知道创宇创始人赵伟:安全缺失是造成区块链熊市的重要原因
知道创宇创始人兼 CEO 赵伟
由知道创宇出品的「KCon 黑客大会 2018」将于 8 月 24 日在京召开,KCon 是以「追求干货、有趣」著称的黑客大会;是中国网络安全圈最年轻、最具活力与影响力的前沿网络安全攻防技术交流平台。
赵伟说他高中时候的理想,是成为「全球第一黑客」。很遗憾,他的这个理想并没有实现。不过,好消息是,这位曾经想成为黑客的极客,却创立了中国互联网安全领域最重要的公司知道创宇。
2007 年,赵伟从美国的计算机安全公司 McAfee 离职回国创业,创建了知道创宇。他把公司取名叫「知道创宇」,就是想要让自己和公司都做到知行合一——他解释,「知道」,就是懂得「道」,「创宇」就是创造宇宙,付诸行动。
经过十年的发展,知道创宇已经是国内名列前茅的互联网安全公司,向包括中国人民银行、证监会、中国移动、中石油等最需要计算机安全保护的机构和企业提供着安全服务,更参与了九三阅兵、APEC 大会、G20 峰会等国家级活动的网络安全防护工作。
在区块链领域,这家公司从 2011 年便有涉足,并从 2013 年开始向大型加密资产交易所和比特大陆这些的核心区块链公司提供安全服务。
随着区块链行业呈现出爆发式的增长,与区块链安全相关的隐忧也凸显出来。区块链安全成为该行业最薄弱的环节之一。知道创宇的创始人兼 CEO 赵伟近期与链闻分享了他如何看待目前区块链领域的安全问题,以及该领域的未来发展方向的见解。
提问互动
Q = 链闻 ChainNews
A = 赵伟,知道创宇创始人兼 CEO
Q:区块链安全现在是一个很热门的领域,知道创宇是如何涉足这一领域的?
A: 春江水暖鸭先知。我们在商业这块,能动性是特别大的。我们服务的客户,从「O2O」、到团购、到「P2P」的企业,再到现在的区块链行业,这本身就可以看到一个又一个领域的崛起。
在区块链还没有今天这么热的时候,我们就已经有感觉,也做好了部署。
实际上,我从 2011 年就开始挖矿。2013 年的时候,有了交易所。我们开始为交易所提供服务,确保他们的安全。当时全国百分之八十的交易都由我们来保护的。火币、BTCC、比特大陆,都是我们的客户。然后,出现了各种钱包。钱包多了以后,我们开始保护他们的安全。imtoken、Qbao、Kcash 都是我们来保护的。再接着,出现各种矿池,我们就开始保护矿池、矿机的安全。在这个过程中,我们不断积累对这个行业的了解和技术储备。
Q:区块链安全业务,是如何从零到一做起来的?
A:可以说,我们在区块链安全领域的业务,是和这个行业一同成长的。我们从 2013 年的交易所,到钱包、到矿池、到矿机,再到其他发展出来的领域,我们就是通过这样全网覆盖的方式,在区块链安全领域一步步进行布局,包括了从公链安全、各个平台上发币的安全,再到上币、在交易所里的安全,以及用户持币的安全,形成了一个全套的体系。
现在,很多区块链项目需要上交易所的话,必须要在知道创宇和慢雾(其实慢雾也是知道创宇之前工作的伙伴离开后创业的公司)中选一家进行代码审计。通过了我们的审计,才能上币。这是交易所对我们很强的信任。同时,对于项目本身来说,选择知道创宇进行审核也是一种背书。很多客户会自己发公告,说采用了知道创宇的安全防护,以此来增加信任度。
Q:听说你小时候的理想是做一名黑客?你是如何从一名黑客转变成为一个互联网安全守护者的?
A:首先要解释一下黑客的定义。黑客应该是去突破边界、突破极限的意思,是致力于创建一个系统,去开天辟地,创造一个新的东西,突破之前的领域。但是媒体常常会做曲解,以为就是去攻击别人,攻击网络,其实根本不是这样的。
我家里搞计算机的人挺多,所以我从小就编程,喜欢各种数学相关的智力游戏。我也喜欢看科幻小说。从高中时代,我就立志成为全球第一黑客。在大学期间,我接触到了网络安全,发现网络安全是未来的一种力量。这种力量看不见,但是特别致命。因为你不管是个人还是国家,全社会的数据和资产全都上到互联网上,如果被入侵、被攻击,就全部歇菜了。
后来,我在美国 McAfee 工作过一段时间,客户名声显赫。但是我在国外讲中国计算机安全安全,国外很多人的第一认知总觉我们中国就是「小偷」、「红色黑客」、「间谍」。这让我很不舒服,因此,我觉得还是应该把自己的经验和知识用在国内创业,于是就回国创建了知道创宇这样一个安全公司。
Q:能否简单介绍一下知道创宇目前整体的业务状况?
A : 我们的业务主要有两块:第一块是向是政府及大型国有企业提供安全服务,包括政府机关、大型国企和央企等。我们服务的政府机关包括中国人民银行、纪委、证监会等;企业则包括中国移动、中国电信和中石油等等。此外,我们也会为重大活动执行安全任务,比如九三阅兵、APEC 大会、G20 峰会、互联网大会等大型活动的安全服务由我们提供,提供国家安全级别的安全保障。第二块,则是市场化商业服务,涉及 40 多个大型行业客户,其中体量较大的比如像王者荣耀这一类的大型游戏、媒体平台、电商、视频平台、微信等等。
Q:听上去,知道创宇服务的主要是一些头部机构和企业?
A:其实并不是我们只愿意服务头部企业和机构,而是现实就是,越是头部的企业才会更注重安全。在安全领域很有意思,发展的越大才越需要安全。安全是一个成本问题,攻击者攻击你,取决于你有多大价值。比如你有十块钱的价值,他才愿意用 5 块钱的成本来攻击你。
不过,也有可能,一个行业、一个机构或企业,在没有来得及发展壮大的时候,就因为安全问题而被击垮了,所以企业和项目方也应该明白,他们需要在不同阶段去解决相应的安全问题。
Q:在业务模式上,知道创宇有什么显著特点?
A:云防御是我们的一个显著特点。我们保卫的是云上的资产和信息。在防卫手段上。我们是用云的手段来防护云的安全。 这是高度对抗性的。客户的资料都在云上,我们自己也有个云。我们就像一个部队,向客户输出能力,是对抗式、动态的、主动的安全防御。这使得我们的防御能力,也像云一样,是弹性的、可以扩张的。因此,攻击增长,我们也能防得住。
另外,在在我们体系里,还有两个比较特殊的构成。一个是 Seebug 的社区——这个社区是一个安全漏洞库,在这个社区里,能够了解到现在网络安全世界所有重大的安全漏洞。另一个是搜索引擎,叫做 zoomeye,中文名叫「钟馗之眼」,可以想象为互联网安全界的 Google。
以这两个为基础,再加上云防御体系,我们便能够感知危险,当危险真正发生的时候,就知道该怎么去对付。换句话说,就像一个老中医,看的越多,越有经验。所以我们多年来,做到了零失误。
Q:在区块链安全领域,中国和全球顶尖技术之间存在差距么?
A:从全球来讲,中国整体网络安全和美国还是有差距的。
在区块链领域,则要分开看。全球最大的几个加密资产交易所实际上都是中国人在运营,攻击他们的是全球的黑客,但是保护他们却是我们。在这个领域,我们一直在和全球最顶级的黑客们做对抗。
中国黑客的攻击能力和安全研究能力其实是很强的,美国的安全公司最顶尖的基本都是华人作为首席科学家的。只不过我们的安全市场都是合规性的,就是政府要求什么就是什么,其中利益链错综复杂。
我们想要做的就是有实质目标的事情,去解决客户的安全问题。这就是我们所说的,「侠之大者,为国为民」。
Q:区块链安全领域有哪些痛点?
A:痛点主要分三个方面。首先是区块链自身机制的安全问题,比如智能合约的问题,理论上存在的 51% 攻击已成现实;第二是区块链生态安全问题,如交易所被盗,交易所、矿池和网站被 DDoS 攻击,钱包和矿池面临 DNS 劫持风险,交易所被钓鱼、钱包被盗、各种信息泄露、账号被盗等问题了第三个方面,是使用者的安全问题,像个人管理的账号和钱包被盗、被欺诈、被钓鱼、私钥管理不善、遭遇病毒木马等等。
我认为安全是造成区块链现在熊市的重要原因。为什么区块链上的数字值钱?因为有共识。资产是由数学、由程序来控制的,当发现黑客可以绕过所有程序,随便偷钱的时候,就没有共识,没有信任了。这个时候,资产的价值就是 0 了,就是垃圾。
Q:你个人如何看待区块链产业的发展现状?
A:区块链最大的价值在于用技术来达到共识,是一种真正平等的共识。要达到这个共识虽然有可能耗费能源和其他资源,但是第一次达到能用算法、数学来做裁判,这一切都是值得的,这是生产关系的改变。
此外我相信,比特币在未来会达到它的目标。其实在 20 世纪七、八十年代,就有人提出过数字货币的想法,但是之前的尝试都失败了,比特币第一次在技术上实现了这些想法。
未来,支付系统和价值存储的数字货币将会是分层的,,会分层成为支付系统和交易系统。
另外,对于现在很热门的关于公链的讨论,我的看法是,想在公链上直接提高 TPS 是不现实的,因为共识和提高 TPS 本身是冲突的。换句话说,效率跟安全、共识是冲突的。
Q:在区块链安全方面,知道创宇未来会有什么样的布局?
A: 我们想做一个区块链社区,是一个国际性的社区,这个可以基于我们已有的「SeeBug」社区来操作,大家共享安全信息。我们也在考虑引入公益元素到社区,因为区块链不仅是安全问题和技术问题,还有很多的社会问题。我正在思考具体应该怎么做。
从未,我们发现安全问题以后,会把问题研究的特别透彻,形成一个体系,和项目方合作去做发布。希望能够在深度上,造福区块链行业的发展。我们看到了这些方面的需要。哪里有需求就要往哪里发展,我们要尽可能多的去保护更多的区块链项目。
