从幕后走向台前的区块链,与网络安全缘分几何?
案例一:2018年4月22日,BeautyChain合约出现重大漏洞,黑客通过合约的批量转账方无限生成代币,导致BEC价值几乎归零。
案例二:2018年4月25日,SmartMesh出现类似BEC的重大安全漏洞,损失1.4亿美金。
案例三:2018年7月25日,狼人游戏出现“溢出”漏洞,导致游戏损失60686个EOS。
案例四:2018年9月20日,日本数字货币交易所Zaif宣布遭受黑客攻击,损失5967万美元。其中1959万美元属于该交易所自有资金,其余4007万美元属于客户资金。
案例五:2018年12月3日,Dice3D遭遇黑客攻击,损失10569个EOS。
区块链和网络安全前世有缘
数字世界缺乏信任的问题已经很普遍,比如在没有担保的情况,我们不相信网上的交易。在数字世界证明你就是你、你什么时间干了什么,是一个比较困难的事情。区块链应运而生,正好能解决这些问题,通过它可以建立一个信任链。而某种角度区块链技术也是安全技术的一种衍生的平台, 它可以解决who、 when、what等方面的安全问题。
区块链和网络安全息息相关, 它的核心就是各种安全的算法。区块链有几大特征:不可抵赖性、建立信任链、去中心化等,都是由算法基石构建的堡垒.比如区块链中有一种算法是哈希算法,就是可以用很小的数据代替大的数据,大的数据一改动,小的数据完全变化,并且小的数据没办法推导出大的数。
除了加密算法,区块链还需要一些关键技术来保障,比如:共识机制,分布式账本,智能合约等。利用这些关键技术最后能够构建一个完善的信任链,这些机制可以大大降低成本。
举个例子:对账需要大量的人员,可能是10个人,可能是100个人,而且人还不可靠,不同的人相互不信任,而利用区块链技术就不需要有人进行直接操作,而用机器来代替人,在不断提升可靠性的前提下,还可以大大节省人员数量,这就是建立一种低成本的信任链。
区块链真的安全吗?
区块链体系存在数据层、网络层、激励层、共识层、合约层、业务层六个层面。在安全问题上,每一个层面其实都会涉及到,只要是程序,它就有可能有漏洞。其中,合约层、业务层是区块链架构中安全问题最为频发的部分。
黑客通过DDoS攻击、CC攻击、系统漏洞、代码漏洞、业务流程漏洞、API-Key漏洞等进行攻击和入侵,给区块链项目的管理运营团队及用户造成巨大的经济损失。威胁来源主要包括以下方面:
1.平台可用性风险 通过DDoS攻击、CC攻击、跨站脚本攻击等方式,降低平台的可用性,使平台在一定时间内无法向用户提供服务。
2. 智能合约风险 由于区块链技术不可逆的特点,智能合约一经发布,无法修改,已发布的智能合约一旦发现重大安全漏洞,将严重影响整个项目,甚至导致项目失败。
例如:假设一笔交易一开始看上去是被验证了,然后完成了。这个时候一旦出现漏洞,智能合约就会不断开始重复执行这笔交易。比如说你有一张信用卡,你到一个店里刷了一下,付了200块钱。但如果说在后台有这样的漏洞,你就会不断地刷200块钱,直到把你的卡刷完为止。
3. 平台业务安全风险 利用平台的系统漏洞、源代码漏洞、业务逻辑漏洞等,通过社工、跨站脚本、恶意扫描等方式进行攻击。
在业务层,就好像互联网开始的时候,大量的网站应用,你买票也好,你购物也好,营业厅也好,网银也好,这里面其实也有各种各样的应用漏洞,这就是业务层的漏洞。虽然说区块链是一个分布式的架构,但其实很多的交易所都是中心化的,所谓的中心化,比如说如果是跟比特币有关,一旦黑客入侵,那他就可以把你的币都转走,都可以窃取。之前全球最大的比特币交易所BITFINEX,就发生了一起交易所业务应用层被黑客攻击的案例。
有数据显示,BITFINEX目前近 80%的攻击损失都是基于业务层的攻击所造成的,其损失额度从 2017 年开始呈现出指数上升的趋势,截止到 2018 年第一季度,所暴露的安全事件就已经造成了 8.1 亿美元的损失。所以在我们推进区块链应用的同时也需要考虑衍生出来的新问题。
4. 算力安全威胁 通过挪用设备、篡改配置、物理劫持、系统漏洞入侵等方式,占用甚至破坏算力设备的计算能力,导致设备无法正常提供服务。
区块链可以与网络安全再续前缘
那区块链是不是可以应用于网络安全这个行业,和网络安全其它的一些技术结合,是不是可以产生1+1>2的效果呢?答案是肯定的。
有一个小小的例子,比如说大家经常听到会计发生挪用大额款项,然后很长时间都不知道的事情。原因是什么呢?其实原因很简单,首先因为会计权力很大,其次,这个财务审计在时间上是滞后的。
那么在网络世界里,其实也有一类特权用户,叫“根用户”(root)。特权用户几乎拥有任何权限。普通的用户做某样事情,会有一个日志,这个日志把谁什么时间干了些什么都记录下来。其实这也是一种审计。但是对于特权用户来讲,一种它有可能是没有这个日志,还有一种即使有日志,特权用户也可以把日志删掉。这就神不知鬼不觉,在数字世界里是非常危险的行为。
区块链的技术,怎么来解决这块的痛点呢?就可以这样操作,特权用户每做任何一个行为,就可以直接把这个行为上到区块链。这就做到了不可篡改,不可抵赖,非常美妙地解决了一种监管和审计机制。
区块链未来一方面在网络安全行业会产生一些新的价值和应用,还一个就是区块链和网络安全、大数据、人工智能、云计算一样,它们其实都在各自综合存在于未来数字社会当中,在各个链条当中产生它们最终的产业价值和社会价值。
区块链技术用于网络安全领域
区块链技术凭借其去中心化结构而带来的安全特性,目前已被国外金融、医疗、互联网等领域各大公司用来提升网络安全。具体来看,区块链技术可以在管理和保护用户认证数据、提高网络数据安全、有效阻止DDoS攻击以及增强物联网安全等领域发挥作用。
——管理和保护用户认证数据。美国麻省理工大学推出的虚拟货币CertCoin最先采用了基于区块链的公钥基础设施,摒弃传统中心认证方式,采用公共密钥实现分布式节点之间的互相认证,从而防止网络单点故障。乌克兰公司Ukroboronprom与网络安全公司REMME合作,通过在区块链上管理用户认证相关数据,几乎完全阻断了黑客使用虚假认证消息获取用户身份的可能。
——提高网络数据安全性。全球最大规模的区块链公司Guardtime通过分布节点之间协商来提供区块链上数据的机密性和完整性,实现了爱沙尼亚100万份用户医疗数据的安全性保证。
——有效阻止DDoS攻击。区块链初创公司Nebulis基于区块链的分布式互联网域名系统,只允许授权用户来管理域名,其他公司诸如Blockstack和MaidSafe也开始使用分布式Web技术,替代原有第三方管理Web服务器和数据库的模式,从而阻止网络 DDoS攻击。
——增强物联网安全。通过智能合约模式,区块链一方面可以利用 P2P 网络中的网络设备节点对待接入设备进行鉴权;另一方面可以有效抵挡物联网DDoS攻击。在2016年爆发的Mirai僵尸网络DDos攻击事件中,大规模的物联网设备被入侵,致使大半美国网络瘫痪。在区块链系统中,当某个节点被入侵时,其他设备会检测到该设备异常,并且将其列为异常和不信任节点,从而将其排除。
未来区块链最大的价值是极大地增强了数字社会的信任,这是由它的这套分布式架构、共识机制和它的智能合约的特点,以及网络安全的算法共同产生的这一价值。
文字及图片丨中国蓝新闻公众号等网络整理