查看原文
其他

『回顾』区块链与业务安全的新思考

看雪学院 2019-05-26

从年初到现在,没有人会怀疑区块链技术的火热程度,区块链甚至可能会取代互联网,已经逐渐成为众多技术人员心中的共识。面对区块链技术的日新月异,区块链安全问题逐渐显露出来。

区块链安全,既是传统安全的升级,也是传统安全人员新的机遇。面对区块链安全,讲技术的资料很多,讲实际操作的很少,讲密码学、讲算法的资料很多,讲实际的公链运维、合约审计、漏洞挖掘的却很少。

面对这样的现状,看雪学院决定开设【传统安全x区块链】栏目。

在这个栏目中,有传统安全转区块链的大咖专访,窥探大咖在面对区块链时的心路历程。我们定期输出漏洞成果CVE,分享漏洞详情与挖掘技巧。

在这个栏目中,我们有详细的视频+文字教学, 通过实际操作了解区块链及区块链安全的各种概念。

在这个栏目中,还有志同道合的小伙伴儿们,一起在区块链安全的道路上,开辟新的征程。

接下来,让我们一起来回顾一下【传统安全x区块链】的第一期内容吧!


《区块链业务安全新思考》



闫定国,极验技术研究院,极验资深区块链业务安全专家,主要负责行业研究。

极验是一家基于人工智能的业务安全服务提供商。要为企业提供成熟的业务安全解决方案,对抗黑产,保护企业账户安全,主要客户有华为,小米等全球20万家客户。


业务安全的发展历程

业务安全这个词从2013年才逐渐进入了人们的视野。

随着O2O模式(外卖平台,还是各种家政、维修上门服务),到P2P,从各种网约车、共享单车的兴起到目前出于风口上的区块链行业,可以说互联网每一个大的浪潮都是一次羊毛党发迹的盛宴。不论是那一个行业的兴起都势必经历初期的野蛮生长、商业模式的盲目复制、近乎疯狂的补贴大战。

随着资本的进入动辄千万、上亿级别的烧钱大战,如此大的资本投入所带来的利益空间逐步将羊毛党推向规模化、职业化、专业化,越来越多的企业认识到了业务安全的重要性,同时也出现了越来越多的针对业务安全的第三方服务提供商。


业务安全应该从哪几个层面来做?

现在一般分三个层面

1、威胁情报,提前预警

通过舆情监控(社交工具、暗网、羊毛论坛…)提前发现威胁情报,采取行动,规避风险

2、实时对抗

通过增减风控规则、修改业务逻辑、训练防御模型与灰黑产实时对抗。

3、通过法律途径解决(最有效)

通过取证、团伙定位与警方合作直接抓人,一般目前只有少数几个大厂才有能力。羊毛党已经在资本的推动下变得更加规模化、职业化、专业化。

前不久和一个阿里的朋友聊天,他们之前和警方配合跨两省6个城市抓捕了100多人的淘宝刷单产业链人员,这种事一般小公司,警方懒得理你。


第一张是群控系统,就是很所真实的硬件手机或者平板,第二张是改机软件,可以一键新机(需要手机root之后),可以直接改掉手机品牌、操作系统版本、imei号(安卓手机)、idfaios),通常群控设备和改机软件一起使用,用于批量求改设备信息后注册、登陆等行为。

目前,在国内是几百亿的规模,从业人员有几十万。


这条黑色产业链是如何运作的呢?


产业链


上两张是猫池卡池设备和手机黑卡,他们也是配合使用的,把手机黑卡插到卡池里面,再把卡池接到猫池上,可以同时控制上千个手机卡,一般用于自动接收短信验证码。


这张是批量的身份证还有手持身份证照片成套出售的情况,多用于一些类似于金融或者数字货币kyc比较严格的行业,价格相对较高。

据说现在交易所一个新客户的获客成本,已经达到了几千元。


一般交易所的业务安全的现状如何?

拿fcoin来说

fcoin这个上币规则说白了就是看持币用户的数量,所以fcoin的账号或者对应的地址一度被炒的很高。

之前10万个账号需要10w人民币左右,最近只要2-3万,因为存在很多转卖行为。有的项目方会在购买后转买给其他客户。


行业业务安全现状



在排名靠前的一些短信接码平台,只要收一下关于币的关键字就会出来非常多的项目,直接就可以对接。

搜索bit就出来近20家公司已经被接码平台接过,而且这只是其中一家接码平台。

如果想薅到交易所的羊毛必须注册新手送一些项目方的币,或者投票之类的场景。

主要是账号层面和kyc两方面的问题。

针对这两个层面,解决羊毛党的方法如下:

这个是账号层面的解决思路。

我们这个风控系统就是通过采集用户行为轨迹、ip、手机号、设备指纹等维度,实时给客户打分。业务方可以根据分数作出业务决策。

这个是kyc的解决思路,我们提供完整的解决方案,各种要素认证。


调用公安接口,这个作为合作方还是有很多途径可以调用到的,具体不能透露。


Q&A

粉丝A:这些整套的身份证一般都是怎么来的?可以讲讲吗?

闫定国:其实现在这种方案非常成熟,很多厂商都在提供这项服务;身份证跟人脸实时比对,或者手持身份证进行动态比对,查看是否是同一个人,现在做这种技术的市面上也就那几家厂商,我们也是用的常规的供应商,跟他们签的技术框架协议,然后调用接口来实现的。还要就是有些会跟公安部和运营商也有合作,因为需要用户注册时的手机卡号等信息。

粉丝B:现在区块链进入“冬天”了,对交易所业务影响大吗?

闫定国:很大,主要就是政策方面。国内很多项目都在等政策,搁置了。


粉丝C:你们现在还看好区块链业务吗?未来还会以区块链为重心吗?

闫定国:我们只是一家乙方公司,给客户提供安全解决方案,哪里有羊毛党我们就会在哪里。

每个国家的政策不一样,区块链本身其实是一个非常好的技术,但是大家为了变现周期更快,因此所有的技术都是围绕着数字货币在做,到最后都渐渐演变成割韭菜的情况,因为这样变现最快。本来区块链是非常好的技术,可以用在物流、溯源、取证等等很多方面,如果大家都踏踏实实来做的话,估计会在今后一两年好起来。但是目前所有的点还是围绕在数字货币上。

 


活动预告

10月6日 19点~20点

【传统安全x区块链】公开课第一期《区块链概念入门》

我们不见不散!






去论坛看看!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存