0
购物车中还没有商品,赶紧选购吧!
    易配网手机配件商城 > 易配网文章中心 > 手机新闻 > 【台湾资安大会直击】HITCON创办人徐千洋:一封钓鱼信偷走日本交易所百亿营收,如何挑选
    热销排行榜促销产品

    【台湾资安大会直击】HITCON创办人徐千洋:一封钓鱼信偷走日本交易所百亿营收,如何挑选

    发表时间:2018-03-20 21:45:39, 来源:易配网
    台湾科技新闻:

    「加密货币火红,但成立加密货币交易所,更是近年许多IT人员所热烈讨论的议题。」台湾骇客年会(HITCON)创办人徐千洋15日在台湾资安大会揭露了,加密货币交易所面临的资安风险,更分享如何正确评估加密货币交易所安全性的9项秘诀,他提醒,得好好评估,以免在投资时上当受骗,就像把钱丢到水里。

    徐千洋首先比较3种常见的加密货币交易所类型,第一种是可用法币购买加密货币、加密货币兑换成法币的「法币交易所」。由于法币交易所牵扯到国家货币议题,容易面临法律遵循与监管的问题,这类法币交易所设立门槛高,所以,也出现了「币币交易所」,仅锁定提供加密货币的交易,与既有法令较不冲突。另外还有一种「场外交易所」,这是当有两位用户想要交换货币,又不想透过交易所的场内机制,私下协议后可透过第三方加密货币交易所进行交易,网站的作用是代为保管与支付加密货币。

    徐千洋指出,不少交易所被骇客盯上,传统网站会碰上的安全问题,在交易所依然逃不过。OWASP(The Open Web Application Security Project)2017年归纳出的十大网路资安风险,包括注入攻击、无效身分认证、敏感资料外洩、XML外部处理器漏洞、无效的存取控管、不安全的组态设定、跨站攻击、不安全的反序列化漏洞、使用已有漏洞的元件、纪录与监控不足风险,也都是交易所要面临的威胁。

    不过,他指出,DDoS(分散式阻断服务)攻击更是交易所最害怕的威胁。DDOS攻击者会先测试能否影响交易所,若测试成功,则会发信勒索,恐吓不付勒索金则将瘫痪交易所。另外,钓鱼邮件的威胁也不可小觑,徐千洋提醒,日本知名加密货币交易所Coincheck今年1月底,就是因为内部员工打开了骇客寄来的钓鱼邮件,才让骇客入侵窃取了价值新台币154亿元的加密货币;另外,若内部网站设计架构有问题,再加上客服人员缺乏相关训练,都容易遭骇客诱骗而上当,所以,「强化客服人员的资安意识也是非常重要的环节。」他提醒。

    徐千洋强调,成立加密货币交易所,不只是建立网站加上钱包系统就足够,更困难的是要面对更多资安问题,首先是要考虑能不能因应DDoS攻击,以及机房能不能负荷网站爆量流量。他建议,可将网站、钱包系统通通放上云端,不过,云端也不是万灵丹,仍有其风险,交易所业者需评估自身的产业环境适不适合。另外,业者也可以分散风险,网站系统放上云端,但钱包系统则留在机房,以利就近监控管理。

    对一般有意投资的民众而言,如何挑选加密货币交易所?徐千洋直言,不要上当、不要贪,别一昧为了获利而失去判断,要先看清楚再投资,否则等于把钱丢进水底。

    徐千洋也提供了9项加密货币交易所安全评估建议,可作为投资人挑选时的参考。

    1.先确定交易所是一家合法公司,公司登记所在地最好是开放交易所申请的国家,例如日本、新加坡。

    2.可参考所有交易所当日交易量排名,前20者为佳,名次越前面,可信赖度越高。

    3.联繫交易所客服,以客服的反应来了解公司状况,若不积极或是联络不上都要小心。

    4.透过LinkedIn等类似网站,搜寻公司的经营团队,或是有无招聘资安工程师的讯息,都可从中判别是否为空壳公司。

    5.搜寻新闻,确认交易所是否遭骇,若被骇过1次,其信赖度是可以加分。因为交易所资安出过问题,才会投入更多预算,但若出现2次以上的资安问题,反而要小心。

    6.是否有落实KYC(Know your customer)身分认证,若需要上传照片、护照、身分证,甚至是要求开网路摄影机(Webcam)拍下近照,其信赖分数都会更高。

    7.是否支援双因素身分验证(Two-Factor Authentication),若在登入、提币、开启API时都採用此验证就能更加信赖。

    8.有无参与或提供漏洞悬赏(Bug bounty)计画,意思就是开放全球骇客找漏洞,以利漏洞能够及时修补。此举真正的意义是,这个交易所有专责资安人员,所以,对其信任感可再加分。

    9.确认交易所是否有用CDN(Content Delivery Network)服务或将资料放上云端,若有,服务稳定度会更高,投资人还可透过urlscan.io扫描服务来了解交易所网站做了哪些事情,例如确认是否暗中挖矿等等。

    最后,徐千洋提到,许多的加密货币钱包、交易所都有资安需求,也知道台湾工程师的品质很好,所以都会选择来台湾开交易所,但不见得是要来做生意,而是积极在台找人才。而剑桥大学在一分2017年加密货币交易所的研究报告指出,所有交易所的员工有13%是资安人员,有17%的预算投入资安,显现加密货币交易所对资安的重视。


    手机新闻
    让游戏画面更逼真,DirectX原生支援光线追蹤技术
    越开放越安全,Private Internet Access开源VPN客户端程式码
    CA 、思科、微软等6家业者承诺採用GPLv3,强化开源程式码授权可预测性
    BlackBerry携手微软发表行动企业解决方案
    【台湾资安大会直击】HITCON创办人徐千洋:一封钓鱼信偷走日本交易所百亿营收,如何挑选
    1999元首发索尼IMX576 华为nova 3e发布
    参与调查赢好礼:您打算买vivo X21吗
    OPPO R15未发先火 预约量已突破600万
    HTC Desire 12/12+发布 全面屏水漾设计
    科技6点半:联想发仨新机/果X腮红金曝光
    手机常识&手机技巧
    LG V30手机F1.6摄像头拍照解读 什么是相机光圈
    剪卡器把卡剪坏了怎么办
    剪卡器那个牌子好
    剪卡器使用教程_剪卡器
    安卓手机技巧:如何在安卓手机启用开发人员选项(适用于Google Pixel,Samsung Galaxy S7等)
    iPhone 7手机使用技巧:电容式主页按钮失效可使用虚拟主页按钮
    如何使用苹果iPhone 7手机截图
    安卓7牛轧糖的代码隐藏:虚拟导航按钮可以完全自定义
    三星Galaxy Note 7常见问题解答
    三星Galaxy Note 7手机用户必备:23个Galaxy Note 7使用技巧
    关于易配网
    易搭网:力争打造优质手机配件易搭网购物平台
    深圳市华诚易配电子商务有限公司发展历程
    关于我们-关于深圳市华诚易配电子商务有限公司
    联系我们
    加入我们
    公司资证-深圳市华诚易配电子商务有限公司
    友情链接
    免责条款
    隐私保护
    网站故障报告
    帮助&指南
    如何升级为VIP用户?
    售后保修政策
    配件回购业务
    [测试 已过期] 液晶屏回购参考价格
    优惠券使用
    常见问题
    购物流程
    找回密码
    注册登录
    易配网公告
    品竹-品竹牌子的太阳能无线蓝牙音箱-品竹品牌易配网专卖
    [通知已过期]十一期间业务正常开展
    [测试]中国手机配件网以批发价零售飞毛腿精品商务电池
    [测试]未注册用户 免费领取VIP码
    [测试]内测期间销量超10万
    手机配件促销
    易配网友链合作 手机行业|手机配件行业优化