周鸿祎:是的,从黑客攻击者的角度来说,对一个系统或者应用来说,有很多的攻击面,他们通过各种途径和方式尝试突破,软件设计和实现的缺陷是其中一个也是最直接的攻击面。
360有很多安全团队,他们会从不同角度发现系统的脆弱性,通过评估给出整体的安全解决方案。目前区块链应用主要以智能合约应用和数字货币为主,从360安全团队发现的安全威胁来看,在区块链新领域的确还存在很多安全威胁,我们会逐步在这方面拓宽关注和研究的方向。
7
“公开漏洞是为呼吁大众关注区块链安全”
王峰:第七问,一位从事过信息安全的朋友提醒我问您这样一个问题,显然是只有你同行才有这样的水平。这个问题是:在Vulcan团队发现这个大漏洞之后,你们是如何考量曝光漏洞的时机和方式?你们认为现在这样的漏洞爆出时机和方式,是否体现了或者符合网络安全行业通用的、负责任的处理方式?
周鸿祎:前面我也说了,这次我们的处理方式,是非常负责任的,也是网络安全行业比较通用的。
时机上,我们发现漏洞之后,Vulcan团队在完成对这个大漏洞利用研究测试之后,立刻联系了EOS创始人BM,我们是希望帮助EOS开发团队先解决这个漏洞的,保证漏洞不会攻击者利用,在他们修复完成之后,才披露的。
采用这种比较公开的方式,我们也是希望以此呼吁大众关注区块链技术的同时也注意区块链安全。我认为现在的漏洞爆出时机和处理方式都是合适的,负责任的。
8
360涉足区块链仍将围绕安全
王峰:第八问,如果360进入区块链行业,360的机会在哪里?你如何评价目前区块链行业数字货币交易所处于中心地位的状况?
周鸿祎:我们现在看区块链,涉足区块链,肯定还是围绕安全。安全问题不是说这次我们披露了,大家热闹一天就完了。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。
未来区块链行业一定会出现更多的安全问题,之前传统互联网领域里面遇到的安全问题,区块链行业里面一定也会遇到。这就是我们在其中的机会,当然我们也有自信和实力在其中担起责任,保护区块链行业健康稳定安全发展。
王峰:其中,我们有注意到,360在5月中旬发布了“区块链安全态势感知系统”,同时针对钱包、交易所、矿池和智能合约四大块推出了“区块链生态安全解决方案”。已经上线的产品有Dbank数字钱包,功能比imtoken还要多。能否介绍下360在区块链安全方面的布局和方案,比如:交易所安全怎么做?矿池安全怎么做?智能合约安全方面又怎么做?
周鸿祎:过去这段时间,360在区块链方向上,我们的安全团队还是很用心的研究了很多,也拿了一些方案。我们未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。
第一个,数字货币钱包安全审计系统,这里面会详细地列一些审计的要点,阐述如何做一款比较安全的数字钱包,从而保障用户的财产安全。
360已对外发布的区块链安全态势感知系统
第二个是区块链安全态势感知系统,这个系统是基于360安全大脑的,可以自动对异常区块、异常交易、异常地址和智能合约进行监控,不仅可以将交易风险降到最低,而且还可对非法数字货币进行溯源。
最后一个是区块链节点安全解决方案,目前主要会针对EOS。
王峰:未来几年,区块链行业会出现一家像PC互联网时代的360这样有影响力的安全企业吗?在区块链时代,360安全产品是否能否全面开源?
周鸿祎:区块链行业里会不会出现一个360,我觉得应该不会出现这种情况,区块链方面的问题的解决会是产业化的,360肯定会是其中的主力,但不会像PC时代那样一枝独秀,会有很多从事安全的企业和个人一起来保障区块链的安全。
9
360定义的安全业务的边界有多大?
