区块链神吐槽网上传你的title很多,有知名黑客,慢雾科技联合创始人、Joinsec Red Team 联合创始人、前知道创宇技术副总裁、404团队Leader,中国计算机学会计算机安全专委会委员,安全领域畅销书《Web前端黑客技术揭秘》作者等,这些title你最喜欢哪个?为什么?
其实我还有其他身份,比如懒人,我最喜欢懒人这个身份。因为为了有底气懒下去,我会选择输出更多价值,这些价值迟早可以带来回报,我会尽力保证“能用代码解决的事,就别动手”。大多数情况下,我的价值输出是以黑客这个身份进行的。
在我的世界观里,黑客是创造性的,不是作恶的。
你是怎么接触到黑客世界的?
高中有次晚自习来到了实验楼,有人在一间屋子放电影《黑客帝国》。
当时除了被酷到之外,更多是充满疑问:为什么是这样的一种虚拟世界?为什么会有矩阵革命?
这真是我黑客之路的启蒙电影,后来重复看《黑客帝国》,每次都有更新的理解。大学阶段都是自学小打小闹,快毕业时才开始进入真正的黑客战场,那时知道创宇刚成立,我是最早的几个员工,一直持续发展了9年才离开。
知道创宇的经历是我人生的重要财富,在我心中这是一家最酷的黑客公司,黑客文化浓厚,经历几次重要融资后,最终背靠了腾讯,腾讯的文化、超前眼光、国际化大平台真是吸收了中国大量的黑客高手,大家拥有一致的正向价值观,我还清晰记得当时腾讯 CTO 张志东的四个字“守正出奇”,大家很对味。
我在知道创宇期间,直接负责的是一个叫 404 的安全实验室,负责公司的整体安全能力支撑与对外输出。一线的黑客攻防对抗是最酷的,我离开后,404 继续在快速发展,而我最终选择了一个细分领域的安全市场:区块链生态安全。
我直到采访前都以为余弦是你的真名,你是怎么想到会用“余弦”这个代号呢?有什么特别的意义吗?
因为数学,有个基础函数是大家都知道的:三角函数,其中有个余弦函数。我觉得数学是这个世界最美的东西,包括区块链世界。
我看你的微信签名是属于云云,你们感情很好诶?平时生活都是谁做主呢?
当然她啦..
好像一年前你都是不接受采访的,是不是因为作为安全网红,比较有偶像包袱?去年是什么让你又重新开始接受媒体的采访呢?
因为那时是我人生的一个极具挑战的转折点,我从奋斗9年的知道创宇离开,从帝都回到了厦门,这是一个被世界遗忘的角落,我也准备独立创业。嗯,一切从头开始,虽然那时压力满满,但很快就潇洒自在了,当时我是想着站在局外多看看局内人的做法,有时候做一个安静的观察者或聆听者是很好的。
我没什么偶像包袱,其实以前我经常提:黑客没什么特别的。我交友有个原则:闻道有先后、术业有专攻。
所以,我是个尊敬他人的人,我也不会觉得我的能力有什么特别。我经常会被他人的能力惊艳住:很强。
我觉得因为慢雾这个品牌,我认识了区块链领域不少优秀的人,包括这个访谈,实际上我是把哔哔当作了朋友,我觉得就是一场真诚的交流,偶尔可以有,很自然,很随性。
平常和粉丝互动得多吗,主要聊哪些话题?会和粉丝见面吗?
虽然我的关注量不小,但我很早就意识到:关注我的人其实没在关注我,绝大多数都是当时觉得:嘿,有趣。然后就各过各的生活罢了,所以没有什么粉丝见面会。
我没粉丝,如果非得承认有,我的云云是第一个^_^
倒是去年慢雾成立不久,因为巴比特的一个安全沙龙办在了厦门,当天晚上,我顺手办了个很随性的慢雾夜谈,来了一些区块链领域的优秀人才,至今有种“余音绕梁”的感觉,这种见面我是喜欢的,但这种见面真的得看缘分,很随性。
一天工作多长时间呢?你平常主要工作内容是什么?
我基本是除了睡觉都在工作的类型。我主要会做公司大方向、安全能力、安全产品的顶层设计并享受编码着实现些原型,然后和一些重要的人聊一些重要的话题。
我经常给团队说:“创业是一种生活状态,所以不要把自己搞得太累,要懂得平衡。”慢雾的“慢”也代表了我们团队的一种慢格调。
我们公司环境算还行的,相对优质的福利待遇及开放式办公之外,公司因为在厦门岛内,就在环岛路上,楼下不远就是美丽的海滩及大海,团队自发会在下午茶时间去那里放松,比如无人机、抓海蟹、吹海风之类的。
公司阳台棋盘、桌游、游戏机应有尽有。大办公室里还有茶室及许多茶点零食,团队的人基本好喝茶,这也是厦门的一种普遍现象。专门的小屋有飞镖,这是PK的好地方。旁边有个闭关室,可以睡在那,也可以小团队突击任务,里面不少专用黑客设备。
说起专用黑客设备,我们有专门的一个角落摆满了各种,客户及朋友们来,这是让他们大开眼界的好地方。
除了这些,其实有一个更重要的,平衡好公司业务的数量与质量,打磨好自身能力,这样才能真的有的放矢。
是怎样的机缘巧合选择进入区块链行业的?有没有领路人?
如果非得说领路人,这个领路人可能是影子经纪人,这是一支地下黑客队伍,他们黑掉了世界最强的情报机构 NSA,窃取了一堆最顶尖的“网络军火”。
我去年初在我的公众号“懒人在思考”上写过一篇八卦文《深入研究的套路之黑客与区块链》,这篇文章里我提到了 2017 年因为影子经纪人的黑客活动才真正萌芽进入区块链领域的想法,而之前只是觉得这只是一枚比特币罢了。
你认为一个团队如果要成功最重要的因素是什么,粉丝们都喜欢听故事,能不能分享一下您和您的创业伙伴之间的故事?
我觉得一个团队要成功最重要也是最现实的是团队有“来自未来”的感觉,没这种感觉的,基本是没认清世界运行法则的,不明白世界运行法则,怎么可能成功?
我和我的创业伙伴们有些重要的共同爱好,比如:美食,我们觉得这是非常关键的东西,我们除了工作,讨论最多的就是哪里的美食好吃,然后去吃。
我们还有随时的 Hacking Time,这个非常有趣,顾名思义,就是和黑客攻防对抗相关的一次现实演练,比如我们捕获到了重要的威胁情报、我们打造了个新引擎、我们挖到了个好漏洞,相关人会很随性就内部分享出来,大家围着就是一番讨论。
你觉得慢雾在区块链安全行业是怎么做到异军突起的,优势是什么?
熊市对所有团队都有影响,慢雾也不例外,但对我们最大的影响是个好影响:团队能有喘息机会。
熊市对我们的策略来说没什么需要调整的,因为这个熊在我们计划内,打个战,粮草怎能不先行?
慢雾不用追求异军突起,我们的安全服务覆盖了许多头部及优质的项目方,也沉淀了不少安全基础设施,我们有自己的格调,这种格调看的方向是对这个世界运行法则的理解,我们唯一需要抓住的就是变化中的大机会,如果幸运,“异军突起”会是自然而然的事。
我自己认为的优势是我们里子比面子强,我们觉得里子深厚是最关键的,面子这东西不会真去在意一城一池。
BTI(区块链威胁情报系统)做为慢雾的核心力量,它最强大的功能是什么?
BTI 最强的是威胁联动防御,比如一个项目方被攻击了,这是一次重要的威胁情报,这个情报会脱敏出攻击者是谁、攻击手法是什么、攻击动机是什么、下一步会如何。这份脱敏情报通过 BTI 系统的联动可以快速让类似的项目方提前防御、免受攻击。
最近慢雾输出的一款BTI旗下DApp防火墙FireWall.X,它和EOS天眼平台是一个怎么样的关系呢?之后会有其他系列产品的推出吗?
EOS 天眼和 FireWall.X 都属于 BTI 的重要安全模块,定位在 EOS 生态,分别解决的问题是:EOS 智能合约威胁看得见,EOS 智能合约威胁防得住。这是很具备创造性的安全产品,虽然相比我们之前做的要“小”得多,但很精准,尤其是 FireWall.X 通过智能合约来实现了防火墙的主要功能,可以有效防御针对 EOS 智能合约或 DApp 的大多数攻击。
这两个产品,都是免费的,未来会有增值模块。
之后会有系列产品的,因为不同公链的生态可能需要的安全解决方案会有不少差异。
也因为攻击手法在不断进化,我们需要跟上甚至能在某些关键点领先。
慢雾BTI:https://www.slowmist.com/bti.html
慢雾EOS天眼:https://eos.slowmist.io/
FireWall.X:https://firewallx.io/
主流币种的冷钱包安全管理方案
是这样,我们安全服务了不少头部及优质交易所或钱包平台,在我们的安全服务内容里,有个最核心的:冷温热钱包安全架构。我们有一套原创且因地制宜的安全防御部署方案。
我们正在把我们在冷钱包安全管理的经验更加模块化,我们把这个工程命名为“SlowWallet”,Slow 来自慢雾(SlowMist),寓意冷钱包,用得不频繁,不追求快,而是追求稳。
我们这个方案会逐步开放给我们深度服务的客户场景,最终会开源。
你之前也发微博表示只要解决的是共识问题,51%攻击就无法避免。可以具体解释一下吗?
无论你采用算力还是权益、委托权益证明,只要你在解决拜占庭将军问题,只要这是共识问题,你都无法避免出现 51% 攻击情况。51% 不一定要求严格超越这个比例,看你的共识实现机制。在熊市,算力大跌,币价大跌,主网都是相对脆弱的,没有哪条公链可以独善其身。
很简单,既然有共识,那也有反共识呀。
我们需要明确一点,51%是一种叫法,不是非得算力或权利到达或超过51%。
今年初大家都知道 ETC 遭遇了 51% 攻击,我们是第一个发出全球预警的安全团队,当时官方还没承认,当然随着之后的事态发展就承认了,和我们进行了多次紧密的互动,我们通过我们的 BTI 系统,关联了许多关键攻击情报,并对外发声:如果被攻击的交易所愿意更近一步协作,我们可以定位出攻击者。
大概2天后,攻击者退还了 51% 攻击所得的所有 ETC(15多万枚)。
这个过程,谁受损失了?如果攻击者没归还 ETC,那交易所受了损伤,ETC 这条公链整个过程,除了开始两天币价有点波动之外,之后就回归正常了。
似乎这个世界的人对这种严重的攻击并不在意,因为本质上,我们绝大多数人并没直接受到损失。
我想表达的是:51% 对一条公链的发展是有进化促进意义的,一条公链如果没好价值,攻击者也不会有动力;一条公链如果积极去应对攻击后的质疑,会得到更高的知名度及口碑。
目前来看EOS的漏洞主要有哪几个呢?作为用户或者开发者,该怎样去开发一个安全的DApp呢?
从2018年7月初至2019年1月下旬,累计发生63起攻击事件,加上春节前后我们预警的几起攻击事件,从EOS主网启动至今,应该有70+起DApp攻击事件。
关于如何开发一个安全的 DApp,我建议:
- 开发者首先应该学习 EOS 智能合约的基础知识,从官网文档入手,跟着教程一步步实践,掌握每个函数的用法;
- 然后尝试自己实现一个小 DApp,并且多学习、参考无漏洞的 DApp 开源代码以及最佳安全实践文档,掌握已知的漏洞原因和修复方法;
- 最后不断给自己的 DApp 增加功能,不断尝试解决各种需求。
EOS智能合约官方文档:https://developers.eos.io
C/C++手册:https://eosio.github.io/eosio.cdt/
EOS 智能合约最佳安全开发指南:https://github.com/slowmist/eos-smart-contract-security-best-practices
例如盗币、恶意挖矿、勒索、暗网、C2中转、洗钱,资金盘、博彩,对于区块链企业本身应该做些什么去防范这些作恶手法?对于普通用户怎样避免卷入这类攻击?
区块链相关的企业需要有个成体系的安全建设,之前我们提过我们现在所处的区块链世界,由于自带金融属性,没有国家力量背书,被盗币后溯源极难,这些导致这个世界普遍缺乏安全感。
作恶的攻击者或者地下黑客是不会和你商量的,抛掉情感的攻击对他们来说是他们的职业素养,是更好的组织运作方式。
企业的安全体系建设需要做好三个层面:
- 内部安全建设;
- 和第三方职业的安全公司合作建设;
- 和整个安全/黑客社区合作建设。
需要从人员安全、内网安全、终端安全、研发安全、运维安全、私钥安全、云安全、社区安全、安全风控、安全运营、安全管理等做无死角覆盖。这并不容易,但这得有,随着业务的发展,逐步成熟。
普通用户养好注重隐私与安全的习惯,最简单的一招:所有和数字货币相关的操作,都独立手机号、邮箱、密码、手机、电脑、网络,完全独立隔离出来,安装国际知名的杀毒软件、不要安装破解程序或盗版程序、学会安全科学的自由上网方式、始终相信天下没有免费的午餐、该付费的付费、币圈套路多。这样下来出安全事故的概率就会低很多很多。
很多人会拿EOS和ETH作比较,你觉得他们之间有可比性吗,EOS在区块链生态安全方便能借鉴以太坊的经验避免走弯路吗?
他们之间其实没什么可比性,各有各的强大社区,强大信仰,那就各自安好地发展就好。这个世界除了“Google”、“Apple”之外,我们还需要很多很多服务。
社区之间并不是完全隔离的,很多基础共识、基础能力很像,只要是好的,互相借鉴很正常。
有很多出安全问题的智能合约,但更多是没出问题的,只要把研发水平提高,出问题的概率会大大降低,比如稍有经验的开发人员会知道复用现有经过第三方安全审计的开源代码或模块。
有前景的事物总是良性进化的,可能会出现当前不会有的安全方案,不用对未来担忧。比如在 EOS 出现之前,在以太坊上我们觉得似乎没必要去写基于智能合约的防火墙,但在 EOS 主网上,我们创造性地研发了 FireWall.X。
在你们成立的这一年里,审计的过程中有没有遇到特别困难或者甚至有趣的攻击事件?和大家分享一下。
我们过去一年经常感慨:战战兢兢、如履薄冰、如临深渊。
我们的信心不是盲目的,我们了解这个世界的运行法则,我们敬畏这个世界。经过我们手的项目不能被黑,我们需要确保零事故,但这确实是不可能的任务,因为攻击者的入侵手法是全面的、领先的、甚至超乎想象的。
作为防御者,我们要防住所有,对于攻击来说,一个点的突破就是胜利。
我们的价值在于提高攻击门槛,在于万一出安全事故后,能快速止损,甚至能溯源出攻击者。但有时候确实会有挫败感,几次影响全球的安全大事件,比如我们披露的以太坊黑色情人节(https://4294967296.io/eth214/),至今攻击者还在持续攻击,我们只能不断预警,却没法根本性阻拦,也没法定位出攻击者,已有情报太少。
对了,这个攻击正好已经持续了整整三年了,因为明天就是情人节了^_^
大部分安全事件都发生在数字货币交易平台、智能合约、矿机矿场等场景中,对货币交易平台的不同时期该做什么预防风险给出一点建议。
只需要记住一点,把安全当作必选项、当作底线、当作基础设施去看待,做这些很现实的一点,得有人力财力,说更简单点:就是得有预算。区块链生态,我们建议的安全预算占总预算的10%以上,15%很合理,有的场景甚至需要到20%。
钱花在前面说的安全体系建设的三个层面。
预算比例根据自身团队不同时期的总投入与状态来动态调整就好。
安全负责人的汇报对象需要直接到 CEO 或 CTO,还没安全负责人前,CTO 兼任安全负责人,安全负责人的最高级别一般是 CSO(首席安全官)。
我们还建议采用 DevSecOps 思想,把安全植入到开发到运维过程,这个思想建议每个技术人员都直接为自己安全事故负责,明确责任、细化责任后,后续的安全风控、安全运营、安全管理才能有的放矢。
订阅号:哔哔News
推荐阅读:
《白墨子安全实验室》
