網(wǎng)絡(luò)安全領(lǐng)域最熱門的話題之一就是企業(yè)區(qū)塊鏈。它采用了與比特幣一樣的加密貨幣技術(shù)。簡(jiǎn)單地說(shuō),區(qū)塊鏈?zhǔn)菍?duì)等各方共享的交易或者合同的列表,并被一些巧妙的密碼鎖定。不同于比特幣的是,區(qū)塊鏈能夠確保供應(yīng)鏈的完整性,管理合同,甚至可以作為金融交易的平臺(tái)。
它在加密貨幣領(lǐng)域的普及,以及應(yīng)用了密碼學(xué)及其分布式特性,向其支持者們表明,區(qū)塊鏈?zhǔn)俏覀儺?dāng)前很多網(wǎng)絡(luò)安全問(wèn)題的解決方案。例如,Akamai目前正在構(gòu)建一個(gè)用于在線支付的區(qū)塊鏈網(wǎng)絡(luò)。Akamai實(shí)驗(yàn)室副總裁兼首席技術(shù)官Andy Champagne說(shuō):“區(qū)塊鏈本身就是一種安全技術(shù)。它確實(shí)是以安全原則為基礎(chǔ)的。”
Champagne說(shuō),關(guān)于比特幣交易遭黑客入侵的新聞一般與開(kāi)放的、公共的網(wǎng)絡(luò)有關(guān)。在這些網(wǎng)絡(luò)中,任何人都可以建立一個(gè)節(jié)點(diǎn),但企業(yè)區(qū)塊鏈項(xiàng)目與公共網(wǎng)絡(luò)的不同。他說(shuō):“企業(yè)區(qū)塊鏈通常是需要獲得許可的區(qū)塊鏈。有一組節(jié)點(diǎn),但節(jié)點(diǎn)是私有的,并且通過(guò)一組安全周界來(lái)限制企業(yè)中各類人員對(duì)這些節(jié)點(diǎn)的訪問(wèn)。”
Kudelski安全公司的首席技術(shù)官AndrewHoward證實(shí)說(shuō),這不僅僅是炒作。即使它不是靈丹妙藥,區(qū)塊鏈的好處也是實(shí)實(shí)在在的,這一技術(shù)還會(huì)繼續(xù)發(fā)展下去。他說(shuō):“理論上,基本概念是非常抗攻擊的。從學(xué)術(shù)角度來(lái)看,區(qū)塊鏈很有意義。如果實(shí)施得當(dāng),它們很難被攻擊。”
雖然區(qū)塊鏈可能是黑客難以攻擊的目標(biāo),但也并非無(wú)懈可擊。很多安全專家警告說(shuō),區(qū)塊鏈的實(shí)施使企業(yè)面臨需要盡快重視起來(lái)的各種各樣的風(fēng)險(xiǎn)。
加密貨幣犯罪是大買賣
目前還沒(méi)有任何針對(duì)企業(yè)區(qū)塊鏈項(xiàng)目的網(wǎng)絡(luò)攻擊報(bào)道,但這主要是因?yàn)樵摷夹g(shù)仍處于開(kāi)發(fā)或者試點(diǎn)階段。對(duì)公共區(qū)塊鏈項(xiàng)目的攻擊已經(jīng)非常常見(jiàn)了。
據(jù)Carbon Black公司稱,今年上半年,黑客們竊取了價(jià)值11 億美元的加密貨幣。Carbon Black的安全策略師Rick McElroy說(shuō):“隨著網(wǎng)絡(luò)犯罪的增長(zhǎng),編寫惡意代碼的個(gè)人也越來(lái)越多了,而暗網(wǎng)為他們提供了完美的市場(chǎng)銷售渠道。”犯罪分子從這些攻擊中獲得經(jīng)驗(yàn),并利用在地下擴(kuò)散的工具,這些都可以用在企業(yè)攻擊犯罪活動(dòng)中。
McElroy補(bǔ)充說(shuō),很多加密貨幣攻擊都不是針對(duì)核心區(qū)塊鏈技術(shù)的。相反,犯罪分子瞄準(zhǔn)的是缺乏安全保障的交易以及個(gè)人和企業(yè),他們沒(méi)有很好地保護(hù)好自己的錢包。他們還發(fā)起了中間人攻擊,將加密貨幣交易轉(zhuǎn)移到他們自己的錢包中。
在McAfee最近關(guān)于區(qū)塊鏈安全的報(bào)告中,很多這類問(wèn)題都與最終用戶的安全或者實(shí)施問(wèn)題有關(guān),而與區(qū)塊鏈加密協(xié)議本身無(wú)關(guān)。企業(yè)項(xiàng)目也可能有實(shí)施問(wèn)題,即使他們的被攻擊面范圍沒(méi)有公開(kāi)暴露的那么大。McElroy說(shuō):“對(duì)于任何想采用區(qū)塊鏈的企業(yè)來(lái)說(shuō),他們首先應(yīng)該權(quán)衡實(shí)施的好處和成本,以及應(yīng)用新技術(shù)的風(fēng)險(xiǎn)。”
考慮到這一點(diǎn),以下列出了 5 個(gè)最大的區(qū)塊鏈安全風(fēng)險(xiǎn):
1. 進(jìn)入?yún)^(qū)塊鏈交易時(shí)發(fā)生人為錯(cuò)誤
在某些方面,企業(yè)區(qū)塊鏈可能比公共區(qū)塊鏈更脆弱。廣為宣傳的區(qū)塊鏈的一個(gè)好處是非常有彈性的大規(guī)模分布式對(duì)等網(wǎng)絡(luò)。如果一個(gè)節(jié)點(diǎn)宕機(jī)了,系統(tǒng)會(huì)繞過(guò)它,這樣就不會(huì)有故障點(diǎn)。如果有一個(gè)參與方想偷偷地把一筆不正當(dāng)?shù)慕灰子浫氲劫~本中,但是在其他成員保持誠(chéng)實(shí)的情形下,這是不可能發(fā)生的。但如果有人犯了“誠(chéng)實(shí)的”錯(cuò)誤呢?
Sophos的首席研究科學(xué)家ChetWisniewski指出:“去中心化的好處是,如果沒(méi)有共識(shí),就不能更改。因此,當(dāng)加密貨幣交易出現(xiàn)了錯(cuò)誤時(shí),交易各方是無(wú)法撤銷它的,因?yàn)闆](méi)有中心的權(quán)威機(jī)構(gòu)。如果你丟失了自己錢包的密碼,那它就永遠(yuǎn)消失了。而在企業(yè)領(lǐng)域,這樣的情況極少會(huì)發(fā)生。”
當(dāng)區(qū)塊鏈加密可以防止用戶改變歷史賬本時(shí),系統(tǒng)通常被設(shè)置為參與方能夠添加新條目。對(duì)于企業(yè)項(xiàng)目,參與方通常是可信的伙伴,而不是隨機(jī)的公眾成員。High-Tech Bridge SA公司的首席執(zhí)行官Ilia Kolochenko說(shuō):“如果受信任方被攻破了,那么區(qū)塊鏈的安全性就不存在了。”
2. 51%攻擊
更糟糕的是,如果網(wǎng)絡(luò)的大部分被攻破了,會(huì)怎樣呢?那么,攻擊者會(huì)造成很大的損失。這就是51%攻擊背后的理念。一名惡意的犯罪分子或者犯罪分子集團(tuán)控制了系統(tǒng)中的大部分節(jié)點(diǎn)后,會(huì)強(qiáng)迫每個(gè)人都服從他們的意愿。
對(duì)于比特幣,這是很難做到的,因?yàn)榫W(wǎng)絡(luò)上有這么多的參與方。小規(guī)模的加密貨幣比較容易被攻擊,例如比特幣黃金。今年5月,攻擊者采用51%攻擊,獲得了價(jià)值1800萬(wàn)美元的加密貨幣。企業(yè)區(qū)塊鏈項(xiàng)目的參與方通常比公共加密貨幣平臺(tái)的參與方少得多。ForeScout新興技術(shù)副總裁Rob McNutt說(shuō):“網(wǎng)絡(luò)規(guī)模越小,被攻破的節(jié)點(diǎn)數(shù)量就越少。如果一家銀行正在推出區(qū)塊鏈來(lái)處理交易,那么節(jié)點(diǎn)的數(shù)量將遠(yuǎn)遠(yuǎn)少于公共網(wǎng)絡(luò),因此可能被攻破的設(shè)備數(shù)量要少得多。”
企業(yè)部署可能更為同質(zhì)化,因此,如果在一個(gè)節(jié)點(diǎn)中發(fā)現(xiàn)漏洞,則可以利用這一漏洞來(lái)攻擊所有其他節(jié)點(diǎn)。McNutt說(shuō):“在公共領(lǐng)域,人們下載不同的挖礦軟件,配置也各不相同。”
3. 區(qū)塊鏈實(shí)施錯(cuò)誤
區(qū)塊鏈項(xiàng)目漏洞的另一個(gè)重要來(lái)源是,該技術(shù)是如此新穎以至于實(shí)施時(shí)容易出現(xiàn)錯(cuò)誤。甚至核心區(qū)塊鏈加密技術(shù)也有問(wèn)題。Wisniewski說(shuō),算法在數(shù)學(xué)上可能是正確的,但具體的軟件版本可能不是。
Wisniewski評(píng)論說(shuō):“如果你不能理解基礎(chǔ)數(shù)學(xué),那你基本上就是下載了一個(gè)盒子,上面寫著‘魔術(shù)’,但不知道它能干什么用。我們?cè)陂_(kāi)源領(lǐng)域看到過(guò)很多次這種情況,人們依靠第三方的庫(kù)來(lái)處理這些事情,有人進(jìn)入了Github并切換了代碼,六個(gè)月內(nèi)都沒(méi)有人注意到。”
還有一個(gè)事實(shí),即區(qū)塊鏈技術(shù)是如此新穎,Wisniewski說(shuō),“以至于根本不知道哪些錯(cuò)誤不會(huì)發(fā)生。”他還補(bǔ)充說(shuō),“我們還需要正確地管理區(qū)塊鏈部署時(shí)的所有加密密鑰。很多企業(yè)甚至無(wú)法正確地管理他們的網(wǎng)站證書。”
企業(yè)區(qū)塊鏈也會(huì)像其他技術(shù)項(xiàng)目一樣,很容易受到很多相同攻擊載體的攻擊。CA Veracode的首席技術(shù)官兼聯(lián)合創(chuàng)始人Chris Wysopal介紹說(shuō),以網(wǎng)絡(luò)釣魚和欺詐為例。他說(shuō),他還沒(méi)有看到有針對(duì)企業(yè)區(qū)塊鏈的此類攻擊,這是因?yàn)樵谏a(chǎn)過(guò)程中很少有這樣的攻擊。這些攻擊在公共項(xiàng)目中是很常見(jiàn)的。他說(shuō):“我們看到了很多這類攻擊,有人假裝是收件人,攔截或者黑掉網(wǎng)頁(yè),從而攔截交易。這不一定是加密貨幣,它可以是任何其他類型的交易。”
推出區(qū)塊鏈項(xiàng)目的企業(yè)應(yīng)確定自己具備所有的基本知識(shí),包括使用最新、最安全的軟件開(kāi)發(fā)和審查過(guò)程,確保采用了多重身份驗(yàn)證手段,并鎖定網(wǎng)站以防止網(wǎng)絡(luò)攻擊。弗吉尼亞州的網(wǎng)絡(luò)安全公司Merlin國(guó)際的工程副總裁Tej Luthra介紹說(shuō):“如果他們對(duì)跨站點(diǎn)腳本很敏感,那么不管是私有還是公眾的都無(wú)所謂。所有那些在網(wǎng)絡(luò)安全領(lǐng)域普遍存在的攻擊,區(qū)塊鏈也容易受到這類攻擊。”
4. 被攻破的智能合同
2016 年,去中心化自治組織(DAO)使用以太坊平臺(tái)推出了基于區(qū)塊鏈的投資基金,這是一種區(qū)塊鏈版本,可以存儲(chǔ)智能合同而不僅僅是簡(jiǎn)單的貨幣交易。據(jù)Gartner說(shuō),黑客們能夠使用智能合同,從系統(tǒng)中抽取出價(jià)值1.5億美元的以太幣。
Reason軟件的創(chuàng)始人兼首席執(zhí)行官AndrewNewman說(shuō):“DAO案例已經(jīng)成為一個(gè)典型的例子,讓我們記住,僅僅因?yàn)閰^(qū)塊鏈的某些原因而使用區(qū)塊鏈,并不意味著它本身就是安全的。”
現(xiàn)在,每個(gè)人都想使用區(qū)塊鏈。他說(shuō):“人們的想法是,利用對(duì)等分布式賬本模型,那么在其上實(shí)現(xiàn)的所有其他東西也將是安全的。顯然,這是一個(gè)錯(cuò)誤的假設(shè)。實(shí)施起來(lái)未必能像它們所承諾的那樣安全和不出問(wèn)題。”
智能合同對(duì)企業(yè)具有吸引力。它們?cè)跅l件滿足時(shí)會(huì)自動(dòng)執(zhí)行,不能被拒絕。這也意味著要解決問(wèn)題、糾正錯(cuò)誤和反欺詐是極其困難的。例如,在編寫合同時(shí)很容易出現(xiàn)意外,所要求的條件會(huì)永遠(yuǎn)不能滿足,也有可能交貨地址是錯(cuò)誤的。
如果出現(xiàn)這類情況,錢就會(huì)被永遠(yuǎn)鎖在區(qū)塊鏈里。同樣,這不是一個(gè)理論問(wèn)題。去年秋天,有人不小心鎖定了多方以太坊合同,造成了3 億多美元的損失。
5. 利用未檢測(cè)到的區(qū)塊鏈漏洞
目前,公共加密貨幣交易在區(qū)塊鏈生態(tài)系統(tǒng)中是最容易實(shí)現(xiàn)的。錢很充足,很容易得到,被抓住的幾率也很低。英特爾安全副總裁兼首席技術(shù)官Raj Samani表示:“犯罪團(tuán)伙瞄準(zhǔn)的是能夠獲得最大投資回報(bào)的領(lǐng)域。”
近期情況可能就是如此。McAfee公司高級(jí)威脅研究負(fù)責(zé)人Steve Povolny說(shuō):“這一行業(yè)現(xiàn)在太新了,以至于我們甚至沒(méi)有一個(gè)平臺(tái)來(lái)發(fā)現(xiàn)并報(bào)告與非加密貨幣相關(guān)的區(qū)塊鏈漏洞。”他說(shuō),大約有50家大公司表示,他們正在投資、收購(gòu)或者實(shí)施區(qū)塊鏈技術(shù)。“我認(rèn)為,我們?cè)谝欢螘r(shí)間內(nèi)不會(huì)真的看到有產(chǎn)品推出。”
這將隨著企業(yè)項(xiàng)目的上線而改變,這些項(xiàng)目涉及大量的資金,需要關(guān)鍵的基礎(chǔ)設(shè)施或者業(yè)務(wù)流程,涉及政治和軍事敏感信息。拉斯維加斯一家專門從事智能合同審查的初創(chuàng)公司HoSoo的創(chuàng)始人兼首席執(zhí)行官Yo Sub Kwon說(shuō):“這對(duì)于每個(gè)人來(lái)說(shuō)都將是漫長(zhǎng)的學(xué)習(xí)過(guò)程。最先進(jìn)入?yún)^(qū)塊鏈的大公司將首先有所體驗(yàn),并從中吸取教訓(xùn)。”
沒(méi)有準(zhǔn)備好迎接黃金時(shí)期
Verodin的行為研究部門負(fù)責(zé)人JamesLerud表示,目前,商業(yè)領(lǐng)域的區(qū)塊鏈?zhǔn)菃?wèn)題的解決方案。他說(shuō):“最大的風(fēng)險(xiǎn)來(lái)自于想用區(qū)塊鏈解決問(wèn)題的心態(tài)——讓我們盡快地部署一些東西。但這不是什么高招。”
Lerud說(shuō),區(qū)塊鏈架構(gòu)提供了不必依賴中間人而是通過(guò)共識(shí)達(dá)成信任的能力。它可以解決很多問(wèn)題,但并不能解決所有問(wèn)題。他說(shuō):“企業(yè)調(diào)查區(qū)塊鏈時(shí)可能在這方面出錯(cuò)。人們認(rèn)為這是一個(gè)很好的解決辦法,人為地給它找一些問(wèn)題。從技術(shù)角度來(lái)看,這是一個(gè)危險(xiǎn)的階段。
京公網(wǎng)安備 11010502049343號(hào)