區(qū)塊鏈與網(wǎng)絡(luò)安全的“緣”
發(fā)布時(shí)間:2019-12-02
從幕后走向臺(tái)前的區(qū)塊鏈�����,與網(wǎng)絡(luò)安全緣分幾何?
案例一:2018年4月22日����,BeautyChain合約出現(xiàn)重大漏洞,黑客通過(guò)合約的批量轉(zhuǎn)賬方無(wú)限生成代幣����,導(dǎo)致BEC價(jià)值幾乎歸零。
案例二:2018年4月25日���,SmartMesh出現(xiàn)類似BEC的重大安全漏洞����,損失1.4億美金�����。
案例三:2018年7月25日�����,狼人游戲出現(xiàn)“溢出”漏洞��,導(dǎo)致游戲損失60686個(gè)EOS��。
案例四:2018年9月20日,日本數(shù)字貨幣交易所Zaif宣布遭受黑客攻擊��,損失5967萬(wàn)美元��。其中1959萬(wàn)美元屬于該交易所自有資金�,其余4007萬(wàn)美元屬于客戶資金。
案例五:2018年12月3日�����,Dice3D遭遇黑客攻擊�����,損失10569個(gè)EOS���。
區(qū)塊鏈和網(wǎng)絡(luò)安全前世有緣
數(shù)字世界缺乏信任的問(wèn)題已經(jīng)很普遍,比如在沒(méi)有擔(dān)保的情況����,我們不相信網(wǎng)上的交易。在數(shù)字世界證明你就是你���、你什么時(shí)間干了什么�����,是一個(gè)比較困難的事情����。區(qū)塊鏈應(yīng)運(yùn)而生,正好能解決這些問(wèn)題���,通過(guò)它可以建立一個(gè)信任鏈�。而某種角度區(qū)塊鏈技術(shù)也是安全技術(shù)的一種衍生的平臺(tái)�, 它可以解決who、 when��、what等方面的安全問(wèn)題����。
區(qū)塊鏈和網(wǎng)絡(luò)安全息息相關(guān), 它的核心就是各種安全的算法���。區(qū)塊鏈有幾大特征:不可抵賴性���、建立信任鏈、去中心化等��,都是由算法基石構(gòu)建的堡壘.比如區(qū)塊鏈中有一種算法是哈希算法,就是可以用很小的數(shù)據(jù)代替大的數(shù)據(jù)�,大的數(shù)據(jù)一改動(dòng),小的數(shù)據(jù)完全變化��,并且小的數(shù)據(jù)沒(méi)辦法推導(dǎo)出大的數(shù)�����。
除了加密算法����,區(qū)塊鏈還需要一些關(guān)鍵技術(shù)來(lái)保障���,比如:共識(shí)機(jī)制���,分布式賬本,智能合約等���。利用這些關(guān)鍵技術(shù)最后能夠構(gòu)建一個(gè)完善的信任鏈�����,這些機(jī)制可以大大降低成本�。
舉個(gè)例子:對(duì)賬需要大量的人員,可能是10個(gè)人�,可能是100個(gè)人,而且人還不可靠�,不同的人相互不信任,而利用區(qū)塊鏈技術(shù)就不需要有人進(jìn)行直接操作�����,而用機(jī)器來(lái)代替人�,在不斷提升可靠性的前提下,還可以大大節(jié)省人員數(shù)量��,這就是建立一種低成本的信任鏈��。
區(qū)塊鏈真的安全嗎����?
區(qū)塊鏈體系存在數(shù)據(jù)層、網(wǎng)絡(luò)層����、激勵(lì)層、共識(shí)層����、合約層���、業(yè)務(wù)層六個(gè)層面。在安全問(wèn)題上����,每一個(gè)層面其實(shí)都會(huì)涉及到,只要是程序���,它就有可能有漏洞���。其中,合約層�、業(yè)務(wù)層是區(qū)塊鏈架構(gòu)中安全問(wèn)題最為頻發(fā)的部分。
黑客通過(guò)DDoS攻擊����、CC攻擊�����、系統(tǒng)漏洞�����、代碼漏洞、業(yè)務(wù)流程漏洞��、API-Key漏洞等進(jìn)行攻擊和入侵�����,給區(qū)塊鏈項(xiàng)目的管理運(yùn)營(yíng)團(tuán)隊(duì)及用戶造成巨大的經(jīng)濟(jì)損失����。威脅來(lái)源主要包括以下方面:
1.平臺(tái)可用性風(fēng)險(xiǎn) 通過(guò)DDoS攻擊、CC攻擊��、跨站腳本攻擊等方式����,降低平臺(tái)的可用性,使平臺(tái)在一定時(shí)間內(nèi)無(wú)法向用戶提供服務(wù)�。
2. 智能合約風(fēng)險(xiǎn) 由于區(qū)塊鏈技術(shù)不可逆的特點(diǎn),智能合約一經(jīng)發(fā)布�����,無(wú)法修改�,已發(fā)布的智能合約一旦發(fā)現(xiàn)重大安全漏洞�����,將嚴(yán)重影響整個(gè)項(xiàng)目��,甚至導(dǎo)致項(xiàng)目失敗�。
例如:假設(shè)一筆交易一開始看上去是被驗(yàn)證了�����,然后完成了����。這個(gè)時(shí)候一旦出現(xiàn)漏洞,智能合約就會(huì)不斷開始重復(fù)執(zhí)行這筆交易��。比如說(shuō)你有一張信用卡���,你到一個(gè)店里刷了一下�����,付了200塊錢。但如果說(shuō)在后臺(tái)有這樣的漏洞�����,你就會(huì)不斷地刷200塊錢,直到把你的卡刷完為止�。
3. 平臺(tái)業(yè)務(wù)安全風(fēng)險(xiǎn) 利用平臺(tái)的系統(tǒng)漏洞、源代碼漏洞���、業(yè)務(wù)邏輯漏洞等����,通過(guò)社工�����、跨站腳本��、惡意掃描等方式進(jìn)行攻擊���。
在業(yè)務(wù)層�����,就好像互聯(lián)網(wǎng)開始的時(shí)候��,大量的網(wǎng)站應(yīng)用�����,你買票也好���,你購(gòu)物也好��,營(yíng)業(yè)廳也好���,網(wǎng)銀也好,這里面其實(shí)也有各種各樣的應(yīng)用漏洞����,這就是業(yè)務(wù)層的漏洞。雖然說(shuō)區(qū)塊鏈?zhǔn)且粋€(gè)分布式的架構(gòu)����,但其實(shí)很多的交易所都是中心化的,所謂的中心化��,比如說(shuō)如果是跟比特幣有關(guān)�����,一旦黑客入侵�����,那他就可以把你的幣都轉(zhuǎn)走���,都可以竊取���。之前全球最大的比特幣交易所BITFINEX,就發(fā)生了一起交易所業(yè)務(wù)應(yīng)用層被黑客攻擊的案例���。
有數(shù)據(jù)顯示����,BITFINEX目前近 80%的攻擊損失都是基于業(yè)務(wù)層的攻擊所造成的�,其損失額度從 2017 年開始呈現(xiàn)出指數(shù)上升的趨勢(shì),截止到 2018 年第一季度��,所暴露的安全事件就已經(jīng)造成了 8.1 億美元的損失�。所以在我們推進(jìn)區(qū)塊鏈應(yīng)用的同時(shí)也需要考慮衍生出來(lái)的新問(wèn)題。
4. 算力安全威脅 通過(guò)挪用設(shè)備����、篡改配置、物理劫持��、系統(tǒng)漏洞入侵等方式,占用甚至破壞算力設(shè)備的計(jì)算能力��,導(dǎo)致設(shè)備無(wú)法正常提供服務(wù)���。
區(qū)塊鏈可以與網(wǎng)絡(luò)安全再續(xù)前緣
那區(qū)塊鏈?zhǔn)遣皇强梢詰?yīng)用于網(wǎng)絡(luò)安全這個(gè)行業(yè)�����,和網(wǎng)絡(luò)安全其它的一些技術(shù)結(jié)合���,是不是可以產(chǎn)生1+1>2的效果呢?答案是肯定的����。
有一個(gè)小小的例子,比如說(shuō)大家經(jīng)常聽到會(huì)計(jì)發(fā)生挪用大額款項(xiàng)���,然后很長(zhǎng)時(shí)間都不知道的事情����。原因是什么呢�?其實(shí)原因很簡(jiǎn)單,首先因?yàn)闀?huì)計(jì)權(quán)力很大,其次���,這個(gè)財(cái)務(wù)審計(jì)在時(shí)間上是滯后的�。
那么在網(wǎng)絡(luò)世界里����,其實(shí)也有一類特權(quán)用戶����,叫“根用戶”(root)。特權(quán)用戶幾乎擁有任何權(quán)限���。普通的用戶做某樣事情���,會(huì)有一個(gè)日志,這個(gè)日志把誰(shuí)什么時(shí)間干了些什么都記錄下來(lái)���。其實(shí)這也是一種審計(jì)�。但是對(duì)于特權(quán)用戶來(lái)講���,一種它有可能是沒(méi)有這個(gè)日志��,還有一種即使有日志��,特權(quán)用戶也可以把日志刪掉�����。這就神不知鬼不覺��,在數(shù)字世界里是非常危險(xiǎn)的行為�。
區(qū)塊鏈的技術(shù),怎么來(lái)解決這塊的痛點(diǎn)呢����?就可以這樣操作,特權(quán)用戶每做任何一個(gè)行為��,就可以直接把這個(gè)行為上到區(qū)塊鏈�����。這就做到了不可篡改�,不可抵賴,非常美妙地解決了一種監(jiān)管和審計(jì)機(jī)制�����。
區(qū)塊鏈未來(lái)一方面在網(wǎng)絡(luò)安全行業(yè)會(huì)產(chǎn)生一些新的價(jià)值和應(yīng)用,還一個(gè)就是區(qū)塊鏈和網(wǎng)絡(luò)安全��、大數(shù)據(jù)���、人工智能����、云計(jì)算一樣��,它們其實(shí)都在各自綜合存在于未來(lái)數(shù)字社會(huì)當(dāng)中��,在各個(gè)鏈條當(dāng)中產(chǎn)生它們最終的產(chǎn)業(yè)價(jià)值和社會(huì)價(jià)值����。
區(qū)塊鏈技術(shù)用于網(wǎng)絡(luò)安全領(lǐng)域
區(qū)塊鏈技術(shù)憑借其去中心化結(jié)構(gòu)而帶來(lái)的安全特性�,目前已被國(guó)外金融、醫(yī)療���、互聯(lián)網(wǎng)等領(lǐng)域各大公司用來(lái)提升網(wǎng)絡(luò)安全���。具體來(lái)看,區(qū)塊鏈技術(shù)可以在管理和保護(hù)用戶認(rèn)證數(shù)據(jù)���、提高網(wǎng)絡(luò)數(shù)據(jù)安全��、有效阻止DDoS攻擊以及增強(qiáng)物聯(lián)網(wǎng)安全等領(lǐng)域發(fā)揮作用�����。
——管理和保護(hù)用戶認(rèn)證數(shù)據(jù)�。美國(guó)麻省理工大學(xué)推出的虛擬貨幣CertCoin最先采用了基于區(qū)塊鏈的公鑰基礎(chǔ)設(shè)施,摒棄傳統(tǒng)中心認(rèn)證方式�����,采用公共密鑰實(shí)現(xiàn)分布式節(jié)點(diǎn)之間的互相認(rèn)證����,從而防止網(wǎng)絡(luò)單點(diǎn)故障。烏克蘭公司Ukroboronprom與網(wǎng)絡(luò)安全公司REMME合作�,通過(guò)在區(qū)塊鏈上管理用戶認(rèn)證相關(guān)數(shù)據(jù),幾乎完全阻斷了黑客使用虛假認(rèn)證消息獲取用戶身份的可能��。
——提高網(wǎng)絡(luò)數(shù)據(jù)安全性����。全球最大規(guī)模的區(qū)塊鏈公司Guardtime通過(guò)分布節(jié)點(diǎn)之間協(xié)商來(lái)提供區(qū)塊鏈上數(shù)據(jù)的機(jī)密性和完整性,實(shí)現(xiàn)了愛沙尼亞100萬(wàn)份用戶醫(yī)療數(shù)據(jù)的安全性保證����。
——有效阻止DDoS攻擊���。區(qū)塊鏈初創(chuàng)公司Nebulis基于區(qū)塊鏈的分布式互聯(lián)網(wǎng)域名系統(tǒng),只允許授權(quán)用戶來(lái)管理域名��,其他公司諸如Blockstack和MaidSafe也開始使用分布式Web技術(shù)���,替代原有第三方管理Web服務(wù)器和數(shù)據(jù)庫(kù)的模式��,從而阻止網(wǎng)絡(luò) DDoS攻擊�����。
——增強(qiáng)物聯(lián)網(wǎng)安全。通過(guò)智能合約模式�����,區(qū)塊鏈一方面可以利用 P2P 網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)對(duì)待接入設(shè)備進(jìn)行鑒權(quán)���;另一方面可以有效抵擋物聯(lián)網(wǎng)DDoS攻擊���。在2016年爆發(fā)的Mirai僵尸網(wǎng)絡(luò)DDos攻擊事件中�����,大規(guī)模的物聯(lián)網(wǎng)設(shè)備被入侵����,致使大半美國(guó)網(wǎng)絡(luò)癱瘓��。在區(qū)塊鏈系統(tǒng)中�,當(dāng)某個(gè)節(jié)點(diǎn)被入侵時(shí),其他設(shè)備會(huì)檢測(cè)到該設(shè)備異常���,并且將其列為異常和不信任節(jié)點(diǎn)�,從而將其排除�����。
未來(lái)區(qū)塊鏈最大的價(jià)值是極大地增強(qiáng)了數(shù)字社會(huì)的信任��,這是由它的這套分布式架構(gòu)����、共識(shí)機(jī)制和它的智能合約的特點(diǎn),以及網(wǎng)絡(luò)安全的算法共同產(chǎn)生的這一價(jià)值���。
文字及圖片丨中國(guó)藍(lán)新聞公眾號(hào)等網(wǎng)絡(luò)整理
網(wǎng)站首頁(yè) > 新聞中心 > 行業(yè)新聞
