对话EOS漏洞披露亲历者——360伏尔甘负责人郑文彬：关于BM、史诗级、做空、营销

关于“史诗级”的这个提法本身，其实上这也不是我们的发明。这个词翻译自国外安全社区常用的"Epic"一词，国外在形容重大的安全事件、安全漏洞时，经常会使用例如"Epic fail"， "Epic bug" 这样的说法，我们只是借用这个说法。

当然，很多人觉得，“价值百亿美元”的漏洞，可能更贴切，这就见仁见智了，不过“史诗级”，无论从惯例来说，还是从其实际的影响、危害程度来说，都不为过。

Bianews：有文章说到这个漏洞不是区块链独有的漏洞？

郑文彬：这个漏洞不是EOS或者区块链所独有的漏洞，也不是EOS架构上的漏洞， 这种说法没错。但是评判一个漏洞危害与否、影响程度大不大，其实并不是评判它是不是独有的，或者是不是架构级的。

架构级听上去很高大上，但是实际上评判漏洞的影响大不大，就一个原则，那就是这个漏洞他能做什么，有什么危害，这就是我们所说的”Vulnerability Impact" ，这个漏洞影响多大，那么其危害性、级别就应该定多高，这和是不是独有漏洞、是不是构架级漏洞没关系。不是架构级漏洞，只能说不会通过这个漏洞来否定整个EOS网络架构模式，和漏洞有多严重没关系。

Bianews： BM表示大部分漏洞是来源于第三方代码库而非EOS核心代码，您怎么看？且该漏洞并不能改写可执行内存，且不能获得root权限，除非部署节点时就已经是以root用户身份来运行。这个怎么看？

郑文彬：这是对BM在EOS开发者群里的恶意截图和断章取义。

首先，代码来自哪里并不重要，其实很多重大的安全问题，都是因为使用第三方代码库导致的，像安全业界熟知的“心脏出血”等漏洞，都是因第三方代码库导致的。哪里的代码出的问题根本无所谓，重要的是这个代码跑在你的系统里。有本事自己写没问题的代码，出了问题不能甩锅第三方代码。

更何况，EOS漏洞恰恰是EOS在使用第三方代码库的时候出的问题。

第三方代码库，虽然是第三方写的，被EOS复制粘贴了进来，但其实也是在EOS核心组件中，才会有这么严重的问题。

关于可执行内存和root权限，则是他们对于漏洞的误解。

第一，这个漏洞可以获得远程的代码执行权限，这就是最高权限和漏洞做到的最高级别了，不需要什么改写可执行内存；

第二，是否能获取root权限，取决与节点使用什么权限来运行EOSOS，当然，如果节点安全配置合理，那么可能是用户权限而不是ROOT权限，但这丝毫不影响这个漏洞的危害性，也即是说，即使获取不到ROOT权限，这个漏洞一样可以完全控制EOS网络的节点，对EOS网络做任何想做的事，这是因为通过漏洞，攻击者可以获取代码执行权限，就相当于可以和EOS代码一样，对EOS网络、交易、应用、区块做任何想做的事。

Bianews：是不是可以简单理解为传统互联网漏洞执行需要root权限，区块链因为很多节点构成且同步，所以只要有节点权限就行了？

郑文彬：传统互联网也不一定需要root权限。我们在演示测试的机器上用了root权限运行，BM一开始看到了这点想借此反驳，但是其实找错了重点。

将遵循安全社区准则和操守

Bianews：有人称，360在公告中夸大了漏洞的危险，有做空EOS 的嫌疑，您怎么看？昨天360团队称会有职业操守，具体实践中该如何保证？

郑文彬：关于做空，我前面已经提及。绝不可能是做空，要做空不留到上线再做空？我觉得这么想的无疑是蠢。

我们遵循负责任的漏洞报告流程，报告，修复，通报，这就是职业操守。就像很多人说的，完全可以等到上线了报，这无论是做空还是营销，都极为合适，而且合法。

但我们是安全公司，遵循安全社区的准则和操守，也是为了促进社区和区块链的安全，才去按流程做，甚至很多时候都是默默贡献不对外，比如我们之前发现了那么多钱包、矿池、智能合约的漏洞，也没有大张旗鼓对外宣传，这次的漏洞确实影响严重，所以才发布公告（使用的措辞和表达，也是严谨、合理、理性和精准的），是希望引起区块链、数字货币领域对漏洞，尤其是新型高危漏洞的关注，最终是为了增进安全性、保护用户。

会与区块链社区加强沟通，更好披露漏洞

Bianews：有说法称360想与EOS合作，但被拒绝，是否有此事？ 为什么选择参与EOS节点竞选的老猫、欧链作为合作伙伴？

郑文彬：这个问题老周回答过，我们和EOS没有直接的合作，也没有所谓被拒绝的事，纯属瞎编，我们现在漏洞报告、给他们提供安全建议上，都有很多沟通。不存在什么被拒绝之类的事。

Bianews：老周说未来会基于区块链安全生态推出三个系统，区块链生态安全解决方案，这块是安全团队负责吗？还是一个区块链的单独部门？除了围绕区块链安全，360是否会亲自做区块链项目？

郑文彬：这块我们有专门的安全团队负责，可以参考bcsec.360.cn。

Bianews：最后，跟互联网不同，区块链漏洞跟币情相关，影响到诸多用户，今后在披露漏洞时，会不会有更好的机制？简单概括下区块链安全跟pc、互联网、物联网安全的不同，需要注意的地方，谢谢。

郑文彬：漏洞披露这块，无论是互联网还是区块链，都会影响到很多用户，方方面面，并没有什么不同，尤其现在万物互联，漏洞对普通人、对民生国情有了更深入的影响。比如之前“永恒之蓝”病毒，让很多医院加油站停业，职能单位瘫痪，也不一定就比虚拟货币的一点涨幅影响来得小。

现在在安全业界，我们采用负责任的披露、合作的漏洞披露模式等，都是有现成的流程和准则的，我们会和区块链社区有更多的沟通和理解，更好地披露漏洞。

区块链和PC、互联网、物联网这个话题比较大，简单来说，它们（包括人工智能）也都是代码组成（包括固件、硬件的代码），只要是人编写的代码就会有安全问题。需要做的就是加大对安全问题的正视、重视、关注和投入，才能避免更多问题。

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!