相電壓360伏是怎麼回事
Bianews 5月30日訊息,今日,360集團創始人兼CEO周鴻禕接受了火星財經發起人王峰採訪,回答了有關EOS漏洞事件以及360區塊鏈佈局相關問題。
在採訪中,周鴻禕表示,至今也不覺得自己懂區塊鏈,比較懂的就是安全相關問題。同時,周鴻禕還透露360在區塊鏈安全領域的佈局以及相關區塊鏈解決方案。
為進一步瞭解此次EOS 漏洞事件背後的細節,Bianews 採訪了此次360 披露EOS漏洞過程中的親歷者——360伏爾甘( Vulcan )團隊負責人鄭文彬。
鄭文彬是360 Vulcan Team負責人,360雲安全體系、360XP盾甲主要設計開發者,他所領導的Vulcan在Pwn2own 駭客大賽上,連續多年斬獲了十幾項冠軍,在Pwn2own 2017上更是拿到了世界總冠軍。
右二即鄭文彬
在採訪中,鄭文彬透露了與BM溝通並報告漏洞的細節,並再強調了此漏洞的危害程度。同時,鄭文彬還回應了整個事件過程中存在的諸多質疑和爭論,有關360是否“做空”EOS,以及此次事件是否是策劃好的營銷事件。
同時,鄭文彬還提及了360未來如何在區塊鏈安全領域做好漏洞報告,並會加強與區塊鏈社群的交流溝通。
全程參與,會繼續與BM溝通
Bianews :這次EOS漏洞,包括跟BM的溝通,您都親自參與了嗎?具體有哪些工作?
鄭文彬:
和BM及EOS開發團隊溝通是我這邊團隊參與的,我也參與了和BM的溝通。其實主要工作還是比較流程化的,28號我們完成了漏洞的利用驗證後,找到了BM的聯絡方式,並詢問他怎麼樣報告這個漏洞比較好。
29號的凌晨他回覆我們,建議從郵件發而不是直接發到GITHUB上,這樣保證報告是私密的。同時也告訴我,在漏洞修復前不會發布。29號早上,我們和他確認漏洞修復,下午我們釋出了簡短的公告。
當然,後續還有很多進一步的溝通,會繼續跟他確認這個漏洞的危害程度。他也認同我們這邊的技術實力和提供的幫助,官方也將致謝和給予賞金獎勵。
下面我們可能會在進一步報告更多的安全問題,提供一些建議,並做更多溝通。當然,目前我們還沒有和他們有正式合作,主要是以第三方安全公司的身份,做免費義務的安全服務。
不是“做空”、也不算是營銷
Bianews :
這個漏洞的發掘研究是什麼時候開始“立項”的?到28號完成驗證用了多久?因為昨天釋出了一系列合作,是預先配合計劃好一起釋出的嗎?業界也質疑有營銷嫌疑。
鄭文
彬
:我分兩部分回答吧。360從2017年底2018年初開始就有安全團隊開始進行區塊鏈相關的安全漏洞研究,此前我們也披露了不少關於區塊鏈礦池、錢包、智慧合約等的安全漏洞。
就EOS這個漏洞本身來說,我們大概在4月左右開始有一些預研,包括從EOS複雜的系統中選取可能的攻擊面等,大約總共用了將近一個月的時間。
漏洞的發掘、公開,都沒有什麼“計劃”一說,因為是到28號完成了漏洞的驗證,所以我們就在28號第一時間報告,當然本身也是希望趕在EOS上線之前,儘快能保護使用者。至於釋出的一系列合作,都不是我們主動釋出的,也不存在配合計劃之類的事情。
關於營銷嫌疑,老周已經說得很好,如果真的是為了恐嚇營銷,製造大規模恐慌,完全可以在EOS上線之後再報告,效果會有天壤之別。簡單來說,我們只是做了一些微小的工作,然後如實說了出來而已。
有關我們的區塊鏈產品方案,我覺得不能算營銷,實際上說來慚愧,我們也沒有和我們區塊鏈安全解決方案的團隊有什麼“配合”,但是昨天這個公告發布後,沒想到引起這麼大的反應,很多業界的朋友,包括國企單位的領導,都來找我們問我們有沒有什麼解決辦法,只能把他們(解決方案團隊)推上前臺。我們會吸取這方面建議,以後儘早跟我們的解決方案團隊配合。
而且不論是我們的安全解決方案,還是區塊鏈漏洞的發現,其實目的都是一個,就是為區塊鏈社群安全提供幫助,建設更好更安全的環境。
Bianews :在360昨日的公告中,提及“EOS網路負責人表示,在修復這些問題之前,不會將EOS網路正式上線。”,但傳言並沒有官方並沒有“EOS網路負責人”這個職位,這又是為何?除了BM本人,還跟他們團隊溝通了?
鄭文
彬
:這地方有點混淆,我們說的EOS網路負責人,就是指BM。我們也貼出來了BM和我們的對話,他明確說到“we won‘t ship it without it fixed”。
Bianews:關於漏洞報告與修復的先後問題,BM今天稱在360報告bug前,已經修復bug。360報告/通知 BM有bug,是在BM修復前還是後?BM是不是在混淆概念,我理解傳統的漏洞提交步驟是“通知-修復-報告”。
鄭文
彬
:對,這點“十問”裡,老周也說了,BM有一點混淆概念,BM好像是說我們通知他前就修復了漏洞。但實際上是我們先通知,他們再修復,我們再公告,這個是行業內的標準流程,也是我們負責任的做法。當然是我們通知他有漏洞(包括告訴他細節),他才知道有這個漏洞,進而去修復(這點可以對比GITHUB上的修改日誌),然後修復完畢,我們再發公告。
關於這點,EOS官方也將對我們致謝和給出獎勵,這事就清楚了。
“史詩級”漏洞名副其實
Bianews:公告中,用“史詩級”形容這次EOS漏洞,是否合適?有些評級機構稱對這個漏洞“大驚小怪”了
。
鄭文
彬
:這個(“史詩級”)是很合適的。我不知道是哪個“評級機構”,但肯定不是“安全漏洞”的評級機構,要給漏洞定級,還得
是
專業的安全團隊、安全公司。
昨天,有一家國內知名的區塊鏈安全公司負責人在說到這個漏洞時,就提到“這個漏洞無論定多高的級別都合適”。 因為透過這個漏洞,無論身在何地的任意攻擊者,都可以直接控制EOS網路裡的每一個節點、每一臺主機伺服器,無論是裡面的交易,還是你的伺服器,都可以為其所控,這樣的漏洞,我們確實也是認為“無論定級多高都合適”的,而且,
這也是區塊鏈網路裡所能出現的,最高級別、最嚴重、最可怕的漏洞,不可能再有比這個漏洞更嚴重的漏洞了。
去年爆發了“永恆之藍”勒索病毒,這個病毒利用“永恆之藍”漏洞,一下子控制破壞了幾十萬個IP所在的電腦。但是如果用EOS網路類比網際網路,這個漏洞實際上就和“永恆之藍”一樣,能一瞬間把全球所有的電腦都控制了,這種漏洞夠不夠嚴重,是不是“大驚小怪”?
關於“史詩級”的這個提法本身,其實上這也不是我們的發明。這個詞翻譯自國外安全社群常用的“Epic”一詞,國外在形容重大的安全事件、安全漏洞時,經常會使用例如“Epic fail”, “Epic bug” 這樣的說法,我們只是借用這個說法。
當然,很多人覺得,“價值百億美元”的漏洞,可能更貼切,這就見仁見智了,不過“史詩級”,無論從慣例來說,還是從其實際的影響、危害程度來說,都不為過。
Bianews:有文章說到這個漏洞不是區塊鏈獨有的漏洞?
鄭文
彬
:這個漏洞不是EOS或者區塊鏈所獨有的漏洞,也不是EOS架構上的漏洞, 這種說法沒錯。但是評判一個漏洞危害與否、影響程度大不大,其實並不是評判它是不是獨有的,或者是不是架構級的。
架構級聽上去很高大上,
但是
實際上評判漏洞的影響大不大,就一個原則,那就是這個漏洞他能做什麼,有什麼危害,
這就是我們所說的”Vulnerability Impact“ ,這個漏洞影響多大,那麼其危害性、級別就應該定多高,這和是不是獨有漏洞、是不是構架級漏洞沒關係。不是架構級漏洞,只能說不會透過這個漏洞來否定整個EOS網路架構模式,和漏洞有多嚴重沒關係。
Bianews:
BM表示大部分漏洞是來源於第三方程式碼庫而非EOS核心程式碼,您怎麼看?且該漏洞並不能改寫可執行記憶體,且不能獲得root許可權,除非部署節點時就已經是以root使用者身份來執行。這個怎麼看?
鄭文
彬
:
這是對BM在EOS開發者群裡的惡意截圖和斷章取義。
首先,程式碼來自哪裡並不重要,其實很多重大的安全問題,都是因為使用第三方程式碼庫導致的,像安全業界熟知的“心臟出血”等漏洞,都是因第三方程式碼庫導致的。哪裡的程式碼出的問題根本無所謂,重要的是這個程式碼跑在你的系統裡。有本事自己寫沒問題的程式碼,出了問題不能甩鍋第三方程式碼。
更何況,EOS漏洞恰恰是EOS在使用第三方程式碼庫的時候出的問題。
第三方程式碼庫,雖然是第三方寫的,被EOS複製貼上了進來,但其實也是在EOS核心元件中,才會有這麼嚴重的問題。
關於可執行記憶體和root許可權,則是他們對於漏洞的誤解。
第一,這個漏洞可以獲得遠端的程式碼執行許可權,這就是最高許可權和漏洞做到的最高級別了,不需要什麼改寫可執行記憶體;
第二,是否能獲取root許可權,取決與節點使用什麼許可權來執行EOSOS,當然,如果節點安全配置合理,那麼可能是使用者許可權而不是ROOT許可權,但這絲毫不影響這個漏洞的危害性,也即是說,即使獲取不到ROOT許可權,這個漏洞一樣可以完全控制EOS網路的節點,對EOS網路做任何想做的事,這是因為透過漏洞,攻擊者可以獲取程式碼執行許可權,就相當於可以和EOS程式碼一樣,對EOS網路、交易、應用、區塊做任何想做的事。
Bianews:是不是可以簡單理解為傳統網際網路漏洞執行需要root許可權,區塊鏈因為很多節點構成且同步,所以只要有節點許可權就行了?
鄭文
彬
:傳統網際網路也不一定需要root許可權。我們在演示測試的機器上用了root許可權執行,BM一開始看到了這點想借此反駁,但是其實找錯了重點。
將遵循安全社群準則和操守
Bianews:有人稱,360在公告中誇大了漏洞的危險,有做空EOS 的嫌疑,您怎麼看?昨天360團隊稱會有職業操守,具體實踐中該如何保證?
鄭文
彬
:關於做空,我前面已經提及。絕不可能是做空,要做空不留到上線再做空?我覺得這麼想的無疑是蠢。
我們遵循負責任的漏洞報告流程,報告,修復,通報,這就是職業操守。就像很多人說的,完全可以等到上線了報,這無論是做空還是營銷,都極為合適,而且合法。
但我們是安全公司,遵循安全社群的準則和操守,也是為了促進社群和區塊鏈的安全,才去按流程做,甚至很多時候都是默默貢獻不對外,比如我們之前發現了那麼多錢包、礦池、智慧合約的漏洞,也沒有大張旗鼓對外宣傳,這次的漏洞確實影響嚴重,所以才釋出公告(使用的措辭和表達,也是嚴謹、合理、理性和精準的),是希望引起區塊鏈、數字貨幣領域對漏洞,尤其是新型高危漏洞的關注,最終是為了增進安全性、保護使用者。
會與區塊鏈社群加強溝通,更好披露漏洞
Bianews:有說法稱360想與EOS合作,但被拒絕,是否有此事? 為什麼選擇參與EOS節點競選的老貓、歐鏈作為合作伙伴?
鄭文彬:
這個問題老週迴答過,我們和EOS沒有直接的合作,也沒有所謂被拒絕的事,純屬瞎編,我們現在漏洞報告、給他們提供安全建議上,都有很多溝通。不存在什麼被拒絕之類的事。
Bianews:老周說未來會基於區塊鏈安全生態推出三個系統,區塊鏈生態安全解決方案,這塊是安全團隊負責嗎?還是一個區塊鏈的單獨部門?除了圍繞區塊鏈安全,360是否會親自做區塊鏈專案?
鄭文
彬
:這塊我們有專門的安全團隊負責,可以參考bcsec。360。cn。
Bianews:最後,跟網際網路不同,區塊鏈漏洞跟幣情相關,影響到諸多使用者,今後在披露漏洞時,會不會有更好的機制?簡單概括下區塊鏈安全跟pc、網際網路、物聯網安全的不同,需要注意的地方,謝謝。
鄭文
彬
:漏洞披露這塊,無論是網際網路還是區塊鏈,都會影響到很多使用者,方方面面,並沒有什麼不同,尤其現在萬物互聯,漏洞對普通人、對民生國情有了更深入的影響。比如之前“永恆之藍”病毒,讓很多醫院加油站停業,職能單位癱瘓,也不一定就比虛擬貨幣的一點漲幅影響來得小。
現在在安全業界,我們採用負責任的披露、合作的漏洞披露模式等,都是有現成的流程和準則的,我們會和區塊鏈社群有更多的溝通和理解,更好地披露漏洞。
區塊鏈和PC、網際網路、物聯網這個話題比較大,簡單來說,它們(包括人工智慧)也都是程式碼組成(包括韌體、硬體的程式碼),只要是人編寫的程式碼就會有安全問題。需要做的就是加大對安全問題的正視、重視、關注和投入,才能避免更多問題。