駭客餘弦
這個春節檔,《流浪地球》引爆了全民的觀影熱潮,很多人三刷之後還依舊回味無窮。當我離開電影院時,迴盪在腦子久久不能淡去的是“道路千萬條,安全第一條”。
這個“安全”可以指向任何行業任何領域。對於離不開網際網路的我們來說,往往覺得駭客是破壞網際網路安全的罪魁禍首。
但在駭客眼裡,能夠打破規則的就是漏洞,漏洞又有平凡而又絢麗的生命週期。知名網紅駭客餘弦說過,如果駭客不黑你,是你沒有被黑的價值。
隨著區塊鏈技術的不斷髮展,被黑也顯得越來越有價值。據2018年度區塊鏈安全報告顯示,2018年區塊鏈安全事件發生 138 起,較2017暴增 820%。2019年第一個月區塊鏈安全事故已經超過了2018年一年。
今年初ETC 遭遇了 51% 攻擊,餘弦帶領慢霧科技對這次攻擊的完美應急,將區塊鏈生態安全推向了一個新的高潮。甚至還看到一個很火的提問說,如何成為像餘弦一樣的駭客。
想成為餘弦一樣的駭客嗎,不要急,接著看下去。
2月13日,慢霧科技聯合創始人、知名駭客餘弦做客嗶嗶大咖秀,和大家進行了一場關於駭客和區塊鏈生態安全的精彩交流。(以下是嗶嗶大咖秀直播整理)
大家好!我是嗶嗶大咖秀的主持人元元,一個隸屬於嗶嗶News旗下美少女軍團的雙魚座妹子。很開心在新的一年和嗶嗶大咖秀一起繼續前行~
元元:我們讓餘大大先和大家打個招呼,簡單的介紹下自己吧。
餘弦:大家好,我是慢霧科技聯合創始人 餘弦,請多關照。
元元:介紹很簡短啊,你平時說話也比較簡短嗎?
餘弦:一會正式的問題,我儘量詳細。
元元:網上傳你的title很多,有知名駭客,慢霧科技聯合創始人、Joinsec Red Team 聯合創始人、前知道創宇技術副總裁、404團隊Leader,中國計算機學會電腦保安專委會委員,安全領域暢銷書《Web前端駭客技術揭秘》作者等,這些title你最喜歡哪個?為什麼?
餘弦:其實我還有其他身份,比如懶人,我最喜歡懶人這個身份。
因為為了有底氣懶下去,我會選擇輸出更多價值,這些價值遲早可以帶來回報,我會盡力保證“能用程式碼解決的事,就別動手”。
大多數情況下,我的價值輸出是以駭客這個身份進行的。在我的世界觀裡,駭客是創造性的,不是作惡的。
元元:你是怎麼接觸到駭客世界的?說一下進入區塊鏈前的故事吧~
餘弦:高中有次晚自習來到了實驗樓,有人在一間屋子放電影《駭客帝國》。當時除了被酷到之外,更多是充滿疑問:為什麼是這樣的一種虛擬世界?為什麼會有矩陣革命?這真是我駭客之路的啟蒙電影,後來重複看《駭客帝國》,每次都有更新的理解。
大學階段都是自學小打小鬧,快畢業時才開始進入真正的駭客戰場,那時知道創宇剛成立,我是最早的幾個員工,一直持續發展了9年才離開。知道創宇的經歷是我人生的重要財富,在我心中這是一家最酷的駭客公司,駭客文化濃厚。
經歷幾次重要的融資後,知道創宇最終背靠了騰訊。騰訊的文化、超前的眼光、國際化的大平臺很快吸收了中國大量的駭客高手,大家擁有一致的正向價值觀。
我還清晰記得當時騰訊 CTO 張志東的四個字“守正出奇”,大家很對味。我在知道創宇期間,直接負責的是一個叫 404 的安全實驗室,負責公司的整體安全能力支撐與對外輸出。一線的駭客攻防對抗是最酷的,我離開後,404 繼續在快速發展,而我最終選擇了一個細分領域的安全市場:區塊鏈生態安全。
元元:做駭客好像都會神秘,高冷,孤獨的,你覺得你是這樣的人嗎?
餘弦:可能是吧。但更可能是我不善於交際。
元元:我直到採訪前都以為餘弦是你的真名,你是怎麼想到會用“餘弦”這個代號呢?有什麼特別的意義嗎?
餘弦:因為數學,有個基礎函式是大家都知道的:三角函式,其中有個餘弦函式。我覺得數學是這個世界最美的東西,包括區塊鏈世界。
元元:哈哈不是嗶嗶News八卦,而是餘老闆你太神秘了所以有很多好奇的問題想問你。
我看你的微信簽名是屬於云云,你們感情很好誒?平時生活都是誰做主呢?
餘弦:當然她啦..
元元:好像一年前你都是不接受採訪的,是不是因為作為安全網紅,比較有偶像包袱?去年是什麼讓你又重新開始接受媒體的採訪呢?
餘弦:因為那時是我人生的一個極具挑戰的轉折點,我從奮鬥9年的知道創宇離開,從帝都回到了廈門,這是一個被世界遺忘的角落,我也準備獨立創業。
嗯,一切從頭開始,雖然那時壓力滿滿,但很快就瀟灑自在了,當時我是想著站在局外多看看局內人的做法,有時候做一個安靜的觀察者或聆聽者是很好的。
我沒什麼偶像包袱,其實以前我經常提:駭客沒什麼特別的。我交友有個原則:聞道有先後、術業有專攻。所以,我是個尊敬他人的人,我也不會覺得我的能力有什麼特別。我經常會被他人的能力驚豔住:很強!
因為慢霧這個品牌,我認識了區塊鏈領域不少優秀的人。包括這個訪談,實際上我是把嗶嗶當作了朋友,我覺得就是一場真誠的交流,偶爾可以有,很自然,很隨性。
元元:平常和粉絲互動得多嗎,主要聊哪些話題?會和粉絲見面嗎?
餘弦:我沒粉絲,如果非得承認有,我的云云是第一個^_^
元元:情人節的第一口狗糧來襲。
餘弦:雖然我的關注量不小,但我很早就意識到:關注我的人其實沒在關注我,絕大多數都是當時覺得:嘿,有趣。然後就各過各的生活罷了,所以沒有什麼粉絲見面會。
元元:之後可以來杭州辦一個沙龍,嗶嗶News支援。
餘弦:記得去年慢霧成立不久,因為巴位元的一個安全沙龍辦在了廈門,當天晚上,我順手辦了個很隨性的慢霧夜談,來了一些區塊鏈領域的優秀人才,至今有種“餘音繞樑”的感覺,這種見面我是喜歡的,但這種見面真的得看緣分,很隨性。
元元:一天工作多長時間呢?你平常主要工作內容是什麼?
餘弦:我基本是除了睡覺都在工作的型別。我主要會做公司大方向、安全能力、安全產品的頂層設計並享受編碼著實現些原型,然後和一些重要的人聊一些重要的話題。
元元:那你怎麼調節生活和工作的?
餘弦:我經常給團隊說:“創業是一種生活狀態,所以不要把自己搞得太累,要懂得平衡。”慢霧的“慢”也代表了我們團隊的一種慢格調。
我們公司環境算還行的,相對優質的福利待遇及開放式辦公之外,公司因為在廈門島內,就在環島路上,樓下不遠就是美麗的海灘及大海,團隊自發會在下午茶時間去那裡放鬆,比如無人機、抓海蟹、吹海風之類的。
公司陽臺棋盤、桌遊、遊戲機應有盡有。大辦公室裡還有茶室及許多茶點零食,團隊的人基本好喝茶,這也是廈門的一種普遍現象。
專門的小屋有飛鏢,這是PK的好地方。旁邊有個閉關室,可以睡在那,也可以小團隊突擊任務,裡面不少專用駭客裝置。
元元:駭客裝置?
餘弦:說起專用駭客裝置,我們有專門的一個角落擺滿了各種裝置,客戶及朋友們來,這是讓他們大開眼界的好地方。
除了這些,其實有一個更重要的,平衡好公司業務的數量與質量,打磨好自身能力,這樣才能真的有的放矢。
元元:是怎樣的機緣巧合選擇進入區塊鏈行業的?有沒有領路人?
餘弦:如果非得說領路人,這個領路人可能是影子經紀人,這是一支地下駭客隊伍,他們黑掉了世界最強的情報機構 NSA,竊取了一堆最頂尖的“網路軍火”。
我去年初在我的公眾號“懶人在思考”上寫過一篇八卦文《深入研究的套路之駭客與區塊鏈》,這篇文章裡我提到了 2017 年因為影子經紀人的駭客活動才真正萌芽進入區塊鏈領域的想法,而之前只是覺得這只是一枚比特幣罷了。
元元:那進入區塊鏈行業後你最大的感觸是什麼?和之前的工作最大不同是什麼?
餘弦:沒什麼特別感觸。比起之前的工作,最大的不同是:現在的領域處於很早期,大家都是摸著石頭過河,大家的安全感普遍來說更低,安全是這個生態的必選項、底線、基礎設施。
元元:你認為一個團隊如果要成功最重要的因素是什麼,粉絲們都喜歡聽故事,能不能分享一下您和您的創業夥伴之間的故事?
餘弦:我覺得一個團隊要成功最重要也是最現實的是團隊有“來自未來”的感覺,沒這種感覺的,基本是沒認清世界執行法則的,不明白世界執行法則,怎麼可能成功?
我和我的創業夥伴們有些重要的共同愛好,比如:美食,我們覺得這是非常關鍵的東西,我們除了工作,討論最多的就是哪裡的美食好吃,然後去吃。
我們還有隨時的 Hacking Time,這個非常有趣,顧名思義,就是和駭客攻防對抗相關的一次現實演練,比如我們捕獲到了重要的威脅情報、我們打造了個新引擎、我們挖到了個好漏洞,相關人會很隨性就內部分享出來,大家圍著就是一番討論。
元元:最近很多人都關注你的微信個人公眾號,閱讀量都挺高的,是不是有意向往這個方面靠呢?你個人在最近一年的規劃是怎麼樣的?
餘弦:其實我公眾號“懶人在思考”在有慢霧之前閱讀量相對來說就算挺高的,但我一直很懶,並沒特別去運營,過去如此,現在及未來都應該是如此。
我個人最近一年的規劃是:英文聽說能力能有個小突破,好好生活,認真創業。
元元:作為駭客對英語水平是不是有很大要求?
餘弦:嗯,如果永遠活在虛擬世界裡,比如駭客帝國那樣的感覺,那隻需讀寫熟練就好,否則有一些有趣的線下交流,聽說一定要好。
元元:去年一年,對於慢霧,熊市給你們造成的最大影響是什麼?慢霧有沒有做一些策略上的調整來應對熊市?在這種大環境下,你覺得慢霧在區塊鏈安全行業是怎麼做到異軍突起的,優勢是什麼?
餘弦:熊市對所有團隊都有影響,慢霧也不例外,但對我們最大的影響是個好影響:團隊能有喘息機會。熊市對我們的策略來說沒什麼需要調整的,因為這個熊在我們計劃內,打個戰,糧草怎能不先行?
慢霧不用追求異軍突起,我們的安全服務覆蓋了許多頭部及優質的專案方,也沉澱了不少安全基礎設施。
我們有自己的格調,這種格調看的方向是對這個世界執行法則的理解,我們唯一需要抓住的就是變化中的大機會,如果幸運,“異軍突起”會是自然而然的事。
我自己認為的優勢是我們裡子比面子強,我們覺得裡子深厚是最關鍵的,面子這東西不會真去在意一城一池。
元元:BTI(區塊鏈威脅情報系統)做為慢霧的核心力量,它最強大的功能是什麼?
餘弦:BTI 最強的是威脅聯動防禦,比如一個專案方被攻擊了,這是一次重要的威脅情報,這個情報會脫敏出攻擊者是誰、攻擊手法是什麼、攻擊動機是什麼、下一步會如何。這份脫敏情報透過 BTI 系統的聯動可以快速讓類似的專案方提前防禦、免受攻擊。
元元:最近慢霧輸出的一款BTI旗下DApp防火牆FireWall.X,它和EOS天眼平臺是一個怎麼樣的關係呢?之後會有其他系列產品的推出嗎?
餘弦:EOS 天眼和 FireWall.X 都屬於 BTI 的重要安全模組,定位在 EOS 生態,分別解決的問題是:EOS 智慧合約威脅看得見,EOS 智慧合約威脅防得住。
這是很具備創造性的安全產品,雖然相比我們之前做的要“小”得多,但很精準,尤其是 FireWall.X 透過智慧合約來實現了防火牆的主要功能,可以有效防禦針對 EOS 智慧合約或 DApp 的大多數攻擊。這兩個產品,都是免費的,未來會有增值模組。
元元:之後會有其他系列產品的推出嗎?
餘弦:之後會有系列產品的,因為不同公鏈的生態可能需要的安全解決方案會有不少差異。也因為攻擊手法在不斷進化,我們需要跟上甚至能在某些關鍵點領先。
元元:看你微博好像正在實現一個很有趣的安全專案“主流幣種的冷錢包安全管理方案”,大家都很感興趣,介紹一下吧?
餘弦:是這樣,我們安全服務了不少頭部及優質交易所或錢包平臺,在我們的安全服務內容裡,有個最核心的:冷溫熱錢包安全架構。我們有一套原創且因地制宜的安全防禦部署方案。
我們正在把我們在冷錢包安全管理的經驗更加模組化,我們把這個工程命名為“SlowWallet”,Slow 來自慢霧(SlowMist),寓意冷錢包,用得不頻繁,不追求快,而是追求穩。我們這個方案會逐步開放給我們深度服務的客戶場景,最終會開源。
元元:針對最近頻繁發生的51%攻擊事件,有人預測2019年51%攻擊事件將大幅增加,你之前也發微博表示只要解決的是共識問題,51%攻擊就無法避免。可以具體解釋一下嗎?
餘弦:很簡單,既然有共識,那也有反共識呀。我們需要明確一點,51%是一種叫法,不是非得算力或權利到達或超過51%。
順便告訴大家個好玩的案例,今年初大家都知道 ETC 遭遇了 51% 攻擊,我們是第一個發出全球預警的安全團隊。當時官方還沒承認,當然隨著之後的事態發展就承認了,和我們進行了多次緊密的互動。
我們透過我們的 BTI 系統,關聯了許多關鍵攻擊情報,並對外發聲:如果被攻擊的交易所願意更近一步協作,我們可以定位出攻擊者。大概2天后,攻擊者退還了 51% 攻擊所得的所有 ETC(15多萬枚)。
這個過程,誰受損失了?如果攻擊者沒歸還 ETC,那交易所受了損傷,ETC 這條公鏈整個過程,除了開始兩天幣價有點波動之外,之後就回歸正常了。似乎這個世界的人對這種嚴重的攻擊並不在意,因為本質上,我們絕大多數人並沒直接受到損失。
我想表達的是:51% 對一條公鏈的發展是有進化促進意義的,一條公鏈如果沒好價值,攻擊者也不會有動力;一條公鏈如果積極去應對攻擊後的質疑,會得到更高的知名度及口碑。
元元:EOS主網自去年六月啟動之後,很多DApp不停地遭受攻擊,有的損失慘重。可以系統分析一下DApp現狀的安全嗎?
餘弦:上個月IMEOS整理了一份EOS DApp被黑記錄表,結果顯示從2018年7月初至2019年1月下旬,累計發生63起攻擊事件,加上春節前後我們預警的幾起攻擊事件,從EOS主網啟動至今,應該有70+起DApp攻擊事件。被盜損失金額方面保守預估專案方損失上千萬。
從這些統計資料來看,目前EOS DApp安全現狀很嚴峻,專案方技術水平參差不齊,並且在安全開發方面經驗不足,很多我們之前就預警過多次並且釋出了修復方案的漏洞,依然很多DApp因為這些已知漏洞被黑。
元元:目前來看EOS的漏洞主要有哪幾個呢?
餘弦:根據我們整理的《EOS 智慧合約最佳安全開發指南》,目前已知的DApp智慧合約漏洞有:溢位、許可權校驗缺失、apply校驗不嚴格、transfer假通知、隨機數漏洞、回滾攻擊等6個。鑑於時間關係,這裡不具體展開講,大家可以開啟我們的 GitHub 檢視詳細內容。
元元:作為使用者或者開發者,該怎樣去開發一個安全的DApp?
餘弦:關於如何開發一個安全的 DApp,我建議開發者首先應該學習 EOS 智慧合約的基礎知識,從官網文件入手,跟著教程一步步實踐,掌握每個函式的用法。
然後嘗試自己實現一個小 DApp,並且多學習、參考無漏洞的 DApp 開原始碼以及最佳安全實踐文件,掌握已知的漏洞原因和修復方法;最後不斷給自己的 DApp 增加功能,不斷嘗試解決各種需求。
元元:看了你的作惡圖發現現在有很多新型作惡手法,例如盜幣、惡意挖礦、勒索、暗網、C2中轉、洗錢,資金盤、博彩,對於區塊鏈企業本身應該做些什麼去防範這些作惡手法?對於普通使用者怎樣避免捲入這類攻擊?
餘弦:區塊鏈相關的企業需要有個成體系的安全建設,之前我們提過我們現在所處的區塊鏈世界,由於自帶金融屬性,沒有國家力量背書,被盜幣後溯源極難,這些導致這個世界普遍缺乏安全感。
作惡的攻擊者或者地下駭客是不會和你商量的,拋掉情感的攻擊對他們來說是他們的職業素養,是更好的組織運作方式。
企業的安全體系建設需要做好三個層面:1. 內部安全建設;2. 和第三方職業的安全公司合作建設;3. 和整個安全/駭客社羣合作建設。
需要從人員安全、內網安全、終端安全、研發安全、運維安全、私鑰安全、雲安全、社羣安全、安全風控、安全運營、安全管理等做無死角覆蓋。這並不容易,但這得有,隨著業務的發展,逐步成熟。
普通使用者養好注重隱私與安全的習慣,最簡單的一招:所有和數字貨幣相關的操作,都獨立手機號、郵箱、密碼、手機、電腦、網路,完全獨立隔離出來,安裝國際知名的防毒軟體、不要安裝破解程式或盜版程式、學會安全科學的自由上網方式、始終相信天下沒有免費的午餐、該付費的付費、幣圈套路多。這樣下來出安全事故的概率就會低很多很多。
元元:很多人會拿EOS和ETH作比較,你覺得他們之間有可比性嗎,EOS在區塊鏈生態安全方便能借鑑以太坊的經驗避免走彎路嗎?
餘弦:他們之間其實沒什麼可比性,各有各的強大社羣,強大信仰,那就各自安好地發展就好。這個世界除了“Google”、“Apple”之外,我們還需要很多很多服務。
社羣之間並不是完全隔離的,很多基礎共識、基礎能力很像,只要是好的,互相借鑑很正常。
元元:盜幣最常見的是攻擊也是智慧合約,很多人說智慧合約的基石是程式碼,伴隨程式碼技術的演化,未來將出現更多的安全隱患,可以具體的說一下嗎?之後會有什麼解決方案嗎?
餘弦:有很多出安全問題的智慧合約,但更多是沒出問題的,只要把研發水平提高,出問題的概率會大大降低,比如稍有經驗的開發人員會知道複用現有經過第三方安全審計的開原始碼或模組。
有前景的事物總是良性進化的,可能會出現當前不會有的安全方案,不用對未來擔憂。比如在 EOS 出現之前,在以太坊上我們覺得似乎沒必要去寫基於智慧合約的防火牆,但在 EOS 主網上,我們創造性地研發了 FireWall.X。
元元:在你們成立的這一年裡,審計的過程中有沒有遇到特別困難或者甚至有趣的攻擊事件?和大家分享一下。
餘弦:我們過去一年經常感慨:戰戰兢兢、如履薄冰、如臨深淵。我們的信心不是盲目的,我們瞭解這個世界的執行法則,我們敬畏這個世界。
經過我們手的專案不能被黑,我們需要確保零事故,但這確實是不可能的任務,因為攻擊者的入侵手法是全面的、領先的、甚至超乎想象的。作為防禦者,我們要防住所有,對於攻擊來說,一個點的突破就是勝利。
我們的價值在於提高攻擊門檻,在於萬一出安全事故後,能快速止損,甚至能溯源出攻擊者。但有時候確實會有挫敗感,幾次影響全球的安全大事件,比如我們披露的以太坊黑色情人節,至今攻擊者還在持續攻擊,我們只能不斷預警,卻沒法根本性阻攔,也沒法定位出攻擊者,已有情報太少。
元元:那既然提到情人節,你情人節準備怎麼過呢?加班嗎?
餘弦:好問題,最好還是別加班了..
元元:春節結束大家都開始了新一年的工作,你對未來區塊鏈的生態安全有什麼期待呢?給大家一些新年的祝福和關於區塊鏈生態的建議吧。
餘弦:只需要記住一點,把安全當作必選項、當作底線、當作基礎設施去看待,做這些很現實的一點,得有人力財力,說更簡單點:就是得有預算。
區塊鏈生態,我們建議的安全預算佔總預算的10%以上,15%很合理,有的場景甚至需要到20%。錢花在前面說的安全體系建設的三個層面。預算比例根據自身團隊不同時期的總投入與狀態來動態調整就好。
我們會和無數優秀團隊持續打造好屬於這個世界安全的基礎設施,借用最近大熱的《流浪地球》裡的一句臺詞:“道路千萬條、安全第一條。行車不規範,親人兩行淚。”我們希望新的一年,大家都能更好更安全。
關於區塊鏈生態安全,慢霧科技還精心為大家提供了資訊網站,感興趣的可以點開收藏哦!
推薦書籍:《深入研究的套路之駭客與區塊鏈》
慢霧BTI:https://www.slowmist.com/bti.html
慢霧EOS天眼:https://eos.slowmist.io/
慢霧FireWall.X:https://firewallx.io/
EOS智慧合約官方文件:https://developers.eos.io
C/C++手冊:https://eosio.github.io/eosio.cdt/
EOS 智慧合約最佳安全開發指南:
https://github.com/slowmist/eos-smart-contract-security-best-practices
