黑客余弦:道路千万条 安全第一条丨哔哔大咖秀
黑客余弦
这个春节档,《流浪地球》引爆了全民的观影热潮,很多人三刷之后还依旧回味无穷。当我离开电影院时,回荡在脑子久久不能淡去的是“道路千万条,安全第一条”。
这个“安全”可以指向任何行业任何领域。对于离不开互联网的我们来说,往往觉得黑客是破坏互联网安全的罪魁祸首。
但在黑客眼里,能够打破规则的就是漏洞,漏洞又有平凡而又绚丽的生命周期。知名网红黑客余弦说过,如果黑客不黑你,是你没有被黑的价值。
随着区块链技术的不断发展,被黑也显得越来越有价值。据2018年度区块链安全报告显示,2018年区块链安全事件发生 138 起,较2017暴增 820%。2019年第一个月区块链安全事故已经超过了2018年一年。
今年初ETC 遭遇了 51% 攻击,余弦带领慢雾科技对这次攻击的完美应急,将区块链生态安全推向了一个新的高潮。甚至还看到一个很火的提问说,如何成为像余弦一样的黑客。
想成为余弦一样的黑客吗,不要急,接着看下去。
2月13日,慢雾科技联合创始人、知名黑客余弦做客哔哔大咖秀,和大家进行了一场关于黑客和区块链生态安全的精彩交流。(以下是哔哔大咖秀直播整理)
大家好!我是哔哔大咖秀的主持人元元,一个隶属于哔哔News旗下美少女军团的双鱼座妹子。很开心在新的一年和哔哔大咖秀一起继续前行~
元元:我们让余大大先和大家打个招呼,简单的介绍下自己吧。
余弦:大家好,我是慢雾科技联合创始人 余弦,请多关照。
元元:介绍很简短啊,你平时说话也比较简短吗?
余弦:一会正式的问题,我尽量详细。
元元:网上传你的title很多,有知名黑客,慢雾科技联合创始人、Joinsec Red Team 联合创始人、前知道创宇技术副总裁、404团队Leader,中国计算机学会计算机安全专委会委员,安全领域畅销书《Web前端黑客技术揭秘》作者等,这些title你最喜欢哪个?为什么?
余弦:其实我还有其他身份,比如懒人,我最喜欢懒人这个身份。
因为为了有底气懒下去,我会选择输出更多价值,这些价值迟早可以带来回报,我会尽力保证“能用代码解决的事,就别动手”。
大多数情况下,我的价值输出是以黑客这个身份进行的。在我的世界观里,黑客是创造性的,不是作恶的。
元元:你是怎么接触到黑客世界的?说一下进入区块链前的故事吧~
余弦:高中有次晚自习来到了实验楼,有人在一间屋子放电影《黑客帝国》。当时除了被酷到之外,更多是充满疑问:为什么是这样的一种虚拟世界?为什么会有矩阵革命?这真是我黑客之路的启蒙电影,后来重复看《黑客帝国》,每次都有更新的理解。
大学阶段都是自学小打小闹,快毕业时才开始进入真正的黑客战场,那时知道创宇刚成立,我是最早的几个员工,一直持续发展了9年才离开。知道创宇的经历是我人生的重要财富,在我心中这是一家最酷的黑客公司,黑客文化浓厚。
经历几次重要的融资后,知道创宇最终背靠了腾讯。腾讯的文化、超前的眼光、国际化的大平台很快吸收了中国大量的黑客高手,大家拥有一致的正向价值观。
我还清晰记得当时腾讯 CTO 张志东的四个字“守正出奇”,大家很对味。我在知道创宇期间,直接负责的是一个叫 404 的安全实验室,负责公司的整体安全能力支撑与对外输出。一线的黑客攻防对抗是最酷的,我离开后,404 继续在快速发展,而我最终选择了一个细分领域的安全市场:区块链生态安全。
元元:做黑客好像都会神秘,高冷,孤独的,你觉得你是这样的人吗?
余弦:可能是吧。但更可能是我不善于交际。
元元:我直到采访前都以为余弦是你的真名,你是怎么想到会用“余弦”这个代号呢?有什么特别的意义吗?
余弦:因为数学,有个基础函数是大家都知道的:三角函数,其中有个余弦函数。我觉得数学是这个世界最美的东西,包括区块链世界。
元元:哈哈不是哔哔News八卦,而是余老板你太神秘了所以有很多好奇的问题想问你。
我看你的微信签名是属于云云,你们感情很好诶?平时生活都是谁做主呢?
余弦:当然她啦..
元元:好像一年前你都是不接受采访的,是不是因为作为安全网红,比较有偶像包袱?去年是什么让你又重新开始接受媒体的采访呢?
余弦:因为那时是我人生的一个极具挑战的转折点,我从奋斗9年的知道创宇离开,从帝都回到了厦门,这是一个被世界遗忘的角落,我也准备独立创业。
嗯,一切从头开始,虽然那时压力满满,但很快就潇洒自在了,当时我是想着站在局外多看看局内人的做法,有时候做一个安静的观察者或聆听者是很好的。
我没什么偶像包袱,其实以前我经常提:黑客没什么特别的。我交友有个原则:闻道有先后、术业有专攻。所以,我是个尊敬他人的人,我也不会觉得我的能力有什么特别。我经常会被他人的能力惊艳住:很强!
因为慢雾这个品牌,我认识了区块链领域不少优秀的人。包括这个访谈,实际上我是把哔哔当作了朋友,我觉得就是一场真诚的交流,偶尔可以有,很自然,很随性。
元元:平常和粉丝互动得多吗,主要聊哪些话题?会和粉丝见面吗?
余弦:我没粉丝,如果非得承认有,我的云云是第一个^_^
元元:情人节的第一口狗粮来袭。
余弦:虽然我的关注量不小,但我很早就意识到:关注我的人其实没在关注我,绝大多数都是当时觉得:嘿,有趣。然后就各过各的生活罢了,所以没有什么粉丝见面会。
元元:之后可以来杭州办一个沙龙,哔哔News支持。
余弦:记得去年慢雾成立不久,因为巴比特的一个安全沙龙办在了厦门,当天晚上,我顺手办了个很随性的慢雾夜谈,来了一些区块链领域的优秀人才,至今有种“余音绕梁”的感觉,这种见面我是喜欢的,但这种见面真的得看缘分,很随性。
元元:一天工作多长时间呢?你平常主要工作内容是什么?
余弦:我基本是除了睡觉都在工作的类型。我主要会做公司大方向、安全能力、安全产品的顶层设计并享受编码着实现些原型,然后和一些重要的人聊一些重要的话题。
元元:那你怎么调节生活和工作的?
余弦:我经常给团队说:“创业是一种生活状态,所以不要把自己搞得太累,要懂得平衡。”慢雾的“慢”也代表了我们团队的一种慢格调。
我们公司环境算还行的,相对优质的福利待遇及开放式办公之外,公司因为在厦门岛内,就在环岛路上,楼下不远就是美丽的海滩及大海,团队自发会在下午茶时间去那里放松,比如无人机、抓海蟹、吹海风之类的。
公司阳台棋盘、桌游、游戏机应有尽有。大办公室里还有茶室及许多茶点零食,团队的人基本好喝茶,这也是厦门的一种普遍现象。
专门的小屋有飞镖,这是PK的好地方。旁边有个闭关室,可以睡在那,也可以小团队突击任务,里面不少专用黑客设备。
元元:黑客设备?
余弦:说起专用黑客设备,我们有专门的一个角落摆满了各种设备,客户及朋友们来,这是让他们大开眼界的好地方。
除了这些,其实有一个更重要的,平衡好公司业务的数量与质量,打磨好自身能力,这样才能真的有的放矢。
元元:是怎样的机缘巧合选择进入区块链行业的?有没有领路人?
余弦:如果非得说领路人,这个领路人可能是影子经纪人,这是一支地下黑客队伍,他们黑掉了世界最强的情报机构 NSA,窃取了一堆最顶尖的“网络军火”。
我去年初在我的公众号“懒人在思考”上写过一篇八卦文《深入研究的套路之黑客与区块链》,这篇文章里我提到了 2017 年因为影子经纪人的黑客活动才真正萌芽进入区块链领域的想法,而之前只是觉得这只是一枚比特币罢了。
元元:那进入区块链行业后你最大的感触是什么?和之前的工作最大不同是什么?
余弦:没什么特别感触。比起之前的工作,最大的不同是:现在的领域处于很早期,大家都是摸着石头过河,大家的安全感普遍来说更低,安全是这个生态的必选项、底线、基础设施。
元元:你认为一个团队如果要成功最重要的因素是什么,粉丝们都喜欢听故事,能不能分享一下您和您的创业伙伴之间的故事?
余弦:我觉得一个团队要成功最重要也是最现实的是团队有“来自未来”的感觉,没这种感觉的,基本是没认清世界运行法则的,不明白世界运行法则,怎么可能成功?
我和我的创业伙伴们有些重要的共同爱好,比如:美食,我们觉得这是非常关键的东西,我们除了工作,讨论最多的就是哪里的美食好吃,然后去吃。
我们还有随时的 Hacking Time,这个非常有趣,顾名思义,就是和黑客攻防对抗相关的一次现实演练,比如我们捕获到了重要的威胁情报、我们打造了个新引擎、我们挖到了个好漏洞,相关人会很随性就内部分享出来,大家围着就是一番讨论。
元元:最近很多人都关注你的微信个人公众号,阅读量都挺高的,是不是有意向往这个方面靠呢?你个人在最近一年的规划是怎么样的?
余弦:其实我公众号“懒人在思考”在有慢雾之前阅读量相对来说就算挺高的,但我一直很懒,并没特别去运营,过去如此,现在及未来都应该是如此。
我个人最近一年的规划是:英文听说能力能有个小突破,好好生活,认真创业。
元元:作为黑客对英语水平是不是有很大要求?
余弦:嗯,如果永远活在虚拟世界里,比如黑客帝国那样的感觉,那只需读写熟练就好,否则有一些有趣的线下交流,听说一定要好。
元元:去年一年,对于慢雾,熊市给你们造成的最大影响是什么?慢雾有没有做一些策略上的调整来应对熊市?在这种大环境下,你觉得慢雾在区块链安全行业是怎么做到异军突起的,优势是什么?
余弦:熊市对所有团队都有影响,慢雾也不例外,但对我们最大的影响是个好影响:团队能有喘息机会。熊市对我们的策略来说没什么需要调整的,因为这个熊在我们计划内,打个战,粮草怎能不先行?
慢雾不用追求异军突起,我们的安全服务覆盖了许多头部及优质的项目方,也沉淀了不少安全基础设施。
我们有自己的格调,这种格调看的方向是对这个世界运行法则的理解,我们唯一需要抓住的就是变化中的大机会,如果幸运,“异军突起”会是自然而然的事。
我自己认为的优势是我们里子比面子强,我们觉得里子深厚是最关键的,面子这东西不会真去在意一城一池。
元元:BTI(区块链威胁情报系统)做为慢雾的核心力量,它最强大的功能是什么?
余弦:BTI 最强的是威胁联动防御,比如一个项目方被攻击了,这是一次重要的威胁情报,这个情报会脱敏出攻击者是谁、攻击手法是什么、攻击动机是什么、下一步会如何。这份脱敏情报通过 BTI 系统的联动可以快速让类似的项目方提前防御、免受攻击。
元元:最近慢雾输出的一款BTI旗下DApp防火墙FireWall.X,它和EOS天眼平台是一个怎么样的关系呢?之后会有其他系列产品的推出吗?
余弦:EOS 天眼和 FireWall.X 都属于 BTI 的重要安全模块,定位在 EOS 生态,分别解决的问题是:EOS 智能合约威胁看得见,EOS 智能合约威胁防得住。
这是很具备创造性的安全产品,虽然相比我们之前做的要“小”得多,但很精准,尤其是 FireWall.X 通过智能合约来实现了防火墙的主要功能,可以有效防御针对 EOS 智能合约或 DApp 的大多数攻击。这两个产品,都是免费的,未来会有增值模块。
元元:之后会有其他系列产品的推出吗?
余弦:之后会有系列产品的,因为不同公链的生态可能需要的安全解决方案会有不少差异。也因为攻击手法在不断进化,我们需要跟上甚至能在某些关键点领先。
元元:看你微博好像正在实现一个很有趣的安全项目“主流币种的冷钱包安全管理方案”,大家都很感兴趣,介绍一下吧?
余弦:是这样,我们安全服务了不少头部及优质交易所或钱包平台,在我们的安全服务内容里,有个最核心的:冷温热钱包安全架构。我们有一套原创且因地制宜的安全防御部署方案。
我们正在把我们在冷钱包安全管理的经验更加模块化,我们把这个工程命名为“SlowWallet”,Slow 来自慢雾(SlowMist),寓意冷钱包,用得不频繁,不追求快,而是追求稳。我们这个方案会逐步开放给我们深度服务的客户场景,最终会开源。
元元:针对最近频繁发生的51%攻击事件,有人预测2019年51%攻击事件将大幅增加,你之前也发微博表示只要解决的是共识问题,51%攻击就无法避免。可以具体解释一下吗?
余弦:很简单,既然有共识,那也有反共识呀。我们需要明确一点,51%是一种叫法,不是非得算力或权利到达或超过51%。
顺便告诉大家个好玩的案例,今年初大家都知道 ETC 遭遇了 51% 攻击,我们是第一个发出全球预警的安全团队。当时官方还没承认,当然随着之后的事态发展就承认了,和我们进行了多次紧密的互动。
我们通过我们的 BTI 系统,关联了许多关键攻击情报,并对外发声:如果被攻击的交易所愿意更近一步协作,我们可以定位出攻击者。大概2天后,攻击者退还了 51% 攻击所得的所有 ETC(15多万枚)。
这个过程,谁受损失了?如果攻击者没归还 ETC,那交易所受了损伤,ETC 这条公链整个过程,除了开始两天币价有点波动之外,之后就回归正常了。似乎这个世界的人对这种严重的攻击并不在意,因为本质上,我们绝大多数人并没直接受到损失。
我想表达的是:51% 对一条公链的发展是有进化促进意义的,一条公链如果没好价值,攻击者也不会有动力;一条公链如果积极去应对攻击后的质疑,会得到更高的知名度及口碑。
元元:EOS主网自去年六月启动之后,很多DApp不停地遭受攻击,有的损失惨重。可以系统分析一下DApp现状的安全吗?
余弦:上个月IMEOS整理了一份EOS DApp被黑记录表,结果显示从2018年7月初至2019年1月下旬,累计发生63起攻击事件,加上春节前后我们预警的几起攻击事件,从EOS主网启动至今,应该有70+起DApp攻击事件。被盗损失金额方面保守预估项目方损失上千万。
从这些统计数据来看,目前EOS DApp安全现状很严峻,项目方技术水平参差不齐,并且在安全开发方面经验不足,很多我们之前就预警过多次并且发布了修复方案的漏洞,依然很多DApp因为这些已知漏洞被黑。
元元:目前来看EOS的漏洞主要有哪几个呢?
余弦:根据我们整理的《EOS 智能合约最佳安全开发指南》,目前已知的DApp智能合约漏洞有:溢出、权限校验缺失、apply校验不严格、transfer假通知、随机数漏洞、回滚攻击等6个。鉴于时间关系,这里不具体展开讲,大家可以打开我们的 GitHub 查看详细内容。
元元:作为用户或者开发者,该怎样去开发一个安全的DApp?
余弦:关于如何开发一个安全的 DApp,我建议开发者首先应该学习 EOS 智能合约的基础知识,从官网文档入手,跟着教程一步步实践,掌握每个函数的用法。
然后尝试自己实现一个小 DApp,并且多学习、参考无漏洞的 DApp 开源代码以及最佳安全实践文档,掌握已知的漏洞原因和修复方法;最后不断给自己的 DApp 增加功能,不断尝试解决各种需求。
元元:看了你的作恶图发现现在有很多新型作恶手法,例如盗币、恶意挖矿、勒索、暗网、C2中转、洗钱,资金盘、博彩,对于区块链企业本身应该做些什么去防范这些作恶手法?对于普通用户怎样避免卷入这类攻击?
余弦:区块链相关的企业需要有个成体系的安全建设,之前我们提过我们现在所处的区块链世界,由于自带金融属性,没有国家力量背书,被盗币后溯源极难,这些导致这个世界普遍缺乏安全感。
作恶的攻击者或者地下黑客是不会和你商量的,抛掉情感的攻击对他们来说是他们的职业素养,是更好的组织运作方式。
企业的安全体系建设需要做好三个层面:1. 内部安全建设;2. 和第三方职业的安全公司合作建设;3. 和整个安全/黑客社区合作建设。
需要从人员安全、内网安全、终端安全、研发安全、运维安全、私钥安全、云安全、社区安全、安全风控、安全运营、安全管理等做无死角覆盖。这并不容易,但这得有,随着业务的发展,逐步成熟。
普通用户养好注重隐私与安全的习惯,最简单的一招:所有和数字货币相关的操作,都独立手机号、邮箱、密码、手机、电脑、网络,完全独立隔离出来,安装国际知名的杀毒软件、不要安装破解程序或盗版程序、学会安全科学的自由上网方式、始终相信天下没有免费的午餐、该付费的付费、币圈套路多。这样下来出安全事故的概率就会低很多很多。
元元:很多人会拿EOS和ETH作比较,你觉得他们之间有可比性吗,EOS在区块链生态安全方便能借鉴以太坊的经验避免走弯路吗?
余弦:他们之间其实没什么可比性,各有各的强大社区,强大信仰,那就各自安好地发展就好。这个世界除了“Google”、“Apple”之外,我们还需要很多很多服务。
社区之间并不是完全隔离的,很多基础共识、基础能力很像,只要是好的,互相借鉴很正常。
元元:盗币最常见的是攻击也是智能合约,很多人说智能合约的基石是代码,伴随代码技术的演化,未来将出现更多的安全隐患,可以具体的说一下吗?之后会有什么解决方案吗?
余弦:有很多出安全问题的智能合约,但更多是没出问题的,只要把研发水平提高,出问题的概率会大大降低,比如稍有经验的开发人员会知道复用现有经过第三方安全审计的开源代码或模块。
有前景的事物总是良性进化的,可能会出现当前不会有的安全方案,不用对未来担忧。比如在 EOS 出现之前,在以太坊上我们觉得似乎没必要去写基于智能合约的防火墙,但在 EOS 主网上,我们创造性地研发了 FireWall.X。
元元:在你们成立的这一年里,审计的过程中有没有遇到特别困难或者甚至有趣的攻击事件?和大家分享一下。
余弦:我们过去一年经常感慨:战战兢兢、如履薄冰、如临深渊。我们的信心不是盲目的,我们了解这个世界的运行法则,我们敬畏这个世界。
经过我们手的项目不能被黑,我们需要确保零事故,但这确实是不可能的任务,因为攻击者的入侵手法是全面的、领先的、甚至超乎想象的。作为防御者,我们要防住所有,对于攻击来说,一个点的突破就是胜利。
我们的价值在于提高攻击门槛,在于万一出安全事故后,能快速止损,甚至能溯源出攻击者。但有时候确实会有挫败感,几次影响全球的安全大事件,比如我们披露的以太坊黑色情人节,至今攻击者还在持续攻击,我们只能不断预警,却没法根本性阻拦,也没法定位出攻击者,已有情报太少。
元元:那既然提到情人节,你情人节准备怎么过呢?加班吗?
余弦:好问题,最好还是别加班了..
元元:春节结束大家都开始了新一年的工作,你对未来区块链的生态安全有什么期待呢?给大家一些新年的祝福和关于区块链生态的建议吧。
余弦:只需要记住一点,把安全当作必选项、当作底线、当作基础设施去看待,做这些很现实的一点,得有人力财力,说更简单点:就是得有预算。
区块链生态,我们建议的安全预算占总预算的10%以上,15%很合理,有的场景甚至需要到20%。钱花在前面说的安全体系建设的三个层面。预算比例根据自身团队不同时期的总投入与状态来动态调整就好。
我们会和无数优秀团队持续打造好属于这个世界安全的基础设施,借用最近大热的《流浪地球》里的一句台词:“道路千万条、安全第一条。行车不规范,亲人两行泪。”我们希望新的一年,大家都能更好更安全。
关于区块链生态安全,慢雾科技还精心为大家提供了信息网站,感兴趣的可以点开收藏哦!
推荐书籍:《深入研究的套路之黑客与区块链》
慢雾BTI:https://www.slowmist.com/bti.html
慢雾EOS天眼:https://eos.slowmist.io/
慢雾FireWall.X:https://firewallx.io/
EOS智能合约官方文档:https://developers.eos.io
C/C++手册:https://eosio.github.io/eosio.cdt/
EOS 智能合约最佳安全开发指南:
https://github.com/slowmist/eos-smart-contract-security-best-practices