無論是企業還是個人都應抽空關注一下區塊鍊和加密貨币相關的安全問題,畢竟控制風險是首要任務。否則,忙着挖礦,炒币,抄底,一不小心後院着火,那可是要被人“抄家”的。你辛辛苦苦賺來的都将被人收割,甚至傾家蕩産,萬劫不複。
本文無意混淆概念,在沒有特别聲明前,文中涉及的比特币、數字加密資産、加密貨币等共用同等内涵。
1 忙着炒币抄底,可别被人抄了家!
1.1 不蹭熱點會死啊?
不會。這麼火熱的熱點,不蹭一下,我都感覺對不起這年華和才華!
關于區塊鍊,關于加密貨币,關于比特币,有太多的争論,不過都不是本文的重點。本文将盡量克制幻想,僅從一個安全從業人員的角度闡述時下熱門話題背後的安全問題,涉及到:
圍繞區塊鍊及加密貨币的各類安全風險場景
個人使用者如何捍衛自己的加密貨币資産
企業如何保證計算環境和計算資源安全
區塊鍊技術本身及生态系統的安全
最後,還将重點展示企業安全技術實踐:如何借助阿裡雲平台上的雲安全産品保護企業計算資源和個人加密貨币資産的安全。
幾乎所有主流數字貨币都有對應的數字資産管理工具——錢包。以比特币BTC為例,目前支援 BTC 的主流錢包就有數十種,而且還分軟體和硬體,線上和離線,PC端和移動端等形态。
由于曆史資料,網絡同步和使用不便等問題,個人運作和維護龐大的 BTC 用戶端來管理資産非常笨重,也不現實。越來越多的數字貨币資産管理廠商開發了錢包應用或硬體。
典型的加密貨币資産的錢包APP具備如下功能:
基于12個随機字元串“密語”(你需要抄寫在紙上,不能讓任何人知道)生成一組密鑰對(臨時存儲在軟體運作環境中)
基于生成的公私鑰進行區塊鍊上資産的檢查、轉賬、收款等
使用“密語”或密鑰對恢複數字貨币資産
在區塊鍊上,如果 Alice 要給 Bob 轉賬BTC,那麼 Alice 必須先知道 Bob 的收款位址(一組數字編号,如:171v6KMWTpBJ2mLjBieHz2mojD7yuzK7vG)。經過 Alice 的私鑰簽名和區塊鍊全網計算确認後(通常需要數分鐘到數小時),即完成轉賬。之後 Bob 可以在自己的錢包中看到新增的資産。當然這背後涉及到大量加密解密等專業技術,在此不做贅述。
基于以上典型應用場景可以看出,錢包及圍繞錢包相關的場景存在着大量的風險,至少包括以下幾類:
錢包或“密語”、密鑰的丢失
轉賬過程錢包位址填寫錯誤或被篡改
使用了不安全的錢包軟體或APP
存儲媒體或檔案洩露
這個世界上總有一些人因為運氣不佳或其它内外部因素導緻忘記了初始密鑰或丢失了硬碟,導緻數字資産從網絡上永久消失。最典型的場景莫過于在丢失或者遺忘“密語”/密鑰的情況下,又丢失電腦或者重裝系統軟體,導緻數字資産丢失,釀成不可挽回的損失。這樣的案例很多,近來的新聞裡也常常看到。
下面這雖然是個段子,但是也足以說明保護好錢包“密語”和密鑰是多麼的重要!
專家建議:為了您的财産安全,請至少同時通過2個以上用戶端(例如:手機+電腦)管理您的加密數字資産,并確定您正确地抄下了“密語”字元串,且總能在需要的時候找回。
筆者見到最為奇葩的是各種線上錢包網站所提供的服務。本來區塊鍊是去中心化分布式系統,但是偏偏有人誘導大家去開通線上錢包。是的,“密語”是在本地浏覽器随機生成的,但所有的交易都要通過中心化的錢包網站進行,風險極高。浏覽器記憶體資訊洩露、網絡中間人劫持、線上錢包網站被黑甚至網站跑路,其中任何一個風險觸發,都有可能導緻數字貨币資産歸零。
專家建議:不要使用線上錢包管理你的數字貨币資産。如果你必須使用,請務必選擇可靠的平台,不要存放大額資産,且時刻保持防病毒軟體是開啟狀态。
保護好了錢包、“密語”和密鑰并不代表一切太平,在處理加密數字資産的過程中同樣需要時刻謹小慎微。
由于區塊鍊網絡是去中心化的分布式系統,設計之初就不存在轉賬退款機制。 Alice 給 Bob 轉賬過程中,如果不小心将收款位址中的數字零0寫成了字母0,又或者是将數字1寫成了字元 l,那将會造成不可挽回的損失。
主流的交易所或錢包管理軟體,都提供複制或掃碼方式擷取收款位址,如果有可能應避免手工輸入。當然,即使是複制、掃碼獲得收快位址也存在風險,如果電腦終端被植入了木馬,那麼拷貝或執行轉賬的過程中收款位址存在被替換的風險。
專家建議:加密數字貨币轉賬時優先采用複制或掃碼的方式填寫收款位址,避免手敲。即便是複制、掃碼完成的輸入,在轉賬前還需要再做一次人肉二次校驗。
除了“密語”、密鑰和錢包位址的安全問題外,錢包 APP 本身也存在較大的風險。通常,不同的區塊鍊數字貨币發行方,都有自己的錢包軟體。也有一些第三方組織釋出了通用的錢包,可以同時管理數十種數字資産。
在使用數字貨币錢包時,應選擇官方推薦的錢包軟體,堅決不使用無名廠商開發的錢包軟體。筆者接觸過這樣的案例:使用者錢包隻能收款,不能轉賬。原因是無良廠商開發了一款假的錢包軟體,并通過一些具有利益誘惑的宣傳(存儲 BTC 贈送 EOS 等)誘導使用者安裝。使用者在 APP 上看到的所有資訊都是假的,真正的錢包和密鑰存在遠端伺服器上!
即便服務商沒有惡意,小型組織提供的服務總是不穩定,容易出現轉賬不及時,到賬延遲,軟體 bug 改進緩慢等問題。
專家建議:應下載下傳使用官方推薦的錢包軟體,并盡可能檢查錢包開發團隊是否在 github開源項目托管平台提供開放的源代碼,防止有後門。
比特币用戶端軟體中,對錢包最重要的、能決定你對此錢包擁有權的檔案叫做wallet.dat。如果您在個人電腦上運作比特币用戶端軟體,應絕對保證系統的安全,防止檔案洩露。在不使用轉賬和收款确認功能時,應避免電連接配接網絡。即使聯網,也隻能做比特币相關的操作,禁止在同一電腦上使用任何其它不相關的軟體,更不能将 dat 檔案存儲到遠端伺服器,甚至暴露在網際網路上。
請記住“死都死在密碼(密鑰)上”,總有那麼一些人因為粗心大意,導緻錢包密鑰檔案洩露,讓自己損失慘重。在 Twitter 上,曾有人示範使用 AWS S3資源掃描工具,發現了多個比特币錢包密鑰檔案wallet.dat,并且可以公開下載下傳!任何人下載下傳該檔案将其導入到比特币用戶端,都可以對加密數字資産進行轉賬操作!
S3洩露出來的比特币錢封包件的名稱如此明顯,以至于很多黑客已經抄起家夥開幹了!掃描對象不僅僅包括 S3,還包括 Google 搜尋引擎結果,網際網路網站目錄等。
專家建議:切記,财不外露,wallet.dat檔案更不能外露!
除了購買比特币,擷取比特币最基本的方式是運作比特币用戶端記賬軟體,成為網絡區塊鍊網絡中的一個節點。通過參與區塊鍊網絡計算,維護全網資料,進而獲得比特币獎勵——俗稱“挖礦”。當然以現在比特币全網的挖礦難度,普通個人電腦是無法通過挖礦獲得收益的。即便是專業的礦機也需要數月才能回本,更不要說中間還需要付出高昂的電費成本。
為此,網際網路上誕生了“礦池”。個人使用者在挖礦過程中将挖礦用戶端連接配接到更大的礦池伺服器。與其他個人礦工抱團挖掘比特币。當大礦池挖掘到比特币時,按照算力貢獻對不同的用戶端進行獲利分成。絕大多數礦池會提供使用者專用的挖礦軟體和錢包位址。
以門羅币挖礦程式為例,個人礦機使用者在用戶端運作程式:
執行玩程式後,挖礦程式加入礦池mro.example.org進行挖礦。如果挖到門羅币,礦池将進行門羅币獎勵,直接發放到位址YOUR_WALLET_ADDRESS。
以下是主流的比特币挖礦行業形态:
個人購買實體礦機(獎勵分成)--連接配接-->礦池(基于算力獎勵)-->區塊鍊網絡
個人購買合約礦機(獎勵分成)--投資-->雲挖礦公司(統一負責礦機)--->區塊鍊網絡
通過簡單的分析可知,該産業形态存在如下風險點:
礦池伺服器域名被劫持,用戶端加入了假的礦池進行挖礦
如果挖礦伺服器中病毒,挖礦過程中錢包位址會被替換
挖礦軟體本身異常,偷換錢包位址
礦池伺服器被黑,導緻挖礦所得加密貨币被轉移
筆者接觸過大量案例,其中不乏礦池網站提供的軟體存在後門的情況。舉個例子,以下是一個典型的挖礦程序名“minerd -a cryptonight -o stratum+tcp://mro.extremepool.org:3333 -u YOUR_WALLET_ADDRESS -p x”。
但實際運作過程中錢包位址YOUR_WALLET_ADDRESS很可能會被替換掉,例如有10%的随機機率。這也是為什麼有大量的礦池網站号稱他們的費率非常低,是因為他們會悄悄更改挖礦獎勵的錢包位址,挪用你的算力。你滿懷信心當礦工埋頭挖苦幹了一個月,可能都是在替無良礦池打黑工。
如今,越來越多黑客也開始将攻擊目标鎖定在礦池伺服器。類似《挖礦平台被黑客入侵:價值4.6億比特币被盜》這樣的新聞,屢見不鮮。
專家建議:挖礦軟體經常被綁定病毒,用于盜竊虛拟币錢包,請務必從官方管道下載下傳軟體,使用專門的挖礦電腦,不要在上面放重要資訊(特别是虛拟币錢包)。Windows挖礦軟體使用前務必使用防毒軟體查毒。另外,礦池有倒閉和跑路的風險,請務必盡最快的速度将礦池挖礦所得轉移出來。
價格不斷攀升的數字貨币資産,讓無數人為之沖昏了頭腦,為了謀取利益,铤而走險。企業内外部對數字貨币資産觊觎已久的人員,也早就盯上了 IDC 機房中的伺服器資源。參考新聞:《利用伺服器漏洞挖礦黑産案例分析》。
單靠個人電腦無法挖掘更多的比特币,隻有利用無限的網際網路資源才能創造更多的價值。黑客軟體,木馬病毒正一步一步向企業網絡中滲透。被成功如期你得伺服器,24小時不間斷為黑客挖礦。那些安全措施不足,防禦手段欠佳的企業,他們的伺服器安全将遭受更大的挑戰,一旦防禦失敗,将徹底淪為為黑客造錢的礦工。下圖是典型的服務被植入挖礦軟體後的資源占用情況,minerd幾乎占用了所有的CPU 資源。
曾經在某企業伺服器每到半夜都會滿負荷運作,所有的資源都被耗盡;但是運維人員一旦登入伺服器,系統又都恢複正常。經過多次調查,最終發現該伺服器被植入了黑客木馬程式,并且用于比特币挖礦。雖然企業資訊并沒有被洩露,但原本用于業務的計算資源被挖礦軟體占用,這本身就是一種浪費和損失。特别是對于那些使用雲資源的使用者來說,計算資源本身也是需要付費的,企業自身沒有使用的資源,黑客用于挖掘比特币,将其所有價值“榨幹”。這也是另外一種資産損失!
十年前,伺服器被黑客攻擊,通常會導緻嚴重的資訊洩露,檔案系統破壞等事件,但如今,黑客進入您的系統再也不是搞破壞和做炫耀了,而是用伺服器去挖礦,讓伺服器做成搖錢樹。他們甚至還會幫你“優化”伺服器,提升計算能力,榨幹最後一個計算單元!
上一節中我們重點提到了,企業網絡重要伺服器資源被黑客入侵用于比特币挖礦。對于我們個人使用者而言,同樣面臨類似的問題。我們每個人每天都在使用的手機、浏覽器也有可能成為黑客的幫手,用于挖掘比特币。類似于下面的新聞,最近在網絡上曝光度較高。
在安全防護度不高的網站被黑客入侵後,網站會被植入一段 JS 代碼。當使用者使用浏覽器通路該網站時,會自動加載一段JS代碼,用于執行加密數字貨币挖礦。特别是那些小說、視訊等網站,使用者會在同一個頁面停留很長時間,非常适合挖礦軟體持續工作。目前,此類 JS 挖礦軟體已經有較為成熟的解決方案。Github 上甚至還有開源的項目代碼。
專家建議:綠色上網,時刻開啟防病毒軟體。留意計算機風扇轉速。盡量不要通路那些無名小站
如前文所述,數字貨币的錢包密語和密鑰非常重要。一旦被他人擷取,數字資産将岌岌可危。前幾節涉及到的主要是技術場景上的風險。然而,在網際網路上幾乎任何領域都可能産生釣魚和詐騙。通過這些手段巧取豪奪,甚至都不需要任何技術含量。
如果你稍微留意币圈的新聞,這條你應該有所耳聞:《震驚:一個朋友被騙走将近400萬的區塊鍊資産》。騙子僞造區塊鍊網站,聲稱隻要提供錢包位址就可以空投數字貨币,要求使用者填寫錢包位址,同時使用英文操作界面誘騙小白使用者在網站錄入錢包私鑰!
區塊鍊資産沒有挂失,找回機制,一旦轉賬找回幾率為零。400萬,不小的比數字啊!太沉重的教訓!
無獨有偶,近日蘋果聯合創始人史蒂夫·沃茲尼亞克在出席《經濟時報》主辦的全球商務峰會上表示自己的 7 枚比特币(大約44萬人民币)被騙走了。被騙過程簡單到難以置:有人在網上通過信用卡從他手中買下了這些比特币,然後取消了信用卡付款。騙子使用的是被盜的信用卡号碼,無法追蹤,是以,這 7 枚比特币也無法再找回。
專家建議:打死不向外人提供密語、密鑰,包括交易所的短信驗證碼、OTP動态登入令牌
由于加密貨币相對普通銀行賬号更具有匿名性特征,比特币、門羅币等數字貨币越來越多地受到黑客青睐,甚至成為了勒索軟體的贖金支付方式。
2017年上半年最重要的安全新聞,莫過于WannaCry勒索病毒。2017年5月12日晚上22點30分左右,全英國上下16家醫院遭到大範圍網絡攻擊,醫院的内網被攻陷,導緻這16家機構基本中斷了與外界聯系,内部醫療系統幾乎停止運轉,很快又有更多醫院的電腦遭到攻擊,這場網絡攻擊迅速席卷全球。這場網絡攻擊的罪魁禍首就是一種叫WannaCry的勒索病毒。
WannaCry被認為利用了美國國家安全局的“永恒之藍”(EternalBlue)工具以攻擊運作Microsoft Windows作業系統的勒索病毒。該病毒爆發時,公安、石油等系統内網也遭到嚴重的破壞,大量作業系統中招勒索軟體。被攻擊用戶端電腦彈出對話框,要求以比特币方式支付贖金。
作為個人使用者,應該時刻提升安全意識,不要通路未經認證或缺少保障的網站,不輕易點選未知網絡連結,不下載下傳運作來曆不明的軟體。很多常年不進行更新檔更新的企業内網作業系統是這次病毒爆發的主要受害者。也正是這次病毒軟體的大爆發,才讓比特币走入了主流社會的視野,并為2017年下半年數字貨币暴漲暴跌拉開了大幕!
專家建議:養成良好的上網習慣,及時修複系統漏洞,可以幫你遠離勒索軟體。
數字貨币資産之是以能快速爆發,離不開各類野蠻成長的交易所。雖然國内已經禁止交易,但國外仍有大量加密貨币交易交易網站。随着最近一年比特币概念的引爆,入場的使用者數激增。大量使用者在比特币交易所購買,存取數字資産。如今,動辄上億的日交易額,早已讓黑客垂涎欲滴。甚至交易所内部人員也開始打起了主意。無論是準數字貨币還是數字貨币代币,都是别人眼中的肉。
今年年初,日本虛拟貨币交易所Coincheck聲稱黑客偷走了大約580億日元(5.3260億美元)的數字貨币資産,引發了對于數字資産這個新興市場的安全和監管保護的質疑。
同樣在日本,Mt.Gox這家曾經是全球最大的比特币交易所,在2014年2月因85萬個價值4.5億美元的比特币以及2700萬美元現金的盜竊或丢失而宣告破産。雖然其中的20萬個币已經被找到,但剩下的65萬個仍然不知所蹤,在過去的幾年裡,有關這部分比特币蹤迹的猜測從未停止。
交易所運轉要依靠股東道德、公司管理、人員素質、交易程式等。這些環節都很脆弱,前有香港GBL交易所跑路,後有Mt.Gox倒閉,今有 Coincheck 被盜。在去中心化數字貨币交易所正式成熟之前,此類的問題還将出現,下一次會是哪家就隻是時間的問題。對于普通使用者來說,永遠無法知道交易所是真的被黑,還是“聲稱被黑”,亦或是傳說中的跑路。
被交易所被黑更隐蔽的風險是交易資料作假。受利益蠱惑的交易所為了獲利不擇手段,通過僞造交易資料K線圖的方式誘導使用者買入和賣出,如:構造虛假的交易深度圖,成單量,交易價格等資訊。
專家建議。如果不是頻繁交易,那麼,購買數字貨币後應及時提币到個人錢包,而不應該長時間存放在交易所。應該盡量在一些知名度較高的交易所去交易,盡量不要去那些冷門的小微型交易所。
讓我們再次将目光回到區塊鍊技術本身。作為一套營運在網際網路上的去中心化分布式記賬系統,其本身架構設計必須是安全的。早期,核心小組設計并開發了BTC Core, 在全球玩家不斷的參與過程中,系統經過疊代,修複了大量的安全漏洞。總的來說,區塊鍊及其生态面臨着非常嚴峻的安全風險,當然系統也在不斷地帶中自我完善。
由于區塊鍊本身分布式去中心化的系統,是以不用擔心針對單點的網絡拒絕服務攻擊。但短時間内大量的超小額(如:0.0001BTC)垃圾交易會迅速填滿區塊,導緻其它轉賬資訊無法及時确認,并最終導緻整個區塊鍊網絡轉賬延遲。曾經有人讨論過“粉塵攻擊”和“空塊攻擊”,感興趣的可以自行搜尋。比特币開發小組和全體區塊鍊網絡參與者,應共同抵制這種惡意攻擊行為,期待未來區塊鍊系統更加強大和完善。
“在比特币網絡裡,你有多少錢,不是你說了算,而是大家說了算,每個人都是公證人。”基于算力證明進行維護的比特币網絡一直以來有一個重大的理論風險:如果有人掌握了巨大的計算資源(超過全網過半的算力),他就可以通過強大的算力篡改區塊鍊上的賬本,進而控制整個共識網絡。這也被稱為51%攻擊,雖然這種攻擊發生的可能性不是很大(掌握這種算力的人本身就可以通過挖礦獲得巨大受益,再去冒險篡改賬本很容易暴露自身)。仍然是理論上看:一旦這種攻擊被發現,比特币網絡其他終端可以聯合起來對已知的區塊鍊進行硬分叉,全體否認非法的交易。
人們選擇使用加密數字貨币總是基于不同的需求。随着加密數字貨币的快速發展,越來越多的針對數字資産的匿名性需求正在産生,然而主流的數字貨币并不具備真正的匿名性。舉個最簡單的例子,如果你是一名開源項目負責人,你在社群公布了自己的比特币捐贈位址。那麼所有人都可以查詢到,你一共收到了多少的捐贈,以及你的賬号與其它所有賬号的交易記錄。
按照比特币分布式賬本設計,每一個終端節點都儲存了一份完整的轉賬交易記錄,人們可以通過追蹤數字貨币錢包資金往來而最終識别資産的所有者及目前資産的數量。這對匿名性構成了很大的挑戰,是以近來又有了一些新型的數字火币,他們聲稱其匿名性遠遠高于第一代的比特币。
前文提到的門羅币就具備跟高的匿名性。在2014年4月門羅币依據CryptoNote被建立, 規避了比特币的設計缺陷, 使得門羅币更加隐私,去中心化和可擴充。門羅币能隐藏交易發起者,接收者,交易金額,和交易IP等資訊。
好的設計架構可以保障系統的安全性,但架構要實作必須通過軟體工程師程式設計實作。在軟體實作的過程中沒有做到嚴格的編碼安全,仍然存在風險和漏洞。相對于面向全網公開的比特币核心代碼,錢包類APP軟體,交易所網站代碼等更容易出現應用安全漏洞。如果不能及時識别和修複安全漏洞,最終将導緻使用者資産被黑客攻擊竊取。
區塊鍊共識機制通過強大的算力作為支撐,其核心是所有的終端需要持續不斷計算随機字元串的 HASH 值。未來,如果量子計算機一旦成功應用,将有可能對區塊鍊安全構成挑戰。量子計算機的計算速度與普通計算晶片完全是天壤之别,理論上可以實作51%的攻擊。當然,任何系統都是在不斷疊代和演進的,攻擊者能使用量子計算機,作為使用者同樣也可使用量子計算機。相信未來一定有更合理的解決方案。
作為一家運作在阿裡雲上的企業,我們同樣在關注熱點話題,并一直在積極思考和嘗試解決的安全問題。針對上述不同應用場景中的安全風險,我們曾探讨和嘗試過借助阿裡雲雲盾産品線上不同的安全産品進行組合及時發現和遏制各類風險。
首先,作為雲上企業最核心的基礎資源是雲伺服器,例如:ECS(彈性計算伺服器)、HPC(高性能計算伺服器)等。企業在經營過程中購買了大量雲主機,但如果因為系統安全漏洞導緻被黑客入侵并進而植入挖礦軟體,企業将是以付出巨大的營運成本。
雲盾産品-安騎士,通過在ECS主機部署安全用戶端,能夠主動收集作業系統資訊,分析系統安全漏洞并支援一鍵修複安全漏洞。
點選上圖中任何漏洞資訊,可以展現受該漏洞影響的所有資産清單,并可以選擇是否立即修複。
企業完全可以根據自身需要,選擇嚴重度高,影響範圍廣,資産重要性高的安全漏洞進行修複,而且有緩解措施的漏洞則可以選擇性地進行評估和忽略。
從來沒有絕對的安全,伺服器被入侵并不一定是因為作業系統層面的漏洞,也可能是應用系統漏洞。黑客團夥從來就沒有放棄過對企業網絡和伺服器的持續滲透。甚至一些被利益沖昏頭腦的内部人員也有可能挪用公司計算資源。是以,仍存在一種情況,伺服器被植入黑客軟體并已經被用于加密數字貨币的挖礦。
慶幸的是,阿裡雲平台早1年多以前就已經上線了針對伺服器挖礦行為的監控。部署安騎士用戶端的伺服器,能夠在第一時間感覺到挖礦行為,及時準确地通知安全人員。
下圖是安騎士用戶端發現的挖礦程序:
下圖是安騎士發現主機程序與可疑礦池伺服器通信:
從上面的截圖可知, 安騎士在服務挖礦行為監控上非常及時準确,能有效保護企業網絡計算資源不被挖礦程序濫用。
除了借助安騎士産品,态勢感覺産品也能從另外一個緯度幫助企業發現雲伺服器被用于挖礦的行為。如果您手上掌握主流的加密貨币挖礦礦池域名或 IP 位址,還可以通過雲盾-态勢感覺産品的日志搜尋功能,搜過企業雲伺服器是否有通訊,包括:
伺服器請求 DNS,解析特定的礦池域名
伺服器總是與特定 IP 或 TCP 端口通訊
通過阿裡雲态勢感覺産品中日志檢索控制台,可以設定非常靈活的字段選擇,檢索特定規則的日志,幫助企業安全人員及時發現伺服器異常動向。
下圖是檢索到的ECS 伺服器解析特定礦池域名的 DNS 請求記錄:
下圖是通過态勢感覺日志查詢界面,檢索與特定 TCP 端口的通訊行為。
當然,态勢感覺這塊産品功能太強大了,用它來分析挖礦行為有點小材大用。今後我會單獨寫文章進行介紹這款産品。
企業除了需要防護雲上伺服器的系統安全,還需要保障 Web 應用的安全。由于 JS 挖礦技術的成熟,越來越多的黑客已經不再入侵網站挂網頁木馬,而是植入 JS 挖礦代碼。一旦 JS 被植入,浏覽企業網站的所有使用者都将加入挖礦大軍,淪為曠工,貢獻浏覽器資源。對于在雲上開展網站業務的企業來說,務必開啟 Web 應用防火牆(WAF),以應對洪水般的 Web 漏洞攻擊,防止企業網站被黑,進而淪為黑客賺錢的工具。
下圖是阿裡雲 Web 應用防火牆攔截黑客掃描網站的記錄。
阿裡雲雲主機管理基礎元件中有一個防火牆功能——安全組。企業應充分發揮安全組的功能,提前規避安全漏洞和攔截挖礦行為。
以SMB 漏洞爆發為例,當時的黑客攻擊可以直接攻入未安裝最新更新檔的作業系統。如果您的企業運作了一些曆史遺留軟體,無法立即更新作業系統更新檔。這時通過阿裡雲 ECS 的安全組政策,屏蔽來自外網的SMB 通訊端口将是最快也最安全的舉措。
同樣,針對主流挖礦程式所使用的端口和連接配接的礦池 IP,企業也可以部署安全組政策,攔截此類通訊。下圖是典型的安全組通路控制規則配置界面,供參考。
相對于雲上伺服器,企業辦公内網也許增強安全防範,防止終端電腦被植入木馬病毒等工具。即使終端電腦沒有中毒,也要防止浏覽網頁時加載挖礦 JS 代碼,耗用浏覽器性能會嚴重影響終端辦公效率。
為提升辦公網絡安全,IT 與安全團隊應制定嚴格的作業系統更新檔更新管理政策;確定員工重點電腦防病毒軟體持續運作并更新到最新版本;部署上網行為管理産品,發現和攔截已知的挖礦伺服器域名或 IP。
不過呢,通過浏覽器貢獻個人 CPU 資源或許是未來網際網路上的一種重要捐助模式。某些大型的網站可以要求使用者貢獻 CPU 進而免于廣告騷擾。
最後,無論企業的雲端或辦公端安全做得多好,使用和維護企業資訊系統的都是人。而人偏偏是資訊安全體系中非常薄弱的一個環節。是以,企業安全團隊還必須持續不斷地向内部員工資訊安全教育訓練和宣傳,以確定安全政策能夠得到有效的執行,如:
使用安全可靠的密碼
防釣魚郵件,不亂點連結
不下載下傳和運作企業認可的軟體
不浏覽與工作無關的網站
持續運作防病毒軟體并更新到最新版
安全教育訓練宣傳與安全體系建設一樣,任重道遠。保障企業和員工的資訊資産安全,也是我們安全從業人員的使命!
很遺憾,區塊鍊和加密貨币本身就是一個非常廣泛的話題。與之安全相關的問題也無法在一篇文檔中面面俱到地向您展現。筆者更希望您通過這篇文章舉一發三,識别更多的潛在風險,保護好企業計算資源和個人的數字資産。
草草成文,不敢期待什麼,但凡能帶給您帶來哪怕一丁點的啟發,也不枉我宅在家中的這個周末。最後,感謝阿裡雲 MVP 超級營運管家花肉同學,沒有她刀架脖子般的催促,這篇文章可能還要再有好幾個星期才能面世:)
周末,溫暖的陽光灑進卧室,春天來了。區塊鍊的春天也不遠了吧,讓我們一起做好安全基礎工作,共同迎接它的到來!