從幕后走向臺前的區(qū)塊鏈,與網(wǎng)絡(luò)安全緣分幾何?
案例一:2018年4月22日,BeautyChain合約出現(xiàn)重大漏洞,黑客通過合約的批量轉(zhuǎn)賬方無限生成代幣,導(dǎo)致BEC價值幾乎歸零。
案例二:2018年4月25日,SmartMesh出現(xiàn)類似BEC的重大安全漏洞,損失1.4億美金。
案例三:2018年7月25日,狼人游戲出現(xiàn)“溢出”漏洞,導(dǎo)致游戲損失60686個EOS。
案例四:2018年9月20日,日本數(shù)字貨幣交易所Zaif宣布遭受黑客攻擊,損失5967萬美元。其中1959萬美元屬于該交易所自有資金,其余4007萬美元屬于客戶資金。
案例五:2018年12月3日,Dice3D遭遇黑客攻擊,損失10569個EOS。
區(qū)塊鏈和網(wǎng)絡(luò)安全前世有緣
數(shù)字世界缺乏信任的問題已經(jīng)很普遍,比如在沒有擔(dān)保的情況,我們不相信網(wǎng)上的交易。在數(shù)字世界證明你就是你、你什么時間干了什么,是一個比較困難的事情。區(qū)塊鏈應(yīng)運而生,正好能解決這些問題,通過它可以建立一個信任鏈。而某種角度區(qū)塊鏈技術(shù)也是安全技術(shù)的一種衍生的平臺, 它可以解決who、 when、what等方面的安全問題。
區(qū)塊鏈和網(wǎng)絡(luò)安全息息相關(guān), 它的核心就是各種安全的算法。區(qū)塊鏈有幾大特征:不可抵賴性、建立信任鏈、去中心化等,都是由算法基石構(gòu)建的堡壘.比如區(qū)塊鏈中有一種算法是哈希算法,就是可以用很小的數(shù)據(jù)代替大的數(shù)據(jù),大的數(shù)據(jù)一改動,小的數(shù)據(jù)完全變化,并且小的數(shù)據(jù)沒辦法推導(dǎo)出大的數(shù)。
除了加密算法,區(qū)塊鏈還需要一些關(guān)鍵技術(shù)來保障,比如:共識機(jī)制,分布式賬本,智能合約等。利用這些關(guān)鍵技術(shù)最后能夠構(gòu)建一個完善的信任鏈,這些機(jī)制可以大大降低成本。
舉個例子:對賬需要大量的人員,可能是10個人,可能是100個人,而且人還不可靠,不同的人相互不信任,而利用區(qū)塊鏈技術(shù)就不需要有人進(jìn)行直接操作,而用機(jī)器來代替人,在不斷提升可靠性的前提下,還可以大大節(jié)省人員數(shù)量,這就是建立一種低成本的信任鏈。
區(qū)塊鏈真的安全嗎?
區(qū)塊鏈體系存在數(shù)據(jù)層、網(wǎng)絡(luò)層、激勵層、共識層、合約層、業(yè)務(wù)層六個層面。在安全問題上,每一個層面其實都會涉及到,只要是程序,它就有可能有漏洞。其中,合約層、業(yè)務(wù)層是區(qū)塊鏈架構(gòu)中安全問題最為頻發(fā)的部分。
黑客通過DDoS攻擊、CC攻擊、系統(tǒng)漏洞、代碼漏洞、業(yè)務(wù)流程漏洞、API-Key漏洞等進(jìn)行攻擊和入侵,給區(qū)塊鏈項目的管理運營團(tuán)隊及用戶造成巨大的經(jīng)濟(jì)損失。威脅來源主要包括以下方面:
1.平臺可用性風(fēng)險 通過DDoS攻擊、CC攻擊、跨站腳本攻擊等方式,降低平臺的可用性,使平臺在一定時間內(nèi)無法向用戶提供服務(wù)。
2. 智能合約風(fēng)險 由于區(qū)塊鏈技術(shù)不可逆的特點,智能合約一經(jīng)發(fā)布,無法修改,已發(fā)布的智能合約一旦發(fā)現(xiàn)重大安全漏洞,將嚴(yán)重影響整個項目,甚至導(dǎo)致項目失敗。
例如:假設(shè)一筆交易一開始看上去是被驗證了,然后完成了。這個時候一旦出現(xiàn)漏洞,智能合約就會不斷開始重復(fù)執(zhí)行這筆交易。比如說你有一張信用卡,你到一個店里刷了一下,付了200塊錢。但如果說在后臺有這樣的漏洞,你就會不斷地刷200塊錢,直到把你的卡刷完為止。
3. 平臺業(yè)務(wù)安全風(fēng)險 利用平臺的系統(tǒng)漏洞、源代碼漏洞、業(yè)務(wù)邏輯漏洞等,通過社工、跨站腳本、惡意掃描等方式進(jìn)行攻擊。
在業(yè)務(wù)層,就好像互聯(lián)網(wǎng)開始的時候,大量的網(wǎng)站應(yīng)用,你買票也好,你購物也好,營業(yè)廳也好,網(wǎng)銀也好,這里面其實也有各種各樣的應(yīng)用漏洞,這就是業(yè)務(wù)層的漏洞。雖然說區(qū)塊鏈?zhǔn)且粋€分布式的架構(gòu),但其實很多的交易所都是中心化的,所謂的中心化,比如說如果是跟比特幣有關(guān),一旦黑客入侵,那他就可以把你的幣都轉(zhuǎn)走,都可以竊取。之前全球最大的比特幣交易所BITFINEX,就發(fā)生了一起交易所業(yè)務(wù)應(yīng)用層被黑客攻擊的案例。
有數(shù)據(jù)顯示,BITFINEX目前近 80%的攻擊損失都是基于業(yè)務(wù)層的攻擊所造成的,其損失額度從 2017 年開始呈現(xiàn)出指數(shù)上升的趨勢,截止到 2018 年第一季度,所暴露的安全事件就已經(jīng)造成了 8.1 億美元的損失。所以在我們推進(jìn)區(qū)塊鏈應(yīng)用的同時也需要考慮衍生出來的新問題。
4. 算力安全威脅 通過挪用設(shè)備、篡改配置、物理劫持、系統(tǒng)漏洞入侵等方式,占用甚至破壞算力設(shè)備的計算能力,導(dǎo)致設(shè)備無法正常提供服務(wù)。
區(qū)塊鏈可以與網(wǎng)絡(luò)安全再續(xù)前緣
那區(qū)塊鏈?zhǔn)遣皇强梢詰?yīng)用于網(wǎng)絡(luò)安全這個行業(yè),和網(wǎng)絡(luò)安全其它的一些技術(shù)結(jié)合,是不是可以產(chǎn)生1+1>2的效果呢?答案是肯定的。
有一個小小的例子,比如說大家經(jīng)常聽到會計發(fā)生挪用大額款項,然后很長時間都不知道的事情。原因是什么呢?其實原因很簡單,首先因為會計權(quán)力很大,其次,這個財務(wù)審計在時間上是滯后的。
那么在網(wǎng)絡(luò)世界里,其實也有一類特權(quán)用戶,叫“根用戶”(root)。特權(quán)用戶幾乎擁有任何權(quán)限。普通的用戶做某樣事情,會有一個日志,這個日志把誰什么時間干了些什么都記錄下來。其實這也是一種審計。但是對于特權(quán)用戶來講,一種它有可能是沒有這個日志,還有一種即使有日志,特權(quán)用戶也可以把日志刪掉。這就神不知鬼不覺,在數(shù)字世界里是非常危險的行為。
區(qū)塊鏈的技術(shù),怎么來解決這塊的痛點呢?就可以這樣操作,特權(quán)用戶每做任何一個行為,就可以直接把這個行為上到區(qū)塊鏈。這就做到了不可篡改,不可抵賴,非常美妙地解決了一種監(jiān)管和審計機(jī)制。
區(qū)塊鏈未來一方面在網(wǎng)絡(luò)安全行業(yè)會產(chǎn)生一些新的價值和應(yīng)用,還一個就是區(qū)塊鏈和網(wǎng)絡(luò)安全、大數(shù)據(jù)、人工智能、云計算一樣,它們其實都在各自綜合存在于未來數(shù)字社會當(dāng)中,在各個鏈條當(dāng)中產(chǎn)生它們最終的產(chǎn)業(yè)價值和社會價值。
區(qū)塊鏈技術(shù)用于網(wǎng)絡(luò)安全領(lǐng)域
區(qū)塊鏈技術(shù)憑借其去中心化結(jié)構(gòu)而帶來的安全特性,目前已被國外金融、醫(yī)療、互聯(lián)網(wǎng)等領(lǐng)域各大公司用來提升網(wǎng)絡(luò)安全。具體來看,區(qū)塊鏈技術(shù)可以在管理和保護(hù)用戶認(rèn)證數(shù)據(jù)、提高網(wǎng)絡(luò)數(shù)據(jù)安全、有效阻止DDoS攻擊以及增強(qiáng)物聯(lián)網(wǎng)安全等領(lǐng)域發(fā)揮作用。
——管理和保護(hù)用戶認(rèn)證數(shù)據(jù)。美國麻省理工大學(xué)推出的虛擬貨幣CertCoin最先采用了基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施,摒棄傳統(tǒng)中心認(rèn)證方式,采用公共密鑰實現(xiàn)分布式節(jié)點之間的互相認(rèn)證,從而防止網(wǎng)絡(luò)單點故障。烏克蘭公司Ukroboronprom與網(wǎng)絡(luò)安全公司REMME合作,通過在區(qū)塊鏈上管理用戶認(rèn)證相關(guān)數(shù)據(jù),幾乎完全阻斷了黑客使用虛假認(rèn)證消息獲取用戶身份的可能。
——提高網(wǎng)絡(luò)數(shù)據(jù)安全性。全球最大規(guī)模的區(qū)塊鏈公司Guardtime通過分布節(jié)點之間協(xié)商來提供區(qū)塊鏈上數(shù)據(jù)的機(jī)密性和完整性,實現(xiàn)了愛沙尼亞100萬份用戶醫(yī)療數(shù)據(jù)的安全性保證。
——有效阻止DDoS攻擊。區(qū)塊鏈初創(chuàng)公司Nebulis基于區(qū)塊鏈的分布式互聯(lián)網(wǎng)域名系統(tǒng),只允許授權(quán)用戶來管理域名,其他公司諸如Blockstack和MaidSafe也開始使用分布式Web技術(shù),替代原有第三方管理Web服務(wù)器和數(shù)據(jù)庫的模式,從而阻止網(wǎng)絡(luò) DDoS攻擊。
——增強(qiáng)物聯(lián)網(wǎng)安全。通過智能合約模式,區(qū)塊鏈一方面可以利用 P2P 網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備節(jié)點對待接入設(shè)備進(jìn)行鑒權(quán);另一方面可以有效抵擋物聯(lián)網(wǎng)DDoS攻擊。在2016年爆發(fā)的Mirai僵尸網(wǎng)絡(luò)DDos攻擊事件中,大規(guī)模的物聯(lián)網(wǎng)設(shè)備被入侵,致使大半美國網(wǎng)絡(luò)癱瘓。在區(qū)塊鏈系統(tǒng)中,當(dāng)某個節(jié)點被入侵時,其他設(shè)備會檢測到該設(shè)備異常,并且將其列為異常和不信任節(jié)點,從而將其排除。
未來區(qū)塊鏈最大的價值是極大地增強(qiáng)了數(shù)字社會的信任,這是由它的這套分布式架構(gòu)、共識機(jī)制和它的智能合約的特點,以及網(wǎng)絡(luò)安全的算法共同產(chǎn)生的這一價值。
文字及圖片丨中國藍(lán)新聞公眾號等網(wǎng)絡(luò)整理