安全链Mingo:打造去中心化安全社群,让白帽黑客

来源:http://www.szfdshop.com 作者:股票基金 人气:134 发布时间:2019-07-25
摘要:Mingo是中国第一批黑客之一,13岁创办“黑客力量”,两年内成为位居全国前列的黑客组织。可贵的是,他没有囿于技术。现在身为区块链安全专家的Mingo认为,技术是服务于社群共识的

Mingo是中国第一批黑客之一,13岁创办“黑客力量”,两年内成为位居全国前列的黑客组织。可贵的是,他没有囿于技术。现在身为区块链安全专家的Mingo认为,技术是服务于社群共识的,建立社群共识是最重要的,甚至比技术还要难很多倍。

图片 1

他现在All in的安全链SECC(Security Chain)是一个纯粹的区块链社群项目。创始人Mingo反复强调,“我们不是一家区块链第三方解决方案或者安全产品公司,也不是一家传统的中心化公司。SECC没有传统的雇佣关系,而是通过社区治理的Token模式,让所有的社群参与到整个项目的进程上来,通过区块链相关的经济技术体系和社群共识去改造安全行业的劳动关系。所有的安全公司都是我们的潜在合作方。”

当今世界,信息泄漏的安全事故频繁发生。 而人们关注的焦点,却往往在于事故所殃及的人数。人数越多,则影响越大。 但对于受害者来说, 有1万人陪着,还是有5千万人,这之间真的有区别吗?

图片 2

仅仅从犯罪的角度来看,每次窃取信息所祸害的人数,对于罪行是没有影响的。对犯罪源头的黑客来说,窃取1百万条记录比窃取1千条记录收益要大,所以黑客一定会黑了又黑的没完没了,直到拿到了最多的数据记录。 但除了黑客,网络犯罪的世界里,极其重视窃取数据的实效性和完整性。

最近,耳朵财经(ID:erduomi)对SECC创始人Mingo做了一个采访。Mingo现在的身份是区块链安全专家、安全链生态发展官、星安资本合伙人、链云科技创始人,同时也获得过“第一届福布斯中美 30 岁以下 30 人”称号。但对于如何定义自己,Mingo的态度十分审慎。这种审慎,从另一个角度看,也许意味着无限可能。

有很多见不得光的交易场所,可以买卖窃取来的数据。包括各种黑客站点、各种隐秘的网站门户、各种数据交易站点或者其它什么交易场所。在这些地方,数据的交易价格也各不相同。 每条价格从 0.01 美分到 200 美金都有可能。 数据的价格也因个人信息的类别而差距极大。举个例子来说明,一旦泄漏事故被报道出来,则事故规模越大,信用卡记录的价值(包括姓名、地址、信用卡号、过期日期和CCV)会降低越多。原因在于,信用卡公司会更加快速的将这些卡添加到欺诈检测系统中,而银行则可能直接挂失这些卡。

故事的开始:一个想当黑客、戒掉游戏的小学生

在这样的一个生态环境中,存在各种各样的犯罪服务。这些服务帮助管理、验证、分销和隐藏盗窃来的数据。 例如,中间人或者服务商,通常收取25%的费用,来帮助卖家和买家传送数据。这些服务者还有评级系统和客户评价。同时,还有一种服务,每周处理几千万的信用卡信息,以验证每张卡是否还“活”着并判断每个账户的信用额度。

Mingo出生在媒介发达的广州。有一天,小学5年级的Mingo在路边买了一本杂志,叫《黑客攻防指南》。当时的Mingo意识不到这个举动对他未来人生走向的影响,现在回过头看,这是蝴蝶效应里那只扇动了一下翅膀的蝴蝶:Mingo的黑客之路开始了。

很多公众信息泄漏,造成用户姓名、电子邮件地址和相关密码的失窃。 幸运的是,多数情况下,密码都是加密的; 然而,往往数据被窃取时,秘钥也会一并失窃。 在大多数的网络犯罪中,这种类型的数据是没有价值的;要想这些数据变废为宝,则在找到买家之前,黑客必须破解密码。而密码的破解非常耗费时间和资源,当然取得这些资源也并不困难。 退一步说,即便黑客能做到破解,账户和密码也只能打包贱卖,收不来几个小钱。 比如说,黑客窃取了一百万条数据,其中包含25万Gmail用户的邮件地址,但未必有多大价值。

原本酷爱打游戏的小学生放弃了游戏,在所有的课余时间里捣鼓计算机。“那时候有一种东西叫IRC聊天室,可能很多老一辈的人知道,因为他们可能那个年代在上大学。”Mingo回忆,那时候网民很少,整个圈子氛围很纯粹。

安全事故的受害者,一定要清楚到底那些数据被窃取了。 25万条数据(用户名,邮件地址,和破解的密码)可能只卖了可怜的20美金。 购买者接着就可能用这些数据对其它网站进行暴力破解,希望能够碰上用户重复使用相同密码的好运。这些数据的价格每过一小时、每多卖一次(黑客卖出,或者购买者再次卖出)都会急剧降低。一旦这些被偷盗的数据公布了(例如,贴到了pastebin 网站上或者发布到了一个安全博客上),数据也就完全没有价值了。只有那些做安全研究的人,才可能还会有兴趣。

基于纯粹的兴趣驱动,Mingo成为中国第一批黑客。13岁时,创办一线非盈利性安全组织“黑客力量”,两年内,把它打造成位居全国前列的黑客组织。并且,拥有中国最多安全组织资源力量,拥有上亿用户量的线上社群建设经验。

泄漏的信用卡信息,总会引起媒体最大的兴趣。但银行和信用卡公司,也在炮火中成长,已经能够非常迅速、高效的应对这些信息泄漏。实际上,这些金融机构已经在美国投入重金用于部署自动欺诈检测系统。泄漏了信用卡信息,就直接导致人们丢失钱财的可能性,已经非常小了。

Mingo同时也是中国早期手机设备与网络安全漏洞研究者,著有《网络最菜黑客指南》、《黑客成长日记》、《手机短信息攻击程序》、《FreeBSD漏洞规模性攻击研究》、《公共程控电话漏洞利用》等作品。

随着美国在信用卡和储蓄卡上普及芯片技术(从2015年10月开始),复制伪造卡片和店内欺诈的情况将进一步减少。对于那些黑客来说,窃取的信用卡信息也越来越没有价值。 很多人都曾经质疑,美国的“芯片加签名”策略,在防欺诈上,是否优于欧洲的“芯片加密码”。

图片 3

如果窃取的邮件地址、密码甚至是信用卡信息,对于黑客不再意味着大笔的金钱,那么谁还会浪费精力去去偷去骗呢?

三十而立的Mingo=创业者 区块链 安全技术

信息越详细,则用途越多,因而对于网络犯罪生态圈的价值也就越大。 举个例子,一条数据,如果包含了用户的全名、地址、生日、社保号、驾照号、身份影像(护照页或者驾照的扫描文件)和银行账号,则可能价格高达100美金。具体价格随用户所在的国家和国籍而定。

三十而立的Mingo现在是三个维度的混合角色,在当了近二十年的“黑客”、连续9年的成功创业者之后,现在的Mingo all in了区块链安全领域。

很多人就此猜测,这些数据当然会被用来从受害人的银行账户里转移资金。如果罪犯能够挖到账户的在线密码,那么确实是会这样的。但更可能的情况是,这些数据会被用来创建多个新银行账户,以用来为其它国际犯罪企业洗钱,或者用来申请新的信用卡和贷款,从而快速取现。

凭借其对区块链安全生态的独道见解, 2017年创立区块链安全公司,面向区块链企业用户和个人用户提供军工级网络安全解决方案,成为全球独家的芯片级软硬件钱包解决方案商。公司拥有4个独立业务线,团队分布三个国家地区,拥有两个安全实验室。

不论是一个硬件零售商店的大规模数据泄漏,还是一个鲜花网店的一百条数据丢失,对于受害人来说,丢失的数据数量都不是关键。关键的是数据的类型、数据的完整程度和时效。 受害人一定要清楚直到那些数据被窃取了。 那些难以修改或者删除的数据,带来的损失最大、威胁的时间最长,也因其价值更容易成为罪犯的目标。

Mingo自己的理解是,这是一个从兴趣驱动,到商业驱动,再到价值驱动的过程。

“黑客、创业、区块链,这三个东西我都非常感兴趣,我想把它们融合在一块。在这三个领域里,任意一个维度都有比我做得更好的人。但是要把三个事情混合在一起,我可能会更擅长一点。”Mingo保持着一贯的内敛和谦虚。

SECC安全链让白帽黑客站着,把钱挣了

在Mingo这样一个资深黑客眼中,当下基于区块链的千亿级数字资产完全处于“裸奔”状态。

据统计,2011年至今,由于区块链漏洞引发的安全事件累积损失超20亿美元。安全攻击事件发生在智能合约、共识机制、交易平台、钱包、挖矿等方面。

我们可以想象,当下的数字资产之于黑客,是否类似于猎人迎头遇到鹿群?当然,这完全是对黑客的一种误读。但我们不妨接着用个不恰当的比喻,Mingo在做的事情,是让猎人保护起鹿群。并且,这个保护费由鹿群来支付。

换言之,Mingo用Security Chain让白帽黑客可以站着,把钱挣了。

什么叫白帽黑客?

黑客,源自英文hacker,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、黑帽等,其中黑帽(black hat)实际就是骇客(cracker)。而与黑帽黑客相对的则是白帽,特指那些挖掘漏洞并且公开的黑客。不同于骇客处于暗面的攻击,白帽子挖掘网络漏洞、传授自己的经验,更像是安全专家的角色。

问题是,白帽黑客的日子不好过。Mingo说,高智商行为没有体现高回报。

有人曾对黑客群体做过调查,除了极少数的职业黑客以外,大多数都是业余的黑客。年龄主要集中在18-30岁之间的年轻人,大多是男性,以在校学生居多。他们出于对计算机强烈的求知欲和好奇心、加之精力旺盛,这些促使他们步入黑客殿堂。

但这些黑客的归宿往往是“隐退”江湖。年轻时候,他们靠兴趣驱使,可以不计报酬地花费大量的时间和精力。而终有一天,老黑客也需要为生计奔波了。

如何让高智商行为获得高回报,如何让更多黑帽子转向白帽子?这是Mingo一直思考的两个问题。

一方面,黑客带着天然的自由主义精神,当他挖了一个漏洞,如果他不通过中心化的公司去付出财务报表中的劳务关系,他没有办法把它量化,也没办法把它的价值最大化体现出来。

另一方面,想要获得这些高智商黑客的认可,Mingo首先要考虑是是,设定一个公平的机制让他们参与进来。这也是Mingo强调,社群共识第一,且技术要为社群共识服务的根本原因。

“你家有这么多的门,就算打开其中一扇门,你一个人也不可能把其他的门的问题全部解决,就算你把门的问题解决,窗的问题也解决不了。”从这个层面上,Mingo看好打团战,需要集思广益才行。“单打独斗,永远有比你技术牛逼的人存在。”

“想要达成社群共识,吸引更多黑客进来玩并创造商业价值,需要两个维度:一个是你的经济架构怎么做,你怎么设计大家进来和在里面生存的规则。第二个是你怎么通过技术保证这些规则稳定有效地往前进行,而不是说人为地去干预这些规则的执行。”

SECC(Security Chain)就是这样一个可以满足所有黑客,尤其是白帽黑客生计问题的去中心化社群。这是第一次通过社区制度把白帽黑客、安全组织的关系进行重新的改造。

用Mingo的话说,SECC是利用区块链的代币经济模型和区块链结算技术,去改变以前传统安全行业价值分配不公的痛点问题,从而改造安全行业的生产劳动关系。

图片 4

安全问题的本质是攻防对抗,是互相妥协

在Mingo看来,每一个行业的安全问题大部分都是相同的,尤其是技术面的安全问题。不管是互联网安全,还是区块链安全,本质上都是攻防对抗,也是成本之争。“二十年前是小米+步枪,二十年后是用核弹。”

区块链安全问题,只有钱包是一个新的安全场景,并且比较复杂。“目前大部分的区块链安全问题,是中心化交易所衍生的各种需求,传统的安全公司产品是可以一定程度匹配上的。像智能合约这种安全问题,也可以归类为传统安全。现阶段因为区块链基础设施和生态未跟上,代码审计出错的代价较高,媒体也多方宣传,所以大家比较恐慌。每一个新行业所面对的安全问题更多是如何把安全与业务落地。”

当下的区块链安全领域还处在一个非常早期的阶段,还处于快速迭代的周期中。“在开始的时候,互联网安全其实只有新闻网站能应用到这种技术,再慢慢发展到通信行业,再之后是电子商务。区块链也一样,金融场景可能是区块链安全第一个切进去的场景,作为安全问题高发的领域,金融行业对于安全防护的需求是比较大的。”

Mingo的安全观是,没有绝对的安全,企业安全是一个互相妥协的过程。

大部分的安全管理公司,是一个第三方服务的公司,提供的是一个具体的服务加产品,而实际上需要解决安全的问题,它是一个多点层面的问题。Mingo解释说,SECC社群属于多边关系,通过提供系统的多边服务的方式,去拓展安全领域之前非常窄的应用场景。

“以推动整个公链的安全基础为例,我们不是只针对一个表象的问题,而是提供根本上的系统解决方案。就像PC电脑时代,有一些安全机构可能是服务某个浏览器的漏洞,那我们可能去解决的是windows操作系统的底层问题。你把底层问题解决了,浏览器就不会有问题。”

他换了一个角度来解释安全这件事。“比方说,你现在有一个1000人的防护需求,你找到一家公司。原则上,你付了多少钱,他提供多少个人去满足你的需求。但是,这家公司只有100个人,你的防护需求无法得到满足。但你通过安全链的Token激励,包括它整个生态体的发展,你可以用十分之一的成本,找到1万个人去保障你的安全。”

当问到SECC如何平衡公平和效率的问题。Mingo的设想是,SECC会是一种网中网结构在跑。“网中网的结构就是,它的底层是一个像公链这样完全去中心化的区块的链条,但是在业务上面,它是趋向于中心化的,因为只有这样你才能保证效率。”

图片 5

SECC是区块链安全领域的“滴滴打车”,也是一场社会实验

SECC面向的人群是安全的开发者和使用者。Mingo用一个比较简单的模型去比喻。

“在没有滴滴之前,可能你面向的是一个出租车公司,出租车公司不能提供物廉价美的、供求关系相对平衡的服务,那么,滴滴打车平台应运而生。同理,SECC打造了一个区块链安全防护需求方和供应方的供需平台,把安全行业里面共享经济的问题解决了。这是中心化的公司无论如何做不到的。”

从某种程度来讲,360安全团队发现EOS漏洞事件引人侧目的原因,无非它是一个中心化的公司,营销能力和影响力相对集中。SECC的责任就是把安全技能满分的白帽黑客们,免费或者更低成本地推广出去,让“高智商行为得到相应的高回报”,从而让行业安全得到整体提升。

Mingo坦言,SECC这种新型安全问题解决方案的社群,与传统安全公司相比,不是处于一个量级上的竞争关系。“我们跟很多的安全组织、个人或者老牌的公司,都有合作关系。无论是现在或者未来,我希望是一个合作共赢的趋向。但,最重要的点不是说怎么竞争或者合作,以太坊没跟Apple合作,或者EOS也不会说,现在亚马逊是我最大的竞争对手吧。没有这种讲法。”

Mingo反对用传统公司的思维去套用在区块链项目上。他认为SECC是一个伟大的社会实验,而实验是不能控制自己的边界的,不然的话,你没有办法去做成一个很伟大的事情。

“SECC在区块链安全开发领域拥有多重身份,比如研究所、组织者、平台等等。无论有多少安全问题,我们的关注点不是在于说,怎么把单点问题给解决掉,而是基于区块链本身这个社会实验,用一种新的模型,把这场社会实验放到安全行业来。”

黑客精神——通往世界的路不止一条

对Mingo而言,赚钱的需求已经过了。他最核心的想法是,将SECC打造成一个全球最大的、最去中心化、社群自治的一个安全组织。“能确实解决一些商业问题,而不是说大家一起在这里玩玩。”

而他的野心在于,要改变安全行业,做些不一样的事情,并且,在这个行业变迁史中,留下自己的名字。“你不能以繁琐的心态去做一个事情,那是没有办法做成大变革的。”

Mingo告诉耳朵财经,黑客的精神,就是通往世界的路不止一条。

即使是商业化了的黑客,这种黑客精神也不应该发生变化。Mingo希望越来越多的黑帽黑客变白帽子,并且在SECC站着,把钱挣了。“通往世界的路不止一条,就是说我要骇进一个系统,不是说登录账号密码就OK,而是,我能从很多地方找一个突破口,进去之后我不搞破坏,我只是在证明自己。”

这么说话的Mingo,很黑客,也很区块链。

本文由澳门新葡亰赌995577发布于股票基金,转载请注明出处:安全链Mingo:打造去中心化安全社群,让白帽黑客

关键词: www.4858.com

最火资讯