近期,在网络上火必裁员的文章和言论引发行业热议,根据火必员工维权群里流出的截图显示,一些在火必任职技术岗位的员工扬言要通过“删库”、“植入恶意代码”等偏激方式来向公司索赔,某些推特大V也顺势引导平台安全风险。在这里,我们暂不去对火必裁员和员工维权等事件做任何评论,对于用户来说,最为关心的还是平台安全问题,因为这直接关系到我们的资产安全。
为了探究真相,我们采访了一位曾在Huobi任职5年以上的技术安全大牛为我们解答疑惑,究竟这番舆论风波是否会影响平台的安全性?
1、工程师是否可以植入恶意代码到生产系统?
包括火必在内的大型交易平台,其研发流程往往是研发根据产品需求编写程序代码,然后提交给测试人员进行完整的功能性测试。测试验证通过后,提交到公司的安全审计部门进行代码审核。审核通过后这次变更才会被发布到线上。上边提到的的每个环节都是由系统进行卡控,仅凭单独个人是无法绕过整个流程体系完成代码变更上线,更不要说植入恶意代码。所以即使个别人存在植入恶意代码到生产系统的想法,除非他能够说服从研发到测试再到安审等所有流程环节的关键节点审核人,才能将恶意代码植入到上线产品中,就可行性来看难度较大,除非该维权员工在火必身居要职,处在核心高管团队之中,具有以上所提到的所有部门的调用权限。但在这个关键时刻,显然火必会进一步强化整个流程环节的管控,发现任何异常都会格外警惕,目前难度不亚于破解层层防守的地下金库中然后悄无声息取走全部黄金。
第五届CCF中国区块链技术大会在无锡举行:2月12日消息,2月10日至12日,第五届CCF中国区块链技术大会在无锡市举行。大会由中国计算机学会主办,中国计算机学会区块链专业委员会、上海交通大学、无锡市委网信办、无锡锡东新城商务区管理委员会、无锡市区块链高等研究中心联合承办,无锡学院、中科云海智能技术实验室协办。
大会以“新应用 新赋能 新生态”为主题,邀请到超过50位演讲嘉宾,其中既有区块链学术领域的高校教授,也有业界应用领域的权威专家,共同探讨区块链技术新进展、区块链安全与Web3、区块链隐私保护与监管、区块链数字资产交易、区块链与密码学以及区块链领域人才培养等热点话题。
会上还发布了《CCF区块链专委会区块链高水平学术期刊和学术会议目录》《CCF区块链学术研究白皮书》和《无锡市政务区块链创新应用指南》。“无锡市区块链高等研究中心-无锡学院人才实训基地”也在大会上揭牌。一批区块链产业链上下游的优质企业在会上与锡东新城商务区签约,将落地区块链项目,逐渐形成一个富有竞争力的区块链产业共同体。(新华网)[2023/2/12 12:02:05]
2、DBA(数据库管理员)是否可以删库跑路?
动态 | 区块链等技术大大提高链金融业务效率和服务水平:据中国新闻网消息,5月9日,在北京发布的《2018智能反欺诈洞察报告》显示,通过大数据、云计算、人工智能、区块链等最新互联网技术,金融平台能获得更丰富精准的信息采集来源;更个性化、定向化的风险定价模型;更科学严谨的投资决策过程;更透明公正的信用中介角色等,从而大大提高金融业务效率和服务水平。[2019/5/10]
数据库是生产环境链路中关键的基础设施之一,数据库稳定性决定着生产服务是否可持续运行,从我在Huobi的经验来看,火必针对数据库可用性、数据安全性与一致性做了很多工作,其数据库管理主要通过如下几个角度保证安全性:
l安全与审计层面:
DBA登陆生产环境数据库服务器,需要先登陆内网VPN(公司外部人员无法通过普通网络访问),再通过堡垒机(运维安全审计系统,用来控制哪些人可以登录哪些资以及录像记录登录资产后做了什么事情)接入生产环境服务器,所有生产执行的操作可被审计。堡垒机记录所有生产环境操作记录的日志与录像,DBSOS自助服务平台对生产数据库DDL(数据定义语言),DML(数据操纵语言)变更操作记录日志,可被审计,堡垒机与DBSOS日志同步到安全团队进行审计。
声音 | Joseph Young:加密技术大幅降低转账费用是一项杀手级应用:加密货币分析师Joseph Young今日发推表示:本周,价值1.83亿美元的以太坊资产即时转账费用为0.06美元;上周,价值1.94亿美元比特币资产转账手续费为0.1美元。而使用银行转账100万美元要花费1万美元。这是目前加密技术运作的一项杀手级应用。[2018/10/22]
因此,任何人对DBA数据库做变更行为都是一定会被审计和监管觉察到的。
l可用性层面:
MySQL(关系型数据库管理系统)、Redis(远程数据服务)、TiDB(分布式NewSQL 数据库)部署采用多AZ(Available Zone,是指由腾讯云对象存储推出的多 AZ 存储架构)、多副本部署,降低单AZ故障带来的影响与数据安全问题MySQL作为生产环境主要存储介质,采用增强半同步保证Master(主redis)与Replica(master实时数据的复制)的数据一致性,MySQL与Redis均保证 < 15s完成故障切换。
动态 | Facebook将参展ChinaJoy与全球区块链应用与技术大会同展区:7月12日讯,2018全球区块链应用与技术大会三点钟峰会将于2018年8月4日-5日在上海浦东嘉里大酒店举行。Facebook作为全球拥有逾22亿用户的互联网巨头,首次参展ChinaJoy BTOB展区参展ChinaJoy备受关注,或将与BATCon 共同成为本届ChinaJoy最大亮点。[2018/7/12]
l数据库备份与恢复层面:
具有完善的可调度的自动化数据库备份系统与binlog——记录所有数据库表结构变更(例如CREATE、ALTER TABLE…)以及表数据修改(INSERT、UPDATE、DELETE…)的二进制日志备份系统,所有集群每天一份全备份,备份数据上传到分布式存储,可恢复近15天任意时间点数据。为了保证备份的有效性,建立自动还原检测系统,每周定期对备份进行还原,生成还原报告,除上述自助恢复检测外,DBA不定期对数据库进行故障节点通过备份恢复
l生产环境数据变更层面
所有数据与表结构变更需求通过内部审批体系,SQL(Structured Query Language
,结构化查询语言)提交到自助平台,经过平台的审核规则检测,审核通过后由DBA点击执行。所有通过自助平台进行数据变更操作,默认生成回滚SQL,以便可以最快恢复到执行前状态。自助平台工单产生的日志同步到安全组进行审计
过往情况来看,Huobi全年的数据存储服务SLA (服务等级协议)<= 99.999%,SLA的概念,对互联网公司来说就是网站服务可用性的一个保证,9越多代表全年服务可用时间越长服务更可靠,停机时间越短,反之亦然,主流互联网公司表现较好都是99.99%,所以,DBA删库跑路造成不可逆的影响和用户资产丢失的空间和可能性基本上是不存在的。
3、工程师是否可以导致不可恢复的系统宕机?
不会,火必的工程师只有将通过审核的代码权限发布到线上的权限,没有停止和下线的服务的权限。并且针对的所有服务的可用性公司有7X24小时的实时监控及服务质量的巡检机制,发现有异常服务可以迅速处理。
4,工程师是否可以删除整个系统代码?
不会。火必研发使用了业界主流的代码管理工具(git),有完整的备份在云端。git是一个去中心化的代码版本管理工具,每个负责相应模块的工程师电脑上都有完整的备份代码,甚至每一次的代码变更记录都会记录。
最后:
从职业上讲,IT技术人员删库跑路以及植入恶意代码的行为严重有违职业道德,且投入产出比为基本为零。任何一个员工如果做过类似的事情,将不会有任何雇主敢雇佣有过类似行为的员工。作为一个心智稍微正常、长期靠技术吃饭的IT从业者,没有必要上自己将来的全部职业生涯做出这种损人不利己的行为。
当然了,由于我个人不是法律专家,这里不谈可能会面临的严厉法律制裁。
蜂区块
个人专栏
阅读更多
金色财经
金色早8点
澎湃新闻
Odaily星球日报
Arcane Labs
深潮TechFlow
欧科云链
链得得
MarsBit
BTCStudy
在现有的主流区块链网络中,由于自身吞吐量的限制,在使用量激增的情况下,使用户不得不支付相当多的 Gas 费用,同时共识机制带来的高延迟,也大大影响了应用的响应速度.
1900/1/1 0:00:00引言:像《黑暗森林》这样的全链游戏已经证明,你可以把游戏逻辑都放在链上,且由于其具有无许可的互操作性,鼓励了社区创造新工具、联盟和 DAO 等等.
1900/1/1 0:00:00作者:Crypto Nova, 加密KOL 编译:Felix, PANews地址为“0x7431931094e8bae1ecaa7d0b57d2284e121f760e”的是有史以来最赚钱的鲸鱼.
1900/1/1 0:00:00扎克伯格最近成了全球焦点,关于他的新闻报道似乎无处不在。小扎先是因为Meta即将上线的社交平台Threads和推特过于相似,遭到了推特老板马斯克的线下约架.
1900/1/1 0:00:00撰写:Ignas编译:深潮 TechFlowDeFi 世界有什么新事情正在发生?每个月我都会跟随资金来寻找答案.
1900/1/1 0:00:00来源:福布斯编译:比推BitpushNews Mary Liu全球最大的加密货币交易所币安(Binance)正在努力保住资产.
1900/1/1 0:00:00