0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

区块链的安全应该如何保证?连WIFI账号会不会被盗

Wildesbeast 来源:今日头条 作者:新一代信息技术研 2020-01-25 11:57 次阅读

在移动互联网时代,我们在使用与区块链、数字资产相关的服务时,常常使用移动客户端。比如通过一个交易所App,或者钱包App进行数字资产的交易、转账,当然,期间必然要经过网络,而正是这个过程中存在这不可忽视的安全问题。

连接WIFI竟然会“丢币”?

那么,当你要做联网操作的时候,你的第一个动作是什么?或许不少人的选择是找一个WIFI连上,除了家里和公司,就是在机场、咖啡馆、餐馆等公共场合,相关WIFI接入已经非常方便,你需要做的只是通过手机做个验证码的确认。

而对于一家公司来说,WIFI更是标配,但是,如果你是一家提供数字资产服务的公司,你可曾留意公司WIFI布置上的门道?如果一个客户前来拜访等待的时候,向前台询问连接WIFI,是不是也会配合帮助客户连上?

事实上,在上述场景中,都可能将用户、公司的数字资产安全置于一种危险的境地,特别基于当前很多区块链行业App本身的安全缺陷更放大了这种危险。北京链安的安全工程师们在日常App安全渗透测试和安全审计过程中发现经常会有交易所和钱包App在网络传输与服务器交互时存在安全隐患,包括使用不安全的 HTTP 协议传输数据和使用 HTTPS 协议时客户端未校验证书的正确性导致黑客可通过中间人攻击监听客户端 App 的传输数据并对其进行解密,从而造成敏感信息泄露的隐患,如果这些信息包括密码、密钥,后果将非常严重。

这是怎么回事呢?为何连接一下WIFI还可能“丢币”,接下来,就为大家介绍这里面的门道。

什么是“中间人攻击”?

造成这种威胁的攻击手段即中间人攻击,中间人攻击(Man-in-the-middle Attack 缩写:MITM)在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容,也就是说你以为正通过正常的网络与诸如交易所App的服务器进行通讯,结果其实中间已经有人放了个“渔网”,中途会拦截你传输的报文,他可能只是看看里面的内容让其正常通讯,甚至可能直接干涉这个过程。

为了成为中间人,攻击者不但要能同时和服务器与客户端通信,还要介入到服务器和客户端的通信链路之中,将服务器的数据转发给客户端,将客户端的数据转发给服务器。实现这样目的的手段有很多种,比较常见的有 DNS 劫持和局域网 ARP 欺骗。

上面我们提及的WIFI连接场景就可能被黑客通过局域网 ARP 欺骗造成中间人攻击。

所谓APR欺骗即攻击者首先连上WIFI,将自己置于与受害者设备同样的局域网络中,然后通过一些黑客工具使得其它设备将攻击者当做网关从而前来连接,这样受害者设备的任何网络通讯流量都将经过攻击者,被其截获。

以上图片就是我们的测试,一款交易所App遭到中间人攻击,其报文信息被攻击者截获,其中甚至包括用户的密码信息。

“中间人攻击”的危害有哪些?

在以上过程中,如果这些App本身做了一定的安全防护,比如数据的高强度加密,那么还能提高攻击者进一步作恶的成本。但是,正如我们此前介绍的,区块链领域的App在这方面的安全工作做的还很不够,弱加密,甚至就不加密明文传输的情况时有发生,而在涉及敏感信息的操作上,依然有一些区块链App没有采用安全度更高的HTTPS协议。

那么,作为一家涉及数字货币服务的公司,中间人攻击又可能造成怎样的危害呢?如上所述,如果你的局域网没有进行相应的安全配置,没有将办公网络与访客网络进行隔离,那么黑客就可能通过你的WIFI入侵,进行中间人攻击,获取你内网环境下涉及业务的一系列敏感信息,进而不断提升攻击者在内网的权限,甚至可能直接接触你存储的数字资产并将其窃取。

是的,以上过程其实就是所谓的APT攻击,APT攻击的一大特点就是目标针对性很强,攻击者往往会做一些前期准备工作,拟定了攻击目标,并通过技术,甚至社会工程学手段侵入内部系统。而侵入内部系统的手段也不一定需要“内鬼”里应外合,向客服发一封误导其点开附件运行木马代码的邮件就是常用套路,而通过办公环境网络漏洞进入被攻击目标内网也是一个重要的切入点。

总结一下,中间人攻击就是一种攻击者欺骗网络使用者将其当作网络连接通道,进而截获受害者通讯信息的操作,而一旦获得了这些信息,攻击者可以进一步解析和破解,进而可能获得用户的密码、密钥,甚至干涉后续过程,试想一下如果攻击者将一个客户端向服务器发起的比特币转账申请截获,进而修改接收地址,将会给受害者带来多么直接的经济损失?

“中间人攻击”怎么防?

那么,对于中间人攻击,该如何防范呢?在这里,对三类角色提出了防范建议。

1. 区块链App的用户:执行一些敏感操作的时候,请谨慎连接公共WIFI网络。

2. 区块链App的开发者:请在客户端应使用HTTPS协议传输网络数据,并在客户端中校验SSL证书的正确性,防止信任伪造证书。

3. 区块链业务涉及的公司机构:做好内网安全防御,为访客设立 Guest 账号和权限,或进行访客网络隔离来避免APT攻击。对于办公环境的WIFI设置强类型密码,同时禁用 WIFI WPS 功能。

以上例子中,我们主要提及的是数字资产这样的经济价值更容易直接衡量的场景,事实上,随着区块链技术应用到更多行业,更多敏感数据上链并在一些业务中与App通讯,而在诸如企业的私有链、联盟链场景中,更是会大量涉及基于内网环境的敏感信息传输,在这样的情况下,中间人攻击将是破坏区块链价值的重大隐患,需要我们在进行相关系统的开发和部署中重点防范。

责任编辑 LK

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • WIFI
    +关注

    关注

    81

    文章

    5296

    浏览量

    203576
  • 区块链
    +关注

    关注

    111

    文章

    15562

    浏览量

    105923
  • 比特币
    +关注

    关注

    57

    文章

    7005

    浏览量

    140507
收藏 人收藏

    评论

    相关推荐

    什么是区块 区块有什么用

    与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。 简单地说,区块
    发表于 03-26 11:31

    SHA在区块中的应用

    出现两条一样的数据,而SHA256极低的碰撞概率正好能够保证这一点。每个区块的Hash之都是唯一的正好可以用来标识该区块。其次,区块
    发表于 03-30 22:20

    区块不是泡沫 马云或将创造新的神话

    安全问题时,阿里巴巴就做研究,我们有最多区块技术的专利。我们有几万亿交易额,没有安全保证是要死人的。
    发表于 05-18 18:10

    区块行业发展,金融领域应用方向?

    的分布式账本。广义来讲,区块技术是利用块链式数据结构来验证存储数据、利用密码学的方式保证数据传输和访问的安全区块
    发表于 08-06 17:34

    区块将改革供应

    保证。1) 用户身份数据上:用户将自己的数据加密上传到区块上,通过索引进行查看2) 唯一数据私钥:用户将自己的数据加密上传到区块
    发表于 08-08 11:11

    看好区块的原因

    重要的特质(分布式账本、智能合约、非中心化)是改变这些最大的因素,保护我们的信息不会被篡改,信息与价值减缓的时候同步,大大提高了人们的安全感,确保价值无损。区块技术将会使我们传递价值
    发表于 08-31 10:03

    区块技术开发公司谈区块赚钱满足人哪些需求

    在日常生活中需要什么?  第一,利益保护需求  我们知道的区块是赚钱的,它所使用的整个系统是非常安全的。因为每个人都会建立自己的制度来最大化自己的利益。当我们在区块
    发表于 11-19 17:14

    区块软件开发公司谈未来区块的主要应用方向

    `  广义地说,区块应用技术采用区块数据结构来验证存储的数据,采用分布式节点一致性算法来生成和更新数据,独特的区块
    发表于 11-22 16:54

    区块对我们的生活有什么影响

    。交易是不受控制的,对公众的关注是开放的,保证了从租赁协议到国家选举的一切都是公平和公正的。医疗保健区块有可能改善医疗服务的获取和效率。通过允许医疗保健提供者之间安全地共享病人记录,
    发表于 07-10 04:20

    物联网安全技术提高区块应用数据的可信度

    支持企业级区块(HyperLedger Fabric和Enterprise Ethereum)账号和密钥在IoT设备本地安全模块(Link TEE等)中的全生命周期管理以及
    发表于 11-07 16:34

    区块分成两部分, 一个是区块,一个是

    按照时间顺序串联起来的事件,它使用协议规定的密码机制进行了认证,保证不会被篡改和伪造。1.区块结构区块是使用密码学方法产生的数据块,数据以
    发表于 03-20 08:55

    区块——创新颠覆银行业

    ,所有交易记录、历史数据等都分布式存储并透明可查,以密码加密协议的方式保障其不会被非法篡改,保证了一切数据的遗失和改动。第三,区块分布式记账方法可以建立强力的信任关系,为中小企业提供
    发表于 03-20 14:06

    请问区块是如何保证机器人不说脏话的?

    请问区块是如何保证机器人不说脏话的?
    发表于 06-15 08:18

    什么是区块区块都有哪些应用?

    什么是区块区块未来的应用前景怎样?
    发表于 06-28 09:20

    基于区块的物联网

    ,未来如何打造差异化竞争之路?利用物联网终端设备安全可信执行环境,可以将物联网设备可信上,从而解决物联网终端身份确认与数据确权的问题,保证上数据与应用场景深度绑定。
    发表于 07-22 06:25