对话EOS漏洞披露亲历者——360伏尔甘负责人郑文彬:关于BM、史诗级、做空、营销

转载
2398 天前
14021
Bianews

本文来源:Bianews   微信ID:bianews8

火讯财经注:区块链和PC、互联网、物联网这个话题比较大,未来需要做的就是加大对安全问题的正视、重视、关注和投入,才能避免更多问题。

Bianews 5月30日消息,今日,360集团创始人兼CEO周鸿祎接受了火星财经发起人王峰采访,回答了有关EOS漏洞事件以及360区块链布局相关问题。

在采访中,周鸿祎表示,至今也不觉得自己懂区块链,比较懂的就是安全相关问题。同时,周鸿祎还透露360在区块链安全领域的布局以及相关区块链解决方案。

为进一步了解此次EOS 漏洞事件背后的细节,Bianews 采访了此次360 披露EOS漏洞过程中的亲历者——360伏尔甘( Vulcan )团队负责人郑文彬。

郑文彬是360 Vulcan Team负责人,360云安全体系、360XP盾甲主要设计开发者,他所领导的Vulcan在Pwn2own 黑客大赛上,连续多年斩获了十几项冠军,在Pwn2own 2017上更是拿到了世界总冠军。


右二即郑文彬

在采访中,郑文彬透露了与BM沟通并报告漏洞的细节,并再强调了此漏洞的危害程度。同时,郑文彬还回应了整个事件过程中存在的诸多质疑和争论,有关360是否“做空”EOS,以及此次事件是否是策划好的营销事件。

同时,郑文彬还提及了360未来如何在区块链安全领域做好漏洞报告,并会加强与区块链社区的交流沟通。

全程参与,会继续与BM沟通

Bianews :这次EOS漏洞,包括跟BM的沟通,您都亲自参与了吗?具体有哪些工作?

郑文彬:和BM及EOS开发团队沟通是我这边团队参与的,我也参与了和BM的沟通。其实主要工作还是比较流程化的,28号我们完成了漏洞的利用验证后,找到了BM的联系方式,并询问他怎么样报告这个漏洞比较好。

29号的凌晨他回复我们,建议从邮件发而不是直接发到GITHUB上,这样保证报告是私密的。同时也告诉我,在漏洞修复前不会发布。29号早上,我们和他确认漏洞修复,下午我们发布了简短的公告。

当然,后续还有很多进一步的沟通,会继续跟他确认这个漏洞的危害程度。他也认同我们这边的技术实力和提供的帮助,官方也将致谢和给予赏金奖励。

下面我们可能会在进一步报告更多的安全问题,提供一些建议,并做更多沟通。当然,目前我们还没有和他们有正式合作,主要是以第三方安全公司的身份,做免费义务的安全服务。

不是“做空”、也不算是营销

Bianews :这个漏洞的发掘研究是什么时候开始“立项”的?到28号完成验证用了多久?因为昨天发布了一系列合作,是预先配合计划好一起发布的吗?业界也质疑有营销嫌疑。

郑文彬:我分两部分回答吧。360从2017年底2018年初开始就有安全团队开始进行区块链相关的安全漏洞研究,此前我们也披露了不少关于区块链矿池、钱包、智能合约等的安全漏洞。

就EOS这个漏洞本身来说,我们大概在4月左右开始有一些预研,包括从EOS复杂的系统中选取可能的攻击面等,大约总共用了将近一个月的时间。

漏洞的发掘、公开,都没有什么“计划”一说,因为是到28号完成了漏洞的验证,所以我们就在28号第一时间报告,当然本身也是希望赶在EOS上线之前,尽快能保护用户。至于发布的一系列合作,都不是我们主动发布的,也不存在配合计划之类的事情。

关于营销嫌疑,老周已经说得很好,如果真的是为了恐吓营销,制造大规模恐慌,完全可以在EOS上线之后再报告,效果会有天壤之别。简单来说,我们只是做了一些微小的工作,然后如实说了出来而已。

有关我们的区块链产品方案,我觉得不能算营销,实际上说来惭愧,我们也没有和我们区块链安全解决方案的团队有什么“配合”,但是昨天这个公告发布后,没想到引起这么大的反应,很多业界的朋友,包括国企单位的领导,都来找我们问我们有没有什么解决办法,只能把他们(解决方案团队)推上前台。我们会吸取这方面建议,以后尽早跟我们的解决方案团队配合。

而且不论是我们的安全解决方案,还是区块链漏洞的发现,其实目的都是一个,就是为区块链社区安全提供帮助,建设更好更安全的环境。

Bianews :在360昨日的公告中,提及“EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。”,但传言并没有官方并没有“EOS网络负责人”这个职位,这又是为何?除了BM本人,还跟他们团队沟通了?

郑文彬:这地方有点混淆,我们说的EOS网络负责人,就是指BM。我们也贴出来了BM和我们的对话,他明确说到“we won't ship it without it fixed”。

Bianews:关于漏洞报告与修复的先后问题,BM今天称在360报告bug前,已经修复bug。360报告/通知 BM有bug,是在BM修复前还是后?BM是不是在混淆概念,我理解传统的漏洞提交步骤是“通知-修复-报告”。

郑文彬:对,这点“十问”里,老周也说了,BM有一点混淆概念,BM好像是说我们通知他前就修复了漏洞。但实际上是我们先通知,他们再修复,我们再公告,这个是行业内的标准流程,也是我们负责任的做法。当然是我们通知他有漏洞(包括告诉他细节),他才知道有这个漏洞,进而去修复(这点可以对比GITHUB上的修改日志),然后修复完毕,我们再发公告。

关于这点,EOS官方也将对我们致谢和给出奖励,这事就清楚了。

“史诗级”漏洞名副其实

Bianews:公告中,用“史诗级”形容这次EOS漏洞,是否合适?有些评级机构称对这个漏洞“大惊小怪”了。

郑文彬:这个(“史诗级”)是很合适的。我不知道是哪个“评级机构”,但肯定不是“安全漏洞”的评级机构,要给漏洞定级,还得是专业的安全团队、安全公司。

昨天,有一家国内知名的区块链安全公司负责人在说到这个漏洞时,就提到“这个漏洞无论定多高的级别都合适”。 因为通过这个漏洞,无论身在何地的任意攻击者,都可以直接控制EOS网络里的每一个节点、每一台主机服务器,无论是里面的交易,还是你的服务器,都可以为其所控,这样的漏洞,我们确实也是认为“无论定级多高都合适”的,而且,这也是区块链网络里所能出现的,最高级别、最严重、最可怕的漏洞,不可能再有比这个漏洞更严重的漏洞了。

去年爆发了“永恒之蓝”勒索病毒,这个病毒利用“永恒之蓝”漏洞,一下子控制破坏了几十万个IP所在的电脑。但是如果用EOS网络类比互联网,这个漏洞实际上就和“永恒之蓝”一样,能一瞬间把全球所有的电脑都控制了,这种漏洞够不够严重,是不是“大惊小怪”?

关于“史诗级”的这个提法本身,其实上这也不是我们的发明。这个词翻译自国外安全社区常用的"Epic"一词,国外在形容重大的安全事件、安全漏洞时,经常会使用例如"Epic fail", "Epic bug" 这样的说法,我们只是借用这个说法。

当然,很多人觉得,“价值百亿美元”的漏洞,可能更贴切,这就见仁见智了,不过“史诗级”,无论从惯例来说,还是从其实际的影响、危害程度来说,都不为过。

Bianews:有文章说到这个漏洞不是区块链独有的漏洞?

郑文彬:这个漏洞不是EOS或者区块链所独有的漏洞,也不是EOS架构上的漏洞, 这种说法没错。但是评判一个漏洞危害与否、影响程度大不大,其实并不是评判它是不是独有的,或者是不是架构级的。

架构级听上去很高大上,但是实际上评判漏洞的影响大不大,就一个原则,那就是这个漏洞他能做什么,有什么危害,这就是我们所说的”Vulnerability Impact" ,这个漏洞影响多大,那么其危害性、级别就应该定多高,这和是不是独有漏洞、是不是构架级漏洞没关系。不是架构级漏洞,只能说不会通过这个漏洞来否定整个EOS网络架构模式,和漏洞有多严重没关系。

Bianews: BM表示大部分漏洞是来源于第三方代码库而非EOS核心代码,您怎么看?且该漏洞并不能改写可执行内存,且不能获得root权限,除非部署节点时就已经是以root用户身份来运行。这个怎么看?

郑文彬:这是对BM在EOS开发者群里的恶意截图和断章取义。

首先,代码来自哪里并不重要,其实很多重大的安全问题,都是因为使用第三方代码库导致的,像安全业界熟知的“心脏出血”等漏洞,都是因第三方代码库导致的。哪里的代码出的问题根本无所谓,重要的是这个代码跑在你的系统里。有本事自己写没问题的代码,出了问题不能甩锅第三方代码。

更何况,EOS漏洞恰恰是EOS在使用第三方代码库的时候出的问题。

第三方代码库,虽然是第三方写的,被EOS复制粘贴了进来,但其实也是在EOS核心组件中,才会有这么严重的问题。

关于可执行内存和root权限,则是他们对于漏洞的误解。

第一,这个漏洞可以获得远程的代码执行权限,这就是最高权限和漏洞做到的最高级别了,不需要什么改写可执行内存;

第二,是否能获取root权限,取决与节点使用什么权限来运行EOSOS,当然,如果节点安全配置合理,那么可能是用户权限而不是ROOT权限,但这丝毫不影响这个漏洞的危害性,也即是说,即使获取不到ROOT权限,这个漏洞一样可以完全控制EOS网络的节点,对EOS网络做任何想做的事,这是因为通过漏洞,攻击者可以获取代码执行权限,就相当于可以和EOS代码一样,对EOS网络、交易、应用、区块做任何想做的事。

Bianews:是不是可以简单理解为传统互联网漏洞执行需要root权限,区块链因为很多节点构成且同步,所以只要有节点权限就行了?

郑文彬:传统互联网也不一定需要root权限。我们在演示测试的机器上用了root权限运行,BM一开始看到了这点想借此反驳,但是其实找错了重点。

将遵循安全社区准则和操守

Bianews:有人称,360在公告中夸大了漏洞的危险,有做空EOS 的嫌疑,您怎么看?昨天360团队称会有职业操守,具体实践中该如何保证?

郑文彬:关于做空,我前面已经提及。绝不可能是做空,要做空不留到上线再做空?我觉得这么想的无疑是蠢。

我们遵循负责任的漏洞报告流程,报告,修复,通报,这就是职业操守。就像很多人说的,完全可以等到上线了报,这无论是做空还是营销,都极为合适,而且合法。

但我们是安全公司,遵循安全社区的准则和操守,也是为了促进社区和区块链的安全,才去按流程做,甚至很多时候都是默默贡献不对外,比如我们之前发现了那么多钱包、矿池、智能合约的漏洞,也没有大张旗鼓对外宣传,这次的漏洞确实影响严重,所以才发布公告(使用的措辞和表达,也是严谨、合理、理性和精准的),是希望引起区块链、数字货币领域对漏洞,尤其是新型高危漏洞的关注,最终是为了增进安全性、保护用户。

会与区块链社区加强沟通,更好披露漏洞

Bianews:有说法称360想与EOS合作,但被拒绝,是否有此事? 为什么选择参与EOS节点竞选的老猫、欧链作为合作伙伴?

郑文彬:这个问题老周回答过,我们和EOS没有直接的合作,也没有所谓被拒绝的事,纯属瞎编,我们现在漏洞报告、给他们提供安全建议上,都有很多沟通。不存在什么被拒绝之类的事。

Bianews:老周说未来会基于区块链安全生态推出三个系统,区块链生态安全解决方案,这块是安全团队负责吗?还是一个区块链的单独部门?除了围绕区块链安全,360是否会亲自做区块链项目?

郑文彬:这块我们有专门的安全团队负责,可以参考bcsec.360.cn。

Bianews:最后,跟互联网不同,区块链漏洞跟币情相关,影响到诸多用户,今后在披露漏洞时,会不会有更好的机制?简单概括下区块链安全跟pc、互联网、物联网安全的不同,需要注意的地方,谢谢。

郑文彬:漏洞披露这块,无论是互联网还是区块链,都会影响到很多用户,方方面面,并没有什么不同,尤其现在万物互联,漏洞对普通人、对民生国情有了更深入的影响。比如之前“永恒之蓝”病毒,让很多医院加油站停业,职能单位瘫痪,也不一定就比虚拟货币的一点涨幅影响来得小。

现在在安全业界,我们采用负责任的披露、合作的漏洞披露模式等,都是有现成的流程和准则的,我们会和区块链社区有更多的沟通和理解,更好地披露漏洞。

区块链和PC、互联网、物联网这个话题比较大,简单来说,它们(包括人工智能)也都是代码组成(包括固件、硬件的代码),只要是人编写的代码就会有安全问题。需要做的就是加大对安全问题的正视、重视、关注和投入,才能避免更多问题。