ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

区块链资讯巴比特2018-04-20 20:52:35  阅读 -评论 1  阅读原文

说起区块链最薄弱的环节,其中之一就是安全。

最近,安全界知名白帽,清华长三角研究院网安实验室负责人,前乌云社区的联合创始人和首席技术官Blue,以首席安全官的身份正式加盟 imToken,负责 imToken 的产品安全。

乌云社区,以猎捕大型互联网公司漏洞闻名的非营利性社区,在短短几年内实现日均上报漏洞超过100个,聚集了大量的白帽黑客,同时也是大大小小黑客们的学习交流圣地。存在的那几年,乌云“帮助行业完成了一个正向的循环,白帽子发现和报告安全问题,企业修复并披露安全问题,用户了解信息安全从而对企业提出信息安全要求,企业加强信息安全建设和提升白帽子价值,更多的白帽子学习和加入到这个过程。“

除了创办乌云,Blue还是深蓝阅读内容订阅平台创始人,防护云(安全云解决方案)创始人和CTO,Xsser/OldCMS/XF等开源框架作者。给自己起名叫Blue,是因为在他的认知中,蓝色是最“安全”的颜色,“地球是蓝的,宇宙也是蓝的,最清澈的水是蓝色的。”

从合伙创建乌云社区,到加入imToken,Blue的从业经历一直与“安全”这个小众领域有关,他认为,尽管创业本身就意味着存在回报不高的风险,尤其在新生领域,但也正因这一点,他坚信所做的正在改变整个行业,而他们也确实做到了:改变了网络安全从业者的地位,和安全行业在中国的形态。

加入imToken后,Blue还有一个小目标,通过安全防护的提升增加用户对产品的认同感,通过钱包改变用户对安全的认知,和改变当前用户的区块链资产不安全的现状。

有这样一群白帽黑客,身怀绝技,在善与恶的斗争中选择了保护更大的人群。而区块链行业的安全,需要更多像Blue这样拥有专业技能的安全从业者们来守护。

最近,巴比特跟Blue进行了一次安全主题的面对面的简短对话,以下为部分对话内容:

从乌云社区到imToken

8btc:网络安全防护在国内好像一直是个比较小的话题,你是怎么开始从事安全行业的?

Blue:之前我一直从事技术工作,06年毕业后开始做技术相关研发。那时候人们普遍认为网络从业者存在一个天花板,安全只是一个辅助,并没有很好的就业和发展环境,比如在百度做安全架构师,不可能升到CTO这样的岗位,安全依然是个小众领域。后来我来到北京见到乌云负责人,因此我们就想是不是能够独立出来做一个平台,把白帽子能量聚集起来,给到相关的从业者比较好的突破天花板的机会。

机缘巧合做了一个漏洞报告平台,白帽黑客可以提交漏洞到这个平台然后获得一定奖励,并且提高自己的行业知名度。一两年之后平台已经在行业有非常高的声誉,也间接提升了我们安全从业者的薪资待遇和行业地位,也避免了和企业之间的问题。北京创业结束之后来了杭州,给民生银行以及其他的一些比较大的项目做安全的服务。就是这样一个过程。

8btc:为什么选择在这个时机加入imToken?

Blue:首先我对区块链比较感兴趣,但这个行业如果不进入其中的一家公司,更多是游离在外面,比如我只给一个公司做安全防护,无法接触到核心技术相关的业务,这样就很难提升自身的认知和技术水平。

其次理念上比较认同,去中心化钱包的出发点是区块链上每个人负责各自的资产,而交易所是中心化的,但是从理念上来说,大家的资产安全应当自己能够完全掌控。因此总体来说,第一区块链的领域我比较认可,第二从这个领域也可以第一时间接触到用户,能够从最近的层次做相关的防护工作。从钱包的代码层面去做用户,并且教育用户理解钱包是最根本和贴切的。

8btc:imToken平时会遇到哪些类型的攻击或者安全事件?

Blue:黑客会对服务器进行扫描探测,以及一些DDos攻击,这方面已经做了相关的架构工作来防护这些问题;
另一方面是很多人冒充imToken官方去钓鱼用户,这是目前我们遇到的两方面比较常见的安全上的问题。

8btc:那imToken具体是如何做防护的?

Blue:分几部分,第一个层面是客户端和后面云端的安全审计和防护;第二个层面是用户层面,提高用户自身的安全意识是比较重要的。

需要特别强调的用户层面要注意的几点,绝对不要向任何人泄露自己的私钥;第二就是不要盲目参与投资项目,天上没有掉馅饼;另外的就是一些日常的安全规范。

区块链行业的安全还处在“裸奔”状态

8btc:你对区块链行业的安全现状怎么看?

Blue: 区块链尽管已经存在很长时间,但他在安全方面还是在起步阶段,相当于在裸奔。区块链是一个去中心化的平台,智能合约等各类代码其实都是面向大众公开的,黑客就非常容易看你的源码,然后找到相关漏洞。在此之前各个服务器上运行的代码都是不可见的,可以说是一个黑盒子,黑客想要进行攻击只能不断的去尝试去测试,这个时候很难发现问题,但是区块链行业不一样,全都是公共的开放平台,智能合约放在平台上,这都是完全对外可见的,一旦有问题非常容易暴露。

而且大部分运营开发者都是刚刚进入行业,从业经验不足会更多的暴露相关安全问题。不管是之前的所谓古典互联网时代的安全问题,还是基于区块链的特有的比如智能合约上的安全问题都会比较频繁的暴露出来,这是目前的现状。

总体评价就是区块链安全处在初级阶段,防护能力较弱,还需要一个成长的过程。

8btc:有人说“区块链可能时有史以来黑客最关注的一个领域”,为什么这么说?

Blue:因为区块链的安全漏洞与用户资产直接相关,其他行业可能是获取数据,比如用户的一些使用习惯和隐私等,获取了这些数据不会有直接的危害;而区块链相关的漏洞可能是拿到了用户的账户和私钥,可以直接把地址里面的资产全部拿走,因此黑客当然非常关注。

区块链的安全防护是多维的

8btc:在这行盗币丢币的事情太多了,尤其是交易所被盗,随着更多安全专家的加入有可能避免吗?

Blue:百分之百的安全是不存在的。区块链行业,交易所被盗和丢币事件时有发生,无法真正避免。比如前段时间比较受关注的某知名交易所受到黑客攻击这个事件,首先作为全球数一数二的交易所肯定会受到很多攻击,他们当时事后的风控处理也是比较得当的,至少黑客在该交易所没有得到好处,当然如果黑客通过其他的金融手段,比如影响了行情获得好处这是另一方面。

因此区块链的安全防护可能是多维的,不是单纯的防护自身的服务器这么简单,还涉及到如用户手机应用自身的防护,以及对安全事件的提醒和用户安全意识的提高。安全生态的构建是一个长期的过程。

关于“选择”的话题

8btc:黑与白的对抗一直存在,对这群白帽黑客来说,时常面临选择。比如我作为一个黑客,既然发现了漏洞,涉及比较大的资产的,既然暗地里的操作有利可图为什么还会昭告天下?

Blue:这是一个关于“选择”的话题。前两年的时候,比如企业开展一个活动,提一个漏洞奖励三万块钱,但是假设说这是个电商的软件,他这个漏洞放到黑市上去卖可能有几百万。那我自己来说,第一提交到平台上对我而言是一个比较好的成长和提升,有了行业积累,隐性的东西我们得到的会更多,认同感和荣誉感远远比这几百万价值大。

当然也有黑客会做出相反的选择,这很正常,当100万和3万放在一起来比较衡量,天平肯定是不平衡的。但是有平台,有整个行业,带来的隐性价值,让他意识到3背后的远远比100更多。

就比如现在黑客发现了一个智能合约的漏洞他上报了,第一时间不能想去打击,而是给到曝光和更好的行业地位。这是整个生态的问题。因此确实需要给白帽子更多的尊重,有更多的正面引导,这样才能形成正向循环。

下附Blue在chainge技术沙龙,安全主题专场的演讲内容,主要提到了imToken是如何构建风控系统保障用户资产安全的,巴比特进行了原意不变的删改:

ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

我今天主要针对用户方面,如何帮助用户提高安全思想,我们风控系统的目的就是最大可能保护数字资产。从以下几个方面,先讲一些常见的被盗币的案例,

ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

密钥存储在备忘录里,开启了iCloud同步,被盗;
使用云笔记工具记录助记词,被盗;
助记词截图保存在相册里,被盗;
在网站上输入密钥或助记词,被盗;
淘宝购买Apple ID,被盗; 邮件传输密钥,被盗;
跟朋友喝酒,炫耀自己的币,被盗;
未做备份,手机遗失,丢币;
……
诸如此类的丢币被盗事件数不胜数。

下面讲一讲我们在用户互动方面做了什么事情来加强用户钱包的安全:

首先建立了恶意钱包地址库,包括:诈骗钱包,我们检测到网上以及用户提交的工单里面提到了很多种诈骗账户,记录下来,同时也有很多第三方合作;
黑色钱包,就是黑客攻击的比较积极的钱包;
以及羊毛党团队,这样基于很多的转账行为和相关的异常记录,把这个群体的强关系找出来。

其次是建立恶意网址库,包括钓鱼网站和不安全的网站;

风险合约库:其中包括一些重名币,空格币,风险合约;

ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

安全事件库:包括历史安全事件的记录,和新安全事件的推送。

然后我们还进行了盗币风险监控,包括新设备提醒,可疑行为提醒 。作为钱包是离用户资产最近的,很多时候一些行为我们可以监控到,比如钱包在新手机上被导入了,我们认为这点需要提醒用户;另外一些可疑行为,比如在应该睡觉的时候,你的钱包转了100个币可能是有问题的,这个也会提醒用户。未来可能做更多这些行为的回忆和记录。

ImToken首席安全官Blue:区块链行业安全还处在“裸奔”状态

用户的安全意识教育:包括评测,答题,社区分享。安全意识提高了以后,才能保护资产不受损失。

风控系统如何起作用呢?钱包是离用户资产最近的,这时候我们就可以做很多事情:

第一个在用户转账的时候,可以做到警告和禁止,当你转账的时候就会告诉你这可能是一个诈骗地址;如果我们明确这个地址是诈骗地址,就会禁止你的转账,下面会提示用户不能转账;当监控到有可疑的不属于用户自己的行为的时候,就会进行提示的推送;

当然最后都是同一个生态,共建安全生态上包括四个举措,数据共享;与安全机构合作;行业漏洞监控-分析-分享;以及漏洞奖励计划。

现在我们可以通过自己的用户群建立一个比较丰满的数据库,也会共享到第三方,也会从第三方提供的比较好的数据里面获取相关数据,积极与其他机构配合,做安全方面的生产,提高用户认知,对合约一起进行审计;另外就是行业漏洞的监控,基于现有的沉淀的技术,对一些安全博客,知名人士的twitter,等各类可能与安全事件相关的进行监控,做到第一时间给出相关的分析报告。

近期我们会推出漏洞奖励计划,当用户提交比较好的漏洞就会获得奖励,我们愿意为比较善意的白帽提供比较好的奖励,希望他们能够跟我们很好的合作。

演讲ppt全文下载:http://8btc.com/doc-view-1936.html

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

    参与讨论 (1 人参与讨论)

    相关推荐

    中信银行打造“区块链”信用证结算!

    中信银行打造“区块链”信用证结算!

    科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

    中国信息技术部门成立区块链研究实验室

    中国信息技术部门成立区块链研究实验室

    暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

     分布式账本中的生命科学

    分布式账本中的生命科学

    生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

    区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

    区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

    东京电力公司 (TEPCO) 对于能源过度中心化的风险可以说绝不陌生。 也许最著名的就是2011年发生的福岛核电站事故,这个日本最大的能源公司如今正在寻求区块链技术来防止这种灾难再次发生。 然而,从使用微型风车的分布式风力发电到用于存储在电力成本低时购买的电力的智能电池,可替代能源项目一直以来都属于个人慈善事业。 然而,TEPCO风险投资部门主管Jeffrey Char认为区块链能够帮助为这

    继证监会发表代币发行声明之后,香港交易所Gatecoin将下线部分ICO币

    继证监会发表代币发行声明之后,香港交易所Gatecoin将下线部分ICO币

    经过一系列监管以及合规审查后,香港交易所Gatecoin将会下线那些被金融监管部门定性为"证券"的代币。 香港加密货币交易所Gatecoin透露,如果在该平台交易的ICO代币在法律上符合"证券"定义,他们就会下线这些代币。据巴比特上月报道,香港主要的金融监管部门证券及期货事务监察委员会(SFC)表达了对ICO这种日渐普及的募资模式的担忧。 尽管ICO中售卖的数字代币通常都被定义为虚拟商品,但

    IBM与超级账本共同加入去中心化身份基金会(DIF),推动创建区块链ID行业标准

    IBM与超级账本共同加入去中心化身份基金会(DIF),推动创建区块链ID行业标准

    IBM与超级账本已经签署协议加入去中心化身份基金会(DIF),这个于今年初成立的联盟旨在帮助推动基于区块链的ID系统的互操作性和标准。 这两个企业区块链大佬加入了这个有各种企业组成的团体,其中包括像微软和埃森哲这样的大企业,还有像Civic和Gem这样的创业公司,以及像uPort和Sovrin这样的开源项目。 DIF执行主管告诉Coindesk说: "这应该是一个信号,表明在这一领域有广泛的

    为打击人口贩卖,牙买加警方盯上了犯罪分子的比特币钱包

    为打击人口贩卖,牙买加警方盯上了犯罪分子的比特币钱包

    作为打击人口贩卖计划的一部分,牙买加警方已经开始行动,锁定了那些试图用比特币和数字支付来掩人耳目的犯罪分子。 越来越多的人口贩卖者都开始转向数字货币来帮助他们进行地下活动并接收非法活动所得,但牙买加警方已经盯上他们了。 牙买加的'大生意' 不幸的是,人口贩卖以及性奴市场规模十分庞大,预计涉资1500亿美元。在牙买加,大约有7000个妇女、儿童以及成年男性被奴役,他们的操控者出售奴役服务的价格

    深圳市将发布《深圳市扶持金融业发展若干措施》,奖励区块链、数字货币等金融创新

    10月9日,深圳市人民政府向各区人民政府,市政府直属各单位印发《深圳市扶持金融业发展若干措施》(以下简称"《若干措施》")。深圳市政府表示,此举是为进一步完善金融支持政策体系,吸引集聚优质金融资源,推动全市金融业可持续均衡发展,加快建设国际化金融创新中心。 《若干措施》共分五大项,33条。内容包括:坚持服务导向,优化金融政策环境;发展金融总部经济,鼓励金融总部企业做大做强;支持金融企业分支机构

    麦妖榜
    更新日期 2019-09-03
    排名用户贡献值
    1牛市来了30910
    2BitettFan24187
    3等待的宿命23810
    4区块大康20369
    5六叶树20310
    6linjm122719429
    7天下无双16192
    8lizhen00215280
    9让时间淡忘14586
    10yelanyi050511349
    返回顶部 ↑