飞象网讯 在2020年中国国际信息通信展上,飞象网专访了长亭科技区块链安全首席技术专家于晓航,他向我们介绍了区块链领域的最新安全进展,让我们认识到区块链安全同样值得关注。
于晓航表示:“区块链安全不能只依靠安全厂商这几个点,而是应该依靠整个生态,区块链生态里面各个细分行业,各个企业自发对安全的重视,主动的从内部发现问题,主动联系安全厂商来做这件事情,整个生态一起发力。”
以下是访谈全文:
访谈时间:2020年10月15日
主持人:飞象网资深记者 魏德龄
嘉 宾:长亭科技区块链安全首席技术专家 于晓航
主持人:前不久国家互联网应急中心联合长亭科技和其他三家区块链厂商发布了国家区块链漏洞定级细则,作为区块链行业首个漏洞定级细则,长亭科技深度参与了此次编写,可以向我们介绍一下这个细则吗?,还有您觉得细则的发布对行业发展有什么影响?
于晓航:我们从最开始,一直和应急中心有比较深的联系,上个月月底,我们一起以国家区块链漏洞库的名义发布了这一套区块链漏洞定级细则,长亭作为技术牵头单位,主要负责了其中公链板块定级细则编写,和整体技术、划分标准的把关。。
我个人觉得这个细则的发布,某种意义上说是比较顺应区块链行业的发展,因为它解决了区块链行业里面长期以来存在的一个漏洞定级困难的问题。在我们这两三年的实际工作里面,在区块链行业一开始,大家对于漏洞没有一个定级的认知,随着行业发展出现了SRC,虽然说我们有一个CVSS,国际上通用的漏洞定级方法,可以用在区块链漏洞定级上,但是大家对于CVSS在区块链领域上的应用,认知是特别不统一的,这些认知上的混乱会带来特别多的分歧,阻碍区块链行业安全技术的发展。我们一开始就特别想找一种方式来统一大家的认知,这样能把安全行业中蕴含的非常强大的力量注入到区块链行业里面,这是我们做这件事情的初衷。
这套细则本身是一个系列,包括四个方面,公链、联盟链、智能合约及外围系统,这四个方面基本涵盖了整个区块链生态里面所有的技术领域。
说到这个细则发布的意义。
首先这个细则的发布给了行业一个比较强的信号,国家对区块链安全这件事情非常重视,因为这个细则是从国家的角度发布的,这一点非常有利于提高整个行业的安全意识。
第二点,这个细则的发布,能够有利于统一区块链行业里面大家对于漏洞的认知,这件事情是非常有利于把安全行业强大的力量注入到区块链领域里面。
第三点,这个细则的发布,也是加快了区块链行业标准化的进度。这个细则的发布,也为接下来区块链行业一些测评体系的工作,提供了比较官方的技术支持,做了一些技术上的铺垫。
最后一个方面比较具体,我认为这个细则里面实际上也是一个非常好的学习资料,大家通过看这个细则,了解到区块链漏洞究竟是什么,了解到区块链领域里面常见的攻击场景是什么样的,攻击手段是什么样的,这些东西都可以在细则里面略窥一二,对提升整个行业的实际技术安全水平也是非常有帮助的。
主持人:长亭科技算是一家很早开始研究并服务区块链企业的网络安全公司,在区块链安全审视测试方面都有深入的研究。近来区块链安全漏洞频发的现状,您有什么好的安全建议?
于晓航:这个问题就像我们安全从业者的心病,近几年区块链领域各种安全事件的发生,据我观察来说,大部分主要是由于安全意识的问题,还有另外一大部分,是由于技术的问题。
对于安全意识这件事情,从整个行业来说,是没有办法强求的,不可能在短时间快速提升,不仅区块链领域这样,各行各业,传统互联网领域也是这样的,只能像最近反诈骗的宣传和此次疫情期间应对一样,通过长期反复的宣传,一步一步的逐渐提高行业的安全意识。
但是对于企业来说,还是有很多可以做的事情。首先,企业要建立比较好的重视安全的文化,从方方面面都重视安全,这个事情还是会非常有效果的。
第二,及时做一些人员安全意识方面的培训,会起到立竿见影的效果。
关于技术方面,技术方面有很多的安全事件实际上都可以避免的,因为攻击运用的漏洞都是比较基本的点,并不是很困难,这就体现出来我们安全行业目前来说力量还是比较缺乏的,相对于区块链生态大体量来说,安全行业的力量还是不足,不是现在技术水平的高低,主要体现在掌握核心技术人才上的缺失。像我们现在安全厂商来说,安全厂商能发现的漏洞,不管是严重程度还是复杂程度,其实都已经非常强了,但是实际上出现问题往往是非常基本非常简单的点,原理非常简单的漏洞。这两个之间的差异就体现出来,因为整个区块链生态里面的技术系统非常多,区块链系统非常复杂,我们安全厂商人员和数量来说,根本没有办法覆盖到每一个项目,每一个企业。
我在各种会议上也在说,区块链安全这件事情,不能只依靠安全厂商这几个点,而是应该依靠整个生态,区块链生态里面各个细分行业,各个企业自发对安全的重视,主动的从内部发现问题,主动联系安全厂商来做这件事情,整个生态一起发力。
关于技术方面的问题,对于技术这一个点,想说一点比较细节的事情。我们通过这几年的工作经验观察到,很多的技术人员知道怎么写一个能用的区块链系统,但是不太清楚怎么写一个安全的区块链系统,能用的系统和安全的系统之间差得很多,这两者之间主要的差距,就差在对区块链各种技术细节的理解上。很多开发者对区块链的技术知道怎么回事,但是对技术细节没有办法掌握得太细,理解不深,所以使得他开发的东西出现一些问题。
比如我们都知道区块链里面一个叫Merkle Tree的东西,Merkle Tree一个主要作用是为了保护交易数据,但是至于说它保护了哪几类交易信息,这个问题很难有人一次性回答清楚。他理解不清楚这件事情,就会使得在开发或者优化系统的时候,很容易把这个功能无意间抹掉。跳过这些保护功能以后,破坏了区块链原本的安全设计,就会引出很多的安全问题。我们发现这几年区块链的漏洞大都是因为这类问题产生的。
主持人:今年4月份,区块链正式入选新基建范围,与5G共同成为支持数据发展的基础设施。与5G相辅相成的过程中,对于区块链安全又有哪些挑战?有哪些应对方法?
于晓航:5G解决的是通信问题,区块链解决的是信任问题,或者说是安全问题和隐私问题。隐私问题又被很多人理解为是目前移动网络发展的一个瓶颈性的问题,另一方面对于区块链系统来说,带宽问题和存储问题,又是两个比较常见的发展瓶颈,所以从这个角度来说,5G和区块链很多人认为是有非常强的优势互补的关系,所以经常认为这两个都归纳为新基建以后,这两个产业叠加在一起,会有一些叠加效应。
我个人也是比较认同这个观点,这里面有一些更多值得探讨的具体问题,可以聊一聊。第一个问题,5G这个事情虽然解决的是通信问题,它的发力点是在移动通信网络上,但是区块链系统目前来说主要依托的是主机和服务器,5G和区块链之间的结合,并不会像大家想像的那么直观,更可能的方式是,5G的发展会促进区块链技术移动端的发展,就是区块链技术生态可能会向移动网络发展。这个发展趋势肯定会催生出更多基于移动端的区块链技术,既然一些新的应用,新的细分领域出现之后,从安全角度来说,就是引入更多的攻击面,攻击面出现以后,随着产业发展,一定会吸引来更多黑客的攻击,这是对安全方面的影响。
第二个方面,随着移动端网络的发展,有可能会促进云端区块链的发展。随着云端区块链和移动端网络的发展,有可能会增大区块链系统带宽上的压力,引入更多的攻击流量。随着攻击流量的增多,也会产生更多的周边系统,比如说区块链浏览器周边的区块链应用或者区块链防护系统的产生,这些系统的出现,也会引入更多的攻击面,实际上跟第一条是连带性的作用。
第三个问题,在区块链领域里面,很多攻击是基于大流量、大带宽的,5G带来更大的带宽,也会为攻击者提供了更便利的攻击手段,对区块链系统自身的稳定性和可用性都提出了更高的要求,这个事情也会对区块链系统产生一些影响。我觉得不管怎么样的发展,就好像区块链系统刚出现一样,大家对区块链也没什么研究,但一定会有向我们这样的安全厂商,安全从业人员对一个新型的领域做一些新的安全研究。所以我觉得这方面虽然会有很多的安全挑战,但是对我们安全从业人员来说,反而会更兴奋,我们会更有动力来保护这个行业。
主持人:行业越发展,安全问题越难。刚兴起的时候,很少有人说区块链的安全问题。
于晓航:是,国内的区块链安全行业是18年前后才逐渐发展起来的,我们也是18年初的时候一起成长起来的,那时候都是靠硬着头皮自己做研究。到现在累计到接近百万行的区块链源码审计经验。我们长亭原来是做传统安全做得比较好,我们会借鉴传统安全里面的安全模型、经验、工具,把它快速嫁接到区块链安全领域,通过这种方式,我们才能更快的着手完善区块链安全。但是目前来说区块链安全领域还有很多的工作没有做好,例如防护性或者是监测性的产品。对于区块链安全领域来说,有很多事情是靠工业界自己没办法突破的,需要学术界的成果转化才可以完成。
主持人:这也是区块链跟传统行业之间的主要差异?
于晓航:对,区块链系统有很多的特殊性,最大的特殊点就是,区块链不只是一个技术,它更多是融合了经济模型在里面,所以很多漏洞不能单纯从技术角度判断,也需要有一些经济分析支撑才能判断它是不是漏洞,这也是我们实际工作中的难点,因为这件事情也会出现很多有趣的争论和讨论。
主持人:谢谢您!