说起区块链最薄弱的环节,其中之一就是安全。
最近,安全界知名白帽,清华长三角研究院网安实验室负责人,前乌云社区的联合创始人和首席技术官Blue,以首席安全官的身份正式加盟 imToken,负责 imToken 的产品安全。
乌云社区,以猎捕大型互联网公司漏洞闻名的非营利性社区,在短短几年内实现日均上报漏洞超过100个,聚集了大量的白帽黑客,同时也是大大小小黑客们的学习交流圣地。存在的那几年,乌云“帮助行业完成了一个正向的循环,白帽子发现和报告安全问题,企业修复并披露安全问题,用户了解信息安全从而对企业提出信息安全要求,企业加强信息安全建设和提升白帽子价值,更多的白帽子学习和加入到这个过程。“
除了创办乌云,Blue还是深蓝阅读内容订阅平台创始人,防护云(安全云解决方案)创始人和CTO,Xsser/OldCMS/XF等开源框架作者。给自己起名叫Blue,是因为在他的认知中,蓝色是最“安全”的颜色,“地球是蓝的,宇宙也是蓝的,最清澈的水是蓝色的。”
从合伙创建乌云社区,到加入imToken,Blue的从业经历一直与“安全”这个小众领域有关,他认为,尽管创业本身就意味着存在回报不高的风险,尤其在新生领域,但也正因这一点,他坚信所做的正在改变整个行业,而他们也确实做到了:改变了网络安全从业者的地位,和安全行业在中国的形态。
加入imToken后,Blue还有一个小目标,通过安全防护的提升增加用户对产品的认同感,通过钱包改变用户对安全的认知,和改变当前用户的区块链资产不安全的现状。
有这样一群白帽黑客,身怀绝技,在善与恶的斗争中选择了保护更大的人群。而区块链行业的安全,需要更多像Blue这样拥有专业技能的安全从业者们来守护。
最近,跟Blue进行了一次安全主题的面对面的简短对话,以下为部分对话内容:
从乌云社区到imToken
8btc:网络安全防护在国内好像一直是个比较小的话题,你是怎么开始从事安全行业的?
Blue:之前我一直从事技术工作,06年毕业后开始做技术相关研发。那时候人们普遍认为网络从业者存在一个天花板,安全只是一个辅助,并没有很好的就业和发展环境,比如在百度做安全架构师,不可能升到CTO这样的岗位,安全依然是个小众领域。后来我来到北京见到乌云负责人,因此我们就想是不是能够独立出来做一个平台,把白帽子能量聚集起来,给到相关的从业者比较好的突破天花板的机会。
机缘巧合做了一个漏洞报告平台,白帽黑客可以提交漏洞到这个平台然后获得一定奖励,并且提高自己的行业知名度。一两年之后平台已经在行业有非常高的声誉,也间接提升了我们安全从业者的薪资待遇和行业地位,也避免了和企业之间的问题。北京创业结束之后来了杭州,给民生银行以及其他的一些比较大的项目做安全的服务。就是这样一个过程。
8btc:为什么选择在这个时机加入imToken?
Blue:首先我对区块链比较感兴趣,但这个行业如果不进入其中的一家公司,更多是游离在外面,比如我只给一个公司做安全防护,无法接触到核心技术相关的业务,这样就很难提升自身的认知和技术水平。
其次理念上比较认同,去中心化钱包的出发点是区块链上每个人负责各自的资产,而交易所是中心化的,但是从理念上来说,大家的资产安全应当自己能够完全掌控。因此总体来说,第一区块链的领域我比较认可,第二从这个领域也可以第一时间接触到用户,能够从最近的层次做相关的防护工作。从钱包的代码层面去做用户,并且教育用户理解钱包是最根本和贴切的。
8btc:imToken平时会遇到哪些类型的攻击或者安全事件?
Blue:黑客会对服务器进行扫描探测,以及一些DDos攻击,这方面已经做了相关的架构工作来防护这些问题;
另一方面是很多人冒充imToken官方去钓鱼用户,这是目前我们遇到的两方面比较常见的安全上的问题。
8btc:那imToken具体是如何做防护的?
Blue:分几部分,第一个层面是客户端和后面云端的安全审计和防护;第二个层面是用户层面,提高用户自身的安全意识是比较重要的。
需要特别强调的用户层面要注意的几点,绝对不要向任何人泄露自己的私钥;第二就是不要盲目参与投资项目,天上没有掉馅饼;另外的就是一些日常的安全规范。
区块链行业的安全还处在“裸奔”状态
8btc:你对区块链行业的安全现状怎么看?
Blue: 区块链尽管已经存在很长时间,但他在安全方面还是在起步阶段,相当于在裸奔。区块链是一个去中心化的平台,智能合约等各类代码其实都是面向大众公开的,黑客就非常容易看你的源码,然后找到相关漏洞。在此之前各个服务器上运行的代码都是不可见的,可以说是一个黑盒子,黑客想要进行攻击只能不断的去尝试去测试,这个时候很难发现问题,但是区块链行业不一样,全都是公共的开放平台,智能合约放在平台上,这都是完全对外可见的,一旦有问题非常容易暴露。
而且大部分运营开发者都是刚刚进入行业,从业经验不足会更多的暴露相关安全问题。不管是之前的所谓古典互联网时代的安全问题,还是基于区块链的特有的比如智能合约上的安全问题都会比较频繁的暴露出来,这是目前的现状。
总体评价就是区块链安全处在初级阶段,防护能力较弱,还需要一个成长的过程。
8btc:有人说“区块链可能时有史以来黑客最关注的一个领域”,为什么这么说?
Blue:因为区块链的安全漏洞与用户资产直接相关,其他行业可能是获取数据,比如用户的一些使用习惯和隐私等,获取了这些数据不会有直接的危害;而区块链相关的漏洞可能是拿到了用户的账户和私钥,可以直接把地址里面的资产全部拿走,因此黑客当然非常关注。
区块链的安全防护是多维的
8btc:在这行盗币丢币的事情太多了,尤其是交易所被盗,随着更多安全专家的加入有可能避免吗?
Blue:百分之百的安全是不存在的。区块链行业,交易所被盗和丢币事件时有发生,无法真正避免。比如前段时间比较受关注的某知名交易所受到黑客攻击这个事件,首先作为全球数一数二的交易所肯定会受到很多攻击,他们当时事后的风控处理也是比较得当的,至少黑客在该交易所没有得到好处,当然如果黑客通过其他的金融手段,比如影响了行情获得好处这是另一方面。
因此区块链的安全防护可能是多维的,不是单纯的防护自身的服务器这么简单,还涉及到如用户手机应用自身的防护,以及对安全事件的提醒和用户安全意识的提高。安全生态的构建是一个长期的过程。
关于“选择”的话题
8btc:黑与白的对抗一直存在,对这群白帽黑客来说,时常面临选择。比如我作为一个黑客,既然发现了漏洞,涉及比较大的资产的,既然暗地里的操作有利可图为什么还会昭告天下?
Blue:这是一个关于“选择”的话题。前两年的时候,比如企业开展一个活动,提一个漏洞奖励三万块钱,但是假设说这是个电商的软件,他这个漏洞放到黑市上去卖可能有几百万。那我自己来说,第一提交到平台上对我而言是一个比较好的成长和提升,有了行业积累,隐性的东西我们得到的会更多,认同感和荣誉感远远比这几百万价值大。
当然也有黑客会做出相反的选择,这很正常,当100万和3万放在一起来比较衡量,天平肯定是不平衡的。但是有平台,有整个行业,带来的隐性价值,让他意识到3背后的远远比100更多。
就比如现在黑客发现了一个智能合约的漏洞他上报了,第一时间不能想去打击,而是给到曝光和更好的行业地位。这是整个生态的问题。因此确实需要给白帽子更多的尊重,有更多的正面引导,这样才能形成正向循环。
下附Blue在chainge技术沙龙,安全主题专场的演讲内容,主要提到了imToken是如何构建风控系统保障用户资产安全的,进行了原意不变的删改:
我今天主要针对用户方面,如何帮助用户提高安全思想,我们风控系统的目的就是最大可能保护数字资产。从以下几个方面,先讲一些常见的被盗币的案例,
密钥存储在备忘录里,开启了iCloud同步,被盗;
使用云笔记工具记录助记词,被盗;
助记词截图保存在相册里,被盗;
在网站上输入密钥或助记词,被盗;
淘宝购买Apple ID,被盗; 邮件传输密钥,被盗;
跟朋友喝酒,炫耀自己的币,被盗;
未做备份,手机遗失,丢币;
……
诸如此类的丢币被盗事件数不胜数。
下面讲一讲我们在用户互动方面做了什么事情来加强用户钱包的安全:
首先建立了恶意钱包地址库,包括:诈骗钱包,我们检测到网上以及用户提交的工单里面提到了很多种诈骗账户,记录下来,同时也有很多第三方合作;
黑色钱包,就是黑客攻击的比较积极的钱包;
以及羊毛党团队,这样基于很多的转账行为和相关的异常记录,把这个群体的强关系找出来。
其次是建立恶意网址库,包括钓鱼网站和不安全的网站;
风险合约库:其中包括一些重名币,空格币,风险合约;
安全事件库:包括历史安全事件的记录,和新安全事件的推送。
然后我们还进行了盗币风险监控,包括新设备提醒,可疑行为提醒 。作为钱包是离用户资产最近的,很多时候一些行为我们可以监控到,比如钱包在新手机上被导入了,我们认为这点需要提醒用户;另外一些可疑行为,比如在应该睡觉的时候,你的钱包转了100个币可能是有问题的,这个也会提醒用户。未来可能做更多这些行为的回忆和记录。
用户的安全意识教育:包括评测,答题,社区分享。安全意识提高了以后,才能保护资产不受损失。
风控系统如何起作用呢?钱包是离用户资产最近的,这时候我们就可以做很多事情:
第一个在用户转账的时候,可以做到警告和禁止,当你转账的时候就会告诉你这可能是一个诈骗地址;如果我们明确这个地址是诈骗地址,就会禁止你的转账,下面会提示用户不能转账;当监控到有可疑的不属于用户自己的行为的时候,就会进行提示的推送;
当然最后都是同一个生态,共建安全生态上包括四个举措,数据共享;与安全机构合作;行业漏洞监控-分析-分享;以及漏洞奖励计划。
现在我们可以通过自己的用户群建立一个比较丰满的数据库,也会共享到第三方,也会从第三方提供的比较好的数据里面获取相关数据,积极与其他机构配合,做安全方面的生产,提高用户认知,对合约一起进行审计;另外就是行业漏洞的监控,基于现有的沉淀的技术,对一些安全博客,知名人士的twitter,等各类可能与安全事件相关的进行监控,做到第一时间给出相关的分析报告。
近期我们会推出漏洞奖励计划,当用户提交比较好的漏洞就会获得奖励,我们愿意为比较善意的白帽提供比较好的奖励,希望他们能够跟我们很好的合作。
演讲ppt全文下载:http://8btc.com/doc-view-1936.html