区块链在数据安全中的作用

过去几十年来,数字技术的飞速发展也给数据隐私和安全带来了新的挑战。因此,黑客攻击、身份盗窃和其他数字侵犯隐私的行为正变得司空见惯。

这些问题由于最近的剑桥分析的争论和欧洲联盟的一般数据保护条例而受到了极大的关注。然而,对于许多块链社区的人来说,应对如何确保互联网安全的挑战一直是我们的主要动机。由于区块链技术重新架构了我们的数字基础设施,它也重新制定了安全等式。
使用区块链的一个简单方法是,它可以应用于任何需要数据库的活动,因此,区块链软件提供了处理数据管理问题的工具,尤其是在安全、隐私和身份验证方面给与了帮助。
分布式分类帐技术最基本的特征之一是它使数据不可变。一旦记录了一项活动或交易,就不能修改或伪造。这提供了一个全新的透明度水平,从而提供了安全性。
此外,网络管理员永远无法访问用户的密码,这意味着他们无法控制或操纵用户的数据。相反,由于使用了私钥身份验证,它们只接收单个用户的身份的快照。

准入问题

较新的区块链平台提供了非常健全的权限系统,允许不同程度的网络访问,从而使这一原则向前迈进了一步。这些权限是可定制的,可以由原子操作控制,原子操作是不可分的基本操作序列,必须不间断地执行。
在基于EOSIO的应用程序上,Block.one开发的区块链软件协议,参与者具有不同程度的访问权限。例如,在后勤管理中,一种类型的密钥只能用于数据输入,另一种用于监测数据输入,第三种用于管理帐户之间的代币传输。这保持了不同的活动和对数据的访问被分割开来。
这种分层的权限系统在较老的公共块链平台中并不存在,它为企业提供了一种方法来管理谁可以做什么,从而最小化黑客可以利用的安全漏洞。

将用户转变为利益攸关方

在互联网用户希望对他们提供的数据(以及他们在数字化生活中生成的数据)有更多的控制权的时候,区块链阻止第三方获取用于营销和广告目的的数据的能力,对许多人来说是一个有吸引力的提议。
区块链允许用户成为参与者的新模型。当您在这样的生态系统中传输数据或进行交易时,您将获得代币。在游戏中,你的角色变成了主动而不是被动。我们已经看到了基于代币的应用程序,其中用户扮演积极的涉众角色。
这可能对商品和服务的管理、生产和交付,以及对组织如何处理来自与网络交互的每个人的数据产生巨大影响。

迎接安全挑战


为了达到大规模采用区块链技术的目标,Block.one一直在全力探索区块链如何改善技术与用户隐私和安全之间的关系。
在该公司最近在伦敦举办的EOS Global Hackathon系列活动中,参与者被要求考虑该技术如何能够将数据反馈给用户,并提出实现这一承诺的解决方案。
获胜的项目包括一种防止智能合约与黑名单演员互动的设备、一种“智能”银行账户、一种通过从第三方提供商手中取款来简化信用核查的应用,以及另一种激励个人以安全、匿名的方式捐赠基因组数据的应用。

正如这些想法所表明的,一个由区块链技术支持的世界预示着一个经过重新设计的数字景观,其中安全和透明度是不可或缺的。从短期和中期来看,数据泄露、网络攻击和管理不善可能会加剧,因此解决隐私和安全问题就变得更加紧迫。

收个Word文档也会丢币?如何拯救被30万黑客盯上的钱包

在加密货币的世界里,你的资产就是链上的一串代码。

这里,是黑客敛财的新天地。据网络安全公司 Carbon Black 最新调查数据的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗。2018年下半年,这个数字还在不断攀升。

而加密货币钱包,是黑客们肆虐的重点领域之一。

‍‍‍无论是热钱包、冷钱包,中心化、去中心化钱包,云端钱包、HD钱包,只要有利可图,都能在其中看到黑客狡黠的身影。

如何保卫被黑客盯上的钱包,将是一场漫长而残酷的战斗……

 猖狂的黑客和脆弱的系统

“2017年年中出现大量有计划性针对性的黑客。”鱼池创始人、Cobo  CEO神鱼告诉31QU,“据说有30万名黑客在针对区块链的各个方面做攻击跟薅羊毛的事情。”

而加密货币钱包,是黑客攻击的重灾区之一。

11月27日,一名黑客攻破了 JavaScript 库,并在库中注入恶意代码,妄图窃取 BitPay、Copay 钱包存储在其中的比特币和比特币现金。

被波及的BitPay与Copay,是全球知名的加密货币钱包品牌。BitPay 在今年4月份获得了4000万美金的B轮融资,2017年支付总额接近20亿美元。

BitPay与Copay受到的威胁绝非个案,如今,黑客对钱包的攻击已经“肆无忌惮”。

今年7月份,由以太坊前CTO盖文·伍兹操刀的加密货币钱包 Parity 发布了安全警报,称有153000ETH(大约价值 3000 万美元)被盗。

2017年,在钱包方面,被黑客攻击、损失金额超过千万美金级别的就有6起。而与黑客疯狂的攻击相对应的,是目前加密货币钱包脆弱的安全技术。

据不完全统计,目前市面上有上千家钱包产品,但真正有安全技术的,并不多。

“钱包是一个非常重安全的事情,但用户对钱包并不是很了解。”神鱼表示,“很多人拿开源代码随便改改,一两个人一两周做出来的,底层安全几乎在裸奔。”

在今年,钱包领域迎来一个创业的高峰,也有大量“简单粗暴”的钱包产品涌现,“开源代码拿过来改一改,UI做的漂亮一点,功能做的简单粗暴一点”,用户一旦使用,就等于把自己的资产放在一个极度不安全的环境中。

在今年5月,360集团信息安全部发布了《数字货币钱包安全白皮书》,白皮书称,目前,市场上最为主流的20多款钱包中,有八成存在安全隐患。

“这样的安全现状,导致很多黑客都把区块链都当成靶场了。一旦加密货币钱包让他们攻破,资产丢了几乎没法找回,所以黑客们就把区块链当成了‘取款机’。”区块链安全公司的技术负责人赵伟认为。

正是如此低的进入门槛,导致这个钱包这个新兴领域变成了黑客的“屠宰场”。

 消失的秘钥

除了直接攻击钱包的安全团队,黑客还把目光放在普通的用户身上。

使用过加密货币钱包的用户都了解,私钥对应的“助记词”,是一款钱包安全的关键。如果不是“中心化”的钱包,助记词丢失,意味着钱包再也找不回来;相应的,如果助记词被黑客盗用,就等于钱包被黑客攻破。

“其实这个世界上80%的人没有这个能力管理随机数(与私钥强相关)的。”神鱼认为,“一旦被盯上,随随便便一个木马就会导致你的数字资产荡然无存。”

举个最简单的例子,很多人在手机上使用了第三方的输入法,只要有“输入”、“备份”操作,你输进去的词就是不安全的,已经被上传到第三方数据库里。

如果你把助记词“复制”到其他地方,只要进了粘贴版,就被各种软件360度监控,黑客稍微动些心思,就能找到。

神鱼就曾和“黑客”有过一次惊心动魄的交锋。

2015年,正在维护自家矿池的神鱼,收到了一家“国外知名媒体”记者的采访邀请,简单的寒暄后,神鱼欣然答应了这名记者的采访。

从矿池到矿机,从加密货币行业现状,到未来区块链发展趋势,这位“记者”的问题涉猎广泛,并且相当专业。

“当时根本丝毫没有怀疑。”神鱼告诉31QU。

采访持续了一个月。一个月后,“记者”将采访内容整理出稿,给神鱼发了一份Word文档请求确认。

“我一般是不收Word文档的,因为Word文档很容易被植入木马,而PDF却相对安全的多。”神鱼解释道。他当时要求“记者”把Word文档转换成PDF格式,但对方却说“不方便”,百般推辞,就是不发PDF文档。

这个细节,让神鱼突然警惕起来。他找了台新的电脑,将这份文档转入虚拟机(对整个电脑而言,是相对安全的封闭环境),结果发现,这份Word文档确实有问题。

如果当时在常用的电脑上打开了这份文件,会被立刻植入木马,电脑上所有数据会一点一点泄露,数据和资产都面临风险。

即便有安全软件提示安全,自己也要多长心眼

“我又跟他聊了下,最后发现他是一个黑客。”神鱼说,“只要你值得被盗,黑客就愿意花心思。”

除了针对一人的黑客攻击,对于普通用户而言,黑客也会无差别大范围的攻击。

2018年3月20日,慢雾科技发现了臭名昭著的“以太坊情人节”攻击。这次黑客可以说是“雨露均沾”,对以太坊钱包进行了持续数年攻击,敛财高达数千万美金。

2016年2月14日,黑客通过第一笔成功攻击获得了26.7个以太坊

这一切要从2016年2月14日说起。

情人节这天,黑客通过一组可以直接从以太坊钱包自动转账的命令“ETH_sendTransaction”,第一次在以太坊网络上盗取了26.7个以太坊。

之后,这个盗窃方式在以太坊全网蔓延。

首先,黑客通过在全球扫描开放的 RPC API  接口的以太坊节点,有了这个接口,黑客便可以检测以太坊区块高度、钱包地址及余额。

全球开放 RPC API 的以太坊节点

然后,黑客通过不断调用 ETH_sendTransaction 命令,尝试将地址中的余额转到黑客事先准备好的钱包。

如果此时恰好遇到用户从自己钱包退出,部分浏览器会默认在300s内无需用户再次输入密码。此时黑客的 ETH_sendTransaction 命令将会发挥作用,将钱包中的资金悉数卷走。

这些 IP 目前正在从以太坊世界寻找猎物

慢雾已经梳理了目前正在进行类似攻击的IP地址,共有31个。

 五花八门的物理攻击

事实上,在网络攻击之外,还有其他大规模针对加密货币的“物理攻击”。

有着“维京海盗”传奇历史的北欧,近些年发生了数起针对高净值加密货币持有者的“入侵绑架”事件。

刀架在脖子上,当然要什么给什么。

2017年,著名的加密货币交易所BTC-e,因为涉及洗黑钱等问题,导致FBI直接冲进了他的IDC机房,抱走了服务器。

结果,整个交易所用户的比特币,都存在那几台服务器里,用户最后亏损了三分之二的比特币。

除此之外,还有专门针对硬件钱包的“供应链攻击”。

神鱼解释道,所谓“供应链攻击”,是指在硬件钱包出厂到客户手上这段距离上,黑客对硬件钱包动了手脚,钱包本身的随机数就不再随机,黑客就有可能攻破钱包,进而将客户资产转走。

这并不是危言耸听。

2018年1月份,网友 moodyrocket ,在eBay购买了一个二手硬件钱包,随后将3.4万美金加密货币悉数转入了这个二手钱包中。

一周之后,当 moodyrocket 再次打开这个钱包时,却惊讶的发现“余额为零了”。

原来,moodyrocket是从黑客手中购买了这个二手钱包,而黑客预先在设备中写入了其自己设置的复原码,并没有使用硬件钱包厂商Ledger公司提供的随机码。

被认为最安全的“硬件钱包”,也被攻陷了。

 守卫钱包安全

黑客的盗取钱包的手段五花八门,从直接破解随机算法,到读取电脑粘贴板数据、破解电脑信息,再到更改硬件钱包随机数,甚至配合犯罪集团进行人身攻击,“只有想不到,没有黑客办不到”。

面对互联网上花样繁多的黑客盗窃方法,钱包创业者要如何应对?

首先,钱包团队本身要把安全技术放在首位。

目前有很多开源系统,但开源系统是存在许多安全漏洞的,“需要开发人员重新把架构优化”,神鱼表示。

这意味着,对不同的加密货币,也要有不用的安全保障机制,这往往需要几个月的准备和测试。

“举个例子,比如某些加密货币采用了非标准的签名算法,那在上币前首先需要把签名算法实现,然后联系硬件厂家,在硬件里面烧录,然后通过安全公司审计等一系列流程。”神鱼解释道。

其次,对于不同用户,也可以用不同的安全策略。

比如一些小白用户,对“存储私钥”的重要性并没有太深的理解,这时候,可以在设计流程上,尽量不让用户接触核心逻辑。

“比如导出私钥、导入私钥这些功能,直接不加。”神鱼认为,“因为用户自己导入导出私钥,被黑客盯上之后,资产很容易被窃取了。”

而在私钥保存方面,记载小纸片上的信息很容易损坏或者丢失,可以使用“金属助记词板”,自己拼出来,然后放在安全的地方。

金属助记词板

目前,黑客主要还是通过线上的手段来进行攻击,相对的,硬件钱包会比较安全。

而保证硬件钱包安全,则要做到两个方面:第一,是有一颗安全的加密芯片;第二,是要有“供应链攻击检测”,检测钱包从生产再到用户手里,是否被外界植入其他信息。

团队需要不停打磨自身的安全技术,对于用户而言,要如何保护自己的加密货币安全呢?

慢雾科技联合创始人余弦向31QU推荐了用二手苹果手机做硬件钱包的方法,“可以用一台二手苹果手机上安装去中心化钱包,再将不相关功能重置,需要联网的话,就用4G网络。”

在做好这一切,也就极大降低了黑客盗窃盗取加密货币的可能性。

还有一个忠告是:持有大量加密货币资产的人,尽量保持低调。

“高调一些的人可能会被黑客盯上,黑客在微信群、QQ群,做点社工,高调的人就有可能被盯上,这就增加了被盗的可能性。”神鱼说道。

今年1月份,俄罗斯加密货币投资者Nyashin刚在网上炫耀了自己的加密货币财富,随后被盯上。在格勒州的家中,Nyashin遭到袭击和抢劫,袭击者偷走了价值2400万卢布(42.5万美元)的资金。Nyashin因此绝望,选择了自杀。

虽然并不是严格意义上的黑客盗窃,但这次暴力事件也足以提醒加密货币投资者“随时保持低调”。

因为需要在安全方面进行大量的投入,所以加密货币钱包,并不是一个轻松的创业领域。

“我们的判断是,钱包会从一个早期的管理私钥的工具,逐渐变成DApp等领域的入口。”神鱼认为,这个入口级的机会,可以诞生一家伟大的公司。

但是,在成为加密货币世界的入口之前,首先面对的,是黑客的枪林弹雨。守住安全的最后防线,是所有钱包创业者和用户都需要正视和应对的挑战。

3000万+5亿 陌陌、万豪通通泄密 区块链能为隐私遮“羞”吗

3000万条用户数据,售价仅200元!

万豪系酒店5亿用户数据泄露风波未平,陌陌又被曝3000万用户账号密码泄露。

今天微博博主@lxghost 曝光的两张图片,图片显示为“陌陌3000万数据库”、“约2600万陌陌数据:手机号+密码”的论坛帖子截图。这些数据写入时间为2015年7月17日,截图中提到,“数据不保障现时有效性,只适合撞库用”。

有网友询问博主这些数据的价格,博主表示上述的3000万条数据,售价仅200元。

而不久前的8月,华住酒店也被曝约5亿条个人信息遭泄露,并在境外黑市中售卖。

个人隐私数据为什么频频被泄露?如何通过技术手段保护数据隐私,已经成为业内人士及普通大众共同关注的话题。

 信息频频被盗,我们还有隐私吗?

上周,万豪国际集团被曝其旗下喜达屋酒店的客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。泄露的信息包括敏感细节,包括他们的护照号码(适用于在外国酒店预订的人)、姓名、出生日期、预订日期、电子邮件地址和邮寄地址。

?wx_fmt=jpeg

酒店用户的个人隐私数据被泄露,万豪并非是第一家被曝光的。

今年8月,华住酒店也被曝旗下酒店约5亿条个人信息遭泄露,被泄露的信息有官网上的注册资料,包括姓名、手机号、邮箱、身份证号、登录密码……;入住登记的身份信息,不仅有姓名、身份证号,还有家庭住址甚至出生年月日……;所有的酒店开房记录,既有内部ID号、姓名、卡号,也有手机号、邮箱和入住时间、离开时间……

而这些数据在境外黑市中售卖,被标价8个比特币,按照当时的比特币价格,大约合30多万人民币。

短短4个多月时间,仅酒店领域就被曝有10亿用户隐私数据泄露,不禁让人唏嘘:在信息网络时代,我们还有隐私吗?或者说,我们的隐私,谁来保护!

区块链能否遮“羞”,大咖们意见不一。

众所周知,区块链的特点就是去中心化的分布式记账方式。中心化的信息纪录容易被窃取,区块链能否为我们的隐私信息提供保障呢?

?wx_fmt=jpeg

公信宝的创始人黄敏强认为,在数据存储安全和隐私保护上,区块链肯定比中心化数据库存储更可靠。“区块链是一种新型的数据存储方式,它有别于过去的中心化数据库存储。以万豪集团的数据为例,如果将用户的索引数据存储在主链上,而把加密的详情数据存储在侧链上。虽然会牺牲了部分效率,但加强了安全性。即使出现信息泄漏,通常只会是单一的泄漏(比如用户自己的私钥泄漏导致的),不会发生这种大规模的数据集体泄露。”

33复杂美CEO吴思进向火鸟财经介绍,运用区块链技术完全可以避免像万豪酒店这样大规模的数据泄露事件。区块链的分布式记账方式,不仅可以保障信息不可篡改,还可以通过技术验证真伪。通过技术手段,保障相关隐私信息仅供授权人查看。

巴比特副总裁、比原链运营总监马千里则表示,万豪酒店的数据泄露问题是无法通过区块链来根本解决的。因为中心化系统的安全必须有中心化的防卫机制,中心化系统用分布式存储反而可能增加泄露的风险。

马千里认为,要用区块链解决中心化系统隐私问题,主要是赋予客户的选择权,即客户可以选择冒着身份泄露的风险,获得中心系统的便利,也可以选择牺牲这部分便利,用非对称加密等方式,自己信息自己掌握,而这个选择权目前是没有的。

肖风提出隐私计算,会是救命“稻草”吗?

12月1日,万向区块链董事长肖风博士表示,当前诸多敏感数据并不允许以普通的技术手段共享利用,需要新的隐私保护技术手段来提高数据利用率。未来,要推广隐私计算应用,为行业乃至中国技术的进步做出力所能及的贡献。“密码学已经有了一些研究成果,可以帮助我们进行隐私计算,实现数据的隐私保护和共享利用。”

?wx_fmt=jpeg

肖风博士提到的“隐私计算”是怎样的呢?

在《通信学报》中一篇名为《隐私计算研究范畴及发展趋势》学术论文中这样表述:隐私计算是面向隐私信息全生命周期保护的计算理论和方法,是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄漏代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。

隐私计算能解决个人数据泄露问题吗?

黄敏强认为,隐私计算也是区块链行业探索和推进的方向,他们也在努力推进隐私计算的研发。如果能够实现这一技术的商业化应用,用户链的数据安全存储和链上数据计算效率将达到双向突破,对区块链应用发展有非常大的价值。

而在马千里的印象里,隐私计算还处于学术阶段,没有切实的应用案例。

互联网时代,信息泄露越来越司空见惯。未来,谁能保护我们的隐私呢?