飛象網訊 在2020年中國國際信息通信展上,飛象網專訪了長亭科技區塊鏈安全首席技術專家于曉航,他向我們介紹了區塊鏈領域的最新安全進展,讓我們認識到區塊鏈安全同樣值得關注。
于曉航表示:“區塊鏈安全不能只依靠安全廠商這幾個點,而是應該依靠整個生態,區塊鏈生態里面各個細分行業,各個企業自發對安全的重視,主動的從內部發現問題,主動聯系安全廠商來做這件事情,整個生態一起發力。”
以下是訪談全文:
訪談時間:2020年10月15日
主持人:飛象網資深記者 魏德齡
嘉 賓:長亭科技區塊鏈安全首席技術專家 于曉航
主持人:前不久國家互聯網應急中心聯合長亭科技和其他三家區塊鏈廠商發布了國家區塊鏈漏洞定級細則,作為區塊鏈行業首個漏洞定級細則,長亭科技深度參與了此次編寫,可以向我們介紹一下這個細則嗎?,還有您覺得細則的發布對行業發展有什么影響?
于曉航:我們從最開始,一直和應急中心有比較深的聯系,上個月月底,我們一起以國家區塊鏈漏洞庫的名義發布了這一套區塊鏈漏洞定級細則,長亭作為技術牽頭單位,主要負責了其中公鏈板塊定級細則編寫,和整體技術、劃分標準的把關。。
我個人覺得這個細則的發布,某種意義上說是比較順應區塊鏈行業的發展,因為它解決了區塊鏈行業里面長期以來存在的一個漏洞定級困難的問題。在我們這兩三年的實際工作里面,在區塊鏈行業一開始,大家對于漏洞沒有一個定級的認知,隨著行業發展出現了SRC,雖然說我們有一個CVSS,國際上通用的漏洞定級方法,可以用在區塊鏈漏洞定級上,但是大家對于CVSS在區塊鏈領域上的應用,認知是特別不統一的,這些認知上的混亂會帶來特別多的分歧,阻礙區塊鏈行業安全技術的發展。我們一開始就特別想找一種方式來統一大家的認知,這樣能把安全行業中蘊含的非常強大的力量注入到區塊鏈行業里面,這是我們做這件事情的初衷。
這套細則本身是一個系列,包括四個方面,公鏈、聯盟鏈、智能合約及外圍系統,這四個方面基本涵蓋了整個區塊鏈生態里面所有的技術領域。
說到這個細則發布的意義。
首先這個細則的發布給了行業一個比較強的信號,國家對區塊鏈安全這件事情非常重視,因為這個細則是從國家的角度發布的,這一點非常有利于提高整個行業的安全意識。
第二點,這個細則的發布,能夠有利于統一區塊鏈行業里面大家對于漏洞的認知,這件事情是非常有利于把安全行業強大的力量注入到區塊鏈領域里面。
第三點,這個細則的發布,也是加快了區塊鏈行業標準化的進度。這個細則的發布,也為接下來區塊鏈行業一些測評體系的工作,提供了比較官方的技術支持,做了一些技術上的鋪墊。
最后一個方面比較具體,我認為這個細則里面實際上也是一個非常好的學習資料,大家通過看這個細則,了解到區塊鏈漏洞究竟是什么,了解到區塊鏈領域里面常見的攻擊場景是什么樣的,攻擊手段是什么樣的,這些東西都可以在細則里面略窺一二,對提升整個行業的實際技術安全水平也是非常有幫助的。
主持人:長亭科技算是一家很早開始研究并服務區塊鏈企業的網絡安全公司,在區塊鏈安全審視測試方面都有深入的研究。近來區塊鏈安全漏洞頻發的現狀,您有什么好的安全建議?
于曉航:這個問題就像我們安全從業者的心病,近幾年區塊鏈領域各種安全事件的發生,據我觀察來說,大部分主要是由于安全意識的問題,還有另外一大部分,是由于技術的問題。
對于安全意識這件事情,從整個行業來說,是沒有辦法強求的,不可能在短時間快速提升,不僅區塊鏈領域這樣,各行各業,傳統互聯網領域也是這樣的,只能像最近反詐騙的宣傳和此次疫情期間應對一樣,通過長期反復的宣傳,一步一步的逐漸提高行業的安全意識。
但是對于企業來說,還是有很多可以做的事情。首先,企業要建立比較好的重視安全的文化,從方方面面都重視安全,這個事情還是會非常有效果的。
第二,及時做一些人員安全意識方面的培訓,會起到立竿見影的效果。
關于技術方面,技術方面有很多的安全事件實際上都可以避免的,因為攻擊運用的漏洞都是比較基本的點,并不是很困難,這就體現出來我們安全行業目前來說力量還是比較缺乏的,相對于區塊鏈生態大體量來說,安全行業的力量還是不足,不是現在技術水平的高低,主要體現在掌握核心技術人才上的缺失。像我們現在安全廠商來說,安全廠商能發現的漏洞,不管是嚴重程度還是復雜程度,其實都已經非常強了,但是實際上出現問題往往是非常基本非常簡單的點,原理非常簡單的漏洞。這兩個之間的差異就體現出來,因為整個區塊鏈生態里面的技術系統非常多,區塊鏈系統非常復雜,我們安全廠商人員和數量來說,根本沒有辦法覆蓋到每一個項目,每一個企業。
我在各種會議上也在說,區塊鏈安全這件事情,不能只依靠安全廠商這幾個點,而是應該依靠整個生態,區塊鏈生態里面各個細分行業,各個企業自發對安全的重視,主動的從內部發現問題,主動聯系安全廠商來做這件事情,整個生態一起發力。
關于技術方面的問題,對于技術這一個點,想說一點比較細節的事情。我們通過這幾年的工作經驗觀察到,很多的技術人員知道怎么寫一個能用的區塊鏈系統,但是不太清楚怎么寫一個安全的區塊鏈系統,能用的系統和安全的系統之間差得很多,這兩者之間主要的差距,就差在對區塊鏈各種技術細節的理解上。很多開發者對區塊鏈的技術知道怎么回事,但是對技術細節沒有辦法掌握得太細,理解不深,所以使得他開發的東西出現一些問題。
比如我們都知道區塊鏈里面一個叫Merkle Tree的東西,Merkle Tree一個主要作用是為了保護交易數據,但是至于說它保護了哪幾類交易信息,這個問題很難有人一次性回答清楚。他理解不清楚這件事情,就會使得在開發或者優化系統的時候,很容易把這個功能無意間抹掉。跳過這些保護功能以后,破壞了區塊鏈原本的安全設計,就會引出很多的安全問題。我們發現這幾年區塊鏈的漏洞大都是因為這類問題產生的。
主持人:今年4月份,區塊鏈正式入選新基建范圍,與5G共同成為支持數據發展的基礎設施。與5G相輔相成的過程中,對于區塊鏈安全又有哪些挑戰?有哪些應對方法?
于曉航:5G解決的是通信問題,區塊鏈解決的是信任問題,或者說是安全問題和隱私問題。隱私問題又被很多人理解為是目前移動網絡發展的一個瓶頸性的問題,另一方面對于區塊鏈系統來說,帶寬問題和存儲問題,又是兩個比較常見的發展瓶頸,所以從這個角度來說,5G和區塊鏈很多人認為是有非常強的優勢互補的關系,所以經常認為這兩個都歸納為新基建以后,這兩個產業疊加在一起,會有一些疊加效應。
我個人也是比較認同這個觀點,這里面有一些更多值得探討的具體問題,可以聊一聊。第一個問題,5G這個事情雖然解決的是通信問題,它的發力點是在移動通信網絡上,但是區塊鏈系統目前來說主要依托的是主機和服務器,5G和區塊鏈之間的結合,并不會像大家想像的那么直觀,更可能的方式是,5G的發展會促進區塊鏈技術移動端的發展,就是區塊鏈技術生態可能會向移動網絡發展。這個發展趨勢肯定會催生出更多基于移動端的區塊鏈技術,既然一些新的應用,新的細分領域出現之后,從安全角度來說,就是引入更多的攻擊面,攻擊面出現以后,隨著產業發展,一定會吸引來更多黑客的攻擊,這是對安全方面的影響。
第二個方面,隨著移動端網絡的發展,有可能會促進云端區塊鏈的發展。隨著云端區塊鏈和移動端網絡的發展,有可能會增大區塊鏈系統帶寬上的壓力,引入更多的攻擊流量。隨著攻擊流量的增多,也會產生更多的周邊系統,比如說區塊鏈瀏覽器周邊的區塊鏈應用或者區塊鏈防護系統的產生,這些系統的出現,也會引入更多的攻擊面,實際上跟第一條是連帶性的作用。
第三個問題,在區塊鏈領域里面,很多攻擊是基于大流量、大帶寬的,5G帶來更大的帶寬,也會為攻擊者提供了更便利的攻擊手段,對區塊鏈系統自身的穩定性和可用性都提出了更高的要求,這個事情也會對區塊鏈系統產生一些影響。我覺得不管怎么樣的發展,就好像區塊鏈系統剛出現一樣,大家對區塊鏈也沒什么研究,但一定會有向我們這樣的安全廠商,安全從業人員對一個新型的領域做一些新的安全研究。所以我覺得這方面雖然會有很多的安全挑戰,但是對我們安全從業人員來說,反而會更興奮,我們會更有動力來保護這個行業。
主持人:行業越發展,安全問題越難。剛興起的時候,很少有人說區塊鏈的安全問題。
于曉航:是,國內的區塊鏈安全行業是18年前后才逐漸發展起來的,我們也是18年初的時候一起成長起來的,那時候都是靠硬著頭皮自己做研究。到現在累計到接近百萬行的區塊鏈源碼審計經驗。我們長亭原來是做傳統安全做得比較好,我們會借鑒傳統安全里面的安全模型、經驗、工具,把它快速嫁接到區塊鏈安全領域,通過這種方式,我們才能更快的著手完善區塊鏈安全。但是目前來說區塊鏈安全領域還有很多的工作沒有做好,例如防護性或者是監測性的產品。對于區塊鏈安全領域來說,有很多事情是靠工業界自己沒辦法突破的,需要學術界的成果轉化才可以完成。
主持人:這也是區塊鏈跟傳統行業之間的主要差異?
于曉航:對,區塊鏈系統有很多的特殊性,最大的特殊點就是,區塊鏈不只是一個技術,它更多是融合了經濟模型在里面,所以很多漏洞不能單純從技術角度判斷,也需要有一些經濟分析支撐才能判斷它是不是漏洞,這也是我們實際工作中的難點,因為這件事情也會出現很多有趣的爭論和討論。
主持人:謝謝您!
