区块链金融

区块链行业安全还处在“裸奔”状态

作者:admin 点击数: 2018-04-26 15:18:27

区块链行业安全还处在“裸奔”状态

最近,安全界知名白帽,清华长三角研究院网安实验室负责人,前乌云社区的联合创始人和首席技术官Blue,以首席安全官的身份正式加盟 imToken,负责 imToken 的产品安全。


乌云社区,以猎捕大型互联网公司漏洞闻名的非营利性社区,在短短几年内实现日均上报漏洞超过100个,聚集了大量的白帽黑客,同时也是大大小小黑客们的学习交流圣地。存在的那几年,乌云“帮助行业完成了一个正向的循环,白帽子发现和报告安全问题,企业修复并披露安全问题,用户了解信息安全从而对企业提出信息安全要求,企业加强信息安全建设和提升白帽子价值,更多的白帽子学习和加入到这个过程。“


除了创办乌云,Blue还是深蓝阅读内容订阅平台创始人,防护云(安全云解决方案)创始人和CTO,Xsser/OldCMS/XF等开源框架作者。给自己起名叫Blue,是因为在他的认知中,蓝色是最“安全”的颜色,“地球是蓝的,宇宙也是蓝的,最清澈的水是蓝色的。”


从合伙创建乌云社区,到加入imToken,Blue的从业经历一直与“安全”这个小众领域有关,他认为,尽管创业本身就意味着存在回报不高的风险,尤其在新生领域,但也正因这一点,他坚信所做的正在改变整个行业,而他们也确实做到了:改变了网络安全从业者的地位,和安全行业在中国的形态。

区块链行业安全还处在“裸奔”状态

加入imToken后,Blue还有一个小目标,通过安全防护的提升增加用户对产品的认同感,通过钱包改变用户对安全的认知,和改变当前用户的区块链资产不安全的现状。


有这样一群白帽黑客,身怀绝技,在善与恶的斗争中选择了保护更大的人群。而区块链行业的安全,需要更多像Blue这样拥有专业技能的安全从业者们来守护。


最近,巴比特跟Blue进行了一次安全主题的面对面的简短对话,以下为部分对话内容:



从乌云社区到imToken


8btc:网络安全防护在国内好像一直是个比较小的话题,你是怎么开始从事安全行业的?


Blue:之前我一直从事技术工作,06年毕业后开始做技术相关研发。那时候人们普遍认为网络从业者存在一个天花板,安全只是一个辅助,并没有很好的就业和发展环境,比如在百度做安全架构师,不可能升到CTO这样的岗位,安全依然是个小众领域。后来我来到北京见到乌云负责人,因此我们就想是不是能够独立出来做一个平台,把白帽子能量聚集起来,给到相关的从业者比较好的突破天花板的机会。

机缘巧合做了一个漏洞报告平台,白帽黑客可以提交漏洞到这个平台然后获得一定奖励,并且提高自己的行业知名度。一两年之后平台已经在行业有非常高的声誉,也间接提升了我们安全从业者的薪资待遇和行业地位,也避免了和企业之间的问题。北京创业结束之后来了杭州,给民生银行以及其他的一些比较大的项目做安全的服务。就是这样一个过程。


8btc:为什么选择在这个时机加入imToken?


Blue:首先我对区块链比较感兴趣,但这个行业如果不进入其中的一家公司,更多是游离在外面,比如我只给一个公司做安全防护,无法接触到核心技术相关的业务,这样就很难提升自身的认知和技术水平。

其次理念上比较认同,去中心化钱包的出发点是区块链上每个人负责各自的资产,而交易所是中心化的,但是从理念上来说,大家的资产安全应当自己能够完全掌控。因此总体来说,第一区块链的领域我比较认可,第二从这个领域也可以第一时间接触到用户,能够从最近的层次做相关的防护工作。从钱包的代码层面去做用户,并且教育用户理解钱包是最根本和贴切的。


8btc:imToken平时会遇到哪些类型的攻击或者安全事件?


Blue:黑客会对服务器进行扫描探测,以及一些DDos攻击,这方面已经做了相关的架构工作来防护这些问题;

另一方面是很多人冒充imToken官方去钓鱼用户,这是目前我们遇到的两方面比较常见的安全上的问题。

8btc:那imToken具体是如何做防护的?


Blue:分几部分,第一个层面是客户端和后面云端的安全审计和防护;第二个层面是用户层面,提高用户自身的安全意识是比较重要的。

需要特别强调的用户层面要注意的几点,绝对不要向任何人泄露自己的私钥;第二就是不要盲目参与投资项目,天上没有掉馅饼;另外的就是一些日常的安全规范。


区块链行业的安全还处在“裸奔”状态


8btc:你对区块链行业的安全现状怎么看?


Blue: 区块链尽管已经存在很长时间,但他在安全方面还是在起步阶段,相当于在裸奔。区块链是一个去中心化的平台,智能合约等各类代码其实都是面向大众公开的,黑客就非常容易看你的源码,然后找到相关漏洞。在此之前各个服务器上运行的代码都是不可见的,可以说是一个黑盒子,黑客想要进行攻击只能不断的去尝试去测试,这个时候很难发现问题,但是区块链行业不一样,全都是公共的开放平台,智能合约放在平台上,这都是完全对外可见的,一旦有问题非常容易暴露。

而且大部分运营开发者都是刚刚进入行业,从业经验不足会更多的暴露相关安全问题。不管是之前的所谓古典互联网时代的安全问题,还是基于区块链的特有的比如智能合约上的安全问题都会比较频繁的暴露出来,这是目前的现状。


总体评价就是区块链安全处在初级阶段,防护能力较弱,还需要一个成长的过程。