.
第五十六個星期一系列
話我長氣又好侵都好喇,我都要講落去架喇~
老老實實,得罪講句識得卐Edmond卐同埋fing得小吉既我地至少有二十歲喇,無錯,已經過左人生第二個十年喇。
近排有個鐘意玩挑戰性運動既人既出現令我諗番起喱隻GAME,講到頭先哥二個人我諗唔洗講都知我講緊「跑ONLINE」喇...
.
第五十六個星期一系列
話我長氣又好侵都好喇,我都要講落去架喇~
老老實實,得罪講句識得卐Edmond卐同埋fing得小吉既我地至少有二十歲喇,無錯,已經過左人生第二個十年喇。
近排有個鐘意玩挑戰性運動既人既出現令我諗番起喱隻GAME,講到頭先哥二個人我諗唔洗講都知我講緊「跑ONLINE」喇。 想當年,每日返學等放學放學就即刻一支箭衝番屋企LOGIN開GAME,講起LOGIN 喱隻GAME有小小炆,其他GAME都係直接開GAME登入就得,但唯獨是喱隻跑ONLINE 要開個網頁登入先入到我頂佢個肺,我仲記得裝個DirectX定乜鬼野搞左一大輪都仲未搞到,最後迫住用IE黎玩。
每日都好期待番屋企玩跑既時光,玩下拼圖,滑下雪,玩法老王計下數,直到農場系統既出現,更加又令我將更多既時間投入係隻GAME上面。
無無聊聊玩到悶既唔想玩又可以掛下機,再唔係既可以去公園hea下,搵到一堆唔識既人吹下水,由陌生人變成熟人,再由熟人變成情侶檔,小學既青梅足馬?係跑入面,都唔知發生左幾多愛瞞既因緣關係,又或者係hehe?
我唔知道
我淨係知試過係跑入面識左個人好好傾之後仲結埋婚,不過最後都係無疾而終,而最重要既係加20% 幸運既戒指都消失埋,
之後我就同我兄弟度左條橋可以永久有隻戒指既方法,就係我地二支公結婚,諗起都好hehe,不過為左加幸運既永久道具我地都係結左婚,當然當時肯定成為班上熱門既話題喇。
係跑ONILNE入面,等級如地位﹗如果你威既你可以番學同同學講「你咩料啊?踢拖啊?」「唔好意思我飛鞋,練多幾年再黎過喇~ 」一句已經可以串到人地喊咁制,我記得我都比人串過,
雖然小弟只係一隻爛波鞋,但還好技術搭救,還可以挽留些少面子。
最深刻印象既一定係哥次比同學撩,當時同學就突然向我發向挑戰書,咁我當然應戰,不過喱場決戰輸左係要送禮物比對方,當時我好有信心唔會輸當然要求送點裝比對方,最後,無疑我係贏左,禮物都收左,勁開心。
咁我贏左之後,個同學就唔肯輸吹左大我地一年級既同學黎同我挑,當時最興既「單挑」都出埋。
結果贏既都係我,不過就獲得一大堆粗口慰問。真心覺得好低能勁搞笑。我地既輸入法就係咁樣練成,諗諗下都忍唔住笑左,一輸左,就會彈句「屌你老母」又或者「ON9仔」出黎。
係遊戲既跑馬燈位就粗口四射,喱隻GAME就有個熱鍵制個個都SET 晒粗口,通常有些少碰撞喱D 字句都會輕易見得到。
但隻GAME本身有FILLTER 功能打唔到屌﹑ON9等等字眼
一輸左肯定「吊人」又或者被人撞到就會「撞你老母撞9」
輸左就會打「0n9仔」…之後你串下我我串下你咁樣,我既輸入法唔多唔小都係喱隻GAME 練番黎,D 字係第幾版第幾個都記得一清二楚。
當時,我敢講遊戲入面個人D 衫仲多過我自己著既,戈時真係玩物喪智係鍊金裝備戈度,升下隻寵升下件裝又要錢,加加埋起碼過千蚊點卡,98蚊300點。記得唔食下午茶死儲爛儲先買到張點卡番黎,有次衰到仲要偷錢﹑借錢去買點卡,哈﹗諗番起喱啲童年回憶就算洗成萬蚊都係值得既﹗
由開ac 新手任之後到雞仔,慢慢慢慢由紅色腳板升去紫色腳板,再者踢拖升到去波鞋甚至魔鞋。一個人變到已經加唔到朋友再由一堆朋友慢慢一個一個刪番出黎,三唔識七既人無啦啦招FD子招家人變到開個群黎傾計一齊玩,輸唔起就爆粗大9人地自己係黑社會,昆點大9人地警已報,喱啲種種離離合合已經成為鐵定既童年,過程都帶左好多歡樂俾我哋。
說起來,我們也說過留在彼此的身邊,牽著手再繼續飛?不是說過奔跑也一起?為何現在卻丟下我自己。
期盼你聽到我麼,時常期待你找我。
縱有願望被劃破,我又會抱怨麼?
利申Game名: JORXEXZ
心
好
攰
https://www.youtube.com/watch?v=l-1c6xObGcA
跑online放ac 在 Taipei Ethereum Meetup Facebook 的最佳解答
📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Private key security and protection / 私錀的安全與保護 — Tim Hsu
Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講,主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生,同時也是幣托、OTCBTC的資安顧問。
2018年一月被發現的硬體漏洞meldown跟spectr,我們的硬體為了要讓執行速度更快,processor會預先執行某些指令,也因此駭客可以透過這種方式,間接檢測出我們記憶體的內容,把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update,但是在這之後硬體安全的問題逐漸浮出來面,也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全,也有硬體安全跟使用者資安觀念的問題。
淺談交易所與錢包
在從交易所提幣的時候,首先Server會先將這筆交易紀錄到交易所自己的資料庫內,之後再取得交易所金庫的private key去金庫取錢,再打到使用者的錢包內。在這個過程中,如果駭客可以竄改Server或資料庫的交易金額,原本要打給使用者1 BTC,變成10BTC,或是直接取得金庫的private key,對交易所都是一大噩夢
圖(一) 從交易所提幣的流程
攻擊手法
1. 交易所的網路架構
案例一: 交易所因為怕被偷交易資料與客戶資料,所以都把這些資訊先加密後再存到資料庫,但是這些資料仍然會被偷(交易所遭到電話詐騙),往後將這些資料加了三層密,仍無法防範資料被偷的情形,原因出在圖(二)的交易所網路架構。
圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)
因為OA 與資料庫之間的網路沒有防火牆保護,所以駭客不用正面攻擊有防火牆的部分,而是攻擊OA的部分,再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦,都有可能造成交易所資料外流。
解決方式: 就是在OA與資料庫間架個防火牆,如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫,QA則只能連到測試環境,HR、CEO不需要、也不能連線到資料庫,依職責對連線範圍做縮限,則駭客可以攻擊的目標變少,我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」
圖(三) 好的交易所的網路架構
2. DNS Attack
透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁,來騙取使用者個資。雖然在導向駭客頁面時,很容易發現駭客的網頁沒有使用安全憑證,或是安全憑證不是SSL核發,但使用者仍可能因資安觀念低落,而堅持連線到不安全的網站。
3. Online Paper Wallet
很多人因為覺得私鑰放電腦覺得不安全,又沒錢買硬體錢包,所以透過線上私鑰轉換器將私鑰轉換成QR code,然而再轉換時勢必要輸入自己的私鑰,容易使私鑰遭竊。
圖(四) 私鑰轉換詐騙網頁
4. 使用者對私鑰保護的意識很低
例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性,而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。
5. 硬體錢包的漏洞
TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器,但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼,就可以通過硬體的側通道分析,輕易提取出未加密的私鑰,而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了,仍有被攻擊的疑慮,最好的解決辦法就是硬體錢包外再設定一個long Password,這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊
圖(五) 硬體錢包漏洞
題外話 — Iphone Jailbreak問題
今年在twitter,有人公布了最新攻擊iphone的方式,而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom,而bootrom的程式碼則是位於記憶體唯獨區域,所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機,而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制,不僅要取得欲攻擊的手機,而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題,以後的iOS作業系統都更容易遭到入侵,因為我們可以在舊的手機上裝新的iOS系統,然後透過bootrom的漏洞來了解新的iOS系統的運作方式,因此這個問題應該被更加重視。
圖(六) axi0mX針對此bug的文章
保護方式
透過secure sharing將私鑰拆成User、Company、Vendor,分散私鑰存放風險
圖(七) 拆散私鑰,分散存放的風險
保護思維
未來除了在演算法的鑽研,也應該多多關注整個 區塊鏈產業的資安問題,從身分認證、系統安全、IT架構,都應該要從安全的角度來設計。
圖(八) 講者參考的設計架構
以上方的圖片為例,很多軟體架構在設計時都忽略了作業系統這一塊,而講者分享了他在設計時針對Server或資料庫的 OS做的處理,如下圖
圖(九) OS層級的安全防護
我們的app、網站、服務都跑在Sandbox層上,Sandbox可以限制由內到外的網路封包收送,同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令,而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence,並且通知使用者。 我覺得這樣的好處是,使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊,也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence,工程師也可以更快找到安全漏洞。
結語
近年來因網路的應用,資安越來越重要,除了軟體方面外,硬體方面也要兼顧安全,而使用者的觀念宣導更重要,否則不管我們的系統做的再怎麼嚴密,只要使用者意外連到駭客網站或是洩漏自己的私鑰,一切都是白談。演講中有一句話我覺得很值得借鏡,就是「我們一定要假設我們的系統會被駭客破解,而我們要做的就是盡可能減少被入侵後的損失」,上面提到的Host-IDS就是這樣的觀念,我們無法防止駭客進到Sandbox,但是可以記錄駭客的進到Sandbox後所有行為,這樣的架構才能在第一時間修正系統漏洞。
參考資料
Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2
Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/
spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk
Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌