三点根本性原因引发区块链安全隐患,如何保护“裸奔”的千亿数字资产?

起风财经白芷2018-08-09 链产业
希望江湖少些纷争,饼太大了,如果区块链是个未来,大家又何必着急厮杀呢。

  8月8日,《智勇相对论》第14期如期举行,在价值互联网时代,安全问题是区块链技术最急需解决的问题之一。作为中国第一批黑客,Security Chain(SECC)生态发展官Mingo决定以黑客精神重塑风口下的区块链安全。

  以下是《智勇相对论》第14期对话实录,主题为“区块链时代谁来保护‘裸奔’的千亿级数字资产?”,由起风财经(ID:QFCJ2018)整理精编,有删减。

  互联网是通过内部产品驱动的,区块链是外部社群推动发展的

  罗智勇:在你最初踏入黑客这个行业的时候,是互联网发展初期,如今也可以说是区块链发展初期,从各个方面来讲,你认为这两个时代有何异同?

  Mingo:我93年开始学计算机,95年学编程和个人网页,99年做网络安全组织,可以说是互联网的第一批网虫了。当时的通讯软件没有头像和性别,流行一句话叫“对面和你聊天的可能是一条狗”。那时是启蒙的阶段,连产品形态都是很初级的,互联网居民也特别少。

  Mingo第二个网站的版面

  我认为现在的区块链和互联网初期是很像的,同样是一个行业的起始状态。特征是参与人数极少,商业模式不清晰,但感觉会是个改变人类生产的事情。区别在于,我们无法用过去的思维惯性去迎合现在的变化,尤其是互联网是通过内部产品驱动的,区块链是外部社群推动发展的。我相信从2019年回看现在,我们的区块链应用都会截然不同。

  Mingo在2000年制作的软件

  

  2004年做的“无线互联网”wap社区

  

  2006年web2.0第一代社交网络

  

  2011年生成的第一代app

  现在回看过来,以上这些都是历史,目前也是区块链历史的起点。

  以天涯为例梳理中国互联网的发展历程 图片来源:区块链星球

  罗智勇:非常有心,把从互联网起始阶段到现在的重要发展节点的特征都用当时的产品图再现了。互联网是通过内部产品驱动的,区块链是外部社群推动发展的,这个观点很赞,两者间显著的区别之一。

  基本面赢家的两个特质:决心和商业战略

  罗智勇:在2018年已经过去的这半年多时间里,整个区块链行业可以说是风云变幻,能否说说在过去这半年里对你影响至深的三件事,其中有哪些因果关系?

  Mingo:第一件是2018年初的时候,身边好友给我看他的数字货币钱包的余额,震惊了一下。第二件是年初跑了一圈东南亚国家,感受了异国他乡的“币圈一天,人间一年”。第三件是一次飞深圳的航班上,我哥跟我说了一段很深刻的话,大致内容就是“如果面前有个大机会,你错过了,再捡回来就很难了。不要被客观的条件影响,你的天花板取决于你的勇敢程度。”

  6个月之后,我们看到能跑赢基本面的赢家基本上有两个特质:第一是有比较大的决心,勇于踏出第一步。第二是有系统的商业战略。大家平时把我定位成一个极客,其实我更愿意当一个懂技术的商人。这也是近些年来商业思维的历练,进而才能在近半年来收获颇丰。

  罗智勇: 其实区块链行业第一批跑出来的大多都有一个共同特征,就是你说的懂技术的商人。

  区块链安全隐患源于三点根本性原因

  罗智勇:2017年之前,你一直做的都是区块链投资方面,为什么突然决定开始做区块链安全,分享一下你的心路历程?

  Mingo:这是一个从兴趣驱动,到商业驱动,再到价值驱动的过程。从个人维度来说,黑客、创业、区块链,这三个东西我都非常感兴趣,我想把它们融合在一块。在这三个领域里,任意一个维度都有比我做得更好的人,但是要把三个事情混合在一起,我可能会更擅长一点。

  从商业的角度上,传统安全创业很难做大,不是不能成功,是过程很慢,更适合以往拥有丰富行业经验的专家参与。靠产品和市场迅速做大的模式,区块链给了安全行业一个全新的机会。我认为是首次真正意义上可以打破原有的游戏规则,建立新的标准。

  从创业创新的维度上,依靠社群外部力量推动项目发展,用区块链的思维去经营项目是一个完全不同的治理方式。这需要团队和领导人改变思维,传统以产品和资产负债表为导向的企业模式不适应项目需要。一开始就立足全球市场,产品还没上线就先上市了,这些都是挑战,同样也是机遇。

  从社会维度来说,区块链整体安全隐患日益严重,发生这种情况的根本性原因有三点, 一是安全白帽子(开发者)的价值一直以来被严重低估,致使黑客攻击获取的回报远远高于白帽子;二是安全产品利润和销售渠道被中心化大公司垄断,使用者需付出高代价但无法获得有效果的安全能力;三是由于市场的封闭性,导致安全开发者收入偏低,高阶级别的白帽社群也不屑于与大公司合作。

  罗智勇:在区块链安全方面,前阵子国内安全巨头360也高调宣布入局了,有红衣教主这样的前辈在,你觉得对你在区块链安全方面的创业是利还是弊?

  Mingo:一定是利的。自从360曝出EOS漏洞之后,整个区块链安全热度都起来了,越来越多人关注到安全对区块链的重要性。每次教主进场的行业,都会有很多的关注度,对吸引外围从业者和提升从业者的收入都有极大的促进。这对安全行业来说绝对是好事,区块链安全需要更多的人关注和参与。

  罗智勇:在区块链安全领域,为什么更多人愿意选择当黑客,而不是维护正义的白帽子?据了解Security Chain拥有一支国际化的团队,是如何组建起来的?

  Mingo:这个问题我想大家一想就能明白,同样的高智商行为,黑客的利益回报远远大于白帽子,一个安防公司的白帽子只能拿到最普通的薪资。如何让高智商行为获得高回报?如何让更多黑帽子转向白帽子?这是我一直思考的。

  一方面,黑客带着天然的自由主义精神,当他挖了一个漏洞,如果他不通过中心化的公司去付出财务报表中的劳务关系,他没有办法把它量化,也没办法把它的价值最大化体现出来。另一方面,想要获得这些高智商黑客的认可,首先要考虑的是,如何达成社群共识,吸引更多黑客进来玩并创造商业价值。

  这需要从两个维度思考:首先是你的经济架构怎么做,你怎么设计让大家进来以及进来之后生存的规则。其次是你怎么通过技术保证这些规则稳定有效地往前进行,而不是说人为地去干预这些规则的执行。

  SECC安全链就是利用区块链的通证经济模型和区块链结算技术,去改变以前传统安全行业价值分配不公的痛点问题,从而改造安全行业的生产劳动关系。

  由于十几岁就开始组建黑客组织,当初通过IRC聊天室、一起参加南斯拉夫红黑大战的盟友以及组建“黑客力量”积累了不少伙伴联盟,如今大多都成为全球各大互联网公司的高管,他们听说我要出来用区块链技术和思维做安全,不少人找到我说要加入进来。

  对于安全行业价值分配不公的问题,大家都深有感受,想要从另一个维度改变现状。

  当然最重要的还是区块链在2018年对传统互联网从业者的影响,使我们教育市场的成本急剧下降。当我们内部有时因讨论一个公链的技术问题而争吵时,感受到的是技术人觉得能改变世界那种兴奋感。

  区块链让传统安全公司向社群转变

  罗智勇:Security Chain的创立初衷是什么?提供什么样的服务?如何构建区块链安全生态体系?

  Mingo:创立初衷是透过区块链相关的经济技术体系和社群共识去改造安全行业的劳动关系,所有的安全公司都是我们的潜在合作方。要构建这一张“安全网络”,不仅仅只有安全人员参与,而要通过区块链的技术,让每个人能在去中心化的安全网络上享受收益,提供劳动力。

  概括来说,区块链带来的去信任化、便捷的结算、“代码即法律”的理念,让传统安全公司在向社群转变,让所有参与人员在平台上公平的享受劳动成果。在安全攻防上通常讲“成本”,从一个理性人的角度上来讲,如果没有足够“利润”,攻防行为就没有足够的动力。

  通常情况如此,那么排除成本与收益的博弈,怎么保证黑客们尽可能不作出监守自盗的行为呢?答案还在区块链思维支持下的社群治理中。

  现在区块链里流行Formal Verification和Trusted Computing两个世界性安全思维体系,一个针对代码(源),一个针对底层(架构),Security Chain更多在后者。

  比方说硬件钱包,无论交易所、存币大户都需要,这个场景是大家所熟悉的。在硬件层面我们采用了PaX/Grsecurity部分特性进行内核的安全加固。在内核运行时,通过内核调参的形式对内核进行优化,大幅提升从用户空间获得最高管理权限的难度,使得攻击者难以通过漏洞获得更高的权限以及对内核调优。

  使用非CSM的UEFI建立固件,bootloader和内核的签名验证的链条,恰当的使用密码工程建立的信任链条,为系统深度加固作辅助性支撑,为固件安全保驾护航。防止bootloader(GRUB)篡改以及内核镜像、内核模块的篡改,通过完整性保护和签名校验保护,能有效避免系统在启动的环节被篡改。

  比如在公链和节点上,可以做多链网中网架构下最简化的远程认证流程。同时在应用层业务的配置中进行定制和加固,如:系统密码哈希类型的选择、Grub密码哈希类型的选择、SSH相关CipherSuite的选择、Apache/Nginx SSL/TLS相关CipherSuite的选择等,配合从固件、bootloader到内核的签名验证,再到应用层业务整个信任链条的全方位、可靠、高效、便捷的搭建。防止密码算法的攻击对数据的机密性、完整性进行破坏。

  Security Chain白皮书内容节选

  打造“区块链+社区+安全”体系,三级分层机制构建“安全链”

  罗智勇:想继续了解一下SecurityChain现阶段的运作机制以及下一步的市场规划?如何和区块链技术相接轨?如何与区块链安全方合作?

  Mingo:SECC安全链发布后,我们也吸引了来自各个国家的安全高手加入,在11月的发布会中,我们会带领社区核心成员与大家交流,同时会发布社区导向的技术黄皮书。

  我们的安全网络是分三个部分,包括安全组件(DApp),安全区块系统,安全公链。这个安全网络是去中心化的,可以理解成“安全的亚马逊云”,我们提供面向全球的安全能力输出,每一个输出都是可计价可交易的,并且计价是真正的弹性计价。安全开发者接入这个网络后,可以随时随地提供业务能力给全球每一个角落的需求方。

  在这里大家会认为是漏洞交易吗?其实不是。漏洞交易只是安全里面很少的一个环节,安全产品是多点成面的,包括了扫描、蜜罐、防火墙等等的业务,而每一个业务类型中又会诞生各种细分的需求组件。融进Token经济后,就会诞生很多牛逼的安全产品。

  在公链设计上,我们不是一个基础公链,而是安全的链。任何公链和企业云都可以与我们绑定,通过安全链独有的三级分层机制,配合“安全Builder”、“共识机制模组”、“安全链中链”等等创新技术模式,大家会看到不一样的公链结构。

  简单说,我们第一步要实现的,是公链的安全提升。第二步,是让天下没有性价比低的安全产品。第三步,区块链融入到各行各业之后,安全链是默默运作在每一个环节的守护者。

  Security Chain的公链设计架构

  罗智勇:OK,Security Chain要做全球区块链安全开发社群,你之前曾经做过拥有上亿用户量的线上社群建设,那么,区块链+社群、安全+社区如何结合?如何发挥作用?

  Mingo:很多认识我的朋友导师们对我第一个定位并不是黑客,而是社交小王子。因为除了自己做过社交产品外,我本人也是一个重度的线上线下社交用户。

  在安全链里面,社群+安全我们会分三个维度区去设计。第一维是核心高手,人数极少。第二维是安全开发者、黑客。第三维是安全链信仰者。一个好的社群应该具备统一的价值观、分级管理机制、荣誉系统以及激励措施。而做安全社群与其他社群有个不一样的地方,安全天生就是可跨界的,请大家期待我们创新的玩法。

  链改之前,首先要进行“人改”

  罗智勇:哈哈,看来社交小王子这个称谓是你一个很重要的标签,对你做事的轨迹影响也很大。听说你的愿景是成为区块链安全的布道者,能否分享下当前区块链安全领域的现状(成就、问题、解决方案),以及预判下未来的发展趋势?

  Mingo:当下的区块链安全领域还处在一个非常早期的阶段,处于快速迭代的周期中。在开始的时候,互联网安全其实只有新闻网站能应用到这种技术,之后慢慢发展到通信行业,再之后是电子商务。

  区块链也一样,金融场景可能是区块链安全第一个切进去的场景,作为安全问题高发的领域,金融行业对于安全防护的需求是比较大的。

  区块链安全问题,只有钱包是一个新的安全场景,并且比较复杂。目前大部分的区块链安全问题,是中心化交易所衍生的各种需求,传统的安全公司产品是可以一定程度匹配上的。像智能合约这种安全问题,也可以归类为传统安全。

  现阶段因为区块链基础设施和生态未跟上发展,代码审计出错的代价较高,媒体也多方宣传,所以大家比较恐慌。每一个新行业所面对的安全问题更多是如何把安全与业务落地。

  从古到今,安全问题核心还是商业逻辑的问题。成本和利润,攻防相争,赢得成本者胜。

  罗智勇:作为连续创业者,结合你的9年创业经历,分享一下互联网创业经历中的经验和财富?现在加入区块链创业大军,和互联网时代创业相比有哪些差异性?同时给当下的区块链创业者一些建议?

  Mingo:不管是区块链还是AI、市场是热是冷、估值是高是低,创业始终是创业,红利必然有消失的那一天。区块链现阶段就是摔包袱的过程,看谁摔得快,谁摔得狠。但我还是相信,商业的本质还是趋同的。有战略眼光的创业者,有韧性的创业者,一定走得很长远。所以,链改之前,首先要进行“人改”。

  这次浪潮,缺钱的选择做送水项目,还没有冲上山顶的可以大胆试试做公链项目方。最怕的就是观棋不动,如我第二个问题的回答里所讲,不能失去了勇气。

  最后,我希望江湖少些纷争,饼太大了,如果区块链是个未来,大家又何必着急厮杀呢。

  罗智勇:赞同你的观点,无论是互联网还是区块链创业都不能脱离商业的本质,创造价值、价值投资是永不过时的。

【本文为起风财经原创,网页转载须在文首注明来源起风财经及作者名字。微信转载可发邮件至editor@qifengle.com联系授权,并在文首注明来源起风财经(微信公众号ID:QFCJ2018)及作者名字。如不遵守,起风财经将向其追究法律责任。
免责声明:本网站所有文章仅作为资讯传播使用,既不代表任何观点导向,也不构成任何投资建议。】
起风财经,价值区块链布道者

猜你喜欢

原创排行
  • 周排行|
  • 月排行