這周區塊鏈行業都發生了哪些大事啊?
知乎
如何看待eos主網上線前夕爆出大型安全漏洞?
謝邀
我就只從安全形度來談這件事。漏洞對於一個項目來說是很正常,項目的開發就是在不斷的發現Bug再修復Bug。
但是!區塊鏈行業對於漏洞的寬容程度,就沒那麼高了。可能只是一行代碼事,就可能造成難以想像的經濟損失。具體例子參見美蜜幣...今年四月,BEC因為智能合約出現重大漏洞而遭到黑客攻擊,BEC憑空蒸發了10億美元,最後價值幾乎歸零。一舉將智能合約送入2018區塊鏈行業安全事故經濟損失榜首。
2018年易受攻擊點帶來的經濟損失分析 數據來源:區塊鏈安全網
EOS能在主網上線之前發現已經是很好的結果了。
所以啊!代碼一定要測試啊!代碼一定要review啊!代碼審計!智能合約安全審計了解一下!
中國互聯網有哪些黑色產業鏈?
如果有10%的利潤,黑客就保證不會消停;如果有20%的利潤,黑客就會異常活躍;如果有50%的利潤,黑客就會鋌而走險;為了100%的利潤,黑客就敢踐踏一切人間法律。——《安全簡史》
馬克思在《資本論》里寫下的一句話在《安全簡史》里被修改來描述黑客。而這句話非常準確的描述了黑客和黑產的瘋狂和暴利。
關於黑產,我們可以先從最近的新聞來簡單了解一下:
用戶外賣信息「黑產」:你的隱私只值1毛錢
黑客入侵併加密企業伺服器 囂張留言勒索金額近40萬
預警:又一資料庫遭黑客勒索 全球2.6萬台伺服器被感染
中國「網路黑產」規模達到千億級別 網路安全亟待多維度防禦體系
黑產早已涉及到了各行各業,很多企業乃至個人都有被黑客勒索或入侵過的經歷。可能是你的手機被控制,也有可能是你的電腦被鎖定,企業的資料庫更是黑客最愛光顧的地方。黑產從上游到下游有一條完整的產業鏈,手機黑卡、撞庫數據、惡意流量這些都是黑產產業鏈中的一環,下面們就來進一步了解黑產主要是做什麼的。
1. 數據盜取
黑客通過一些攻擊段入侵網站、資料庫、客戶端盜取數據信息,然後在被盜數據中篩查受害者身份驗證憑證、個人信息和財務信息。將信息儲存起來為下一步攻擊做準備(存入自己的社工庫),或者直接賣了賺錢。這些數據通常會建立成一個數據清單,然後被批量售賣。信息越「新鮮」,黑市上售越高。
2. 勒索
去年全球爆發的勒索病毒,讓很多人對黑客勒索有了全新的認識。
相信大家對這個頁面已經非常熟悉了
臭名昭著的WannaCry在全球造成了超過80億美元的損失,以及後續爆出的BadRabbit和Notpetya等勒索病毒都是通過永恆之藍漏洞進行傳播。永恆之藍利用SMB伺服器的漏洞ms17-010,而該漏洞實際在2017年3月已經由微軟發布了更新補丁,但由於種種原因未能即使更新,為後面的勒索軟體爆發埋下了導火索。
相關時間線
3. 薅羊毛
大家可千萬不要小看薅羊毛!黑產薅起羊毛來,羊都能給薅禿嚕皮。羊毛黨危害在於使得互聯網公司的推廣難以正常進行。並且薅羊毛門檻極低,規模已經大到足以稱之為一個行業。薅羊毛行業緊緊依附互聯網行業,與互聯網行業的以等同的速度發展。而通常黑產羊毛黨們的手段如下:
惡意賬號註冊團伙通過控制肉雞、虛假身份、軟體腳本等手段批量註冊賬號,使得出現大量虛假流量;
通過撞庫、拖庫、盜號等手段盜取用戶賬號信息;
在營銷活動中,羊毛黨通過控制批量賬號、刷獎軟體等手段刷取活動獎勵,造成平台營銷資源損失。
4.挖礦木馬
在數字貨幣增長的熱潮中,黑產也看到了商機,紛紛投入到挖礦事業中。挖礦的技術也是不斷的更新,黑產們從廣撒網投放挖礦木馬的方式,逐步轉向一些高性能的Web伺服器設備。
在2017年的一年裡,比特幣增值近20倍
2017年4月我們在對Mesos框架進行研究的過程中,我們發現相關容器管理平台資源已經被用於挖礦。2017年11月,DNN遠程命令執行漏洞被用於感染挖礦程序,被感染主機繼續通過永恆之藍漏洞在內網感染。同年12月,在利用Weblogic漏洞挖礦事件後,通過我們內部的「煉妖壺」項目捕捉到的流量,我們還發現利用多種漏洞交叉感染的挖礦手法...
電腦被植入來挖礦木馬怎麼辦?這篇文章或許能幫到你:木馬來襲,今天你被挖礦了嗎?
結語
不管是個人還是企業,一定要重視網路安全。特別是企業,往往一個漏洞的疏忽會造成巨大的損失。千萬不要天真的以為黑客不會找上門來...
現在區塊鏈技術有哪些技術風險?
就目前來說區塊鏈底層技術是比較靠譜的,但是,問題就出在了除了最底層原理的其他地方,如:區塊鏈應用平台(即交易平台)、智能合約、共識機智和用戶自身。
並且從歷史的安全事件來看,以上這四個風險,就佔據了目前絕大部分的損失。
數據時間為2011年至2018年4月30日 圖源:白帽匯安全研究院《區塊鏈產業安全分析報告》
就一般情況而言,區塊鏈系統是由數據層、網路層、共識層、激勵層、合約層和業務層組成。而黑客會選擇其中保護相對薄弱的數據層、網路層、共識層、擴展層和業務層來進行攻擊。
因此區塊鏈安全生態就會顯得更為複雜,單一的安全防護已經不能滿足需求。面對這些問題應用平台會需要DDoS防禦、滲透測試、Web防火牆等安全防護措施。除了平台之外,用戶自身和礦池平台也應該提高安全意識,在薄弱環節布置相應的防禦措施。
區塊鏈2.0以後提出的智能合約,讓區塊鏈應用更具便捷性和拓展性。然而隨之而來的是越來越多的安全漏洞,大大增加了被攻擊的風險,因此智能合約審計就顯得十分重要。就今年目前來看,智能合約已經穩坐經濟損失第一。(美蜜幣為智能合約貢獻了大頭...)
2018年易受攻擊點帶來的經濟損失分析 數據來源:區塊鏈安全網
最後用一句話來總結吧:「區塊鏈可以改變世界,但確保其成功的唯一途徑就是安全。」
什麼是智能合約?
智能合約是什麼?
智能合約並不是一個新的概念,早在1995年就由跨領域法律學者尼克薩博提出,是對現實中的合約條款執行電子化的量化交易協議。智能合約設計的總體目標是滿足常見的合約條件(如支付條款、留置權、機密性以及執行等),以及最大程度地減少惡意和偶然地異常,最大限度地減少對可信中介的依賴。智能合約已經在電子投票和供應鏈管理等很多領域得到應用,且前景廣闊。
基於區塊鏈的智能合約
本質上來說,智能合約是一段程序,它以計算機指令的方式實現了傳統合約的自動化處理。簡單講,智能合約就是雙方在區塊鏈資產上交易時,觸發執行的一段代碼,這段代碼就是智能合約。「智能合約程序不只是一個可以自動執行的計算機程序,它本身就是一個系統參與者,對接收到的信息進行回應,可以接收和儲存價值,也可以向外發送信息和價值。這個程序就像一個可以被信任的人,可以臨時保管資產,總是按照事先的規則執行操作。」
簡單的來說就是,你可以提前規定好合約的內容,當在滿足觸發合約條件的時候,程序就會自動執行合約內容。
「智能合約的工作理論遲遲沒有實現,一個重要原因是因為缺乏能夠支持可編程合約的數字系統和技術。區塊鏈技術的出現解決了該問題,不僅可以支持可編程合約,而且具有去中心化、不可篡改、過程透明可追蹤等優點,天然適合於智能合約。因此,也可以說,智能合約是區塊鏈技術的特性之一」
摘錄來自: 「區塊鏈:從數字貨幣到信用社會」。
基於區塊鏈的智能合約優勢
區塊鏈2.0以後提出的智能合約,讓區塊鏈應用更具便捷性和拓展性。主要優勢體現如下:
1.將合約以數字化的形式寫入區塊鏈中,因區塊鏈的特性,數據將無法刪除、修改,只能新增,整個過程透明可跟蹤,保證了歷史的可追溯性;
2.因行為將被永久記錄,可極大程度避免惡意行為對合約正常執行的干擾;
3.去中心化,避免了中心化因素的影響,提高智能合約在成本效率方面的優勢;
4.當滿足合約內容時,將自動啟動智能合約的代碼,既避免了手動過程,同時又保障了發行者無法違約;
5.由區塊鏈自帶的共識演算法構建出一套狀態機系統,使得智能合約能夠高效地運行。
智能合約安全嗎?
然而,對於智能合約這項新技術而言,其本身也存在一定的安全風險。目前智能合約已經發生過重大安全事件,黑客手法是利用漏洞入侵系統,進而對智能合約用戶造成巨大損失。其中較為嚴重的兩大事件有:
Bitfinex在8月2日凌晨發布公告,發現了安全漏洞。該漏洞導致bitfinex全面停止交易,這將導致每位用戶的賬戶平均損失36%。
黑客智能合約存在的漏洞攻擊The Dao,造成價值逾5000萬美元的損失。ETH市場價格從記錄高位21.50美元跌至15.28美元。
目前智能合約存在的四大安全風險:
隱私泄露:智能合約對區塊鏈上的所有用戶可見,包括但不限於標記為private的資源,存在造成隱私信息泄露的風險。
交易溢出與異常:由於智能合約本身的約束條件,如條件競爭、交易順序依賴等,可能會造成交易溢出與異常。
合約故障:由於智能合約代碼中可能存在不合理的故障處理機制,從而導致異常行為。
拒絕服務:由於各種原因導致的拒絕服務風險。
如何保障智能合約的安全性?
智能合約這項新技術充滿了安全挑戰,所以對智能合約進行大量的白盒審計是非常必要的。通過智能合約審計來確保合約的安全性,並確保所有合約得到高效的執行。針對以上四大問題我們提出了四大解決方案:
?????函數可見性審核,包括:敏感函數繼承許可權檢測和函數調用許可權檢測。
合約限制繞過審核,包括:使合約失效,刪除地址位元組碼和將所有合約資金髮送到一個目標地址。
調用棧耗盡審核,包括:檢測棧高度限制,是否出現棧耗盡情況。
拒絕服務審核,包括:過多貨幣交易發生異常,導致交易回滾,最終導致合約拒絕服務。?????
知道創宇深耕區塊鏈安全,多年以來一直從事相關技術領域的研究工作,熟悉全業務線的安全防護。針對目前主流的以太坊應用,知道創宇提供專業權威的智能合約審計服務,規避因合約安全問題導致的財產損失。
CC攻擊防護有挑戰,那麼加了密的CC攻擊--HTTPS SSL CC有多難?
由於CC攻擊成本低、威力大,我們的安全專家組發現80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗,網站癱瘓;CPU、內存利用率飆升,主機癱瘓;瞬間快速打擊,無法快速響應。
CC攻擊是目前應用層攻擊的主要手段之一,藉助代理伺服器生成指向目標系統的合法請求,實現偽裝和DDoS。我們都有這樣的體驗,訪問一個靜態頁面,即使人多也不需要太長時間,但如果在高峰期訪問論壇、貼吧等,那就很慢了,因為伺服器系統需要到資料庫中判斷訪問者否有讀帖、發言等許可權。訪問的人越多,論壇的頁面越多,資料庫壓力就越大,被訪問的頻率也越高,佔用的系統資源也就相當可觀。
CC攻擊就充分利用了這個特點,模擬多個正常用戶不停地訪問如論壇這些需要大量數據操作的頁面,造成伺服器資源的浪費,CPU長時間處於100%,永遠都有處理不完的請求,網路擁塞,正常訪問被中止。這種攻擊技術性含量高,見不到真實源IP,見不到特別大的異常流量,但伺服器就是無法進行正常連接。
之所以選擇代理伺服器是因為代理可以有效地隱藏自己的身份,也可以繞開防火牆,因為基本上所有的防火牆都會檢測並發的TCP/IP連接數目,超過一定數目一定頻率就會被認為是Connection-Flood。當然也可以使用肉雞來發動CC攻擊,攻擊者使用CC攻擊軟體控制大量肉雞發動攻擊,肉雞可以模擬正常用戶訪問網站的請求偽造成合法數據包,相比前者來說更難防禦。
CC攻擊是針對Web服務在第七層協議發起的攻擊,在越上層協議上發動DDoS攻擊越難以防禦,上層協議與業務關聯愈加緊密,防禦系統面臨的情況也會更複雜。比如CC攻擊中最重要的方式之一HTTP Flood,不僅會直接導致被攻擊的Web前端響應緩慢,對承載的業務造成致命的影響,還可能會引起連鎖反應,間接攻擊到後端的Java等業務層邏輯以及更後端的資料庫服務。
CC攻擊的防範手段
1.優化代碼
儘可能使用緩存來存儲重複的查詢內容,減少重複的數據查詢資源開銷。減少複雜框架的調用,減少不必要的數據請求和處理邏輯。程序執行中,及時釋放資源,比如及時關閉mysql連接,及時關閉memcache連接等,減少空連接消耗。
2.限制手段
對一些負載較高的程序增加前置條件判斷,可行的判斷方法如下:
必須具有網站簽發的session信息才可以使用(可簡單阻止程序發起的集中請求);必須具有正確的referer(可有效防止嵌入式代碼的攻擊);禁止一些客戶端類型的請求(比如一些典型的不良蜘蛛特徵);同一session多少秒內只能執行一次。
3.完善日誌
儘可能完整保留訪問日誌。日誌分析程序,能夠儘快判斷出異常訪問,比如單一ip密集訪問;比如特定url同比請求激增。
面對來勢洶洶的CC攻擊,其實最好的方式還是選擇第三方的雲安全廠商(就像我們)來解決問題。
知道創宇國際頂尖安全研究團隊為抗D保自主研發的Nightwatch Anti-CC防護引擎可以根據訪問者的URL,頻率、行為等訪問特徵,智能識別CC攻擊,迅速識別CC攻擊並進行攔截,在大規模CC攻擊時可以避免源站資源耗盡,保證企業網站的正常訪問。
好的廣告打完了,感謝您的閱讀?(? ???ω??? ?)?
TAG:知道創宇雲安全CLUB |