阿里云MVP + 关注
手机版

蹭热点,聊聊区块链和加密货币相关的安全问题

  1. 云栖社区>
  2. 阿里云MVP>
  3. 博客>
  4. 正文

蹭热点,聊聊区块链和加密货币相关的安全问题

傅奎 2018-03-04 14:47:19 浏览5683 评论2

摘要: 本文将尽量克制幻想,仅从一个安全从业人员的角度阐述时下热门话题背后的安全问题,同时还将重点展示企业安全技术实践:如何借助阿里云平台上的云安全产品保护企业计算资源和个人加密货币资产的安全。

蹭热点,聊聊区块链和加密货币相关的安全问题

无论是企业还是个人都应抽空关注一下区块链和加密货币相关的安全问题,毕竟控制风险是首要任务。否则,忙着挖矿,炒币,抄底,一不小心后院着火,那可是要被人“抄家”的。你辛辛苦苦赚来的都将被人收割,甚至倾家荡产,万劫不复。

本文无意混淆概念,在没有特别声明前,文中涉及的比特币、数字加密资产、加密货币等共用同等内涵。

image

1 忙着炒币抄底,可别被人抄了家!

1.1 不蹭热点会死啊?

不会。这么火热的热点,不蹭一下,我都感觉对不起这年华和才华!

关于区块链,关于加密货币,关于比特币,有太多的争论,不过都不是本文的重点。本文将尽量克制幻想,仅从一个安全从业人员的角度阐述时下热门话题背后的安全问题,涉及到:

  • 围绕区块链及加密货币的各类安全风险场景
  • 个人用户如何捍卫自己的加密货币资产
  • 企业如何保证计算环境和计算资源安全
  • 区块链技术本身及生态系统的安全

最后,还将重点展示企业安全技术实践:如何借助阿里云平台上的云安全产品保护企业计算资源和个人加密货币资产的安全。

1.2 钱包风险

几乎所有主流数字货币都有对应的数字资产管理工具——钱包。以比特币BTC为例,目前支持 BTC 的主流钱包就有数十种,而且还分软件和硬件,在线和离线,PC端和移动端等形态。

由于历史数据,网络同步和使用不便等问题,个人运行和维护庞大的 BTC 客户端来管理资产非常笨重,也不现实。越来越多的数字货币资产管理厂商开发了钱包应用或硬件。

15200546985834

典型的加密货币资产的钱包APP具备如下功能:

  • 基于12个随机字符串“密语”(你需要抄写在纸上,不能让任何人知道)生成一组密钥对(临时存储在软件运行环境中)
  • 基于生成的公私钥进行区块链上资产的检查、转账、收款等
  • 使用“密语”或密钥对恢复数字货币资产

在区块链上,如果 Alice 要给 Bob 转账BTC,那么 Alice 必须先知道 Bob 的收款地址(一组数字编号,如:171v6KMWTpBJ2mLjBieHz2mojD7yuzK7vG)。经过 Alice 的私钥签名和区块链全网计算确认后(通常需要数分钟到数小时),即完成转账。之后 Bob 可以在自己的钱包中看到新增的资产。当然这背后涉及到大量加密解密等专业技术,在此不做赘述。

基于以上典型应用场景可以看出,钱包及围绕钱包相关的场景存在着大量的风险,至少包括以下几类:

  • 钱包或“密语”、密钥的丢失
  • 转账过程钱包地址填写错误或被篡改
  • 使用了不安全的钱包软件或APP
  • 存储介质或文件泄露

1.2.1 钱包、密语和密钥

这个世界上总有一些人因为运气不佳或其它内外部因素导致忘记了初始密钥或丢失了硬盘,导致数字资产从网络上永久消失。最典型的场景莫过于在丢失或者遗忘“密语”/密钥的情况下,又丢失电脑或者重装系统软件,导致数字资产丢失,酿成不可挽回的损失。这样的案例很多,近来的新闻里也常常看到。

下面这虽然是个段子,但是也足以说明保护好钱包“密语”和密钥是多么的重要!

15198864187980

专家建议:为了您的财产安全,请至少同时通过2个以上客户端(例如:手机+电脑)管理您的加密数字资产,并确保您正确地抄下了“密语”字符串,且总能在需要的时候找回。

笔者见到最为奇葩的是各种在线钱包网站所提供的服务。本来区块链是去中心化分布式系统,但是偏偏有人诱导大家去开通在线钱包。是的,“密语”是在本地浏览器随机生成的,但所有的交易都要通过中心化的钱包网站进行,风险极高。浏览器内存信息泄露、网络中间人劫持、在线钱包网站被黑甚至网站跑路,其中任何一个风险触发,都有可能导致数字货币资产归零。

专家建议:不要使用在线钱包管理你的数字货币资产。如果你必须使用,请务必选择可靠的平台,不要存放大额资产,且时刻保持防病毒软件是开启状态。

1.2.2 转账收款地址

保护好了钱包、“密语”和密钥并不代表一切太平,在处理加密数字资产的过程中同样需要时刻谨小慎微。

由于区块链网络是去中心化的分布式系统,设计之初就不存在转账退款机制。 Alice 给 Bob 转账过程中,如果不小心将收款地址中的数字零0写成了字母0,又或者是将数字1写成了字符 l,那将会造成不可挽回的损失。

主流的交易所或钱包管理软件,都提供复制或扫码方式获取收款地址,如果有可能应避免手工输入。当然,即使是复制、扫码获得收快地址也存在风险,如果电脑终端被植入了木马,那么拷贝或执行转账的过程中收款地址存在被替换的风险。

专家建议:加密数字货币转账时优先采用复制或扫码的方式填写收款地址,避免手敲。即便是复制、扫码完成的输入,在转账前还需要再做一次人肉二次校验。

1.2.3 钱包管理软件或 APP

除了“密语”、密钥和钱包地址的安全问题外,钱包 APP 本身也存在较大的风险。通常,不同的区块链数字货币发行方,都有自己的钱包软件。也有一些第三方组织发布了通用的钱包,可以同时管理数十种数字资产。

在使用数字货币钱包时,应选择官方推荐的钱包软件,坚决不使用无名厂商开发的钱包软件。笔者接触过这样的案例:用户钱包只能收款,不能转账。原因是无良厂商开发了一款假的钱包软件,并通过一些具有利益诱惑的宣传(存储 BTC 赠送 EOS 等)诱导用户安装。用户在 APP 上看到的所有信息都是假的,真正的钱包和密钥存在远程服务器上!

即便服务商没有恶意,小型组织提供的服务总是不稳定,容易出现转账不及时,到账延迟,软件 bug 改进缓慢等问题。

专家建议:应下载使用官方推荐的钱包软件,并尽可能检查钱包开发团队是否在 github开源项目托管平台提供开放的源代码,防止有后门。

1.2.4 文件存储安全

比特币客户端软件中,对钱包最重要的、能决定你对此钱包拥有权的文件叫做wallet.dat。如果您在个人电脑上运行比特币客户端软件,应绝对保证系统的安全,防止文件泄露。在不使用转账和收款确认功能时,应避免电连接网络。即使联网,也只能做比特币相关的操作,禁止在同一电脑上使用任何其它不相关的软件,更不能将 dat 文件存储到远程服务器,甚至暴露在互联网上。

请记住“死都死在密码(密钥)上”,总有那么一些人因为粗心大意,导致钱包密钥文件泄露,让自己损失惨重。在 Twitter 上,曾有人演示使用 AWS S3资源扫描工具,发现了多个比特币钱包密钥文件wallet.dat,并且可以公开下载!任何人下载该文件将其导入到比特币客户端,都可以对加密数字资产进行转账操作!

15199722669326

S3泄露出来的比特币钱包文件的名称如此明显,以至于很多黑客已经抄起家伙开干了!扫描对象不仅仅包括 S3,还包括 Google 搜索引擎结果,互联网网站目录等。

专家建议:切记,财不外露,wallet.dat文件更不能外露!

1.3 挖矿风险

除了购买比特币,获取比特币最基本的方式是运行比特币客户端记账软件,成为网络区块链网络中的一个节点。通过参与区块链网络计算,维护全网数据,从而获得比特币奖励——俗称“挖矿”。当然以现在比特币全网的挖矿难度,普通个人电脑是无法通过挖矿获得收益的。即便是专业的矿机也需要数月才能回本,更不要说中间还需要付出高昂的电费成本。

为此,互联网上诞生了“矿池”。个人用户在挖矿过程中将挖矿客户端连接到更大的矿池服务器。与其他个人矿工抱团挖掘比特币。当大矿池挖掘到比特币时,按照算力贡献对不同的客户端进行获利分成。绝大多数矿池会提供用户专用的挖矿软件和钱包地址。

以门罗币挖矿程序为例,个人矿机使用者在客户端运行程序:

minerd -a cryptonight -o stratum+tcp://mro.example.org:3333 -u YOUR_WALLET_ADDRESS -p x

执行玩程序后,挖矿程序加入矿池mro.example.org进行挖矿。如果挖到门罗币,矿池将进行门罗币奖励,直接发放到地址YOUR_WALLET_ADDRESS

以下是主流的比特币挖矿行业形态:

  • 个人购买实体矿机(奖励分成)--连接-->矿池(基于算力奖励)-->区块链网络
  • 个人购买合约矿机(奖励分成)--投资-->云挖矿公司(统一负责矿机)--->区块链网络

image

通过简单的分析可知,该产业形态存在如下风险点:

  • 矿池服务器域名被劫持,客户端加入了假的矿池进行挖矿
  • 如果挖矿服务器中病毒,挖矿过程中钱包地址会被替换
  • 挖矿软件本身异常,偷换钱包地址
  • 矿池服务器被黑,导致挖矿所得加密货币被转移

笔者接触过大量案例,其中不乏矿池网站提供的软件存在后门的情况。举个例子,以下是一个典型的挖矿进程名“minerd -a cryptonight -o stratum+tcp://mro.extremepool.org:3333 -u YOUR_WALLET_ADDRESS -p x”。 但实际运行过程中钱包地址YOUR_WALLET_ADDRESS很可能会被替换掉,例如有10%的随机概率。这也是为什么有大量的矿池网站号称他们的费率非常低,是因为他们会悄悄更改挖矿奖励的钱包地址,挪用你的算力。你满怀信心当矿工埋头挖苦干了一个月,可能都是在替无良矿池打黑工。

如今,越来越多黑客也开始将攻击目标锁定在矿池服务器。类似《挖矿平台被黑客入侵:价值4.6亿比特币被盗》这样的新闻,屡见不鲜。

专家建议:挖矿软件经常被绑定病毒,用于盗窃虚拟币钱包,请务必从官方渠道下载软件,使用专门的挖矿电脑,不要在上面放重要信息(特别是虚拟币钱包)。Windows挖矿软件使用前务必使用杀毒软件查毒。另外,矿池有倒闭和跑路的风险,请务必尽最快的速度将矿池挖矿所得转移出来。

1.4 企业服务器资源被挖矿软件占用

价格不断攀升的数字货币资产,让无数人为之冲昏了头脑,为了谋取利益,铤而走险。企业内外部对数字货币资产觊觎已久的人员,也早就盯上了 IDC 机房中的服务器资源。参考新闻:《利用服务器漏洞挖矿黑产案例分析》。

单靠个人电脑无法挖掘更多的比特币,只有利用无限的互联网资源才能创造更多的价值。黑客软件,木马病毒正一步一步向企业网络中渗透。被成功入侵的服务器会24小时不间断为黑客挖矿。那些安全措施不足,防御手段欠佳的企业,他们的服务器安全将遭受更大的挑战,一旦防御失败,将彻底沦为替黑客谋财的矿工。下图是典型的服务被植入挖矿软件后的资源占用情况,minerd几乎占用了所有的CPU 资源。

15200055611171

曾经在某企业服务器每到半夜都会满负荷运行,所有的资源都被耗尽;但是运维人员一旦登录服务器,系统又都恢复正常。经过多次调查,最终发现该服务器被植入了黑客木马程序,并且用于比特币挖矿。虽然企业信息并没有被泄露,但原本用于业务的计算资源被挖矿软件占用,这本身就是一种浪费和损失。特别是对于那些使用云资源的用户来说,计算资源本身也是需要付费的,企业自身没有使用的资源,黑客用于挖掘比特币,将其所有价值“榨干”。这也是另外一种资产损失!

十年前,服务器被黑客攻击,通常会导致严重的信息泄露,文件系统破坏等事件,但如今,黑客进入您的系统再也不是搞破坏和做炫耀了,而是用服务器去挖矿,让服务器做成摇钱树。他们甚至还会帮你“优化”服务器,提升计算能力,榨干最后一个计算单元!

1.5 浏览器挖矿

上一节中我们重点提到了,企业网络重要服务器资源被黑客入侵用于比特币挖矿。对于我们个人用户而言,同样面临类似的问题。我们每个人每天都在使用的手机、浏览器也有可能成为黑客的帮手,用于挖掘比特币。类似于下面的新闻,最近在网络上曝光度较高。

在安全防护度不高的网站被黑客入侵后,网站会被植入一段 JS 代码。当用户使用浏览器访问该网站时,会自动加载一段JS代码,用于执行加密数字货币挖矿。特别是那些小说、视频等网站,用户会在同一个页面停留很长时间,非常适合挖矿软件持续工作。目前,此类 JS 挖矿软件已经有较为成熟的解决方案。Github 上甚至还有开源的项目代码。

专家建议:绿色上网,时刻开启防病毒软件。留意计算机风扇转速。尽量不要访问那些无名小站

1.6 钓鱼&欺诈

如前文所述,数字货币的钱包密语和密钥非常重要。一旦被他人获取,数字资产将岌岌可危。前几节涉及到的主要是技术场景上的风险。然而,在互联网上几乎任何领域都可能产生钓鱼和诈骗。通过这些手段巧取豪夺,甚至都不需要任何技术含量。

如果你稍微留意币圈的新闻,这条你应该有所耳闻:《震惊:一个朋友被骗走将近400万的区块链资产》。骗子伪造区块链网站,声称只要提供钱包地址就可以空投数字货币,要求用户填写钱包地址,同时使用英文操作界面诱骗小白用户在网站录入钱包私钥!

15200043842609

区块链资产没有挂失,找回机制,一旦转账找回几率为零。400万,不小的比数字啊!太沉重的教训!

15200044983363

无独有偶,近日苹果联合创始人史蒂夫·沃兹尼亚克在出席《经济时报》主办的全球商务峰会上表示自己的 7 枚比特币(大约44万人民币)被骗走了。被骗过程简单到难以置:有人在网上通过信用卡从他手中买下了这些比特币,然后取消了信用卡付款。骗子使用的是被盗的信用卡号码,无法追踪,因此,这 7 枚比特币也无法再找回。

专家建议:打死不向外人提供密语、密钥,包括交易所的短信验证码、OTP动态登录令牌

1.7 勒索

由于加密货币相对普通银行账号更具有匿名性特征,比特币、门罗币等数字货币越来越多地受到黑客青睐,甚至成为了勒索软件的赎金支付方式。

2017年上半年最重要的安全新闻,莫过于WannaCry勒索病毒。2017年5月12日晚上22点30分左右,全英国上下16家医院遭到大范围网络攻击,医院的内网被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎停止运转,很快又有更多医院的电脑遭到攻击,这场网络攻击迅速席卷全球。这场网络攻击的罪魁祸首就是一种叫WannaCry的勒索病毒。

WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的勒索病毒。该病毒爆发时,公安、石油等系统内网也遭到严重的破坏,大量操作系统中招勒索软件。被攻击客户端电脑弹出对话框,要求以比特币方式支付赎金。

15200568728920

作为个人用户,应该时刻提升安全意识,不要访问未经认证或缺少保障的网站,不轻易点击未知网络链接,不下载运行来历不明的软件。很多常年不进行补丁更新的企业内网操作系统是这次病毒爆发的主要受害者。也正是这次病毒软件的大爆发,才让比特币走入了主流社会的视野,并为2017年下半年数字货币暴涨暴跌拉开了大幕!

专家建议:养成良好的上网习惯,及时修复系统漏洞,可以帮你远离勒索软件。

1.8 交易所风险

数字货币资产之所以能快速爆发,离不开各类野蛮成长的交易所。虽然国内已经禁止交易,但国外仍有大量加密货币交易交易网站。随着最近一年比特币概念的引爆,入场的用户数激增。大量用户在比特币交易所购买,存取数字资产。如今,动辄上亿的日交易额,早已让黑客垂涎欲滴。甚至交易所内部人员也开始打起了主意。无论是准数字货币还是数字货币代币,都是别人眼中的肉。

今年年初,日本虚拟货币交易所Coincheck声称黑客偷走了大约580亿日元(5.3260亿美元)的数字货币资产,引发了对于数字资产这个新兴市场的安全和监管保护的质疑。

同样在日本,Mt.Gox这家曾经是全球最大的比特币交易所,在2014年2月因85万个价值4.5亿美元的比特币以及2700万美元现金的盗窃或丢失而宣告破产。虽然其中的20万个币已经被找到,但剩下的65万个仍然不知所踪,在过去的几年里,有关这部分比特币踪迹的猜测从未停止。

15200622425324

交易所运转要依靠股东道德、公司管理、人员素质、交易程序等。这些环节都很脆弱,前有香港GBL交易所跑路,后有Mt.Gox倒闭,今有 Coincheck 被盗。在去中心化数字货币交易所正式成熟之前,此类的问题还将出现,下一次会是哪家就只是时间的问题。对于普通用户来说,永远无法知道交易所是真的被黑,还是“声称被黑”,亦或是传说中的跑路。

被交易所被黑更隐蔽的风险是交易数据作假。受利益蛊惑的交易所为了获利不择手段,通过伪造交易数据K线图的方式诱导用户买入和卖出,如:构造虚假的交易深度图,成单量,交易价格等信息。

专家建议。如果不是频繁交易,那么,购买数字货币后应及时提币到个人钱包,而不应该长时间存放在交易所。应该尽量在一些知名度较高的交易所去交易,尽量不要去那些冷门的小微型交易所。

1.9 区块链自身风险

让我们再次将目光回到区块链技术本身。作为一套运营在互联网上的去中心化分布式记账系统,其本身架构设计必须是安全的。早期,核心小组设计并开发了BTC Core, 在全球玩家不断的参与过程中,系统经过迭代,修复了大量的安全漏洞。总的来说,区块链及其生态面临着非常严峻的安全风险,当然系统也在不断地带中自我完善。

1.9.1 计算网络的安全性

由于区块链本身分布式去中心化的系统,因此不用担心针对单点的网络拒绝服务攻击。但短时间内大量的超小额(如:0.0001BTC)垃圾交易会迅速填满区块,导致其它转账信息无法及时确认,并最终导致整个区块链网络转账延迟。曾经有人讨论过“粉尘攻击”和“空块攻击”,感兴趣的可以自行搜索。比特币开发小组和全体区块链网络参与者,应共同抵制这种恶意攻击行为,期待未来区块链系统更加强大和完善。

1.9.2 51%的算力问题

“在比特币网络里,你有多少钱,不是你说了算,而是大家说了算,每个人都是公证人。”基于算力证明进行维护的比特币网络一直以来有一个重大的理论风险:如果有人掌握了巨大的计算资源(超过全网过半的算力),他就可以通过强大的算力篡改区块链上的账本,从而控制整个共识网络。这也被称为51%攻击,虽然这种攻击发生的可能性不是很大(掌握这种算力的人本身就可以通过挖矿获得巨大受益,再去冒险篡改账本很容易暴露自身)。仍然是理论上看:一旦这种攻击被发现,比特币网络其他终端可以联合起来对已知的区块链进行硬分叉,全体否认非法的交易。

1.9.3 匿名保护的挑战

人们选择使用加密数字货币总是基于不同的需求。随着加密数字货币的快速发展,越来越多的针对数字资产的匿名性需求正在产生,然而主流的数字货币并不具备真正的匿名性。举个最简单的例子,如果你是一名开源项目负责人,你在社区公布了自己的比特币捐赠地址。那么所有人都可以查询到,你一共收到了多少的捐赠,以及你的账号与其它所有账号的交易记录。

15201332502959

按照比特币分布式账本设计,每一个终端节点都保存了一份完整的转账交易记录,人们可以通过追踪数字货币钱包资金往来而最终识别资产的所有者及当前资产的数量。这对匿名性构成了很大的挑战,因此近来又有了一些新型的数字火币,他们声称其匿名性远远高于第一代的比特币。

前文提到的门罗币就具备跟高的匿名性。在2014年4月门罗币依据CryptoNote被创建, 规避了比特币的设计缺陷, 使得门罗币更加隐私,去中心化和可扩展。门罗币能隐藏交易发起者,接收者,交易金额,和交易IP等信息。

1.9.4 代码实现上的安全

好的设计架构可以保障系统的安全性,但架构要实现必须通过软件工程师编程实现。在软件实现的过程中没有做到严格的编码安全,仍然存在风险和漏洞。相对于面向全网公开的比特币核心代码,钱包类APP软件,交易所网站代码等更容易出现应用安全漏洞。如果不能及时识别和修复安全漏洞,最终将导致用户资产被黑客攻击窃取。

1.9.5 量子计算的挑战

区块链共识机制通过强大的算力作为支撑,其核心是所有的终端需要持续不断计算随机字符串的 HASH 值。未来,如果量子计算机一旦成功应用,将有可能对区块链安全构成挑战。量子计算机的计算速度与普通计算芯片完全是天壤之别,理论上可以实现51%的攻击。当然,任何系统都是在不断迭代和演进的,攻击者能使用量子计算机,作为使用者同样也可使用量子计算机。相信未来一定有更合理的解决方案。

2 企业安全防护实践

作为一家运行在阿里云上的企业,我们同样在关注热点话题,并一直在积极思考和尝试解决的安全问题。针对上述不同应用场景中的安全风险,我们曾探讨和尝试过借助阿里云云盾产品线上不同的安全产品进行组合及时发现和遏制各类风险。

2.1 使用安骑士产品修复操作系统漏洞

首先,作为云上企业最核心的基础资源是云服务器,例如:ECS(弹性计算服务器)、HPC(高性能计算服务器)等。企业在经营过程中购买了大量云主机,但如果因为系统安全漏洞导致被黑客入侵并进而植入挖矿软件,企业将因此付出巨大的运营成本。

云盾产品-安骑士,通过在ECS主机部署安全客户端,能够主动收集操作系统信息,分析系统安全漏洞并支持一键修复安全漏洞。

15200760346000

点击上图中任何漏洞信息,可以展现受该漏洞影响的所有资产清单,并可以选择是否立即修复。

15200761348259

企业完全可以根据自身需要,选择严重度高,影响范围广,资产重要性高的安全漏洞进行修复,而且有缓解措施的漏洞则可以选择性地进行评估和忽略。

2.2 使用安骑士产品监控服务器挖矿行为

从来没有绝对的安全,服务器被入侵并不一定是因为操作系统层面的漏洞,也可能是应用系统漏洞。黑客团伙从来就没有放弃过对企业网络和服务器的持续渗透。甚至一些被利益冲昏头脑的内部人员也有可能挪用公司计算资源。因此,仍存在一种情况,服务器被植入黑客软件并已经被用于加密数字货币的挖矿。

庆幸的是,阿里云平台早1年多以前就已经上线了针对服务器挖矿行为的监控。部署安骑士客户端的服务器,能够在第一时间感知到挖矿行为,及时准确地通知安全人员。

下图是安骑士客户端发现的挖矿进程:
15200797539399

下图是安骑士发现主机进程与可疑矿池服务器通信:
15200798634995

从上面的截图可知, 安骑士在服务挖矿行为监控上非常及时准确,能有效保护企业网络计算资源不被挖矿进程滥用。

2.3 使用态势感知发现潜在挖矿行为

除了借助安骑士产品,态势感知产品也能从另外一个纬度帮助企业发现云服务器被用于挖矿的行为。如果您手上掌握主流的加密货币挖矿矿池域名或 IP 地址,还可以通过云盾-态势感知产品的日志搜索功能,搜过企业云服务器是否有通讯,包括:

  • 服务器请求 DNS,解析特定的矿池域名
  • 服务器总是与特定 IP 或 TCP 端口通讯

通过阿里云态势感知产品中日志检索控制台,可以设置非常灵活的字段选择,检索特定规则的日志,帮助企业安全人员及时发现服务器异常动向。

下图是检索到的ECS 服务器解析特定矿池域名的 DNS 请求记录:

15200807941457

下图是通过态势感知日志查询界面,检索与特定 TCP 端口的通讯行为。
15200810578160

当然,态势感知这块产品功能太强大了,用它来分析挖矿行为有点小材大用。今后我会单独写文章进行介绍这款产品。

2.3 部署 WAF防止网站被黑导致挂载挖矿JS

企业除了需要防护云上服务器的系统安全,还需要保障 Web 应用的安全。由于 JS 挖矿技术的成熟,越来越多的黑客已经不再入侵网站挂网页木马,而是植入 JS 挖矿代码。一旦 JS 被植入,浏览企业网站的所有用户都将加入挖矿大军,沦为旷工,贡献浏览器资源。对于在云上开展网站业务的企业来说,务必开启 Web 应用防火墙(WAF),以应对洪水般的 Web 漏洞攻击,防止企业网站被黑,进而沦为黑客赚钱的工具。

下图是阿里云 Web 应用防火墙拦截黑客扫描网站的记录。
15200819343616

2.4 启用安全组策略主动缓解安全漏洞和拦截挖矿行为

阿里云云主机管理基础组件中有一个防火墙功能——安全组。企业应充分发挥安全组的功能,提前规避安全漏洞和拦截挖矿行为。

以SMB 漏洞爆发为例,当时的黑客攻击可以直接攻入未安装最新补丁的操作系统。如果您的企业运行了一些历史遗留软件,无法立即更新操作系统补丁。这时通过阿里云 ECS 的安全组策略,屏蔽来自外网的SMB 通讯端口将是最快也最安全的举措。

同样,针对主流挖矿程序所使用的端口和连接的矿池 IP,企业也可以部署安全组策略,拦截此类通讯。下图是典型的安全组访问控制规则配置界面,供参考。

15201347512459

2.5 客户端部署防病毒软件并定期更新系统补丁

相对于云上服务器,企业办公内网也许增强安全防范,防止终端电脑被植入木马病毒等工具。即使终端电脑没有中毒,也要防止浏览网页时加载挖矿 JS 代码,耗用浏览器性能会严重影响终端办公效率。

为提升办公网络安全,IT 与安全团队应制定严格的操作系统补丁升级管理策略;确保员工重点电脑防病毒软件持续运行并更新到最新版本;部署上网行为管理产品,发现和拦截已知的挖矿服务器域名或 IP。

不过呢,通过浏览器贡献个人 CPU 资源或许是未来互联网上的一种重要捐助模式。某些大型的网站可以要求用户贡献 CPU 从而免于广告骚扰。

15200828081974

2.6 持续不断的安全培训和宣传

最后,无论企业的云端或办公端安全做得多好,使用和维护企业信息系统的都是人。而人偏偏是信息安全体系中非常薄弱的一个环节。因此,企业安全团队还必须持续不断地向内部员工信息安全培训和宣传,以确保安全策略能够得到有效的执行,如:

  • 使用安全可靠的密码
  • 防钓鱼邮件,不乱点链接
  • 不下载和运行企业认可的软件
  • 不浏览与工作无关的网站
  • 持续运行防病毒软件并更新到最新版

安全培训宣传与安全体系建设一样,任重道远。保障企业和员工的信息资产安全,也是我们安全从业人员的使命!

3 总结

很遗憾,区块链和加密货币本身就是一个非常广泛的话题。与之安全相关的问题也无法在一篇文档中面面俱到地向您展现。笔者更希望您通过这篇文章举一发三,识别更多的潜在风险,保护好企业计算资源和个人的数字资产。

草草成文,不敢期待什么,但凡能带给您带来哪怕一丁点的启发,也不枉我宅在家中的这个周末。最后,感谢阿里云 MVP 超级运营管家花肉同学,没有她刀架脖子般的催促,这篇文章可能还要再有好几个星期才能面世:)

周末,温暖的阳光洒进卧室,春天来了。区块链的春天也不远了吧,让我们一起做好安全基础工作,共同迎接它的到来!

4 参考材料

【云栖快讯】一站式开发者服务,海量学习资源免费学  详情请点击

网友评论