请选择 进入手机版 | 继续访问电脑版

Hi,Tokens

 找回密码
 立即注册
查看: 264|回复: 0

【转大萌】白墨子讲堂:钱包安全及数字资产保护

[复制链接]

621

主题

987

帖子

3544

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3544
发表于 2018-8-13 15:43:55 | 显示全部楼层 |阅读模式
原文链接:https://www.damenginfo.com/208849.html白墨子第一讲:钱包安全及数字资产保护
2018年8月初,白墨子安全实验室宣布加入SWTC公链生态节点计划,组建“白墨子安全节点”,旨在以专注、专业的精神守护SWTC公链安全,为公链生态的健康发展保驾护航。
近期,白墨子团队接受了大萌资讯的独家邀请,将为大家带来全面、深度的区块链安全知识系列科普。
第一讲:钱包安全及数字资产保护
首先请为大家简单介绍一下“白墨子安全实验室”
白墨子安全实验室隶属于墨客区块链技术公司(Moac Blockchain Tech,以下简称“墨客科技”,网站:www.moac.io),是以墨客科技的专职区块链安全团队为主体组建的专业信息安全实验室,实验室位于北京市。
作为一家致力于Dapp真正商业应用的区块链公司,墨客科技极其重视信息安全工作。白墨子安全实验室是国内首家专注区块链安全的专业实验室,工作范围涵盖“区块链安全技术研究”、“区块链安全测评”、“区块链安全开发和技术支持”、“区块链安全咨询”、“数字资产防护”、“安全事件响应”等多个领域,可以提供“底层安全”、“智能合约审计”、“矿池防护”和“交易所安全加固”等多种专业安全服务。
针对区块链产业日益迫切的安全需求,白墨子安全实验室坚持面向产业前沿,聚焦区块链安全痛点问题,提供专业、可信的安全服务,立志成为区块链产业的顶级专业安全服务商。
为什么起名为“白墨子”呢?
“白墨子”释义:
1. 信息安全界存在“白帽子”和“黑帽子”的分类。
白帽子以提供安全加固和防护方案为主,是信息安全界的建设性力量,属于防守的一方;
黑帽子以发起攻击和破解方案为主,是信息安全界的破坏性力量,属于进攻的一方。
“白帽子”和“黑帽子”是信息安全领域中矛盾的两面,但并不是完全对立的,两者相辅相成、互相借鉴,共同促进信息安全技术的发展。白墨子安全实验室以提供安全防护为主,因此属于白帽子一方,“白墨子”亦即“白帽子”的谐音。
2. 取墨子“善守”之意。
墨子是我国古代著名哲学家,是墨家学派创始人及主要代表人物。众所周知,战国时,墨子善于守城。后世称善于防守为墨翟之守,简称“墨守”。
白墨子安全实验室以提供专业的安全防护和加固方案为主,希望像墨子一样成为信息安全界善于防守的力量。
墨子
使用区块链钱包,安全方面要做的,第一步是保存好私钥,这个容易理解。那么在接下来的使用过程中,哪些潜在风险是用户经常会遇到或容易忽视的?从黑客的角度来分析,对区块链钱包常用的攻击手段有哪些?
“把私钥保存好”,这个说起来简单,但现实中如何真正的把私钥存储好,这方面其实有很多讲究,如果不注意也容易出问题。
常见的不安全的私钥备份方法如下:
  • 有的用户把私钥存在自己邮箱里
邮箱并不是一个安全的存储场所,邮箱被攻破是很常见的事。因此,我们不但不建议用户把私钥存储在邮箱里,而且其他类似的敏感信息也不要存在邮箱中。
  • 有的用户把私钥通过QQ等发到手机上,或者用手机对屏幕拍照来备份
手机作为常用的移动终端,每天随身携带,丢失的概率不小,而且也容易被同事、朋友,甚至陌生人偷窥。同时,很多手机有云同步功能,会自动将手机中的很多信息上传到云端,这样就大大增加了信息泄漏的可能性。
鉴于私钥的敏感性,不建议将私钥存储在手机上。
  • 有的用户把私钥存储在自己的云笔记上
云笔记是一个比邮箱更不安全的存储方式,用以记录一些日常琐事也就罢了,如果用来记录私钥等敏感信息,那就非常危险了。
白墨子安全实验室曾经对某款市场占有率名列前茅的云笔记app进行安全测试,发现不仅用户名,连密码都是明文传输的,以这种安全防护水平,怎么能放心地把私钥交给它?!
白墨子安全建议
最安全的私钥备份方法,还是以纸笔方式记录。纸笔记录方式的主要问题,是容易出现书写错误,比如把近似字母抄错,像l和1,O和0等。
由于原始的私钥是给计算机用的,不是给人看的,因此可读性很差。在此,我们推荐使用“助记词”的方式备份私钥,可读性良好,也不容易出现书写错误。
在纸上记录完成后,妥善保管在安全的地方,有条件的可以租用银行保险箱,没条件的可以在家里找个安全的地方妥善保存。
黑客攻击
黑客对用户的攻击是全方位的。如果确认要发起攻击,他会动用一切可以动用的资源,从一切可以发起攻击的角度进行切入。包括用户的邮箱、微博、微信、论坛留言、手机存储、手机号码、身份证号等等。
黑客的攻击手段除了被动监听和数据分析之外,还可能会主动发起一些攻击,比如诱导用户打开钓鱼邮件、钓鱼网站等,攻击用户的常用邮箱、手机云盘、云笔记等。
总之,黑客为了达到目的,会采取一切可以采取的手段,整合一切可以采集到的信息,对用户进行全方位的分析和渗透。这也是我们为什么强烈建议不要将私钥在网上存储的原因,网上的一切都存在被攻破的可能。
网络防护的最高等级是物理隔离。对于私钥这样的敏感信息,安全性是第一位的,便利性是第二位的,还是以最原始的纸笔形式存储在网络之外比较放心。
区块链钱包对比传统意义上的互联网钱包,例如支付宝、微信等等,安全管理方面有哪些异同点?对区块链钱包的安全,进化出哪些新的要求或需求?这些区块链钱包的开发团队中,安全团队的建设是否得到了足够重视?
区块链钱包与传统意义的互联网钱包相比,各有异同。相同之处是在普通用户看来,两者都有一个“账户”的概念,转账需要输入密码确认。
与相同之处相比,两者不同之处更多:
区块链钱包是完全公开透明的,只要知道地址,每个人(无需知道私钥)都可以查询该账户的余额及每一笔钱的来龙去脉。而互联网钱包中,上述信息都是严格保密的,只有钱包的主人才能查询相关信息。
区块链钱包和互联网钱包都是一个形象化的说法,两者本身都没有保存任何钱在里面。区块链钱包的钱是存储在区块链上的,钱包只是一把钥匙,里面只有用户的私钥及其保护私钥的密钥。互联网钱包的钱是存储在相关公司的服务器上的,钱包中连密码都没有存储,只提供了与服务器的访问接口,一切的操作都需要远程服务器的认证和授权。
区块链钱包是完全匿名的,互联网钱包按照国家相关法律规定是严格实名制的,因此在认证钱包主人方面,互联网钱包有一整套完备的认证体系。简洁版的认证方式如密钥授权,短信认证等,复杂版的可以身份证件识别、人脸识别等,这使得用户如果不慎忘记密钥,也可以通过其他方式重置密码,或者挂失账户,不会因此造成财务上的损失,问题的关键是证明“你是你”。
但对于区块链钱包来说,私钥是至高无上的,私钥就是一切。账户是匿名的,系统不提供除了私钥之外的其他认证手段,谁掌握私钥,谁就是钱包的主人。因此,对于区块链钱包来说,如果用户丢失了私钥,那么就失去了一切。
这样就使得区块链钱包私钥的保存和备份显得无比重要,怎么强调也不为过,这是传统互联网钱包所不具有的新需求。硬件钱包的出现,就是以硬件的方式帮助用户存储私钥,同时确保私钥永不触网,最大限度地保障钱包私钥的安全。
作为用户与区块链的最常用的接口,区块链钱包的研发目前是一个热点,钱包作为保护用户数字资产的第一道防线,在安全性上的重要性是谁也不敢轻视的。现有的钱包林林总总不下百种。这些钱包的开发团队来源比较杂,白墨子实验室并没有对所有钱包进行过安全测评,但根据平时接触的一些常用钱包而言,他们在安全问题方面都有一定的投入,具有一定的安全水准。
大体上来说,如果是安全人员出身的团队开发的区块链钱包,在安全性上会有更多的考虑和设计,从而也有更好的安全性。因为安全的钱包是设计出来的,而不是后来通过打补丁修改出来的。
目前市面上的区块链钱包种类繁多,对于小白用户来说,如何摆脱被动选择的局面?主动选择需要关注哪些问题?对于可能的问题钱包,有没有简单的识别方法?
首先,我们认为钱包的安全性是压倒一切的,一个不安全的钱包将会把你的资产置于风险之中,有不如无。
然而,在钱包的选择方面目前还没有有效的“石蕊试纸”(原指检验溶液酸碱性的一种常用试纸,此处比喻为安全检测方法)。我们建议在选择钱包的时候,大体把握几个原则:口碑,团队和历史。
  • 口碑
大家对该钱包的评价如何,好中差评都要看,根据别人的评价对该钱包有一个直观的认识。
  • 团队
钱包团队是否有安全背景,是否有专门的安全技术人员,是否经过权威机构的安全测评?
  • 历史
该钱包历史上是否发生过安全事件?造成的损失如何?团队是如何应对的?善后情况如何?
以上几点只是为了尽可能快速、简单地对钱包做出一个大致靠谱的评价,真正全面、深入的判定还是应当通过对钱包进行专业的测评才行。
白墨子安全实验室已经意识到数字币用户在这一方面的迷茫和迫切需求,目前正在对市场上常见的钱包进行安全测评,希望尽快有一个比较完善、全面的测评报告提供给大家,敬请期待。
有没有钱包出现安全问题的实例可供分享?咱们井系的几款钱包,有没有遇到过类似的问题或隐患?
出于研究的需要,白墨子安全实验室曾经对一些钱包产品进行过简单的测评,发现的常见安全问题主要有以下几点:
  • 用户私钥存储过于随意,没有充分考虑私钥存储的安全问题,存在泄漏风险;
  • 用户的转账过程缺乏足够严格的验证机制,容易遭受中间人攻击;
  • 用户的身份验证机制不够强健,钱包容易被盗用。
TokenPocket钱包(以下简称“TP钱包”)是一款可以同时存储MOAC和SWTC的综合性钱包,发布之后受到广泛的好评。白墨子安全实验室全程参与了该钱包的安全方案设计。在TP钱包的设计之初,也同样出现过上述问题。此外还涉及远程通信的身份验证、数据加密等多种需求,为此我们针对钱包经常面临的应用场景和安全需求,进行了专门的安全加固措施,基本解决了TP钱包的主要安全风险点,使得该钱包的安全等级得到较大的提升。
钱包发布之后也进行了多次安全测评,针对一些问题提出了整改措施。整体而言,我们的主要精力还是放在安全设计阶段,主要原因如前所述:“好的钱包是设计出来的,不是修改出来的
冷钱包的概念,市场上有一定的普及,但是真正使用的比例貌似不高,是什么原因导致了这种局面?相比热钱包,冷钱包的优势在哪里?白墨子对冷钱包的安全有哪些研究?未来有哪些规划?
冷钱包是离线存储的,主要体现为两种形式,一种是专门用来存储钱包的从不联网的终端设备,一种是硬件形式设计的专用钱包。普及率不高我们认为主要有以下几方面原因:
1.成本偏高
如果使用一个设备专门为了存储钱包,那么这个设备以后就再也不能联网了,基本上是专机专用,不是每个人都有这样的闲置设备承担此类任务;如果是购买专门的硬件钱包,那么成本也不便宜,普遍在几百元到几千元。成本问题绝对是阻碍冷钱包普及的重要因素之一。
2.学习门槛高
跟热钱包相比,冷钱包的使用更加复杂,对于普通人而言比较难以理解,也难以接受。
3.使用不便
热钱包的使用便利性是冷钱包没法比的,因为冷钱包主打安全,因此便利性自然就屈居其次,对于普通用户而言,如果使用冷钱包进行转账,感觉会比较费时费力。
其实,冷钱包和热钱包本来就不是对立的两面,而是互补的两方。一般的使用建议是:冷钱包存储大额资产,以确保安全;热钱包存储小额资产,以便于日常使用。
白墨子安全实验室也在积极研究冷钱包技术,力图实现确保安全性的前提下,尽可能便于使用。在不远的将来,白墨子将推出自己的冷钱包产品,欢迎大家使用。目前正在进行产品的基本设计和原型开发。
资产保护是普罗大众的一个基本需求,尤其在互联网普及、移动互联爆发的时代大背景下,实物资产开启了数字化进程。区块链技术的出现,毫无疑问加速了这一进程,并对数字资产的安全保护问题提出了新的要求。从一个互联网安全从业者角度来看,白墨子是如何看待数字资产安全行业未来发展的?现在市面上已经出现了“找Bug即挖矿”的玩法,这样的“区块链思维”对未来互联网安全领域的发展会产生哪些影响和变化?
区块链技术的发展催生了数字资产行业,数字资产行业的发展为信息安全行业提供了更加广阔、更加有价值的发展空间。因此,我们对数字资产安全行业未来的发展是非常乐观的。
最近几年,随着网络安全法等相关法规的实施,国家对信息安全工作日益重视,甚至出现了“没有网络安全就没有国家安全”的提法,信息安全行业变得越来越热门,但并不是从来如此的。在十年之前,信息安全工作并没有受到今天这样的重视,很多信息安全专业的硕士和博士除了毕业后留在科研院所、政府部门和军队部门之外,几乎都转行了。那个时候信息安全经常被认为是用处不大、就业范围极其狭窄的专业。
对于一般行业而言,信息安全是锦上添花的陪衬,而非必需。产品经理经常被建议,在安全上的投入成本不可超过研发成本的5%,初期版本甚至可完全不要。这种建议绝非无的放矢,甚至我作为安全从业人员也是赞成的。因为产品的研发阶段,确实是功能和性能优先,将有限的资源放在刀刃上是明智的,信息安全工作在这里并不影响大局。
但是对于数字资产行业,则完全是两码事。信息安全从配角变成主角,从可选变成必需,不安全或安全度不够的数字资产将会被一票否决。这种认识上的巨大转变,并不是自然而然发生的,很大程度上是人们被血淋淋的现实教育的结果。
数字资产虽然产生的历史不长,但是安全问题却特别引人关注,信息安全问题从来没有在哪个行业比数字资产这个行业更加得到重视,更加舍得投入。一次次的数字资产被盗和丢失事件,以最直接、直观的方式对用户进行了一次又一次的安全风险教育,从而彻底扭转了信息安全工作在用户心目中的印象。
信息安全已经成为数字资产行业的守护神和生命线,因此我们对数字资产安全工作的未来非常看好。
至于“找Bug即挖矿”,这是区块链矿工组织机制在信息安全领域的应用。区块链思维正在改变着各行各业,信息安全领域也不例外。比特币、以太坊等区块链领域的实践证明,以代币激励为特征的挖矿组织方式,对于实现分布式组织的有效运转起到了举足轻重的作用。通过对Bug发现者的奖励,实现新型的信息安全工作组织方式,我认为这是对当前日益紧缺的信息安全资源更加有效的利用。
白墨子安全实验室也在探索类似的方式,通过探索更加有效的激励和组织方式,以便实现安全生态系统的有效构建,同时实现对安全资源的有效配置。
(第一讲完)



本帖被以下淘专辑推荐:

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Hi,Tokens  |网站地图

GMT+8, 2019-8-21 06:57 , Processed in 0.061947 second(s), 7 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表