🔥【實際接觸投資人隨筆—隼先生】

BigEcon在前天9/26接受企業邀請授課
同時視訊連線與新北、桃園、台中、台南、高雄
進行「投資市場全解密 投資新手大補帖」課程
經過這次有些心得想跟大家分享😊

BigEcon 平時是以線上交流的方式，針對總經理論、金融商品、實務市場分析，在各平台提供圖文、文章、podcast給投資人，尤其是散戶、小額投資人。

事實上，以身處在法人機構或站在一個有財務學專業背景的人來說，有時對於實務市場上的散戶投資人其實經常輕言帶過，雖非常知悉他們的交易行為及心理，但始終卻隔層紗，而不算是親眼見證，僅能在網路論壇、日常接手Case的持股績效，從中分析窺見一斑，畢竟日常接觸的投資人，也大多數被我苦口婆心地嘮叨著，往往會比較少出現典型散戶行為，因此這次的實際講座的機會讓我對於「散戶」這兩個字，多了些溫度跟實感。

以最近的DR股炒作風波為例，隼先生幾次提到，漲到後來嚴重溢價，已經是嚴重投機性質的賭博商品，有各種原因、證據可以說明，往往投資人並非不能理解，而是沒有專業管道去認知問題所在，在當天講座結束後，我偶然聽見一個聽眾正在與工作人員談論當前投資問題，我隨口問了一句: 「妳該不會手上有DR股吧?」，沒想到還真的有!!

我當下其實百感交集，因為就專業分析來說，DR股中實戶、大戶一定是要角，伴隨著相當多散戶的湧入，這都是可以輕易研判出來的，因此這樣類似統計抽樣調查下，持有DR股的出現機率應該相當高，但從真情實感的人口中說出有，而且似乎還想要持續操作下去的感覺時，當下還是有些無法置信，平常用「散戶」二字帶過的群體，如今實際接觸到。立即很憂心地，開始建議他後續的方向，當然用了簡單的iPhone做為舉例，清楚地說明溢價實質上是多麼瘋狂的…也希望至少在當下能幫助到這位投資人，不過所謂投資專業還是必須要長期累積學習的，並且從實務投資之中與專業人士共同討論，會是更好的方向。

隼先生往往在出文章、Podcast，多是抱持著展現專業的心態來製作，如今似乎多了些責任與傳遞資訊的渴望，也真心希望，只要是願意學習專業的投資人，能真正因為這些作品，皆有所受益。並且在關注議題上，不只是針對實務投資給予明瞭確立的研判，也增加投資哲學或新手盲點、散戶熱門議題解讀，讓受眾可以從中成功學習到專業。

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

[好文] 20 種很棒的 Raspberry Pi 應用（附簡易中文翻譯）

原文連結： https://www.makeuseof.com/tag/different-uses-raspberry-pi/

Raspberry Pi 是一種價格低廉的「開發板」(根據配備與規格的不同，一片 NT$1000~NT$3000 左右）。它可以安裝 Linux，用來當成文書機。也可以用它暴露出來的「通用輸出入針腳（GPIO, General-Purpose Input/Output）」，寫程式來做各種自動控制專案。對於想入門「嵌入式程式設計」領域的朋友，是一個很好的起點。

國外網友整理了 20 種 Raspberry Pi 很棒的應用，如果您也不曉得 Raspberry Pi 可以拿來做什麼用，不妨來看看吧！

為了不太看英文的朋友，我特別簡單翻譯了一下。原文每項都有詳細的圖片或影片介紹，以及超連結教大家怎麼「做到」，很推薦大家去看看喔！

1. 作為「桌機」（Desktop PC）
裝了 Linux 後，便可以當成簡單的文書機。

2. 作為「無線列印伺服器」（Wireless Print Server）
對於某些沒有內建 Wi-Fi 的印表機，可以當這些老式印表機的無線網路接收器。

3. 作為「AirPrint 伺服器」
這是蘋果電腦所使用的「無線列表機連線協定」。如果您不想自己買一個，也可以嘗試自己做一個喔！

4. 作為「媒體播放器」（Media Center）
Raspberry Pi 安裝 Linux 後，就可以做為媒體串流伺服器，將您存在電腦上的影片，投射到家中具有 HDMI 接口的大電視上。可高達 1080p 高解析度喔！

5. 作為「遊戲模擬器」（Retro Gaming Machine）
可在 Raspberry Pi 上安裝各種遊戲模擬器（紅白機、PS...），並下載各種懷舊遊戲的 ROM 檔案，裝上手把，就可以回味您的青春了。

6. 作為「Minecraft 遊戲伺服器」（Minecraft Game Server）
「Minecraft」台灣暱稱為「麥塊」，是一款可以「挖寶、探險、建築」的遊戲。也有些專家很推薦讓小朋友玩，培養 3D 空間的感覺。我兒子也蠻愛玩的... XD 如果你不想花錢去加入官方的「麥塊伺服器」，不妨自己架設一個囉！

7. 機器人控制（Robot Control）
如果想做機器人，那 Raspberry Pi + 另一塊開發板「Arduino」，應該是你的首選。把 Raspberry Pi 當成「大腦」，執行智慧判斷。把 Arduino 當成「神經系統」，負責控制四肢。您的機器人就會活靈活現的了！

8. 製作「定格動畫」（Stop Motion Camera）
Raspberry Pi 也搭配一個小型的攝影機。如果您想製作「定格動畫」（移動一下拍一張，然後連續播放。如：粘土人動畫），這邊有寫好的程式碼，以及教你怎麼組裝喔！拼一拼就有一台「定格動畫專用攝影機」了！不必花大錢買！

9. 縮時攝影機（Time Lapse Camera）
雖然您的 iPhone 也能拍縮時攝影...但您要拍的縮時攝影若是在戶外，且時間長達好幾個月（如：觀察花卉開花過程），您會把 iPhone 丟在野外幾個月嗎？不會吧？這時便宜強大的 Raspberry Pi + 行動電源就可以派上用場了！有簡便程式碼，並且教你怎麼安裝喔！

10. FM 收音機（FM Radio Station）
Raspberry Pi 也能架設 FM 接收台喔！你可以把它當成一部收音機，接上喇叭，就是一台簡易的 FM 收音機了。

11. Web 伺服器
Raspberry Pi 也可以安裝 Web 伺服器，讓你在家裡就能架設網站，不必去跟外面買空間、繳月費。

12. Twitter 機器人
這邊指的是會自動轉推特定關鍵字的軟體。有些推特經營者，會習慣去搜索包含自家品牌相關的新聞，然後轉推到自己的帳號。有了 Twitter 機器人，這件事就可以請它代勞了！给他關鍵字，就可以幫你自動轉推，維護自家品牌的熱度喔！

13. 自製監視器（Motion Capture Security System）
由於 Raspberry Pi 有 USB 接口，安裝 Linux 後根本就是一台桌機，所以當然可以用 Web Cam 做出監視器，還能用手機連回來看看監視器看到什麼喔！

14. 數位相框（Digital Photo Frame）
Raspberry Pi 板子很小，安裝 Linux 後，再把它連上一個螢幕，就是一台「數位相框」了。想在自家客廳循環播放你的珍貴回憶嗎？試試看這個專案吧！

15. 星空攝影（Photograph the Night Sky）
天文愛好者可以利用 Raspberry Pi 可程式化、又能連接攝影機、外接螢幕的特色，製作夜空拍攝道具。這樣一來，就不用苦苦守候天文現象囉！

16. 網路流量監視器（Network Monitoring Tool）
Raspberry Pi 既然是一台 Linux 小電腦，當然可以安裝 Linux 相關的軟體，來監視特定網站的流量。對於那些想知道自家流量如何的人，非常方便！

17. 智慧型電視（Smart TV）
您家有 HDMI 的電視，但無法上網收看網路內容嗎？Raspberry Pi 自帶 HDMI 與 Wi-Fi，將它安裝成一台網路電視，再讓它把內容透過 HDMI 輸出到你家電視機，馬上把你家的電視機從「智障型」升級成「智慧型」電視！看 YouTube 什麼的，輕鬆自在喔！

18. 網路硬碟（NAS Box）
Raspberry Pi 安裝 Linux 與特定軟體，再於 USB 接口加掛一顆 4TB 的硬碟，馬上就能讓你出門也能存取家中的檔案。Raspberry Pi 相當省電，可以全天不關機。連上家中的 ADSL，就成了全天候的網路硬碟了！讓你從此嫌棄 Dropbox 不夠用！

19. 智慧型家庭中控器（Home Automation）
想在抵達家裡之前，就用手機打開冷暖氣機、按下煮飯的按鈕、或啟動咖啡壺嗎？早就有人幫你把程式碼寫好了喔！添購一些「網路受控」的電器開關，再讓它們與 Raspberry Pi 相連，你就可以用手機操控 Raspberry Pi，讓它幫你下指令，控制家中電器開關了喔！

20. 自製「AirPlay 接收器」
這是 Apple 的一種網路連線協定。支援 AirPlay 的設備，可以透過該協定，互相交換資料。如果你家中 Apple 設備眾多，又不想花錢買一台 AirPlay 接收器，可以想辦法自己做一個喔！

希望這樣的簡單翻譯，大家會喜歡！如果對「自動控制」有興趣的朋友，不妨去買一塊 Raspberry Pi 開發板，自己回來試試看這些專案喔！

祝福大家有個愉快的星期一！歡迎按讚、轉貼、留言討論！