華文網

ImToken首席安全官Blue:區塊鏈行業安全還處在“裸奔”狀態

說起區塊鏈最薄弱的環節,其中之一就是安全。

最近,安全界知名白帽,清華長三角研究院網安實驗室負責人,前烏雲社區的聯合創始人和首席技術官Blue,以首席安全官的身份正式加盟 imToken,

負責 imToken 的產品安全。

烏雲社區,以獵捕大型互聯網公司漏洞聞名的非營利性社區,在短短幾年內實現日均上報漏洞超過100個,聚集了大量的白帽駭客,同時也是大大小小駭客們的學習交流聖地。存在的那幾年,烏雲“幫助行業完成了一個正向的迴圈,白帽子發現和報告安全問題,企業修復並披露安全問題,使用者瞭解資訊安全從而對企業提出資訊安全要求,企業加強資訊安全建設和提升白帽子價值,

更多的白帽子學習和加入到這個過程。“

除了創辦烏雲,Blue還是深藍閱讀內容訂閱平臺創始人,防護雲(安全雲解決方案)創始人和CTO,Xsser/OldCMS/XF等開源框架作者。給自己起名叫Blue,是因為在他的認知中,藍色是最“安全”的顏色,“地球是藍的,宇宙也是藍的,最清澈的水是藍色的。”

從合夥創建烏雲社區,到加入imToken,Blue的從業經歷一直與“安全”這個小眾領域有關,他認為,

儘管創業本身就意味著存在回報不高的風險,尤其在新生領域,但也正因這一點,他堅信所做的正在改變整個行業,而他們也確實做到了:改變了網路安全從業者的地位,和安全行業在中國的形態。

加入imToken後,Blue還有一個小目標,通過安全防護的提升增加使用者對產品的認同感,通過錢包改變用戶對安全的認知,和改變當前用戶的區塊鏈資產不安全的現狀。

有這樣一群白帽駭客,

身懷絕技,在善與惡的鬥爭中選擇了保護更大的人群。而區塊鏈行業的安全,需要更多像Blue這樣擁有專業技能的安全從業者們來守護。

最近,巴比特跟Blue進行了一次安全主題的面對面的簡短對話,以下為部分對話內容:

從烏雲社區到imToken

8btc:網路安全防護在國內好像一直是個比較小的話題,你是怎麼開始從事安全行業的?

Blue:之前我一直從事技術工作,06年畢業後開始做技術相關研發。

那時候人們普遍認為網路從業者存在一個天花板,安全只是一個輔助,並沒有很好的就業和發展環境,比如在百度做安全架構師,不可能升到CTO這樣的崗位,安全依然是個小眾領域。後來我來到北京見到烏雲負責人,因此我們就想是不是能夠獨立出來做一個平臺,把白帽子能量聚集起來,給到相關的從業者比較好的突破天花板的機會。

機緣巧合做了一個漏洞報告平臺,

白帽駭客可以提交漏洞到這個平臺然後獲得一定獎勵,並且提高自己的行業知名度。一兩年之後平臺已經在行業有非常高的聲譽,也間接提升了我們安全從業者的薪資待遇和行業地位,也避免了和企業之間的問題。北京創業結束之後來了杭州,給民生銀行以及其他的一些比較大的專案做安全的服務。就是這樣一個過程。

8btc:為什麼選擇在這個時機加入imToken?

Blue:首先我對區塊鏈比較感興趣,但這個行業如果不進入其中的一家公司,更多是游離在外面,比如我只給一個公司做安全防護,無法接觸到核心技術相關的業務,這樣就很難提升自身的認知和技術水準。

其次理念上比較認同,去中心化錢包的出發點是區塊鏈上每個人負責各自的資產,而交易所是中心化的,但是從理念上來說,大家的資產安全應當自己能夠完全掌控。因此總體來說,第一區塊鏈的領域我比較認可,第二從這個領域也可以第一時間接觸到用戶,能夠從最近的層次做相關的防護工作。從錢包的代碼層面去做用戶,並且教育用戶理解錢包是最根本和貼切的。

8btc:imToken平時會遇到哪些類型的攻擊或者安全事件?

Blue:駭客會對伺服器進行掃描探測,以及一些DDos攻擊,這方面已經做了相關的架構工作來防護這些問題;

另一方面是很多人冒充imToken官方去釣魚用戶,這是目前我們遇到的兩方面比較常見的安全上的問題。

8btc:那imToken具體是如何做防護的?

Blue:分幾部分,第一個層面是用戶端和後面雲端的安全審計和防護;第二個層面是用戶層面,提高用戶自身的安全意識是比較重要的。

需要特別強調的使用者層面要注意的幾點,絕對不要向任何人洩露自己的私密金鑰;第二就是不要盲目參與投資項目,天上沒有掉餡餅;另外的就是一些日常的安全規範。

區塊鏈行業的安全還處在“裸奔”狀態

8btc:你對區塊鏈行業的安全現狀怎麼看?

Blue: 區塊鏈儘管已經存在很長時間,但他在安全方面還是在起步階段,相當於在裸奔。區塊鏈是一個去中心化的平臺,智慧合約等各類代碼其實都是面向大眾公開的,駭客就非常容易看你的源碼,然後找到相關漏洞。在此之前各個伺服器上運行的代碼都是不可見的,可以說是一個黑盒子,駭客想要進行攻擊只能不斷的去嘗試去測試,這個時候很難發現問題,但是區塊鏈行業不一樣,全都是公共的開放平臺,智慧合約放在平臺上,這都是完全對外可見的,一旦有問題非常容易暴露。

而且大部分運營開發者都是剛剛進入行業,從業經驗不足會更多的暴露相關安全問題。不管是之前的所謂古典互聯網時代的安全問題,還是基於區塊鏈的特有的比如智慧合約上的安全問題都會比較頻繁的暴露出來,這是目前的現狀。

總體評價就是區塊鏈安全處在初級階段,防護能力較弱,還需要一個成長的過程。

8btc:有人說“區塊鏈可能時有史以來駭客最關注的一個領域”,為什麼這麼說?

Blue:因為區塊鏈的安全性漏洞與用戶資產直接相關,其他行業可能是獲取資料,比如使用者的一些使用習慣和隱私等,獲取了這些資料不會有直接的危害;而區塊鏈相關的漏洞可能是拿到了用戶的帳戶和私密金鑰,可以直接把位址裡面的資產全部拿走,因此駭客當然非常關注。

區塊鏈的安全防護是多維的

8btc:在這行盜幣丟幣的事情太多了,尤其是交易所被盜,隨著更多安全專家的加入有可能避免嗎?

Blue:百分之百的安全是不存在的。區塊鏈行業,交易所被盜和丟幣事件時有發生,無法真正避免。比如前段時間比較受關注的某知名交易所受到駭客攻擊這個事件,首先作為全球數一數二的交易所肯定會受到很多攻擊,他們當時事後的風控處理也是比較得當的,至少駭客在該交易所沒有得到好處,當然如果駭客通過其他的金融手段,比如影響了行情獲得好處這是另一方面。

因此區塊鏈的安全防護可能是多維的,不是單純的防護自身的伺服器這麼簡單,還涉及到如用戶手機應用自身的防護,以及對安全事件的提醒和用戶安全意識的提高。安全生態的構建是一個長期的過程。

關於“選擇”的話題

8btc:黑與白的對抗一直存在,對這群白帽駭客來說,時常面臨選擇。比如我作為一個駭客,既然發現了漏洞,涉及比較大的資產的,既然暗地裡的操作有利可圖為什麼還會昭告天下?

Blue:這是一個關於“選擇”的話題。前兩年的時候,比如企業開展一個活動,提一個漏洞獎勵三萬塊錢,但是假設說這是個電商的軟體,他這個漏洞放到黑市上去賣可能有幾百萬。那我自己來說,第一提交到平臺上對我而言是一個比較好的成長和提升,有了行業積累,隱性的東西我們得到的會更多,認同感和榮譽感遠遠比這幾百萬價值大。

當然也有駭客會做出相反的選擇,這很正常,當100萬和3萬放在一起來比較衡量,天平肯定是不平衡的。但是有平臺,有整個行業,帶來的隱性價值,讓他意識到3背後的遠遠比100更多。

就比如現在駭客發現了一個智慧合約的漏洞他上報了,第一時間不能想去打擊,而是給到曝光和更好的行業地位。這是整個生態的問題。因此確實需要給白帽子更多的尊重,有更多的正面引導,這樣才能形成正向迴圈。

下附Blue在chainge技術沙龍,安全主題專場的演講內容,主要提到了imToken是如何構建風控系統保障使用者資產安全的,巴比特進行了原意不變的刪改:

我今天主要針對用戶方面,如何幫助用戶提高安全思想,我們風控系統的目的就是最大可能保護數位資產。從以下幾個方面,先講一些常見的被盜幣的案例,

金鑰存儲在備忘錄裡,開啟了iCloud同步,被盜;

使用雲筆記工具記錄助記詞,被盜;

助記詞截圖保存在相冊裡,被盜;

在網站上輸入金鑰或助記詞,被盜;

跟朋友喝酒,炫耀自己的幣,被盜;

未做備份,手機遺失,丟幣;

……

諸如此類的丟幣被盜事件數不勝數。

下面講一講我們在用戶互動方面做了什麼事情來加強用戶錢包的安全:

首先建立了惡意錢包地址庫,包括:詐騙錢包,我們檢測到網上以及用戶提交的工單裡面提到了很多種詐騙帳戶,記錄下來,同時也有很多協力廠商合作;

黑色錢包,就是駭客攻擊的比較積極的錢包;

以及羊毛黨團隊,這樣基於很多的轉帳行為和相關的異常記錄,把這個群體的強關係找出來。

其次是建立惡意網址庫,包括釣魚網站和不安全的網站;

風險合約庫:其中包括一些重名幣,空格幣,風險合約;

安全事件庫:包括歷史安全事件的記錄,和新安全事件的推送。

然後我們還進行了盜幣風險監控,包括新設備提醒,可疑行為提醒 。作為錢包是離用戶資產最近的,很多時候一些行為我們可以監控到,比如錢包在新手機上被導入了,我們認為這點需要提醒使用者;另外一些可疑行為,比如在應該睡覺的時候,你的錢包轉了100個幣可能是有問題的,這個也會提醒用戶。未來可能做更多這些行為的回憶和記錄。

用戶的安全意識教育:包括評測,答題,社區分享。安全意識提高了以後,才能保護資產不受損失。

風控系統如何起作用呢?錢包是離用戶資產最近的,這時候我們就可以做很多事情:

第一個在用戶轉帳的時候,可以做到警告和禁止,當你轉帳的時候就會告訴你這可能是一個詐騙位址;如果我們明確這個地址是詐騙地址,就會禁止你的轉帳,下面會提示用戶不能轉帳;當監控到有可疑的不屬於用戶自己的行為的時候,就會進行提示的推送;

當然最後都是同一個生態,共建安全生態上包括四個舉措,資料共用;與安全機構合作;行業漏洞監控-分析-分享;以及漏洞獎勵計畫。

現在我們可以通過自己的用戶群建立一個比較豐滿的資料庫,也會共用到協力廠商,也會從協力廠商提供的比較好的資料裡面獲取相關資料,積極與其他機構配合,做安全方面的生產,提高用戶認知,對合約一起進行審計;另外就是行業漏洞的監控,基於現有的沉澱的技術,對一些安全博客,知名人士的twitter,等各類可能與安全事件相關的進行監控,做到第一時間給出相關的分析報告。

近期我們會推出漏洞獎勵計畫,當用戶提交比較好的漏洞就會獲得獎勵,我們願意為比較善意的白帽提供比較好的獎勵,希望他們能夠跟我們很好的合作。

演講ppt全文下載:http://8btc.com/doc-view-1936.html

Blue:首先我對區塊鏈比較感興趣,但這個行業如果不進入其中的一家公司,更多是游離在外面,比如我只給一個公司做安全防護,無法接觸到核心技術相關的業務,這樣就很難提升自身的認知和技術水準。

其次理念上比較認同,去中心化錢包的出發點是區塊鏈上每個人負責各自的資產,而交易所是中心化的,但是從理念上來說,大家的資產安全應當自己能夠完全掌控。因此總體來說,第一區塊鏈的領域我比較認可,第二從這個領域也可以第一時間接觸到用戶,能夠從最近的層次做相關的防護工作。從錢包的代碼層面去做用戶,並且教育用戶理解錢包是最根本和貼切的。

8btc:imToken平時會遇到哪些類型的攻擊或者安全事件?

Blue:駭客會對伺服器進行掃描探測,以及一些DDos攻擊,這方面已經做了相關的架構工作來防護這些問題;

另一方面是很多人冒充imToken官方去釣魚用戶,這是目前我們遇到的兩方面比較常見的安全上的問題。

8btc:那imToken具體是如何做防護的?

Blue:分幾部分,第一個層面是用戶端和後面雲端的安全審計和防護;第二個層面是用戶層面,提高用戶自身的安全意識是比較重要的。

需要特別強調的使用者層面要注意的幾點,絕對不要向任何人洩露自己的私密金鑰;第二就是不要盲目參與投資項目,天上沒有掉餡餅;另外的就是一些日常的安全規範。

區塊鏈行業的安全還處在“裸奔”狀態

8btc:你對區塊鏈行業的安全現狀怎麼看?

Blue: 區塊鏈儘管已經存在很長時間,但他在安全方面還是在起步階段,相當於在裸奔。區塊鏈是一個去中心化的平臺,智慧合約等各類代碼其實都是面向大眾公開的,駭客就非常容易看你的源碼,然後找到相關漏洞。在此之前各個伺服器上運行的代碼都是不可見的,可以說是一個黑盒子,駭客想要進行攻擊只能不斷的去嘗試去測試,這個時候很難發現問題,但是區塊鏈行業不一樣,全都是公共的開放平臺,智慧合約放在平臺上,這都是完全對外可見的,一旦有問題非常容易暴露。

而且大部分運營開發者都是剛剛進入行業,從業經驗不足會更多的暴露相關安全問題。不管是之前的所謂古典互聯網時代的安全問題,還是基於區塊鏈的特有的比如智慧合約上的安全問題都會比較頻繁的暴露出來,這是目前的現狀。

總體評價就是區塊鏈安全處在初級階段,防護能力較弱,還需要一個成長的過程。

8btc:有人說“區塊鏈可能時有史以來駭客最關注的一個領域”,為什麼這麼說?

Blue:因為區塊鏈的安全性漏洞與用戶資產直接相關,其他行業可能是獲取資料,比如使用者的一些使用習慣和隱私等,獲取了這些資料不會有直接的危害;而區塊鏈相關的漏洞可能是拿到了用戶的帳戶和私密金鑰,可以直接把位址裡面的資產全部拿走,因此駭客當然非常關注。

區塊鏈的安全防護是多維的

8btc:在這行盜幣丟幣的事情太多了,尤其是交易所被盜,隨著更多安全專家的加入有可能避免嗎?

Blue:百分之百的安全是不存在的。區塊鏈行業,交易所被盜和丟幣事件時有發生,無法真正避免。比如前段時間比較受關注的某知名交易所受到駭客攻擊這個事件,首先作為全球數一數二的交易所肯定會受到很多攻擊,他們當時事後的風控處理也是比較得當的,至少駭客在該交易所沒有得到好處,當然如果駭客通過其他的金融手段,比如影響了行情獲得好處這是另一方面。

因此區塊鏈的安全防護可能是多維的,不是單純的防護自身的伺服器這麼簡單,還涉及到如用戶手機應用自身的防護,以及對安全事件的提醒和用戶安全意識的提高。安全生態的構建是一個長期的過程。

關於“選擇”的話題

8btc:黑與白的對抗一直存在,對這群白帽駭客來說,時常面臨選擇。比如我作為一個駭客,既然發現了漏洞,涉及比較大的資產的,既然暗地裡的操作有利可圖為什麼還會昭告天下?

Blue:這是一個關於“選擇”的話題。前兩年的時候,比如企業開展一個活動,提一個漏洞獎勵三萬塊錢,但是假設說這是個電商的軟體,他這個漏洞放到黑市上去賣可能有幾百萬。那我自己來說,第一提交到平臺上對我而言是一個比較好的成長和提升,有了行業積累,隱性的東西我們得到的會更多,認同感和榮譽感遠遠比這幾百萬價值大。

當然也有駭客會做出相反的選擇,這很正常,當100萬和3萬放在一起來比較衡量,天平肯定是不平衡的。但是有平臺,有整個行業,帶來的隱性價值,讓他意識到3背後的遠遠比100更多。

就比如現在駭客發現了一個智慧合約的漏洞他上報了,第一時間不能想去打擊,而是給到曝光和更好的行業地位。這是整個生態的問題。因此確實需要給白帽子更多的尊重,有更多的正面引導,這樣才能形成正向迴圈。

下附Blue在chainge技術沙龍,安全主題專場的演講內容,主要提到了imToken是如何構建風控系統保障使用者資產安全的,巴比特進行了原意不變的刪改:

我今天主要針對用戶方面,如何幫助用戶提高安全思想,我們風控系統的目的就是最大可能保護數位資產。從以下幾個方面,先講一些常見的被盜幣的案例,

金鑰存儲在備忘錄裡,開啟了iCloud同步,被盜;

使用雲筆記工具記錄助記詞,被盜;

助記詞截圖保存在相冊裡,被盜;

在網站上輸入金鑰或助記詞,被盜;

跟朋友喝酒,炫耀自己的幣,被盜;

未做備份,手機遺失,丟幣;

……

諸如此類的丟幣被盜事件數不勝數。

下面講一講我們在用戶互動方面做了什麼事情來加強用戶錢包的安全:

首先建立了惡意錢包地址庫,包括:詐騙錢包,我們檢測到網上以及用戶提交的工單裡面提到了很多種詐騙帳戶,記錄下來,同時也有很多協力廠商合作;

黑色錢包,就是駭客攻擊的比較積極的錢包;

以及羊毛黨團隊,這樣基於很多的轉帳行為和相關的異常記錄,把這個群體的強關係找出來。

其次是建立惡意網址庫,包括釣魚網站和不安全的網站;

風險合約庫:其中包括一些重名幣,空格幣,風險合約;

安全事件庫:包括歷史安全事件的記錄,和新安全事件的推送。

然後我們還進行了盜幣風險監控,包括新設備提醒,可疑行為提醒 。作為錢包是離用戶資產最近的,很多時候一些行為我們可以監控到,比如錢包在新手機上被導入了,我們認為這點需要提醒使用者;另外一些可疑行為,比如在應該睡覺的時候,你的錢包轉了100個幣可能是有問題的,這個也會提醒用戶。未來可能做更多這些行為的回憶和記錄。

用戶的安全意識教育:包括評測,答題,社區分享。安全意識提高了以後,才能保護資產不受損失。

風控系統如何起作用呢?錢包是離用戶資產最近的,這時候我們就可以做很多事情:

第一個在用戶轉帳的時候,可以做到警告和禁止,當你轉帳的時候就會告訴你這可能是一個詐騙位址;如果我們明確這個地址是詐騙地址,就會禁止你的轉帳,下面會提示用戶不能轉帳;當監控到有可疑的不屬於用戶自己的行為的時候,就會進行提示的推送;

當然最後都是同一個生態,共建安全生態上包括四個舉措,資料共用;與安全機構合作;行業漏洞監控-分析-分享;以及漏洞獎勵計畫。

現在我們可以通過自己的用戶群建立一個比較豐滿的資料庫,也會共用到協力廠商,也會從協力廠商提供的比較好的資料裡面獲取相關資料,積極與其他機構配合,做安全方面的生產,提高用戶認知,對合約一起進行審計;另外就是行業漏洞的監控,基於現有的沉澱的技術,對一些安全博客,知名人士的twitter,等各類可能與安全事件相關的進行監控,做到第一時間給出相關的分析報告。

近期我們會推出漏洞獎勵計畫,當用戶提交比較好的漏洞就會獲得獎勵,我們願意為比較善意的白帽提供比較好的獎勵,希望他們能夠跟我們很好的合作。

演講ppt全文下載:http://8btc.com/doc-view-1936.html