根據(jù)Hotbit官方發(fā)布的消息,從4月29日8:00PM(UTC)開(kāi)始,Hotbit遭受?chē)?yán)重的網(wǎng)絡(luò)攻擊,造成一些基本服務(wù)癱瘓,恢復(fù)需要7-14天。
一、事件分析
攻擊者向Hotbit發(fā)起了網(wǎng)絡(luò)攻擊,造成了服務(wù)癱瘓。攻擊者還試圖入侵Hotbit的錢(qián)包,Hotbit稱(chēng)被風(fēng)險(xiǎn)控制系統(tǒng)識(shí)別并阻止。攻擊者在竊取數(shù)字資產(chǎn)失敗后,惡意地刪除了用戶數(shù)據(jù)庫(kù)。雖然存在備份,而且賬戶秘鑰是加密的密文,但仍然存在用戶信息泄露可能性。
交易所管理用戶的資金,因此所有交易所,不管大小,都需要金融級(jí)別的安全。金融系統(tǒng)的身份管理,兩地三中心的高可用性和災(zāi)難備份的能力,安全風(fēng)險(xiǎn)感知,7×24 h 實(shí)時(shí)監(jiān)測(cè)預(yù)警,數(shù)據(jù)安全和隱私保護(hù)等,是交易所必須建立的安全能力。
二、通付盾區(qū)塊鏈安全知識(shí)課堂
本次攻擊事件主要是由服務(wù)器漏洞引起的網(wǎng)絡(luò)攻擊,攻擊者利用服務(wù)漏洞向交易Hotbit所發(fā)起攻擊,造成服務(wù)癱瘓。在此次通付盾區(qū)塊鏈安全知識(shí)課堂里,將介紹交易所面臨的APT攻擊、DDos攻擊、API安全風(fēng)險(xiǎn)、DNS劫持的安全問(wèn)題和防范手段。
APT攻擊
高級(jí)長(zhǎng)期威脅(Advanced Persistent Threat,APT), 又稱(chēng)高級(jí)持續(xù)性威脅、先進(jìn)持續(xù)性威脅等,指的是隱匿而持久的電腦入侵過(guò)程,通常由某些人員精心策劃,針對(duì)特定的目標(biāo)。其通常是出于商業(yè)或政治動(dòng)機(jī),針對(duì)特定組織或國(guó)家,并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性。
高級(jí)長(zhǎng)期威脅包含三個(gè)要素:高級(jí)、長(zhǎng)期、威脅。高級(jí)強(qiáng)調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長(zhǎng)期暗指某個(gè)外部力量會(huì)持續(xù)監(jiān)控特定目標(biāo),并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。
數(shù)字貨幣交易所的高級(jí)長(zhǎng)期威脅一般是黑客在攻擊之前對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過(guò)程中,此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象身份管理系統(tǒng)和應(yīng)用程序的漏洞,并利用電子郵件和其他釣魚(yú)手段安裝惡意軟件潛伏等待成熟時(shí)機(jī)會(huì),再利用0 day漏洞或者交易所流程方面的漏洞進(jìn)行攻擊。比較著名的針對(duì)數(shù)字貨幣交易所的APT黑客團(tuán)隊(duì)包括CryptoCore(又被稱(chēng)呼為:“Crypto-gang”、“Dangerous Password”、 “Leery Turtle”,大概成功盜取了2億美金) 和 Lazarus(大概盜取了5億美金)。
安全建議
持續(xù)性的威脅需要交易所堅(jiān)持不懈的防御。建議交易所的主要功能模塊(交易,訂
單,資金管理,冷錢(qián)包,熱錢(qián)包,衍生產(chǎn)品,Soft Stacking等等功能模塊)最好每季
度進(jìn)行第三方安全滲透測(cè)試,或者至少每年進(jìn)行一次第三方的全方位的安全審計(jì)。每一次功能添加或者修改在上線以前必須通過(guò)第三方審計(jì)。
交易所內(nèi)部可以考慮成立一個(gè)紅隊(duì)(Red Team)。交易所每一個(gè)工作人員必須通過(guò)安全培訓(xùn),防止黑客釣魚(yú)攻擊,對(duì)于外部電子郵件的鏈接和附件沒(méi)有經(jīng)過(guò)安全部門(mén)檢測(cè)不能打開(kāi)。利用云服務(wù)(比如AWS,阿里云等等)的系統(tǒng),應(yīng)該使用云服務(wù)商提供的身份管理和訪問(wèn)控制系統(tǒng)(IAM)和API安全服務(wù)。跟蹤了解APT的黑客團(tuán)隊(duì)的新動(dòng)向,特別是他們利用的0 day安全漏洞。對(duì)于交易所的各種服務(wù)器進(jìn)行加固,公司的補(bǔ)丁管理必須作為公司的安全操作的標(biāo)準(zhǔn)流程。盡量利用冷錢(qián)包存儲(chǔ)交易所的大部分資金。使用多簽名的方法處理額度比較大的轉(zhuǎn)賬。
DDos攻擊
分布式拒絕服務(wù)攻擊(Distributed Denial of Service,簡(jiǎn)稱(chēng)DDoS)是一種基于拒絕服務(wù)攻擊(Denial of Service,簡(jiǎn)稱(chēng)DoS)的特殊形式,是一種分布式的、協(xié)同的大規(guī)模攻擊方式。
單一的DoS攻擊一般是采用一對(duì)一方式的,它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷,采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò)攻擊,使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源, 導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。
與DoS攻擊由單臺(tái)主機(jī)發(fā)起攻擊相比較,分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、 甚至數(shù)千臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為。數(shù)字貨幣交易所經(jīng)常受到DDoS攻擊。
安全建議
(1)制定拒絕服務(wù)響應(yīng)計(jì)劃:據(jù)全面的安全評(píng)估,制定DDoS預(yù)防計(jì)劃。與小型交易所不同,大型交易所可能需要復(fù)雜的基礎(chǔ)架構(gòu),并需要多個(gè)團(tuán)隊(duì)參與DDoS規(guī)劃。當(dāng)DDoS出現(xiàn)時(shí),沒(méi)有時(shí)間考慮采取的最佳步驟。需要預(yù)先定義它們,以便迅速做出反應(yīng)并避免任何影響。制定事件響應(yīng)計(jì)劃是邁向全面防御戰(zhàn)略的關(guān)鍵第一步。根據(jù)基礎(chǔ)架構(gòu),DDoS響應(yīng)計(jì)劃可能會(huì)變得非常詳盡。發(fā)生惡意攻擊時(shí)所采取的第一步非常重要。需要確保數(shù)據(jù)中心已經(jīng)準(zhǔn)備好,團(tuán)隊(duì)知道他們的職責(zé)。這樣可以最大程度地減少對(duì)業(yè)務(wù)的影響,并節(jié)省恢復(fù)時(shí)間。
(2)保護(hù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu):只有采用多級(jí)保護(hù)策略,才能減輕網(wǎng)絡(luò)安全威脅。這包括先進(jìn)的入侵防御(IPS)和威脅管理系統(tǒng),包括防火墻、VPN、反垃圾郵件、內(nèi)容過(guò)濾、負(fù)載平衡和其他DDoS防御技術(shù)層。它們共同提供了持續(xù)、一致的網(wǎng)絡(luò)保護(hù),以防止DDoS攻擊的發(fā)生。這包括以最高級(jí)別的精度來(lái)判斷和阻止不正常的流量,以阻止攻擊。大多數(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備都帶有有限的 DDoS緩解選項(xiàng),因此可能需要外包一些其他服務(wù)。借助基于云的DDOS解決方案,可以按使用量付費(fèi)使用云安全服務(wù)提供的DDOS緩解和保護(hù)服務(wù)。除此之外,還應(yīng)該確保系統(tǒng)是最新的,過(guò)時(shí)的系統(tǒng)通常是漏洞最多的系統(tǒng)。鑒于DDoS攻擊的復(fù)雜性,如果沒(méi)有適當(dāng)?shù)南到y(tǒng)來(lái)識(shí)別流量異常并提供即時(shí)響應(yīng),幾乎沒(méi)有辦法防御它們。在安全的基礎(chǔ)架構(gòu)和作戰(zhàn)計(jì)劃的支持下,此類(lèi)系統(tǒng)可以最大程度地減少威脅。
(3)基本的網(wǎng)絡(luò)安全:采取嚴(yán)格的安全措施可以防止業(yè)務(wù)網(wǎng)絡(luò)受到損害。安全做法包括定期更改的復(fù)雜密碼、反網(wǎng)絡(luò)釣魚(yú)方法以及允許很少的外部流量的安全防火墻。僅這些措施并不能阻止DDoS,但它們可以作為關(guān)鍵的安全基礎(chǔ)。
(4)建立安全的網(wǎng)絡(luò)架構(gòu):業(yè)務(wù)應(yīng)創(chuàng)建冗余網(wǎng)絡(luò)資源;如果一臺(tái)服務(wù)器受到攻擊,則其他服務(wù)器可以處理額外的網(wǎng)絡(luò)流量。如果可能,服務(wù)器應(yīng)在地理位置上位于不同的位置,因?yàn)楣粽吒y以分散資源。
(5)了解DDOS可能出現(xiàn)的警告標(biāo)志:DDoS 攻擊的一些癥狀包括網(wǎng)絡(luò)速度降低,公司內(nèi)部網(wǎng)路上的連接不正?;蚓W(wǎng)站間歇性關(guān)閉。如果網(wǎng)路性能比平時(shí)減少,則該網(wǎng)絡(luò)可能正在經(jīng)歷DDoS,因此交易所應(yīng)采取行動(dòng)。
API安全風(fēng)險(xiǎn)
交易所一般都會(huì)公開(kāi)訂單查詢、余額查詢、市場(chǎng)價(jià)格交易、限價(jià)交易等等API。API的安全如果沒(méi)有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:
(1)沒(méi)有身份驗(yàn)證的 API:API必須有身份驗(yàn)證和授權(quán)機(jī)制。符合行業(yè)標(biāo)準(zhǔn)的身份驗(yàn)證和授權(quán)機(jī)制(例如OAuth OpenID Connect)以及傳輸層安全性(TLS)至關(guān)重要。
(2)代碼注入:這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設(shè)計(jì)API時(shí)應(yīng)了解這些威脅并為避免這些威脅而做出了努力,部署API后應(yīng)進(jìn)行持續(xù)的監(jiān)控,以確認(rèn)沒(méi)有對(duì)生產(chǎn)環(huán)境造成任何漏洞。
(3)未加密的數(shù)據(jù):僅僅依靠HTTPS或者TLS對(duì)于API的數(shù)據(jù)參數(shù)進(jìn)行加密可能不夠。對(duì)于個(gè)人隱私數(shù)據(jù)和資金有關(guān)的數(shù)據(jù),有必要增加其他在應(yīng)用層面的安全。
(4)URI中的數(shù)據(jù):如果 API 密鑰作為URI的一部分進(jìn)行傳輸,則可能會(huì)受到黑客攻擊。當(dāng)URI詳細(xì)信息出現(xiàn)在瀏覽器或系統(tǒng)日志中時(shí),攻擊者可能會(huì)訪問(wèn)包括API密鑰和用戶的敏感數(shù)據(jù)。最佳實(shí)踐是將API密鑰作為消息授權(quán)標(biāo)頭(Message Authorization Header)發(fā)送,因?yàn)檫@樣做可以避免網(wǎng)關(guān)進(jìn)行日志記錄。
(5)API Token 和 API Secret 沒(méi)有保護(hù)好:如果黑客能夠獲得客戶甚至超級(jí)用戶的API Token和API Secret,資金的安全就成為問(wèn)題。沒(méi)有對(duì)于API的使用進(jìn)行有效的檢測(cè),黑客可能利用API進(jìn)行多賬戶、多筆的轉(zhuǎn)賬。API的實(shí)時(shí)安全檢測(cè)如果不能判斷這種攻擊,就會(huì)有損失。
安全建議
最常見(jiàn)的加強(qiáng) API 安全性的方法:
(1)使用令牌。建立可信的身份,再通過(guò)使用分配給這些身份的令牌來(lái)控制對(duì)服務(wù)和資源的訪問(wèn)。
(2)使用加密和簽名。通過(guò) TLS,XML Encryption,零知識(shí)證明等方法加密數(shù)據(jù)。要求使用數(shù)字簽名,確保只有擁有權(quán)限的用戶才能解密和修改數(shù)據(jù)。
(3)識(shí)別漏洞。確保操作系統(tǒng)、網(wǎng)絡(luò)、驅(qū)動(dòng)程序和API組件保持最新?tīng)顟B(tài)。了解如何全面實(shí)現(xiàn)協(xié)同工作,識(shí)別會(huì)被用于侵入API的薄弱之處。利用持續(xù)監(jiān)控來(lái)檢測(cè)安全問(wèn)題并跟蹤數(shù)據(jù)泄露。
(4)使用配額和限流。對(duì)API的調(diào)用頻率設(shè)置限額,并跟蹤其使用記錄。如果API調(diào)用數(shù)量增多,表明它可能正被濫用,也可能是編程出了錯(cuò),例如在無(wú)限循環(huán)中調(diào)用API。指定限流規(guī)則,防止API出現(xiàn)調(diào)用激增和拒絕服務(wù)攻擊。
(5)使用API安全網(wǎng)關(guān)。API安全網(wǎng)關(guān)擔(dān)當(dāng)API流量策略執(zhí)行點(diǎn)。好的網(wǎng)關(guān)既能幫助驗(yàn)證流量的使用者身份,也能控制和分析API使用情況。如果交易所服務(wù)器是部署在云上的,大部分頭部的云服務(wù)提供商都有API安全網(wǎng)關(guān)解決方案或者第三方的Market Place上可以找到的API安全服務(wù)網(wǎng)關(guān)。
(6)交易所對(duì)API使用應(yīng)加上IP限制,并識(shí)別同一IP使用多個(gè)API可能存在黑客風(fēng)險(xiǎn),要特別注意防止重放攻擊,關(guān)鍵API不允許重復(fù)提交調(diào)用。
DNS劫持
DNS服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù),在DNS查詢中,需要有多個(gè)服務(wù)器之間交互,所有的交互的過(guò)程依賴(lài)于服務(wù)器得到正確的信息, 在這個(gè)過(guò)程中可能導(dǎo)致訪問(wèn)需求被劫持,稱(chēng)為DNS域名劫持(DNS Domain Name Hijacking)。
劫持訪問(wèn)需求有多種方式:
(1)利用路由協(xié)議漏洞,在網(wǎng)絡(luò)上進(jìn)行DNS域名劫持。如BGP協(xié)議漏洞(BGP協(xié)議對(duì)于兩個(gè)已經(jīng)成功建立BGP連接的AS來(lái)說(shuō),基本會(huì)無(wú)條件的相信對(duì)方AS所傳來(lái)的信息,包括對(duì)方聲稱(chēng)所擁有的IP地址范圍),將受害者的流量截獲,并返回錯(cuò)誤的DNS地址和證書(shū)。
(2)劫持者控制域名的一臺(tái)或多臺(tái)權(quán)威服務(wù)器,并返回錯(cuò)誤信息。
(3)遞歸服務(wù)器緩存投毒,將大量有毒數(shù)據(jù)注入遞歸服務(wù)器,導(dǎo)致域名對(duì)應(yīng)信息被篡改。
(4)入侵域名注冊(cè)系統(tǒng),篡改域名數(shù)據(jù),誤導(dǎo)用戶的訪問(wèn)。
上述的攻擊行為都會(huì)將用戶的訪問(wèn)重定向至劫持者控制的一個(gè)地址。使用一個(gè)假冒的證書(shū)讓不明真相的用戶登陸,如果用戶無(wú)視瀏覽器的證書(shū)無(wú)效風(fēng)險(xiǎn)警告,繼續(xù)開(kāi)始交易,就會(huì)導(dǎo)致錢(qián)包里的資金被盜。
安全建議
交易所應(yīng)該采用技術(shù)手段,防止DNS劫持:
(1)選擇安全技術(shù)實(shí)力強(qiáng)的大型域名注冊(cè)商,并且給自己的域名權(quán)威數(shù)據(jù)上鎖,防止域名權(quán)威數(shù)據(jù)被篡改。
(2)選擇支持 DNSSEC的域名解析服務(wù)商,并且給自己的域名實(shí)施DNSSEC。DNSSEC能夠保證遞歸DNS服務(wù)器和權(quán)威DNS服務(wù)器之間的通信不被篡改。
(3)在客戶端和遞歸DNS服務(wù)器通信的最后一英里使用DNS加密技術(shù),如DNS-over-TLS,DNS-over-HTTPS等。
(4)用戶應(yīng)重視網(wǎng)絡(luò)安全,不做不安全的操作,確保錢(qián)包安全。
(5)提高安全意識(shí),不要越過(guò)HTTPS證書(shū)強(qiáng)制訪問(wèn)。
(6)開(kāi)啟HSTS功能。HSTS(HTTP Strict Transport Security)是瀏覽器支持的一個(gè)Web安全策略,如果開(kāi)啟了這個(gè)配置,瀏覽器發(fā)現(xiàn)HTTPS證書(shū)錯(cuò)誤后就會(huì)強(qiáng)制不讓用戶繼續(xù)訪問(wèn)。
(7)使用安全性更高的硬件錢(qián)包。
三、通付盾智能合約審計(jì)(BitScan)
通付盾作為領(lǐng)先的區(qū)塊鏈安全服務(wù)提供商,為開(kāi)發(fā)者提供智能合約審計(jì)服務(wù)。智能合約審計(jì)服務(wù)由自動(dòng)化審計(jì)和人工審計(jì)構(gòu)成,滿足不同客戶需求,獨(dú)家實(shí)現(xiàn)覆蓋高級(jí)語(yǔ)言層、虛擬機(jī)層、區(qū)塊鏈層、業(yè)務(wù)邏輯層四個(gè)方面111項(xiàng)審計(jì)內(nèi)容,全面保障智能合約安全。
智能合約自動(dòng)化審計(jì)在通付盾云平臺(tái)上為用戶提供智能合約進(jìn)行自動(dòng)化審計(jì)服務(wù)。運(yùn)用符號(hào)執(zhí)行、形式化驗(yàn)證等智能合約分析技術(shù),覆蓋高級(jí)語(yǔ)言、虛擬機(jī)、區(qū)塊鏈、業(yè)務(wù)邏輯四個(gè)層面一百多項(xiàng)安全風(fēng)險(xiǎn)檢測(cè)項(xiàng),保障智能合約安全運(yùn)行。
通付盾也為客戶提供高級(jí)別的區(qū)塊鏈安全服務(wù),區(qū)塊鏈安全專(zhuān)家團(tuán)隊(duì)7*24小時(shí)為智能合約提供全生命周期的安全保障,服務(wù)包括:VIP安全審計(jì)服務(wù)、VIP合規(guī)審計(jì)服務(wù)、安全事故應(yīng)急響應(yīng)等。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )