右，我们实验室的一些人开始谈论比特币，比如，「嘿，我们可以使用这些 GPU 挖一些比特币。」他们问是否可以做到这一点，当时比特币几乎一文不值，我说，「是的，当然。我们来玩玩吧。」然后每个人都创建钱包，我们互相发送比特币，那个时候有点像在探索货币的未来。

这实际上并不是为了任何形式的投资或长期战略，只是因为「这真的很酷。正是这种无需许可的技术，你可以在互联网上汇款，而不必通过任何人，就像区块链上的一个钱包到另一个钱包一样。」今天，人们了解到这项技术很有趣，但十年前，它更像是科幻小说。所以我对此非常感兴趣，但并没有真正深入到成为一名比特币爱好者。我没有说，「我要开采数百个比特币或数千个比特币，我没有走那条路。」

我曾在安全社区和黑客社区工作，加密社区和安全社区之间有一点重叠。在做了一些初创公司的安全工作之后，Trustwave 被卖给了新加坡电信 (Singtel)，然后我在 Rapid7 工作，帮助他们上市，这是另一家网络安全公司。后来，我加入了一家人工智能公司，并为他们负责了几年的安全工作。我的一位朋友和 Kraken 首席执行官 Dave Ripley 联系了我们。Kraken 正在招聘人才来确定安全计划。我开始与 Dave（当时他是我们的首席运营官）聊天，然后被介绍给 Kraken 前首席执行官和创始人 Jesse Powell。在 2018 年秋天，我正是加入 Kraken，担任首席安全官。今天，我在这里负责安全、IT 和欺诈工作。

首席安全官的日常工作是怎样的？

我将它组织得有点像堆栈，技术含量最低的东西位于顶部，技术含量最高的东西位于底部。在这个堆栈的最顶层，与我一起工作的人基本上处于我们称之为安全策略的世界中。我们不断思考：「安全计划需要走向何方？我们看到了什么？我们看到了哪些趋势？有哪些值得我们学习的地方？」

下一层基本上是我们的信息安全治理小组——政策和程序、安全监管要求、外部审计、供应商尽职调查和安全审计，以及客户尽职调查。

再下一层是公司内部的安全运营职能，这是我们的蓝队，负责监控对安全事件的检测响应，无论这些事件是我们公司内部还是外部的。这是公司内一个 24/7/365 的团队。这对我们来说非常关键。当事情发生时，我们需要在几秒钟内知道，而不是三周后。当公司内部或外部发生与我们相关的事情时，我们会在几秒钟内知道。

我们还有一支红队，本质上是我招募的黑客团队，定期对我们进行黑客攻击，从外部、从内部、社会工程等等多个层次发起攻击，因为犯罪分子没有任何规则，他们会尝试每一个可能的角度。

我们还有一个应用程序安全团队，基本上会检查每一行代码，无论是在我们的移动应用程序中还是在我们的网站上。每一个更改都会对每一行代码进行仔细检查——我们可能引入该代码库的每个依赖项都会被仔细检查。我们不断地检测潜在的漏洞、真正的漏洞，提交错误赏金报告，这是一个不断识别和修复的循环。

Kraken 如何为受骗局影响的客户提供支持？

客户受骗很多都是通过钓鱼网站、假冒网站或诈骗网站等方式。客户在我们的生态系统之外徘徊，并在任何特定时间与这些网站进行互动，因此我们有专门的人员负责——平均而言，我们每天要取缔三到四个网站、社交媒体帐户和其他诈骗网站。

常见的加密货币诈骗有哪些例子？

很多时候，这些骗局的技术含量非常低。它们更像是社会工程，而不是人们所说的黑客攻击。在这些情况下，通常会发生的情况是，有人与他们交朋友，让他们觉得可以信任，并开始告诉他们做他们不太理解的事情，然后他们的资金就被盗了。事情可能是这样的，「哦，将会有一个空投，我们正在注册钱包以获得代币，所以你需要进入你的钱包并向我们提供助记词。然后我们会给你注册，注册之后你就可以获得价值 10,000 美元的空投代币。」然后人们就这么做了，大约 10 分钟后，钱包被洗劫一空，他们就被踢出了 Discord。

还有其他技术含量很低的骗局实际上只是投资骗局，人们看到一个看起来合法的投资网站，最终将资金发送给这家公司，而这家公司窃取了他们的资金。

你能谈谈你们追踪到一个漏洞的经历以及过程是什么样的吗？

这里有一个例子：我们有一个客户的帐户有问题。他们声称正在与我们的支持人员交谈。他们说有人登录了他们的账户并从中提取资金。在与我们的支持人员的谈话中，他们提到了他们正在使用的移动应用程序，以及他们描述移动应用程序的方式与我们的移动端体验不符。

因此支持人员要求他们发送一些移动应用程序的屏幕截图。果然，这不是我们的移动应用程序。它有相同的名称，并且有我们的 logo，但它不是我们的。这只是一个非常初级的 Kraken 应用程序。然后我们询问他们从哪里下载该应用程序，结果发现他们使用的是一家你可以从旁边下载应用程序的商店。它不像 Google Play 或 App Store，那里有很多加密应用程序。

美国的网络安全与国外有何不同？

犯罪团伙往往更多地针对美国公民。主要原因是在美国，犯罪团伙更容易获取受害者的身份信息。在美国有数据聚合器的概念，只要付费，你基本上可以找到任何个人的任何信息。你可以找到他们过去的所有住址、家庭成员、电子邮件地址、电话号码等等敏感信息。而在境外，由于一些隐私法的存在，这有点困难。

作为一名罪犯，如果我想瞄准活跃在加密货币领域的人，我可能会在社交媒体上找到他们。他们可能在加密推特上非常活跃。我可以做一些研究并确定他们是谁，但如果他们在美国境外，这可能会很困难。事实上，作为一名罪犯，我可能会找到一个人，但我不一定要以他为目标——我可能会以住在同一所房子里的家庭成员为目标，而他们可能不那么精通安全。一旦我进入该家庭成员的计算机，我就与我想要追踪的人位于同一网络上。

人工智能将如何影响网络安全？

人工智能使蓝队能够扩大规模。例如，你可以训练 AI 模型来检测更大数据集中的潜在恶意活动。对于传统工具，你通常必须应用更多静态规则。有了人工智能，这些规则不必那么静态，它可以更符合人类逻辑——就像你让一个人查看日志文件，也许能够确定某些东西是否看起来可疑，而不仅仅是一个简单的规则集。规则集可能会错过它，人类可以检测到它，但只能以一定的速度检测到。你无法每小时向人类提供十亿条日志，但你可以每小时向人工智能提供十亿条日志。我认为这对防守方有帮助。

在攻击者方面，人工智能也在提供帮助。比如视频通话、变声的深度伪造。从诈骗者的角度来看，它可以让受害者卸下防御。事实上，我们的红队就是这样做的。他们拍摄了我做过的所有视频或其中的一部分，然后将它们输入人工智能。他们创造了我的声音来给不同的员工打电话，要求他们做事，看看员工是否真的会这么做，因为这听起来和我一模一样。当我听到这些模拟出来的声音时，这听起来有点不可思议。这让我有点畏缩，因为它就像我的声音，但又不完全一样。