为什么安全是比特币最大的障碍
时间:2014-10-21 来源:巴比特 作者:少平
比特币可能有一天促成一个不再依靠中心化机构的金融世界,民众的钱使用密码学保证安全,免于窥探和盗窃。但这个梦想受到了威胁,因为我们的电脑太容易遭到黑客攻击,现在,黑客对普通人的威胁要大于政府各种罪恶对普通人的威胁。 ---- 今年发生了两起威胁到整个互联网的安全问题,造成了非常严重的影响,以至于非专业人士都知道了。第一次发生在四月份,广为使用的密码学软件OpenSSL的“HeartBleed”(心脏流血)事件。最近的一次是Bash自身的“ShellShock”问题,Unix及其衍生系统(包括OSX和像安卓这样的手机操作系统)上的命令行软件都受到了影响。这是我记忆中的影响最广和最恶劣的安全问题。在某些情况下,这两个安全问题将使得外部攻击者获得你的电脑或者手机的权限,对你的设备进行任何操作。 安全造成了许多问题(隐私问题,例如最近明星照片大规模地被盗取,和公司间谍行为),但是它影响最严重的领域是比特币,它可能成为了比特币的最大的障碍。我不是在谈论比特币被广泛使用的问题,能否被广泛使用的关键在于比特币软件的易用性以及商家是否使用。 我谈论的是比特币的“梦想”:比特币可能有一天促成一个不再依靠中心化机构的金融世界,民众的钱使用密码学保证安全的,免于窥探和盗窃。但是,现在这个梦想受到了威胁,因为我们使用的电脑太容易遭到黑客的攻击。中心化系统的优势是,当发生错误或者发生盗窃时,如果他们能够正确评估系统,系统的管理者可以进行干涉,纠正错误。如果你的信用卡丢失了,实际上你不用太担心丢失个人储蓄。但比特币和密码学货币不是这种情况。因为这个系统是去中心化的,没人会听到你的请求,纠正你的错误。比特币是一种没有保护栏的货币,没有第二次选择机会。如果你输错了小数点或者收款人地址,向错误的地址发送了价值30万美元的比特币,就只能自认倒霉了。 虽然误发货币的行为可能通过在终端软件内置更好的保护解决,但是盗窃问题更加致命。像人们生成脑钱包存在的密码可被猜出问题,可以通过教育的手段解决,但是,正如ShellShock漏洞所表明的,我们日常使用的电脑存在太多的安全问题。 我的一个朋友,他以前是黑客和计算机安全专家,差点被大学开除,因为他能够修改每个学生的分数。他过去还通过寻找和报告开源视频游戏软件的安全问题,进行自娱自乐。其中一个安全问题是开源的DOOM客户端的写缓冲器不受保护。报告这个问题以后,在几个月的时间内,他通过控制互联网上不同的DOOM服务器和玩地下城主(产生大量原本游戏中没有的怪兽,任意分发武器和改变地图)进行娱乐,直到这个漏洞被修补好。 当然,这是良性的黑客行为,但是可怕的地方在于这种黑客行为并不是特别困难–我的朋友并不是天才,全世界有数以千计的人能够发现软件缺陷,这些缺陷(包括HeartBleed和ShellShock这样的致命缺陷)存在许多软件中。如果一个非常厉害的黑客打算入侵你的手机或者电脑,他们肯定能够得手。即使没有针对你的攻击者,如果你使用了一个不安全的应用,你的电脑也能够被恶意软件控制。被广泛使用的系统没有用沙箱保护内存的,这意味着一个程序可以自由地干涉系统的其它方面,访问它原本不该访问的资源。现在已经存在盗取比特币的恶意软件,当越来越多的人开始使用比特币,这个问题将更加严重。当对恶意软件的制作者来说,盗取比特币比发送垃圾邮件更加有利可图时,我们将不得不遭遇这个问题。 对于这个问题,我们应该做些什么呢 多重签名密码学技术可以解决部分问题,例如BitPay开发的CoPay软件。如果进行大额交易时,需要你的个人电脑和手机才能完成,这样的话至少可以保护你免于恶意软件的攻击:能够同时攻击你的电脑和手机的攻击者打算抢劫你,这是个小概率事件,威胁要小些。虽然这种保护方法并不完美。 现在,大多数人–至少是那些不关心比特币梦想的人–最好使用建立在比特币之上的中心化服务,它们会提供一些传统银行提供的服务。现在,比特币“网页钱包”(更加准确的称呼是“比特币银行”,虽然用户不喜欢这样称它)对除了狂热的自由主义者以外的大多数比特币用户是更好的选择。现在,黑客对普通人的威胁要大于政府的各种罪恶对普通人的威胁。如果比特币的梦想想要实现,必须做出改变。 |