“洗白”黑客



  • 原创: 头顶花帽 哔哔News
    链接:https://mp.weixin.qq.com/s/dH4EuZesOhQ_nBH92ZKDZg

    “黑客”(Hack)一词最早出现在麻省理工学院的计算机文化中,它被创造出来的时候完全是一个正面的称呼。

    人们认为,要成为一个Hack,必须得有出色的技术、革新的精神以及独树一帜的风格。《黑客》一书的作者史蒂文·利维甚至把他们称为计算机革命的英雄。

    可是随着计算机的普及,计算机病毒泛滥,黑客开始和计算机犯罪联系在一起。阿里巴巴安全总监陈树华曾说,“今天的黑客文化已经没落了。”

    如果今天有人问,有什么方式可以比抢银行更容易致富,网络黑客一定会告诉你,比特币黑客是个不错的选择,来吧!加入我们的阵营!

    01曾与“亿万富翁”擦肩而过

    2013 年 6 月,一名黑客无意间制作了一个比特币钓鱼网站,后来该网站给他发回了几十个交易所的登陆账号信息。出于好奇,这名黑客登陆了这些账号,他发现自己可以毫无阻碍地提走这家交易所的所有比特币。

    于是他提走了比特币,并在 localbitcoins.com 上出售,那一天他赚了8000 美元,这相当于普通程序员四个月的工资,那感觉就是“趟赚”,令他终身难忘,因此他突然爱上了黑客的身份,尤其是比特币黑客。

    事实上,区块链第一黑客的“偷盗”经历更为神奇。2010年8月15日,一名黑客在好奇心的驱动下,利用Bitcoin核心软件中的漏洞,在区块高度74,638创建了1844亿比特币。

    那年有人用一万个比特币买了两个披萨,面对毫无价值的“矿石”,这名黑客并未进行任何后续的攻击。这是比特币历史上的一次“虚惊一场”,当然这名黑客也曾与亿万财富擦肩而过,堪称史上“最倒霉”的黑客。

    这是区块链世界上最原始的黑客,也是最单纯可爱的黑客白兔。可是,哪里有财富,哪里就有盯着财富的劫匪。

    随着比特币价格的暴增,区块链黑客也开始组织化、集团化的行动,黑客不仅有领导,有纪律,甚至也有明确的价值观,穷尽一切手段获利便是当代黑客的真理。

    朝鲜黑客组织Lazarus是世界上最著名的已被证实隶属于国家政府的黑客组织,它的成立主要是为金正恩窃取其迫切需要的国外货币,这也是朝鲜最重要的外汇创收渠道之一。如今,朝鲜黑客组织Lazarus是世界上最赚钱的加密货币黑客集团。

    0_1541908425832_c27fd510-bafc-4e36-b1b2-52a355a1e110-image.png
    网络安全公司Group-IB发布的《2018年高科技网络犯罪趋势报告》显示,从2017年至2018年9月,Lazarus通过攻击交易所,已经拿走5.71亿美元。

    据thenextweb报道,黑客推出商业联盟计划以激励参与者传播病毒。近日,研究人员发现了一种新型的数字货币勒索软件计划。与通常一次性销售的常规软件相反,该计划通过以降低赎金的方式来激励参与者传播病毒。

    从2011—2018年,区块链总共发生了86起安全事故,造成的损失高达35.5 亿美元。其中,传统攻击占66%,智能合约攻击占22%,共识协议攻击占12%。

    根据腾讯安全提供的数据显示,仅今年上半年,黑客对加密数字货币的攻击就已经直接造成 20 亿美元的损失。

    02黑客的利器

    当世界被分为古典互联网和区块链时,黑客也被区分为传统黑客和新时代黑客。有人认为,新时代黑客不仅精通传统互联网技术,还吃透了区块链技术,很多传统黑客已经跟不上时代了。

    但是也有人认为,区块链技术只是传统技术的综合应用,传统黑客和新时代黑客只是打法不同。传统黑客的手段是先渗透然后打到冷钱包转币,新时代黑客致力于寻找智能合约的漏洞。

    事实上,暗网里的黑客也有等级之分,地位高低通常与攻击后所造成损失价值的多少挂钩,因此很多黑客不屑于小资金。

    在“名”与“利”的鼓吹下,即使区块链技术不断进步,他们也能迅速完成自我进化,攻击的手法不仅狠而且猛。

    1.网络钓鱼和诈骗。2014年以前,由于交易所和个人投资者对安全认识不足,导致这种攻击十分普遍。黑客利用钓鱼网站、社交账号及交易所漏洞通过窃取密码、私钥,达到洗劫资产的目的。

    2.DDoS攻击。2014年以后,随着区块链的安全意识加强,黑客的攻击难度也开始加大,黑客开始使用DDoS攻击的掩护来实施犯罪。自此之后,黑客史上使用最多、范围最广的DDoS攻击也正式登陆比特币的历史舞台。

    所谓DDoS攻击,利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

    虽然DDoS并不会造成交易所的财产损失,只会让其陷入瘫痪,但这个瘫痪的状态却足够为黑客的其他活动创造完美条件。很多交易所曾遭此毒手,导致不得不暂时关停。其中比特币历史上最著名的Mt.Got失窃案,就是与DDoS攻击有关。

    3.勒索软件。根据腾讯安全发布的报告显示,勒索病毒是2018年上半年危害互联网最严重的病毒之一。勒索病毒加密受害者电脑系统,并要求受害者向某些指定的比特币钱包转帐,其危害范围日益扩大,影响到事关国计民生的各个行业。
    0_1541908474548_db24c4ae-5d4f-4f6e-b323-fbf0fba8aefa-image.png

    在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。

    上半年某公司被勒索病毒入侵后,被勒索9.5个比特币。当前很多勒索者会趁火打劫,提高勒索赎金。

    但是有的企业因为没有在被攻击的网站上留下联系方式,导致被勒索了也不能要回数据。

    4.网络挖矿攻击,也叫做加密劫持。黑客通过用户的电脑、浏览器、物联网(IoT)设备、移动设备和网络基础设施,窃取这些机器的处理能力来挖掘加密货币。

    黑客实施这种攻击有两种方式:一是通过编辑好的可执行文档来攻击,也叫“二进制挖矿”;另外一种是通过浏览器攻击,也叫“浏览器挖矿”。

    0_1541908497549_ba65a8d8-ebe1-4df7-ba98-37799a608c1e-image.png

    在McAfee的半年报告中,今年1月份就发现了290万起加密挟持的记录。网络挖矿攻击是近几年才出现的,2018年通过非法网络挖矿攻击的次数比去年增加了459%,呈现井喷的状态。

    这种加密劫持并不复杂,黑客利用简单的垃圾邮件或者钓鱼网站就可以攻击,而且很多工具都是现成的。这些攻击的影响很大,它可以在段时间内覆盖大量的受害者,然后从每个人那里获取少量的加密货币,往往积少成多后利益也非常客观。

    当前很多黑客开始转移战略,他们已经不怎么用勒索软件和DDoS攻击了,都开始用加密劫持。例如在2016年利用DDoS攻击物联网设备的组织Mirai僵尸网络,已经开始着手物联网挖矿的僵尸网络。

    即使是国家级的政府网站也未能幸免,美国、英国、澳大利亚等政府机构在内的数千家网站都曾被黑客袭击,为他们开采比特币、门罗币等数字货币。

    03洗白“黑客”

    虽然黑客的破坏性让人们深恶痛绝, 但是黑客的酷炫文化却让人痴迷。

    在 2010 年比特币尚未火爆之时,英格兰北部坎布里亚郡警队和信息科技安全公司 Tufin 科技对来自伦敦的 1000 个孩子进行了成为黑客意愿的调查。

    数据显示,有近四分之一的孩子进行过黑客活动,其中有五分之一的孩子是出于黑客赚钱的初衷去进行的黑客学习。

    事实上,这个专注于技术的群体本来就应该是中性的,只是在发展的过程中,意义发生了变迁。

    庆幸的是,在区块链世界里,也有一群白帽子黑客群体正在崛起。他们喜欢挑战智力,也热爱世界和平。至少他们的举动在试图为被污名化的“黑客”洗白。

    一方面是越来越多的区块链项目选择代码开源,另一方面是白帽子的组织化。当“黑”与“白”的厮杀越来越激烈,区块链的生态也在完成净化。

    白帽子黑客并不容易,在世界最大白帽子黑客社区HackerOne中,安全研究人员日复一日地重复着同一项工作——寻找漏洞,以负责任的方式向相关组织报告漏洞,并抢在犯罪分子利用漏洞之前将其修复。

    0_1541908544073_587b9638-4e67-4b7d-acc4-8966775bb650-image.png

    当前区块链面临五大网络安全挑战:网络漏洞风险、网络病毒风险、网络协议风险、网络环境风险和网络隐私风险。

    国内白帽子社区慢雾科技已经形成了自己的一套方法论,在漏洞的审计方面,采用“自动化程序+人工验证”的方式,自动化过程可以把一些常规的问题扫描出来。在智能合约、DApp业务逻辑、整体锁仓时间等方面,人工把关会结合功能设计的文档进行详细的验证。

    同时,在威胁情报业务中,慢雾采用了独有的地下黑客风向标追踪引擎,慢雾科技因此捕获了以太币假充值、USDT假充值,以及一些关注度比较高的第三方组件。

    此外,DVP去中心化漏洞平台也取得了一些成果,它们已经为1038个区块链项目方发现了2757个漏洞。

    0_1541908565947_cdda5101-a881-4d48-88b4-85cc97399c82-image.png

    对于白帽子团队而言,追查漏洞只是开始,区块链安全应该是为其制造一套坚固的防御体系,包括IPS(入侵防御系统)、IDS(入侵侦测系统)、AMS(异常止损迁移系统)等解决方案。

    如今,越来越多的白帽子社区采取“联防+奖金”的模式鼓励社区成员捍卫生态安全。很多项目非常重视安全,因此给予白帽子的奖励很客观,有时一个漏洞的悬赏就高达1万美元。

    在很多国家和地区,白帽子黑客所获得的回报能达到同类从业人员的平均薪资。在印度,顶尖黑客所获得的收入,甚至是软件工程师薪资中位数的16倍。

    北京知道创宇信息技术有限公司创始人赵伟认为,区块链安全本身即是巨大的机会,不同阶段的区块链需要安全是不一样的。比如,区块链1.0可能需要反DDOS,2.0可能需要智能合约审核,3.0是整个安全构架的优化。

    目前国内专门做区块链安全的公司有很多,知道创宇、安比实验室、链安等等。白帽子“黑客”是区块链的必要配备,同时也是最佳免疫系统。

    当一群人在创造新的技术,另一群人便可以研究并发现这些技术的缺陷。当“白”与“黑”的边界变得模糊,区块链世界的安全之战也会变得非常有意思。

    更具有重要意义的是,黑白战争之外,区块链技术才能更为“牢固”,未来区块链也才能真正为我们的资产和隐私安全保驾护航。

    资料引用:
    2018上半年区块链安全报告 By腾讯安全
    HackerOne :2018年黑客调查报告 By安全客
    上百万枚比特币被盗,谁在纵容黑客行凶? By31QU
    来看看,你的电脑替黑客挖了多少比特币 By冲科技
    来自朝鲜的加密黑客组织Lazarus ByICONIZ 标准资本