网络安全领域最热门的话题之一就是企业区块链。它采用了与比特币一样的加密货币技术。简单地说,区块链是对等各方共享的交易或者合同的列表,并被一些巧妙的密码锁定。不同于比特币的是,区块链能够确保供应链的完整性,管理合同,甚至可以作为金融交易的平台。 它在加密货币领域的普及,以及应用了密码学及其分布式特性,向其支持者们表明,区块链是我们当前很多网络安全问题的解决方案。例如,Akamai目前正在构建一个用于在线支付的区块链网络。Akamai实验室副总裁兼首席技术官Andy Champagne说:“区块链本身就是一种安全技术。它确实是以安全原则为基础的。” Champagne说,关于比特币交易遭黑客入侵的新闻一般与开放的、公共的网络有关。在这些网络中,任何人都可以建立一个节点,但企业区块链项目与公共网络的不同。他说:“企业区块链通常是需要获得许可的区块链。有一组节点,但节点是私有的,并且通过一组安全周界来限制企业中各类人员对这些节点的访问。” Kudelski安全公司的首席技术官AndrewHoward证实说,这不仅仅是炒作。即使它不是灵丹妙药,区块链的好处也是实实在在的,这一技术还会继续发展下去。他说:“理论上,基本概念是非常抗攻击的。从学术角度来看,区块链很有意义。如果实施得当,它们很难被攻击。” 虽然区块链可能是黑客难以攻击的目标,但也并非无懈可击。很多安全专家警告说,区块链的实施使企业面临需要尽快重视起来的各种各样的风险。 加密货币犯罪是大买卖 目前还没有任何针对企业区块链项目的网络攻击报道,但这主要是因为该技术仍处于开发或者试点阶段。对公共区块链项目的攻击已经非常常见了。 据Carbon Black公司称,今年上半年,黑客们窃取了价值11 亿美元的加密货币。Carbon Black的安全策略师Rick McElroy说:“随着网络犯罪的增长,编写恶意代码的个人也越来越多了,而暗网为他们提供了完美的市场销售渠道。”犯罪分子从这些攻击中获得经验,并利用在地下扩散的工具,这些都可以用在企业攻击犯罪活动中。 McElroy补充说,很多加密货币攻击都不是针对核心区块链技术的。相反,犯罪分子瞄准的是缺乏安全保障的交易以及个人和企业,他们没有很好地保护好自己的钱包。他们还发起了中间人攻击,将加密货币交易转移到他们自己的钱包中。 在McAfee最近关于区块链安全的报告中,很多这类问题都与最终用户的安全或者实施问题有关,而与区块链加密协议本身无关。企业项目也可能有实施问题,即使他们的被攻击面范围没有公开暴露的那么大。McElroy说:“对于任何想采用区块链的企业来说,他们首先应该权衡实施的好处和成本,以及应用新技术的风险。” 考虑到这一点,以下列出了 5 个最大的区块链安全风险: 1. 进入区块链交易时发生人为错误 在某些方面,企业区块链可能比公共区块链更脆弱。广为宣传的区块链的一个好处是非常有弹性的大规模分布式对等网络。如果一个节点宕机了,系统会绕过它,这样就不会有故障点。如果有一个参与方想偷偷地把一笔不正当的交易记入到账本中,但是在其他成员保持诚实的情形下,这是不可能发生的。但如果有人犯了“诚实的”错误呢? Sophos的首席研究科学家ChetWisniewski指出:“去中心化的好处是,如果没有共识,就不能更改。因此,当加密货币交易出现了错误时,交易各方是无法撤销它的,因为没有中心的权威机构。如果你丢失了自己钱包的密码,那它就永远消失了。而在企业领域,这样的情况极少会发生。” 当区块链加密可以防止用户改变历史账本时,系统通常被设置为参与方能够添加新条目。对于企业项目,参与方通常是可信的伙伴,而不是随机的公众成员。High-Tech Bridge SA公司的首席执行官Ilia Kolochenko说:“如果受信任方被攻破了,那么区块链的安全性就不存在了。” 2. 51%攻击 更糟糕的是,如果网络的大部分被攻破了,会怎样呢?那么,攻击者会造成很大的损失。这就是51%攻击背后的理念。一名恶意的犯罪分子或者犯罪分子集团控制了系统中的大部分节点后,会强迫每个人都服从他们的意愿。 对于比特币,这是很难做到的,因为网络上有这么多的参与方。小规模的加密货币比较容易被攻击,例如比特币黄金。今年5月,攻击者采用51%攻击,获得了价值1800万美元的加密货币。企业区块链项目的参与方通常比公共加密货币平台的参与方少得多。ForeScout新兴技术副总裁Rob McNutt说:“网络规模越小,被攻破的节点数量就越少。如果一家银行正在推出区块链来处理交易,那么节点的数量将远远少于公共网络,因此可能被攻破的设备数量要少得多。” 企业部署可能更为同质化,因此,如果在一个节点中发现漏洞,则可以利用这一漏洞来攻击所有其他节点。McNutt说:“在公共领域,人们下载不同的挖矿软件,配置也各不相同。” 3. 区块链实施错误 区块链项目漏洞的另一个重要来源是,该技术是如此新颖以至于实施时容易出现错误。甚至核心区块链加密技术也有问题。Wisniewski说,算法在数学上可能是正确的,但具体的软件版本可能不是。 Wisniewski评论说:“如果你不能理解基础数学,那你基本上就是下载了一个盒子,上面写着‘魔术’,但不知道它能干什么用。我们在开源领域看到过很多次这种情况,人们依靠第三方的库来处理这些事情,有人进入了Github并切换了代码,六个月内都没有人注意到。” 还有一个事实,即区块链技术是如此新颖,Wisniewski说,“以至于根本不知道哪些错误不会发生。”他还补充说,“我们还需要正确地管理区块链部署时的所有加密密钥。很多企业甚至无法正确地管理他们的网站证书。” 企业区块链也会像其他技术项目一样,很容易受到很多相同攻击载体的攻击。CA Veracode的首席技术官兼联合创始人Chris Wysopal介绍说,以网络钓鱼和欺诈为例。他说,他还没有看到有针对企业区块链的此类攻击,这是因为在生产过程中很少有这样的攻击。这些攻击在公共项目中是很常见的。他说:“我们看到了很多这类攻击,有人假装是收件人,拦截或者黑掉网页,从而拦截交易。这不一定是加密货币,它可以是任何其他类型的交易。” 推出区块链项目的企业应确定自己具备所有的基本知识,包括使用最新、最安全的软件开发和审查过程,确保采用了多重身份验证手段,并锁定网站以防止网络攻击。弗吉尼亚州的网络安全公司Merlin国际的工程副总裁Tej Luthra介绍说:“如果他们对跨站点脚本很敏感,那么不管是私有还是公众的都无所谓。所有那些在网络安全领域普遍存在的攻击,区块链也容易受到这类攻击。” 4. 被攻破的智能合同 2016 年,去中心化自治组织(DAO)使用以太坊平台推出了基于区块链的投资基金,这是一种区块链版本,可以存储智能合同而不仅仅是简单的货币交易。据Gartner说,黑客们能够使用智能合同,从系统中抽取出价值1.5亿美元的以太币。 Reason软件的创始人兼首席执行官AndrewNewman说:“DAO案例已经成为一个典型的例子,让我们记住,仅仅因为区块链的某些原因而使用区块链,并不意味着它本身就是安全的。” 现在,每个人都想使用区块链。他说:“人们的想法是,利用对等分布式账本模型,那么在其上实现的所有其他东西也将是安全的。显然,这是一个错误的假设。实施起来未必能像它们所承诺的那样安全和不出问题。” 智能合同对企业具有吸引力。它们在条件满足时会自动执行,不能被拒绝。这也意味着要解决问题、纠正错误和反欺诈是极其困难的。例如,在编写合同时很容易出现意外,所要求的条件会永远不能满足,也有可能交货地址是错误的。 如果出现这类情况,钱就会被永远锁在区块链里。同样,这不是一个理论问题。去年秋天,有人不小心锁定了多方以太坊合同,造成了3 亿多美元的损失。 5. 利用未检测到的区块链漏洞 目前,公共加密货币交易在区块链生态系统中是最容易实现的。钱很充足,很容易得到,被抓住的几率也很低。英特尔安全副总裁兼首席技术官Raj Samani表示:“犯罪团伙瞄准的是能够获得最大投资回报的领域。” 近期情况可能就是如此。McAfee公司高级威胁研究负责人Steve Povolny说:“这一行业现在太新了,以至于我们甚至没有一个平台来发现并报告与非加密货币相关的区块链漏洞。”他说,大约有50家大公司表示,他们正在投资、收购或者实施区块链技术。“我认为,我们在一段时间内不会真的看到有产品推出。” 这将随着企业项目的上线而改变,这些项目涉及大量的资金,需要关键的基础设施或者业务流程,涉及政治和军事敏感信息。拉斯维加斯一家专门从事智能合同审查的初创公司HoSoo的创始人兼首席执行官Yo Sub Kwon说:“这对于每个人来说都将是漫长的学习过程。最先进入区块链的大公司将首先有所体验,并从中吸取教训。” 没有准备好迎接黄金时期 Verodin的行为研究部门负责人JamesLerud表示,目前,商业领域的区块链是问题的解决方案。他说:“最大的风险来自于想用区块链解决问题的心态——让我们尽快地部署一些东西。但这不是什么高招。” Lerud说,区块链架构提供了不必依赖中间人而是通过共识达成信任的能力。它可以解决很多问题,但并不能解决所有问题。他说:“企业调查区块链时可能在这方面出错。人们认为这是一个很好的解决办法,人为地给它找一些问题。从技术角度来看,这是一个危险的阶段。” |