在接下来的系列文章中,BTCManager将详细介绍由以太坊联合创始人V神所提出的七个问题。这七个问题是这个蓬勃发展的生态系统的最相关特征。这些问题涉及到了从挖矿(如本周的专栏文章所述)到治理的方方面面。该系列的灵感来自于V神和一个名为“Mars Finance Global Family”的微信群之间展开的讨论。
(本篇文章为该系列的第三部)
安全或不安全
1960年,一位名叫Fernando Corbato的计算机科学家在麻省理工学院的计算机实验室工作并发明了计算机的第一个密码提示符。两年后,实验室的另一位研究员Allan Scherr想要获得更多的电脑使用时间而窃取了所有密码。然后,他描述了他是如何窃取到密码的:
有一种方法可以通过提交穿孔卡来要求电脑离线打印文件。在一个周五的晚上,我提交了一份打印密码文件的申请,周六一大早我就在文件柜把打印出来的文件拿了出来,上面就有想要的密码。
根据CSO的一份报告,网络安全方面的支出预计到2021年将超过1万亿美元,其损失也可能会超过6万亿美元。亿万富翁Warren Buffett也曾表示网络攻击是人类面临的头号问题,并将网络攻击与核武器相提并论。
Cybersecurity Venture还估计到2021年将有350万个网络安全相关的职位空缺。Herjavec集团的Robert Herjavec进一步强调了网络安全技能的极度匮乏,他对一大批新生说:
我强烈建议你们继续学习信息技术或计算机科学。网络安全相关职位的失业率为零,这个领域的机会是无限的。
在安全领域受到如此高度重视以及耗费大量资金的情况下,Vitalik Buterin问为什么还没有好的解决方案来解决账户的安全问题呢?
黑客的全面攻击
也许为了了解如何建立一个更好的安全机制,我们应该先看看我们要避开什么、或者要避开谁。好莱坞经常用一些常见的角色原型来演绎的黑客,但他们手中的黑客都是非常刻板的形象。从Matthew Broderick在《战争游戏(Wargames)》中饰演的一名年轻的高中生黑客,再机密文件的泄密者Edward Snowden的主要劲敌。
正如好莱坞所描绘的那样,这些黑客往往通过利用系统中先前未被发现的漏洞而声名狼藉,他们就像一个普通的小偷那样偷走了大量的数字产品。然而现实可要比好莱坞讲的故事残酷的多。正如Snowden所说的那样:
过去十年美国国家安全局(NSA)的工作方式和我们看到的有所不同。他们已经变成了国家的黑客机构,国家的监视机构。他们忽略了一个事实,那就是他们所做的一切都是为了让我们作为一个国家和社会更加安全。
一些黑客利用这些漏洞谋生。一些新的漏洞是可以在地下市场上出售的,这为这些黑客们带来大笔收入。一家名为RIG的俄罗斯黑客团伙经营的门店声称,每名经理每周可赚9万美元。一个恶意软件或勒索软件的散布者每个月可以赚到高达9万美元。
而其他黑客则是由国家资助的。有传言称朝鲜制造了一场以比特币为基础的勒索软件攻击,许多企业和消费者由此认识到了这一意图。或许一位比特币时间旅行者关于朝鲜积累大量数字加密货币的说法是正确的。
特朗普的国土安全顾问Thomas P. Bossert在给《华尔街日报》的一篇专栏文章中写道:
WannaCry的攻击范围很广,它消耗了数十亿美元,朝鲜对此负有直接责任。我们是不会轻率地提出这项指控的。这样说是有证据的,而且不仅仅是我们手里有证据。
黑客的恶意动机似乎是非常明显的。他们通过发起攻击来获得名声或金钱。但他们首先是如何做到进行攻击的呢?
从0和1组成的数字再到一无所有
另一种考虑数据的方式应该是看它是如何创建和管理的。从云计算到台式机,消费者倾向于创建数据并将其存储在硬盘某处的文档中。由于系统本身的性质,这个系统的每一层也会受到攻击。
从电脑到平板电脑再到网络设备的任何计算设备都是用来处理暂时的数据的。这些系统的各个存储组件(如RAM、硬盘驱动器或记忆棒)都被构造成可修改的或可更新的。所有这些允许修改数据的特性使得哪怕是一个不可被破解的设备也被可以破解。
可以被破解的设备是随处可见的。在今年的计算机黑客大会(Defcon)上,Ricky Lawshae入侵了一家名为Crestron的科技公司所制造的控制系统。这些控制装置遍布酒店、办公楼和大学。这些系统在企业中用来管理温度、照明、门锁和其他环境和建筑控制系统。在Defcon的报告中,Lawshae讨论了这个漏洞:
我将演示已经记录过得和未被记录的特性,这些特性可以用于实现完整的系统折衷,并告诉我们需要在每次部署中优先保护这些系统,而不是事后再考虑。简而言之,hijinx会随之而来。
在过去的50年的事件里,已经有很多人尝试制作不可改变和不可验证的数字文档了。他们的想法是通过使用一系列密钥对文档进行加密,这样就有可能对相同的文本进行可验证解密的方式来读取其内容。在传输过程中,如果不破坏该文件的话,那么就无法对其进行修改。考虑到安全加密和解密文档背后的数学计算量,这样做会导致计算机的处理速度变慢,反过来,商业社区的采用速度也就相应的变慢了。
这些数字锁正在被缓慢的采用,因此迄今为止在每个系统中仍然存在很多的安全漏洞。
变化是自然法则
计算机组件之间进行的相互通信是依赖于行业标准的。例如,消费者的手机用于与互联网通信的无线协议依赖于IEEE 802.11标准。苹果、微软等公司每年要支付数万美元加入标准制定机构,并研究这些设备如何进行相互通信。
IEEE工作组可以提供标准,比如WPA2,它允许用户安全地输入Wifi密码。但该工作组通常关注的是速度和易用性,而不是安全问题。约翰霍普金斯大学的密码学家Matthew Green进一步解释道:
这种复杂的加密技术是问题滋生的温床。问题不在于WPA2中有太多的漏洞。问题是要给大多数低成本的消费者设备安装补丁将非常困难。因此,所有这一切都是非常糟糕的因素,这让很多人在多年来不知所措。
一旦出现漏洞,这一漏洞就可能会存在多年,直到IEEE标准工作组能够规定新的WPA3安全协议。这种官僚主义回避了以下问题:有没有可能去设计默认安全的操作系统呢?
一个好的开端应该是一个不可变的分类账簿。像EOS这样支持区块链的操作系统可能会带来保护系统所需的改变。通过从头开始构建一些有安全保障的东西,就有可能在每个级别建立起可靠的安全性。
EOS开发团队在白皮书中讨论了构建支持区块链的操作系统的过程。
这是通过创建一个类似操作系统的结构来实现的,在此基础上人们可以构建应用程序。它最终得到的技术是一个可以扩展到每秒数百万笔交易的区块链架构,它消除了用户的费用并允许快速、轻松地部署去中心化的应用程序。
即便如此,这个“操作系统”也并非没有缺陷。一个有道德的黑客Guido Vranken花了一周的时间在EOS平台上发现漏洞并最终赚了一大笔钱。
谢谢你!我还有很多奖励要拿。我想最终我获得报酬是12万美元,但我记不清了,我花了大约一个星期。——GuidoVranken2018年6月4日
为我们的未来保驾护航
区块链背后的技术提供了加强我们安全以及保护我们工作的最令人信服的机会。随着这些技术聚集了更多的开发人员和用户,也许会出现一些真正解决痛点的东西。