升級 Synology DS920+ NAS系統心得
.
離開職場前身為搞研發的人員，對於各種新產品充 滿熱情與換換病常發作也是很正常的事情，沒親自試過怎麼知道該公司的產品好不好、會不會有好獲利回饋股東呢？(以上都只是想買東西的藉口，該公司根本沒上市😄😄😄)。
.
最近儲存檔案的容量與速度上的需求日益增加，便將手邊的NAS系統從DS214Play 升級為 DS920+系統，升上後的感覺就是早該升級了嘛!!!開啟系統的速度只能以飛快來形容。
.
本次升級配件如下:
▶️ 主機：Synology DS920+
▶️ 硬碟：Seagate NAS 紅標專用碟 7200轉 CMR技術
▶️ 快取：威剛 XPG SX8200Pro 256G SSD
▶️ 記憶體：創見 8GB TSRam DDR4 2666 筆記型記憶體(TS2666HSB-8G)
.
本來有上課學員是Synology的員工說要給我員工優惠價格，不好意思麻煩啦!自己上購物網站購買就好囉!其實。我從該公司推出DS 101J的時候便已經使用該公司的NAS系統，說實在的該公司的規格一直不是最好的，但我認為買NAS是買軟體好用程度跟穩定性，另一方面也是用得很習慣了懶得換家。
.
這次升級特殊的之處在於增加SSD快取系統跟擴大記憶體容量，原本只有4G的內建容量有點小氣，直接再加一條8G的記憶體(非原廠記憶體，會有相容性風險，對電腦測試不熟的請勿輕易嘗試)，立馬提升到12G。先不要管用不用得到這種問題光看數字大幅提升這種爽度常玩電腦系統都懂得XD😄!!
.
不過升級後有幾個抱怨😡的地方，留在最後再來談。我們先來看一下這一次的系統升級狀況。
.
原本採用DS214Play的 鏡像備份系統，升級後改為Raid5系統，就實際感受上來講存取上並沒有太明顯的改變，主要是多了一顆硬碟的容錯空間，存取速度上大概是多了20Mb/s左右 (原本約是70Mb/s、升級後可達90 Mb/s)，卡在1Gpbs網路的傳輸上限附近。
.
整體來講，增加SSD快取後開啟服務的速度很有感的提升，這大概就是電腦主硬碟換成SSD差不多一樣的快感。其他目前尚未用滿效能就不得而知，不過轉檔的速度倒是快了很多，這應歸功於CPU的效能提升。
.
升級還算滿意可以再陪我度過下一個五年，我覺得這個東西也是一種投資概念，與其買性能剛好或是勉強可用的影響工作效能，倒不如一次買到需求範圍內最頂規的，可以對應未來的需求也不需要常常換來換去，畢竟若不是換換病發作原來的DS214Play也還是很好用的。
.
喔，對了。最後是我的抱怨時間😤😤😤，該產品的設計有了鳥問題就是不給2.5G或是5G的網路孔、反倒是沿襲以往的設計給2組 1G的網路孔搭配Link Aggregation 來使用，坦白講很小氣。像我的電腦主機原生的網路孔已經是2.5G的網路系統中間怎麼找合適的2.5G Switch交換器來用就很麻煩，更不要說是multi-giga的交換器價格過高買不下手。
.
更詭異的是設定好Link Aggregation後，該主機的外部DNS會失效，導致主機只能在內網使用😭😭。參考網站說明換DNS主機不管怎麼改都沒用😑😑😑，放棄Link Aggregation模式改用單孔網路就恢復正常了。超怪異的
.
競爭對手QNAP都有推出NAS系統專用的USB 5G網路卡了，系統沒內建至少也弄個外接裝置讓使用者可以自行擴充一下。自己用外掛USB網卡驅動程式方式超麻煩的。
.
若有Synology的研發人員看到，聽一下老客戶的心聲，不要那麼小氣嘛! 2.5G都已經開始要普及在主機板上、5G & 10G 網卡也都上路了，都甚麼年頭了定位在中小企業與專業用戶的NAS主機居然只有1G網路孔也太小氣了!!!!!

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

關於免費、公用DNS查詢服務，你會先想到的是哪一個？之前，Google Public DNS服務8.8.8.8和8.8.4.4，已有不少人採用。而今年CloudFlare今年4月也推出1.1.1.1的免費網域名解析服務，也掀起一股比較何種DNS服務速度較快的測試競賽。

不過，去年，也有一套名為Quad9的免費DNS查詢服務崛起，也值得關注。它背後的來頭不小，有資安廠商IBM、維運全球網際網路基礎設施的Packet Clearing House（PCH） ，以及關切全球網路風險的全球網路聯盟（GCA），而且也有許多資安廠商提供威脅情報，與其整合。

就業界的公信力而言，Quad9或許也將創造新的典範，而且，防護的範圍，也能涵蓋到消費者和企業。

Wifi 速度測試, 使用 Mate 20 Pro 作測試

MW5 實測速度 (10次平均值)
upload: 253 Mbps
download: 398 Mbps
latency: 10 ms

MW6 實測速度 (10次平均值)
upload: 256 Mbps
download: 412 Mbps
latency: 10 ms

可設定項目:
Wifi SSID 和密碼
訪客網絡
訪客網絡時限
家長控制
上網設定 PPPoE, DHCP, Fixed IP, Bridge
QoS
快速漫遊 (使手機快速連接最佳Wifi節點)
高待機模式 (家中裝置多時可啟動改善效能)
智能設備助手 (找尋只支援2.4GHz Wifi 智能家居裝置, 類似相容模式)
Port forwarding (set server 或使用舊式軟件連網時會用)
UPnP
DHCP 設定 (能設定網內的IP Address 範圍)
DNS 設定 (可自訂 主 和 次要 DNS)
軟件升級 (可透過手機 App 進行版本檢查和升級)
帳號授權 (可設定多於一位的管理員)