5月30日,蓝港互动创始人、火星财经发起人王峰向360公司董事长周鸿yN发起对话。这场对话源于日前360发布的一则新闻:其团队发现区块链平台EOS多项高危安全漏洞。周鸿yN在微博上称,这一漏洞价值超过“百亿美金”。
周鸿yN在对话中表示,区块链技术很火,但安全问题还没有被大家重视起来,他认为真正的安全问题其实还没出来, “在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。”
周鸿yN说,这些漏洞 EOS官方是确认真实有效的,周鸿yN称自己是从年前开始学习 区块链,在 3点钟群里没怎么表达看法,是因为确实还没怎么看懂一些东西。最近发现很多区块链系统、交易所系统、钱包系统存在问题。
周鸿yN称,至今也不觉得自己懂区块链, “我个人也没有买虚拟货币,看着大家在这些群里热烈的讨论,每个人都忧国忧民,每个人都像经济学家、哲学家、思想家一样的发出各种见解,我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全,所以我们希望和大家一起交流,让区块链行业更安全。”
以下为对话原文整理(摘自火星财经) :
王峰: 昨天中午360发布EOS高危安全漏洞消息的时候,当时我正好在和联创策源的老大冯波在外面喝咖啡,听到消息心里一震:360对区块链动手了!随即冯波就给周总发了微信,没想到周总很快就回复了。所以,今天我们请来了江湖大佬,人称“红衣主教”的周鸿yN同学做客“王峰十问”,主题是:EOS安全风暴。
昨天我冯波在一起,冯波帮忙和周总联络了。
周鸿yN: 我不是大佬,现在满大街都是大佬,还有大大佬,叫我老周好了,反正都是老朋友。冯波是我的人生导师,他擅长爱情,婚姻、家庭 、育儿各个方面
王峰: 先让我们看一看他的经历吧。本科毕业于西安交通大学电信学院计算机系,后被保送西安交大管理学院系统工程系攻读研究生。曾创办 “3721网络实名”,开创中文上网服务之先河,历任雅虎中国总裁等职务;2006年创立360,推出“免费安全”战略,开创了中国互联网的新格局;2011年3月30日,周鸿yN带领奇虎360在美国纽交所上市;今年1月,周鸿yN当选“2017十大经济年度人物”;2月份,360集团在上海证券交易所成功上市。周鸿yN同时也是政协第十三届全国委员会经济委员会委员。
第一问:
王峰: 360以PC安全卫士起家,其后一直从事互联网安全应用,我也知道近几年也逐渐布局于企业级安全领域,为什么你的安全触角一下子进入区块链领域。我们团队浏览一遍你最近一年的个人微博,也仅仅有两次与区块链相关,一次是去年“九四监管”前后,一次是昨天转发360安全卫士针对EOS安全漏洞的公告。中间很长一段时间,鲜有提及区块链。在今年春节之后,3点钟微信群火爆区块链期间,你也从未轻易表达过对区块链的看法,可是昨天,通过爆料EOS严重安全漏洞之际,360闪电出击,在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作,这是为什么?看起来你是蓄谋已久啊,后面还有大招?
周鸿yN: 其实也没有谋多久,从年前开始,我自己也在努力学习区块链的东西。
我在 3点钟群里没怎么表达看法,是因为确实还没怎么看懂一些东西。
但在安全上我们是专家,所以在 17年年底18年年初,实际上我们就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。
在这个过程中,我们和业内很多项目也都有过接触沟通和交流的,我们的心态还是比较开放的,我们也希望大家都能够关注安全问题,所以当大家主动来找我们,希望在区块链安全方面有些深入沟通交流,我们也非常愿意为区块链行业提供更安全的解决方案。
后面我们肯定还是会继续深入研究区块链安全问题,也会继续保持开放心态,欢迎大家来交流合作。
尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度,都会带来 bug和漏洞,bug和漏洞被人利用,就会带来风险,就会有安全问题。
区块链技术也一样,现在比较火热,我们现在关注的也比较多,我们最近发现很多区块链系统、交易所系统、钱包系统存在问题。
之前大家都在关注区块链带来的商业机会,但是很少有人关注区块链安全问题,最近 EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。
没有大家想象的什么蓄谋已久,也没有什么大招,我们的大招就是踏踏实实帮助区块链行业排除风险 。
我至今也不觉得自己懂区块链,我个人也没有买虚拟货币,看着大家在这些群里热烈的讨论,每个人都忧国忧民,每个人都像经济学家、哲学家、思想家一样的发出各种见解,我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全,所以我们希望和大家一起交流,让区块链行业更安全。
第一题再补充一点,至于很多人和我们合作,说明大家开始重视安全,是个好事。
我们也很开放,我们没有任何立场,对所有的玩家来说,我们都愿意帮助他保护用户的安全。我们希望把区块链行业的安全生态发展起来。
第二问
王峰: 在 360公布#3498 EOS漏洞之前,EOS的bug已经在Github上提交了3497条,但360出手前鲜有人关注并产生如此之大的影响。实话实说,你如何看待昨天披露安全漏洞的严重程度?为什么称这个漏洞价值百亿美元?为什么360安全卫士在微博上将之称为“史诗级”漏洞?在我过去的理解里,“史诗级”一般来形容丰功伟绩,是对某件事的高度赞扬,哈哈,好一个“史诗级”啊。
周鸿yN: 我们没有立场,是中立,我们提出任何一个系统的漏洞,都是为了帮助这个系统改善安全性,保证它的安全,不是为了打击它。区块链这个行业里,大家其实是在一条船上,作为新生事物,某一家不安全会让大家对整个行业产生质疑、失去信心,对行业是不利的。所以我们反对大家利用安全问题做文章,把安全问题变成竞争的工具。
我先来解释下这个漏洞被人利用可以用来干什么。如果漏洞被人利用,可以控制 EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。
所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。
再说 “史诗级”,EOS在区块链发展史上的重要性大家肯定知道,如果说,这个漏洞我们没有提出来,EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉了,我们都不好说。
EOS现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。
另外就是这个其实是我们安全圈内部的说法,是半个舶来语。 “史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。
当然我从公关的角度来看,史诗级这个词大家理解不一样,太文艺青年了,所以说成百亿美金的漏洞,大家会不会觉得更接地气一点。
因为很多标题党 “吓尿了、吓哭了 、吓软了、崩溃了”都被滥用了 ,所以用了个“史诗级 ”,其实说百亿美金级别最好了。
第三问
王峰: 今天凌晨, EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。对于漏洞本身,BM称大部分漏洞是来源于第三方代码库而非EOS核心代码;且该漏洞并不能改写可执行内存,且不能获得Root权限,除非部署节点时就已经是以Root用户身份来运行。BM的回应,暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此,你怎么看?
说实话,我觉得 BM很厉害,他反击的时候,我和我们火星财经旗下的EOS Galaxy的负责人许波正在看到了他直接在电报群的回复,他的迅速回应减轻了大众对EOS安全隐患的恐慌感,反而让更多人猜测是360精心策划的安全炒作。鸿yN,这个问题,我希望你能更直接给予回复。
BM凌晨在电报群的回应
周鸿yN: 没问题,慢慢来,让子弹先飞一会,你说的消息其实已经不是最新的,最新的嘛,慢慢说。
王峰: 我们团队内有 EOS Galaxy的BP(超级节点)竞选项目,所以内部技术团队也非常关心。
赵东发朋友圈力挺 360
周鸿yN: 对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果 EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。
这个不仅仅是对 EOS,对微软谷歌苹果都是一样的,对于安全漏洞,通常的步骤就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报,比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方,再然后就是对方修复,等对方确认修复之后,我们才会对外公布。
商思林: 为何 BM这么明确地说修复时间更早呢?
周鸿yN: 他提到的这个 root权限,root权限是指计算机系统里面的最高权限。是否获得root权限,不影响攻击者控制EOS节点,没有root权限也是一样的。如果用户使用root权限运行EOS,那么攻击者就可以获取root权限。BM的回应有点让人混乱,看起来以为是我们报告前他们已经修复了,其实是我们遵循了负责任的行业标准流程,报告->;修复->;公开。
非常明确地说,我们先私下联系了 BM,通知了他们EOS漏洞 ,希望他们先修复 这都是有聊天记录截屏的,等到EOS修复了,我们再对外发布这个漏洞公告。
今天我们也还在和对方继续保持沟通,对方对我们表示感谢,也表示会给我们发放漏洞奖金,会对外发致谢。
这也是安全圈的行业通行做法,对方不修复,我们不会公告。这事我们一直在和 BM单独沟通,他在Telegram上的留言截图是昨天晚上的,比较断章取义。实际上那个留言之后,他很快回复说,漏洞是真实存在有效的,但是就被截了一点儿。
至于制造恐慌,如果说我们要制造恐慌,直接在主网上线时放出这个,恐慌效果一定比现在要好的多。
我再强调一遍,我们提交的漏洞,EOS官方是确认真实有效的,并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情,而且,今天早上在和BM沟通时,他们依然是非常认同我们的成果和技术实力的。
在这整个过程中, 360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。我们作为国内最大的一家安全厂商,在全球也是排名前三的安全厂商,我们希望和全球同行和科技公司一起,解决网络安全问题,降低网络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞,让大家提供安全放心的产品给用户,是我们共同的责任。区块链作为新兴的技术方向,我们参与进来,无论是这次披露EOS漏洞,还是之前和其他区块链机构的沟通,都是希望和大家一起共同构建安全放心的区块链产品和服务。
王峰: 今年的区块链最大的话题就是 EOS,现在很多人都担心 EOS会延期发布公网版本,这个安全隐患被曝光后,更多人关心他们的发布时间。以360安全技术团队评估,EOS Dawn 4.0的公网版本是否有可能推迟发布?
周鸿yN: 我认为应该延迟上线的,我们的安全团队还在发现一些 EOS的漏洞,我们也会第一时间及时的提交给他们,我们建议修复之后再上线。
第四问
王峰: 此次发布 EOS漏洞事件,让Vulcan(伏尔甘)团队一战成名,可是此前行业内很少有关于他们的消息,大家对他们依旧很陌生,能否向我们具体介绍下他们?我们注意到,你最近不断提及360安全大脑,能一并介绍下吗?在这个事情上,你们安全大脑团队跟BM团队是通过telegram直接交流的,你们实质接触是从什么时候开始的?坊间说,你们和EOS很快有合作要公布,你方便在这里透露吗?
周鸿yN: 你们说的行业内,肯定不是安全圈子里面。 360 Vulcan团队在安全圈子里,大家应该多多少少都知道。Vulcan最早是我们360安全卫士的攻防研究团队,有一年他们要参加Pwn2Own,这是个比较厉害的世界黑客大赛,要参加这种大赛,所以他们组了一个小组,就是Vulcan团队。
他们在攻防研究、挖掘厂商漏洞和帮助厂商修复漏洞上实力很强的。上面那张照片,应该是他们 2015年组队去参加Pwn2Own 2015获奖的,当时用了17秒攻破了微软的IE11,是历史上首支成功攻破IE的亚洲团队。Pwn2own 黑客大赛上,Vulcan团队连续多年斩获了十几项冠军,在Pwn2own 2017上更是拿到了世界总冠军。所以圈子内部,对他们是绝对不陌生的。
最近的安全大脑是这样的,从名字上大家就能看出来一点,大脑,肯定要能学习、还能做运算做决策的。所以简单说, 360安全大脑,是一个具有感知能力、学习能力、推理能力、预测能力和决策能力的综合性智能系统。然后就是360安全大脑能够干什么,这次EOS漏洞的发掘,其实就是结合360安全大脑和安全专家的能力。
再给大家举个例子说一下吧。不知道大家记不记得 2016年美国曾遭遇过一次大断网事件,这个事情后来查出来了,是黑客利用安防智能摄像头搞了一次DDoS攻击,360被邀请参与了事件的紧急处置,最后还受到了FBI的致谢。360安全大脑在这中间做了什么呢,其实这个事情发生之前,我们就在安全社区,我们圈子里做了预警,我们是最早做过预警的,就是我们的360安全大脑,发现了有针对安防智能摄像头的异常访问流量。
安全大脑是人工智能基于大数据的分析判断,加上我们的富有经验的安全专家的人脑,构成了真正的安全超脑。
跟 BM团队联系是我们安全团队直接联系沟通的,最早应该就是28号的时候。
我们和 EOS方面目前没有直接合作的,区块链安全是我们一直关注的问题,此外360也是互联网科技企业,像EOS这些主要的公链,我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴,就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。
第五问
王峰: 让我们直面一下阴谋论吧,虽然我不相信,但坊间有传闻, 360联合某些组织在做空EOS。抱歉我不得不
