周鸿祎:区块链数字货币史诗级漏洞-王峰十问第八期(下)

[复制链接]
韭菜鸡蛋 发表于 2018-7-31 15:41:10 | 显示全部楼层 |阅读模式

1.jpg

第六问


王峰:关于安全问题,我从“王峰十问”一开始就问过做量子链的帅初。后来发现其中很多隐患,比如除了EOS之外,我注意到以太坊也有过几次严重的安全事件:2016年6月17日,当时最大的众筹项目TheDAO遭到攻击,导致300多万以太币资产被分离出资产池;2017年7月21日,智能合约编码公司Parity确认有 15万以太币被盗。以及,最近的BEC被巨量增发抛售。以EOS和以太坊如此的体量和实力尚且如此,对于其他区块链项目而言,也需额外警惕安全风险。你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?


周鸿祎:区块链领域里面,我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。我最近还在提一个概念,叫“大安全”,简单说,就是网络安全的影响已经从最初简单的信息安全,演变到现在,从线上到线下,都会受到网络攻击的威胁,并且新威胁越来越多。区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。


这种情况下,光靠某个企业,比如区块链行业里,你某个项目自身,安全防护能力肯定是有限的,反过来光靠360这样一家安全公司也不行,所以应该是整个安全行业需要得到发展。所以,区块链行业,要能够与网络安全行业,做到协同开放,大家一起来做这个事情。你上一个区块链项目,区块链本身,王峰你肯定比我懂得多,但是安全问题上,肯定我的人更专业,那如果我们来给你们做一下安全检测,是不是安全风险就会降低很多?


我们一定要记住,有这么一句话,叫“没有攻不破的网络”,只有没被发现的漏洞,或者被发现没公开的,不存在没有漏洞的网络。所以,我们希望无论是区块链行业,还是其他行业,要能够正视网络安全问题的重要性。


王峰:从目前的漏洞产生机制上看,360安全团队只曝光了EOS智能合约的设计缺陷,实际上,从漏洞风险上看,我们认为可能在P2P端口、RPC端口、服务器与集群等方面还可能潜藏着很多安全的大坑。360的技术团队对这些问题是否会对EOS进行系统的评估?这个问题,比较技术向一些。希望您和360安全团队给我一些你们的看法。


周鸿祎:上一个问题,再补充一下,做法上除了我刚刚说的利用网络安全行业的外部公司力量,你还可以做一些漏洞奖励计划,让整个安全社区都来帮助你解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题,他们都有自己的漏洞奖励计划,对提交漏洞的团队给予奖励。


杨博:如果可以漏洞做空,社区为啥要报告,自己撸不就行了。


周鸿祎:是的,从黑客攻击者的角度来说,对一个系统或者应用来说,有很多的攻击面,他们通过各种途径和方式尝试突破,软件设计和实现的缺陷是其中一个也是最直接的攻击面。


360有很多安全团队,他们会从不同角度发现系统的脆弱性,通过评估给出整体的安全解决方案。目前区块链应用主要以智能合约应用和数字货币为主,从360安全团队发现的安全威胁来看,在区块链新领域的确还存在很多安全威胁,我们会逐步在这方面拓宽关注和研究的方向。


第七问


王峰:一位从事过信息安全的朋友提醒我问您这样一个问题,显然是只有你同行才有这样的水平。这个问题是:在Vulcan团队发现这个大漏洞之后,你们是如何考量曝光漏洞的时机和方式?你们认为现在这样的漏洞爆出时机和方式,是否体现了或者符合网络安全行业通用的、负责任的处理方式?


周鸿祎:前面我也说了,这次我们的处理方式,是非常负责任的,也是网络安全行业比较通用的。时机上,我们发现漏洞之后,Vulcan团队在完成对这个大漏洞利用研究测试之后,立刻联系了EOS创始人BM,我们是希望帮助EOS开发团队先解决这个漏洞的,保证漏洞不会攻击者利用,在他们修复完成之后才披露的。


采用这种比较公开的方式,我们也是希望以此呼吁大众关注区块链技术的同时也注意区块链安全。我认为现在的漏洞爆出时机和处理方式都是合适的,负责任的。


第八问


王峰:如果360进入区块链行业,360的机会在哪里?你如何评价目前区块链行业数字货币交易所处于中心地位的状况?


周鸿祎:我们现在看区块链,涉足区块链,肯定还是围绕安全。安全问题不是说这次我们披露了,大家热闹一天就完了。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题,之前传统互联网领域里面遇到的安全问题,区块链行业里面一定也会遇到。这就是我们在其中的机会,当然我们也有自信和实力在其中担起责任,保护区块链行业健康稳定安全发展。


王峰:其中,我们有注意到,360在5月中旬发布了“区块链安全态势感知系统”,同时针对钱包、交易所、矿池和智能合约四大块推出了“区块链生态安全解决方案”。已经上线的产品有Dbank数字钱包,功能比imtoken还要多。能否介绍下360在区块链安全方面的布局和方案,比如:交易所安全怎么做?矿池安全怎么做?智能合约安全方面又怎么做?


周鸿祎:过去这段时间,360在区块链方向上,我们的安全团队还是很用心的研究了很多,也拿了一些方案。我们未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。


第一个,数字货币钱包安全审计系统,这里面会详细地列一些审计的要点,阐述如何做一款比较安全的数字钱包,从而保障用户的财产安全。第二个是区块链安全态势感知系统,这个系统是基于360安全大脑的,可以自动对异常区块、异常交易、异常地址和智能合约进行监控,不仅可以将交易风险降到最低,而且还可对非法数字货币进行溯源。最后一个是区块链节点安全解决方案,目前主要会针对EOS。


王峰:未来几年,区块链行业会出现一家像PC互联网时代的360这样有影响力的安全企业吗?在区块链时代,360安全产品是否能否全面开源?


周鸿祎:区块链行业里会不会出现一个360,我觉得应该不会出现这种情况,区块链方面的问题的解决会是产业化的,360肯定会是其中的主力,但不会像PC时代那样一枝独秀,会有很多从事安全的企业和个人一起来保障区块链的安全。 


补充一下,这是我们已经对外发布的区块链安全态势感知系统。


第九问


王峰:在前不久的第二届世界智能大会上,你提到过“人工智能本身就存在安全问题。”你举例说,360安全团队曾利用超声波干扰技术,成功实现对特斯拉的欺骗,让它相信前方的障碍物并不存在;360安全团队也因为上报了这个漏洞,进入了特斯拉名人堂。你的观点是,人工智能也许可以有99.99%的概率保证识别是正确的,但是对于安全来讲,它只要出现一次识别错误,就会造成严重后果。比如,前段时间,Uber公司改装后的自动驾驶测试车在美国撞死了一位女士,充分表明今天的人工智能技术并不是一个完备体系。真没想到360在安全方面考虑和涉猎到这么广的领域,我好奇地是,360定义的安全业务的边界有多大?360定义的安全业务的边界有多大?AI/IOT/Blockchain?


Uber改装后的自动驾驶事故


周鸿祎:我们关注人工智能或者区块链,其实不管是AI和区块链的安全,都有一个共同点,就是无论是AI的算法,还是区块链的算法,都是要写代码实现的,而代码是人写的,肯定会有漏洞的。


我之前看到过一个数据,开源软件中,每千行平均就有6-8个安全漏洞。


所以对于新生事物,不管是新兴技术还是什么,看到美好一面的同时,作为搞安全的,我会不自觉的看到他们潜在的安全风险。搞安全的人更像是一个“看门人”,时刻都要保持一颗怀疑之心、守护之心。关于边界这个事情,我们现在在进入一个大安全时代,为云计算、大数据、人工智能还有物联网这些新技术的发展,网络安全已然不是最初的信息安全,而是从个人的信息安全、金融安全、家庭安全、出行安全,到企业安全,再到社会的公共安全,再到国家的信息基础设施安全、政治安全、军事安全……


所以我觉得不能把安全业务的边界框死了,网络安全行业,有越来越多的安全问题会出现,这对于360来说,是我们面临的挑战,但也是我们的机遇。


作为一个创业者的角度看,或者从企业运营者的角度看,企业也不应该是框死在一个事情上的,我们核心是安全基因,基于此,我们的边界是一个有限的无限边界。


第十问


王峰:在PC互联网时代,360和腾讯的3Q大战,堪称中国互联网史影响最大,波及用户范围最广的一场战争,也创下了360发展史上的辉煌记录,事后马化腾在腾讯内外也多次提及,是3Q大战刺激了腾讯的开放平台战略。而在移动互联网时代,今日头条、小米科技、美团点评等等迅速崛起,与PC互联网时代占尽先发优势不同,360优势并不明显,这会不会让你感觉到失落?我们都知道你是一个不服输的人,这会不会是360有一天大举进军区块链很大的动力?


曾经的互联网大事记:3Q大战


周鸿祎:其实做安全这个行业,说刺激也很刺激,你看不管是去年5月的勒索病毒,还是昨天的EOS漏洞,一下子就让全行业都关注到你了。


但与此同时,实际上,搞安全是一件需要耐得住寂寞,需要长久投入努力的事情。比如上面我说Vulcan他们参加黑客大赛11秒攻破IE11,但在那之前,他们扒代码的时间你是想象不到的。然后,不参加比赛了,虽然帮助微软帮助谷歌帮助苹果修复了很多漏洞,你们都不知道,我们更像是一群守护者,站在大家身后的人。


PC时代那时候,病毒木马横行,我们顺应潮流用360安全卫士、360杀毒帮大家解决了安全问题,可能获得的关注比较多。但在移动互联网时代,实际上我们也做了很多事情,你们可以看看去年谷歌致谢榜单里面,我们在安卓上,帮助谷歌修复两百多个漏洞,全球第一,是第二名的三倍。除了这类工作,我们还和公安合作,比如推出猎网平台,打击电信电话网络诈骗。这些事情,可能不会像当年一样刺激,但我觉得我们是做了非常有价值的一些事情,从内心来说,我们还是比较骄傲的。


这些年,我们在原创核心技术上积累也是非常多的,比如上面说的安全大脑,其实是我们多年技术积累的结晶。360安全大脑的网络安全空间大数据,现在是全球规模最大的。也因为有这些大数据和数据中心,360安全大脑的态势感知、智能查杀、攻防与溯源,包括应急响应上,现在在全球都非常具备竞争力。


我不服输,但不是说非要进军区块链什么的,而是说,在大安全这个新时代里面,希望能够继续发挥360安全守护者这个作用。区块链应用以后有可能深入生活、生产的多个方面,360作为国内最大的安全公司,当然希望充当一个“守护者”的角色,为区块链应用保驾护航。


王峰:一直想做"王峰十问"和周鸿祎的对话内容,想不到BM和EOS给了我机会,不知道接下来你们有什么动作,无论怎么火星财经会继续关注区块链安全问题。上一期的罗永浩说一定要做区块链手机,让我印象深刻,显然,越来越多的企业进入区块链领域,从自己擅长的领域切入,我预感后面会有更多的企业进入区块链领域。


“我不害怕世界的变化,也不怕巨头的围剿。我担心的是失去进取心,不再有挑战的精神,被自己击倒。”这句话是你说的,我很喜欢。听说你最近出了一本新出,上次的书《颠覆者》,这次又是讲产品的《极致产品》,大家可以看看。


老周是牛人,我们认识二十年了吧,哈哈。希望我们团队继续保持这样的拼劲,向你学习。


回复

使用道具 举报

没有我喜欢的内容,我要自己发布

发表新帖
© 2009-2018 链圈网 版权所有 粤ICP备09097587号
快速回复 返回顶部 返回列表