关闭
当前位置:首页 - 新闻 - 正文

Vitalik Buterin的七个致命加密罪:帐户安全

xiaoyao 2018-08-16 10494°c

 

Vitalik Buterin’s Seven Deadly Crypto Sins: Account Security

     在下面的系列中,BTCManager将详细介绍以太坊 Vitalik Buterin 的共同创作者提出的七个问题。这七个问题是这个蓬勃发展的生态系统的一些最相关的特征。从安全性,如本周的分期付款,到治理和介于两者之间的一切。该系列的灵感来自Buterin和一个名为“ Mars Finance Global Family ” 的微信群体之间的讨论。

首先,看一下与Bitmain集中化和51%攻击威胁相关的第一部分。

安全或不安全

      1960年,一位名叫FernandoCorbató的计算机科学家在麻省理工学院的计算机实验室工作,并为计算机发明了第一个密码提示。两年后,实验室的另一位研究人员Allan Scherr想要更多的计算机时间并窃取所有密码。然后他描述了他是如何偷走他们的:“有一种方法可以通过提交穿孔卡来请求脱机打印文件。在一个星期五晚上,我提交了打印密码文件的请求,并且在星期六早上很早就去了打印输出的文件柜并进行了列表。“

根据公民社会组织的报告,到2021年,网络安全支出估计将超过1万亿美元,损失也可能超过6万亿美元。亿万富翁沃伦巴菲特说,网络攻击是人类面临的首要问题,并使其与核武器相提并论。

Cybersecurity Venture还估计到2021年将有350万个未填充的网络安全工作。Herjavec集团的Robert Herjavec进一步强调了技能的严重短缺,他告诉一群新生:“我强烈建议您继续从事信息技术或计算机科学的教育。有一个零利率的网络安全失业率在这一领域的机会是无限的。”

由于所有这些重点和安全支出,Vitalik Buterin问为什么还没有很好的帐户安全解决方案?

破解地球

       也许要了解如何建立一个更好的锁定,我们首先应该看看我们正在阻止什么或者是谁。好莱坞倾向于通过一些共同的角色原型来普及和刻画黑客。从马修布罗德里克在战争游戏中扮演的年轻高中黑客到分类文件泄密者爱德华斯诺登的主要克星化身。

      正如好莱坞所描绘的那样,这些黑客倾向于通过利用系统中以前未发现的缺陷而获得声名狼借,就像一个普通的小偷一样,用一袋数字商品来挣脱。现实远非好莱坞神话。正如斯诺登所说:"我们在过去十年中看到的是,我们已经看到了国家安全局(NSA)传统工作的背离。他们已成为国家黑客机构,国家监控机构。他们已经忘记了这样一个事实:他们所做的一切都应该让我们在国家和社会中更加安全。"

       一些黑客利用这些漏洞谋生。一个新的漏洞可以在地下市场出售,使其创作者获得皇室收入。一家名为RIG的俄罗斯黑客团伙经营的店面声称每位经理每周最多赚取90,000美元。单个恶意软件或勒索软件吊具每月可赚取高达90,000美元。

      其他黑客是国家赞助的。该WannaCry介绍了众多商家和消费者对基于比特币,勒索攻击勒索计划传闻已被朝鲜创建。或许,比特币时间旅行者对朝鲜积聚了大量数字加密货币是对的。

特朗普的国土安全顾问托马斯·博斯特(Thomas P. Bossert )在“华尔街日报”的一篇专栏中写道:“[WannaCry]攻击很普遍,耗资数十亿美元,朝鲜直接负责。我们不轻易提出这一指控。它基于证据。我们的研究结果也并非孤军奋战。“

      黑客的恶意动机似乎很清楚。寻求恶名或金钱来换取他们的利益。但他们如何才能做到这一点呢?

直到它不存在,它都是Ones和Zeros

      考虑数据的另一种方法是查看当下如何创建和管理数据。从云端到桌面,消费者倾向于创建数据并将其存储在最终位于某个硬盘驱动器上的文档中。由于系统的本质,该系统的每个级别也易受到攻击。

      从计算机到平板电脑再到网络设备的任何计算设备都是为了处理短暂的数据而构建的。该系统的各个存储组件(例如RAM,硬盘驱动器或记忆棒)构造成可修改或更新。所有这些修改内容的能力使得即使是不可攻击的设备也是可以攻击的。

      可以在任何地方找到可以泄露的设备。在今年的计算机黑客活动Defcon上,Ricky Lawshae攻击了一家名为Crestron的科技公司制造的控制系统。这些控制设备遍布酒店,办公楼和大学。他们管理企业中的温度,照明,门锁以及其他环境和建筑控制系统。在Defcon的漏洞介绍中,Lawshae讨论了:“我将展示可记录和未记录的功能,这些功能可用于实现完整的系统折衷,并表明需要在每次部署中优先保护这些系统,而不是事后的想法。简而言之,喧闹将随之而来。“

       在过去的50年中,人们已经尝试过制作不可改变和可验证的数字文件。该想法是通过使用一系列密钥加密文档,然后通过可验证解密相同的文本以读取其内容。在运输过程中,如果不破坏该文件,就无法对其进行修改。考虑到安全加密和解密文档背后的数学量,这导致计算机速度变慢,反而导致商业社区的采用速度变慢。

      这些数字锁的使用速度很慢,因此每个系统都有许多未锁的门。

改变是自然法则

     当计算机组件相互通信时,它们依赖于行业标准。例如,消费者的蜂窝电话用于与互联网通信的无线协议依赖于IEEE 802.11标准。苹果,微软等公司每年要花费数万美元加入标准制定机构,并研究这些设备如何相互通信。

IEEE工作组可以提供标准,例如WPA2,以允许消费者安全地输入Wifi密码。工作组通常会关注安全问题的速度和易用性。约翰斯·霍普金斯大学的密码学家马修·格林进一步解释道:“这种复杂的加密是臭虫的肥沃区域。问题不在于WPA2中存在大量错误。这是对大多数低成本消费设备进行修补的难度。因此,所有这一切都是一个糟糕的因素,让很多人多年来不知所措。“

当发生漏洞时,它可以存在多年,直到IEEE标准工作组可以规定新的WPA3协议以确保安全性。这个官僚机构引发了以下问题:是否有可能设计一个默认安全的操作系统?

       一个很好的起点是不可变的分类账。像EOS这样的支持区块链的操作系统可能会带来保护我们系统所需的变更。通过构建从头开始保证的东西,可以在每个级别上获得可靠的安全性。EOS开发团队在其白皮书中讨论了构建支持区块链的操作系统的过程:"这是通过创建一个类似操作系统的构造来实现的,在该构造上可以构建应用程序。技术是一种区块链架构,可以每秒扩展到数百万个事务,消除了用户费用,并且可以快速轻松地部署分散的应用程序。"不过这个“操作系统”仍然存在缺陷。道德黑客Guido Vranken花了一周的时间在EOS平台上发现错误,并最终变成了一分钱。

“谢谢。还有一对等待奖励。我认为最终的结果是12万美元,但我输掉了数。花了我一个星期的时间。”

——Guido Vranken(@GuidoVranken),2018年6月4日

确保我们的未来

      区块链背后的技术为增强我们的安全性和保护我们的工作提供了最具吸引力的机会。随着这些技术聚集了更多的开发人员和用户,未来可能会向美好的方向发展。


注:本文编译自 Jefferson Nunn的15日发文。

 

xiaoyao 475文章 0评论 主页

相关文章

  用户登录