近期,在網絡上火必裁員的文章和言論引發行業熱議,根據火必員工維權群里流出的截圖顯示,一些在火必任職技術崗位的員工揚言要通過“刪庫”、“植入惡意代碼”等偏激方式來向公司索賠,某些推特大V也順勢引導平臺安全風險。在這里,我們暫不去對火必裁員和員工維權等事件做任何評論,對于用戶來說,最為關心的還是平臺安全問題,因為這直接關系到我們的資產安全。
為了探究真相,我們采訪了一位曾在Huobi任職5年以上的技術安全大牛為我們解答疑惑,究竟這番輿論風波是否會影響平臺的安全性?
1、工程師是否可以植入惡意代碼到生產系統?
包括火必在內的大型交易平臺,其研發流程往往是研發根據產品需求編寫程序代碼,然后提交給測試人員進行完整的功能性測試。測試驗證通過后,提交到公司的安全審計部門進行代碼審核。審核通過后這次變更才會被發布到線上。上邊提到的的每個環節都是由系統進行卡控,僅憑單獨個人是無法繞過整個流程體系完成代碼變更上線,更不要說植入惡意代碼。所以即使個別人存在植入惡意代碼到生產系統的想法,除非他能夠說服從研發到測試再到安審等所有流程環節的關鍵節點審核人,才能將惡意代碼植入到上線產品中,就可行性來看難度較大,除非該維權員工在火必身居要職,處在核心高管團隊之中,具有以上所提到的所有部門的調用權限。但在這個關鍵時刻,顯然火必會進一步強化整個流程環節的管控,發現任何異常都會格外警惕,目前難度不亞于破解層層防守的地下金庫中然后悄無聲息取走全部黃金。
第五屆CCF中國區塊鏈技術大會在無錫舉行:2月12日消息,2月10日至12日,第五屆CCF中國區塊鏈技術大會在無錫市舉行。大會由中國計算機學會主辦,中國計算機學會區塊鏈專業委員會、上海交通大學、無錫市委網信辦、無錫錫東新城商務區管理委員會、無錫市區塊鏈高等研究中心聯合承辦,無錫學院、中科云海智能技術實驗室協辦。
大會以“新應用 新賦能 新生態”為主題,邀請到超過50位演講嘉賓,其中既有區塊鏈學術領域的高校教授,也有業界應用領域的權威專家,共同探討區塊鏈技術新進展、區塊鏈安全與Web3、區塊鏈隱私保護與監管、區塊鏈數字資產交易、區塊鏈與密碼學以及區塊鏈領域人才培養等熱點話題。
會上還發布了《CCF區塊鏈專委會區塊鏈高水平學術期刊和學術會議目錄》《CCF區塊鏈學術研究白皮書》和《無錫市政務區塊鏈創新應用指南》。“無錫市區塊鏈高等研究中心-無錫學院人才實訓基地”也在大會上揭牌。一批區塊鏈產業鏈上下游的優質企業在會上與錫東新城商務區簽約,將落地區塊鏈項目,逐漸形成一個富有競爭力的區塊鏈產業共同體。(新華網)[2023/2/12 12:02:05]
2、DBA(數據庫管理員)是否可以刪庫跑路?
聲音 | 云南省委常委:希望企業積極運用區塊鏈等技術大力發展大健康等新興產業:金色財經報道,云南省委常委、市委書記、滇中新區黨工委書記程連元表示,昆明市和云南滇中新區將全力支持昆鋼搬遷轉型升級項目,希望企業早謀劃、早行動,積極運用互聯網、區塊鏈等技術,通過產業嫁接、技術提升、資產重組等方式加快轉型升級,大力發展大健康等新興產業,走高質量發展之路。[2020/2/12]
數據庫是生產環境鏈路中關鍵的基礎設施之一,數據庫穩定性決定著生產服務是否可持續運行,從我在Huobi的經驗來看,火必針對數據庫可用性、數據安全性與一致性做了很多工作,其數據庫管理主要通過如下幾個角度保證安全性:
l安全與審計層面:
DBA登陸生產環境數據庫服務器,需要先登陸內網VPN(公司外部人員無法通過普通網絡訪問),再通過堡壘機(運維安全審計系統,用來控制哪些人可以登錄哪些資以及錄像記錄登錄資產后做了什么事情)接入生產環境服務器,所有生產執行的操作可被審計。堡壘機記錄所有生產環境操作記錄的日志與錄像,DBSOS自助服務平臺對生產數據庫DDL(數據定義語言),DML(數據操縱語言)變更操作記錄日志,可被審計,堡壘機與DBSOS日志同步到安全團隊進行審計。
動態 | 比特幣鯨魚利用SegWit技術大額轉賬4萬枚 僅收取3.93美元手續費:據The Next Web消息,5月1日比特幣鯨魚賬戶“Loaded”大額轉賬4萬枚BTC,僅收取3.93美元手續費。據悉,“Loaded”賬戶為比特幣老派投資者,此前因在論壇BitcoinTalk發帖而聞名,其多年來一直擁有4萬枚BTC,并且沒隔一段時間就會移動該筆BTC。經查詢,此次交易的比特幣地址以“bc1”開頭,意味著其使用了隔離見證(SegWit)技術,且該筆交易只收取了0.00074227 BTC(約合3.93美元)手續費。
此前消息,5月1日17:20分左右,比特幣出現單筆4萬枚BTC轉賬。bc1q9s開頭的地址向bc1q5s開頭的地址轉入4萬枚BTC,價值約2.14億美元。經查詢發現,該接收地址目前排名比特幣富豪榜第22位,且目前為止只發生過該筆交易,轉出地址目前余額為零。這4萬枚BTC最初是在2012年9月21日由1.5萬枚和2.5萬枚BTC合并而成,此后經歷多次轉移,并于2018年1月27日轉入bc1q9s開頭的地址,最后于5月1日悉數轉出。[2019/5/2]
因此,任何人對DBA數據庫做變更行為都是一定會被審計和監管覺察到的。
中國不良資產行業聯盟金融與法律研究院研究員莫開偉:當局應借助區塊鏈技術大力發展加密貨幣,將其引向健康運行軌道:中國不良資產行業聯盟金融與法律研究院研究員莫開偉認為,當前對比特幣和區塊鏈的正確態度是:全世界應加強聯系與溝通,建立全球范圍內的監管框架,各國貨幣當局應借助區塊鏈技術大力發展加密貨幣,通過區塊鏈技術將加密貨幣向全球推廣創造條件,將其引向健康運行軌道。[2018/3/5]
l可用性層面:
MySQL(關系型數據庫管理系統)、Redis(遠程數據服務)、TiDB(分布式NewSQL 數據庫)部署采用多AZ(Available Zone,是指由騰訊云對象存儲推出的多 AZ 存儲架構)、多副本部署,降低單AZ故障帶來的影響與數據安全問題MySQL作為生產環境主要存儲介質,采用增強半同步保證Master(主redis)與Replica(master實時數據的復制)的數據一致性,MySQL與Redis均保證 < 15s完成故障切換。
l數據庫備份與恢復層面:
具有完善的可調度的自動化數據庫備份系統與binlog——記錄所有數據庫表結構變更(例如CREATE、ALTER TABLE…)以及表數據修改(INSERT、UPDATE、DELETE…)的二進制日志備份系統,所有集群每天一份全備份,備份數據上傳到分布式存儲,可恢復近15天任意時間點數據。為了保證備份的有效性,建立自動還原檢測系統,每周定期對備份進行還原,生成還原報告,除上述自助恢復檢測外,DBA不定期對數據庫進行故障節點通過備份恢復
l生產環境數據變更層面
所有數據與表結構變更需求通過內部審批體系,SQL(Structured Query Language
,結構化查詢語言)提交到自助平臺,經過平臺的審核規則檢測,審核通過后由DBA點擊執行。所有通過自助平臺進行數據變更操作,默認生成回滾SQL,以便可以最快恢復到執行前狀態。自助平臺工單產生的日志同步到安全組進行審計
過往情況來看,Huobi全年的數據存儲服務SLA (服務等級協議)<= 99.999%,SLA的概念,對互聯網公司來說就是網站服務可用性的一個保證,9越多代表全年服務可用時間越長服務更可靠,停機時間越短,反之亦然,主流互聯網公司表現較好都是99.99%,所以,DBA刪庫跑路造成不可逆的影響和用戶資產丟失的空間和可能性基本上是不存在的。
3、工程師是否可以導致不可恢復的系統宕機?
不會,火必的工程師只有將通過審核的代碼權限發布到線上的權限,沒有停止和下線的服務的權限。并且針對的所有服務的可用性公司有7X24小時的實時監控及服務質量的巡檢機制,發現有異常服務可以迅速處理。
4,工程師是否可以刪除整個系統代碼?
不會。火必研發使用了業界主流的代碼管理工具(git),有完整的備份在云端。git是一個去中心化的代碼版本管理工具,每個負責相應模塊的工程師電腦上都有完整的備份代碼,甚至每一次的代碼變更記錄都會記錄。
最后:
從職業上講,IT技術人員刪庫跑路以及植入惡意代碼的行為嚴重有違職業道德,且投入產出比為基本為零。任何一個員工如果做過類似的事情,將不會有任何雇主敢雇傭有過類似行為的員工。作為一個心智稍微正常、長期靠技術吃飯的IT從業者,沒有必要賭上自己將來的全部職業生涯做出這種損人不利己的行為。
當然了,由于我個人不是法律專家,這里不談可能會面臨的嚴厲法律制裁。
蜂區塊
個人專欄
閱讀更多
金色財經
金色早8點
澎湃新聞
Odaily星球日報
Arcane Labs
深潮TechFlow
歐科云鏈
鏈得得
MarsBit
BTCStudy
重新獲得對 Web 的控制在歷史的大部分時間里,互聯網沒有原生貨幣——只有通往國家貨幣體系的門戶。隨著加密貨幣的出現,這種情況發生了變化。現在,這種貨幣需要整合到網絡上.
1900/1/1 0:00:00在“第三屆元宇宙教育前沿峰會”上,元宇宙教育實驗室學術委員會主任、著名經濟學家、橫琴數鏈數字金融研究院學術與技術委員會主席朱嘉明以《科技狂飆突進時代和教育元宇宙——基于2022年的實證性觀察和思.
1900/1/1 0:00:00原文:《Can oracles double as co-stakers? How RAI-like systems might safely support staked ETH》by Vit.
1900/1/1 0:00:00原文作者: 加密 KOL Mesky原文編譯:0×214,BlockBeatsOpFi 和 DPX 是什么?從鏈上期權采用到整個 DeFi 賽道.
1900/1/1 0:00:00作者:澎湃新聞記者 王蕙蓉加密貨幣過冬:市值一年蒸發超1.4萬億美元,頭部機構接連暴雷2022年,加密行業面臨寒冬,加密貨幣市場總價值大量縮水,降逾1.45萬億美元,期間多家加密公司接連倒塌.
1900/1/1 0:00:00撰文:肖颯法律團隊 據悉,南方某省市場監督管理局、宣傳部、網信辦、工信廳、文旅廳、商務廳、廳、金融局、稅務局、通信局聯合發布:《關于加強數字藏品風險監管工作的通知》(以下簡稱《通知》)對省內.
1900/1/1 0:00:00