日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
企業(yè)區(qū)塊鏈應用的5種攻擊方法

專家警告,區(qū)塊鏈的非加密貨幣用例也有安全風險。

創(chuàng)新互聯(lián)堅持“要么做到,要么別承諾”的工作理念,服務領域包括:網(wǎng)站設計、成都網(wǎng)站設計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務,滿足客戶于互聯(lián)網(wǎng)時代的隰縣網(wǎng)站設計、移動媒體設計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴!

網(wǎng)絡安全圈子里最熱門的話題之一就是企業(yè)區(qū)塊鏈了。區(qū)塊鏈技術也是比特幣之類加密貨幣的底層技術。簡單講,區(qū)塊鏈就是網(wǎng)絡節(jié)點間共享的被加密算法鎖定的一系列交易或合約。除了比特幣,區(qū)塊鏈還能確保供應鏈完整性、管理合約,甚至作為金融交易的平臺。

區(qū)塊鏈在加密貨幣領域的流行度,其對密碼的應用和去中心化的特性,都向其支持者證明了這一技術是當前很多網(wǎng)絡安全問題的解決方案。比如說,阿卡邁技術公司目前就在打造區(qū)塊鏈驅(qū)動的在線支付網(wǎng)絡。其副總裁兼CTO表示:“區(qū)塊鏈本身就是種安全技術,融入了多種安全原則。”

比特幣交易所被黑的消息常會震撼到任何人都可以設立節(jié)點的開放網(wǎng)絡,但企業(yè)區(qū)塊鏈項目與公開網(wǎng)絡項目不同,企業(yè)區(qū)塊鏈通常是被許可的區(qū)塊鏈,其節(jié)點是私有的,只有機構本身通過了安全驗證的人員才可以訪問這些節(jié)點。

區(qū)塊鏈不僅僅是一陣炒作熱潮,即便不是萬靈丹,區(qū)塊鏈的益處也是真實有效的。理論上,區(qū)塊鏈的基礎概念就是抗攻擊的。學術視角上看,區(qū)塊鏈只要實現(xiàn)恰當,就非常難以被黑,其應用前景相當明朗。

但即便區(qū)塊鏈是黑客難以攻克的堡壘,它也不是完全無法突破的。很多安全專家都警告稱,區(qū)塊鏈實現(xiàn)中存在一些公司企業(yè)需要注意的危險。

加密貨幣犯罪是一門大生意

雖然目前尚無企業(yè)區(qū)塊鏈項目遭遇網(wǎng)絡攻擊的報道,但這主要是因為該技術仍處于試行發(fā)展階段。對公共區(qū)塊鏈項目的攻擊已經(jīng)非常普遍了。

Carbon Black 的研究表明,今年上半年就已有價值11億美元的加密貨幣被盜。網(wǎng)絡犯罪的增長驅(qū)動了能寫惡意代碼的程序員數(shù)量的上升,而暗網(wǎng)給了他們售賣惡意代碼的完美市場。罪犯從這些攻擊中獲得的專業(yè)技能,以及暗網(wǎng)上涌現(xiàn)的各種工具,都可以被利用來攻擊企業(yè)項目。

大多數(shù)加密貨幣攻擊都沒針對核心區(qū)塊鏈技術,罪犯只是瞄準了防護不周的交易所和沒好好保護自己錢包個人及公司。發(fā)起中間人攻擊都可以將加密貨幣交易轉(zhuǎn)移到罪犯自己的錢包中。

邁克菲最近一份關于區(qū)塊鏈的安全報告中稱,很多此類問題都源于終端用戶安全或區(qū)塊鏈實現(xiàn)上的問題,并非區(qū)塊鏈加密協(xié)議自身的問題。企業(yè)區(qū)塊鏈項目也有可能出現(xiàn)實現(xiàn)問題,即便這些項目不像公共鏈那樣有著寬泛的攻擊界面。對希望采納區(qū)塊鏈的公司企業(yè)而言,首先應權衡實現(xiàn)的成本和收益以及采用新技術的風險。

基于此,我們有必要關注以下5種區(qū)塊鏈安全風險:

1. 進入?yún)^(qū)塊鏈交易時的人為錯誤

就某些方面而言,企業(yè)區(qū)塊鏈甚至有可能比公共鏈更脆弱。區(qū)塊鏈廣為宣傳的好處之一,就是大型分布式點對點網(wǎng)絡的彈性。一個節(jié)點失效,并不會導致整個系統(tǒng)宕機,系統(tǒng)會繞過該節(jié)點,避免了單點故障問題。一位參與者試圖往賬本中引入非法交易,其他成員將迫使他老老實實做生意。但萬一有人犯了個誠實的錯誤呢?

去中心化的優(yōu)勢在于必須取得共識才能做出修改。于是,即便加密貨幣交易所犯了錯,他們也無法修正。沒有中央權威的情況下,一旦丟失加密貨幣錢包口令,那就永遠找不回來了。企業(yè)區(qū)塊鏈應用場景下,沒人希望出現(xiàn)有錯也改不了的局面。

另外,雖然區(qū)塊鏈加密可防止用戶修改歷史賬本,但此類系統(tǒng)往往允許參與者添加新的記錄條目。企業(yè)區(qū)塊鏈項目中,參與者往往是可信方而非來自公眾的隨機成員。一旦可信方被黑,區(qū)塊鏈的安全也就消失了。

2. 51%攻擊

更糟的是,如果區(qū)塊鏈網(wǎng)絡過半數(shù)成員被黑,那么攻擊者就能奪取整個鏈的控制權,迫使所有成員服從他/他們的意志,造成巨大的傷害。

攻擊者很難拿下比特幣區(qū)塊鏈網(wǎng)絡,因為這個網(wǎng)絡包含了太多參與節(jié)點。小型加密貨幣就比較脆弱,比如 Bitcoin Gold,5月時攻擊者就以51%攻擊的形式卷走了價值1800萬美元的加密貨幣。

企業(yè)區(qū)塊鏈項目的參與者數(shù)量通常遠遠少于公共加密貨幣平臺。網(wǎng)絡規(guī)模越小,攻擊者需要黑的節(jié)點數(shù)量就越少。如果銀行要推出區(qū)塊鏈來處理交易,其節(jié)點數(shù)量將遠少于公共網(wǎng)絡,黑客能相對輕松地拿下51%的節(jié)點,拿過銀行區(qū)塊鏈的控制權。

企業(yè)部署很大程度上是同質(zhì)化的,所以一旦發(fā)現(xiàn)某個節(jié)點上存在漏洞,該漏洞往往可以被利用來攻擊所有其他節(jié)點。在公共域,人們下載各種不同的挖礦軟件,節(jié)點配置也各不相同。企業(yè)環(huán)境則正好相反,一致的部署反而給攻擊者帶來了以點帶面的便利條件。

3. 區(qū)塊鏈實現(xiàn)錯誤

區(qū)塊鏈項目的另一重大漏洞源,就是該技術還太新了,很容易出現(xiàn)實現(xiàn)上的錯誤。甚至核心區(qū)塊鏈加密技術都可能存在問題。該算法本身可能在數(shù)學上相當合理而優(yōu)雅,但具體實現(xiàn)上就未必那么完美了。

如果無法理解區(qū)塊鏈的基礎數(shù)學原理,那你基本上就是下載個號稱“神奇”的代碼黑盒而對其中都有些什么一無所知。開源世界里太多人依賴第三方庫,而有人把GitHub上的代碼庫偷偷調(diào)換了都能長達6個月無人發(fā)現(xiàn)。這種情況還并不少見。

區(qū)塊鏈技術太新了,很多人都不知道該避免犯哪些錯誤。區(qū)塊鏈部署中的加密密鑰也需要妥善管理,但大多數(shù)企業(yè)甚至連自己的網(wǎng)站證書都管不好。

與其他技術項目一樣,企業(yè)區(qū)塊鏈也容易遭受類似的攻擊。就拿網(wǎng)絡釣魚與欺騙來說,雖然目前尚未發(fā)現(xiàn)企業(yè)區(qū)塊鏈受到此類攻擊,但這不過是因為生產(chǎn)環(huán)境中太少用到區(qū)塊鏈的緣故而已。

公共區(qū)塊鏈上此類攻擊可多。攻擊者會假裝是收家,攔截或者黑掉網(wǎng)頁以劫持交易,未必是加密貨幣交易,可以是任何其他種類的交易。

推出區(qū)塊鏈項目的企業(yè)需確保所有安全基礎都覆蓋到,包括采用最新最安全的軟件開發(fā)和審計過程,確保設置了多因子身份驗證,以及鎖定網(wǎng)站以防網(wǎng)頁攻擊??缯灸_本攻擊可不管你是公共鏈還是私有鏈。所有這些攻擊在網(wǎng)絡安全領域都很常見,區(qū)塊鏈并未自帶免疫光環(huán)。

4. 智能合約被黑

2016年,去中心化自治組織(DAO)利用以太坊平臺啟動了基于區(qū)塊鏈的投資基金。以太坊是區(qū)塊鏈的一個變種,不僅僅能存儲加密貨幣交易,還可以存儲智能合約。但據(jù)Gartner報道,黑客利用一份智能合約從該系統(tǒng)中套取了價值1.5億美元的以太幣。

DAO案例給人們敲響了警鐘:不能僅僅因為某樣東西建立在區(qū)塊鏈基礎上就無條件相信它是安全的。

如今人人都在談論區(qū)塊鏈,大家都想使用區(qū)塊鏈。人們常有一種誤解,覺得只要利用該點對點分布式賬本模型,建立在其上的每樣東西就天生安全。但顯然,這是一種錯到離譜的假設。算法很神奇,具體實現(xiàn)則就看實現(xiàn)代碼到底寫得如何了。而有代碼的地方就有漏洞,這是程序員眾所周知的事實。

企業(yè)對智能合約很感興趣。智能合約只要條件達成就能自動履行而且不能反悔。但這同時也意味著,合約一旦建立,將幾乎無法撤銷問題、改正錯誤或者扭轉(zhuǎn)欺詐行為。比如說,很容易就會無意中寫下條件永遠無法滿足的合約,或者物流地址寫錯了。

一旦發(fā)生這種情況,合約里的資金就永遠鎖定在區(qū)塊鏈中了。而且此類情況已有前例,并非僅僅理論上會出現(xiàn)的事。去年秋天,某人意外鎖定了多方以太坊合約,造成了超過3億美元的損失。

5. 未檢出的區(qū)塊鏈漏洞

公共加密貨幣交易所如今已是區(qū)塊鏈生態(tài)系統(tǒng)中唾手可得的誘人果實。資金多,容易得手,難被抓到。犯罪團伙總是追逐投資回報率最高的產(chǎn)業(yè)走的。

區(qū)塊鏈產(chǎn)業(yè)目前還在新生階段,我們甚至還沒建立查找和報告非加密貨幣相關區(qū)塊鏈漏洞的平臺。約50家主流公司企業(yè)都表示要么投資,要么并購,要么實現(xiàn)區(qū)塊鏈技術。區(qū)塊鏈漏洞真正影響生產(chǎn)環(huán)境還有段時間。

但隨著企業(yè)區(qū)塊鏈項目上線,這些項目或資金龐大,或涉及關鍵基礎設施或業(yè)務流程,或涉及政治或軍事敏感信息,這種情況將發(fā)生改變。對每個人而言,區(qū)塊鏈技術及其威脅防御都將伴隨著漫長的學習曲線。首先采納區(qū)塊鏈的大公司將會首先經(jīng)歷區(qū)塊鏈漏洞陣痛并從中汲取經(jīng)驗教訓。

還未到黃金時間

目前,商業(yè)世界中的區(qū)塊鏈是個“尋找問題的解決方案”。最大的風險來自于“我有個問題要用區(qū)塊鏈解決,趕緊部署一個”的想法。區(qū)塊鏈并非萬靈丹。

區(qū)塊鏈架構提供了無需中間人就能通過共識來享有信任的功能。它能解決很多問題,但解決不了所有問題。企業(yè)投資區(qū)塊鏈時常會在這方面誤入歧途,人們陷入“這個解決方案好,我們找?guī)讉€問題來應用吧”的誤區(qū)。從技術角度看,目前還是個相當危險的階段。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】

戳這里,看該作者更多好文


網(wǎng)站欄目:企業(yè)區(qū)塊鏈應用的5種攻擊方法
分享地址:http://www.5511xx.com/article/dhisceo.html