零基資安訓練營（三）：轉用 Signal 通訊軟件

文：薯伯伯

你的手機保安做到幾近天衣無縫，安全系數極高，但風險級別高低，從來是指整個系統，單點故障，木桶短板原理，說的就是這個概念。舉個例子，你手機關閉了生物認證，開機密碼有十個位數數字混合英文字母，開足 VPN 上網，定期刪除訊息及照片。

但是，你朋友的手機甚麼保安措施也不管，因為他一直堅信「我的手機沒有敏感訊息」，某天手機不慎被鼠竊狗偷盜，輕易就能破解手機，並把你與他之間的對話完整無缺地抽出來。所以一個木桶可以裝多少升水，不是視乎最長木板的高度，而是最短的木條，就就是木桶短板效應，也是資訊保安最需要注意的地方。

說一下通訊軟件，香港人最愛用 WhatsApp，有端對端的加密，理論上不易從中攔截訊息。但問題是，萬一與你聯絡的人，手機沒有做好資安保障，別人一拿到對方手機，你這邊的加密也就毫無用處。你們的對話全都讓對方知道，沒有秘密或「違法」嗎？那麼萬一有人研究你們的對話，判斷你們之間的關係，再冒認對方叫你轉賬金錢，或做其他欺詐行為，又是否有此可能？

所以儘量減少使用 WhatsApp，轉用 Signal。Signal 是目前最為簡單易用的加密聊天軟件，有次聽資安相關的播客節目，主持人問愛德華‧斯洛登（Edward Snowden）可否推介聊天軟件，斯洛登先是拒絕，說不想隨便「加持」（ endorse）任何軟件，但轉過頭來又推介使用 Signal。Signal 是完全開源的軟件，在網絡保安圈子裡極多討論及認證。

下載地址：https://signal.org/

問：如何得知朋友有沒有安裝 Signal？
答：容許 Signal 存儲手機的通訊錄，每次有朋友新安裝，都會有提示。

問：我不能隱藏自己的手機電話號碼，安全嗎？
答：Signal 是取代 WhatsApp 的大部份功能，你在 WhatsApp 也要提供電話號碼給對方，才能聯絡。如果要完全隱去電話或個人身份，建議買太空 SIM 卡，或是用 Telegram（設定後再隱藏號碼）。

問：Signal 可以當「公海」用嗎？
答：不太建議，對我來說，Signal 是取代 WhatsApp 的使用場景。如果要用做「公海」，建議用 Telegram。

問：我很難說服身邊所有朋友改變使用習慣，他們大多堅持用 WhatsApp，怎麼辦？
答：我目前是同時用 Signal、WhatsApp 及 Telegram，按不同場景使用。我建議先跟一兩個經常聯絡的朋友協商，甚至只是開一個 Signal 戶口，純粹是為了跟一名朋友聊天，慢慢習慣。用了一段時間後，你會發現越來越多朋友安裝。

問：如何備份或轉移 Signal 的對話？
答：在 iOS 上沒有辦法備份，在其他平台可以備份，可參考這裡 https://support.signal.org/…/360007059752-Backup-and-Restor… ，方法較複雜。

問：為甚麼備份這麼麻煩？
答：在 Signal 上的對話，我本身是從來不做備份，設定閱後即焚。我的想法是，就像平日跟朋友吃飯面對面聊天，也不會做任何備份，遇有重要之事，另外記下便可。

問：怎樣設置「閱後即焚」的功能？
答：打開對話畫面，點擊名字位置，選擇「訊息在 X 天後消毀」。剛開始時試試實行一星期，之後選擇一天也可以。有時遇正特別敏感日子，也不妨考慮改為一小時後自動消毀。

問：我朋友堅持不用別的聊天軟件，說不想重新學習，怎麼辦？
答：你跟他說：「憑你的智慧與勇於探究的精神，你一定會學得懂。」其實也沒有甚麼辦法勸服所有人。沒關係，將就一點繼續用 WhatsApp。

問：我本身已經有用 Telegram，那為甚麼仍然要安裝 Signal？
答：Telegram 的訊息儲存在雲端，也就是說你刪去程式本身，也可以較輕易回復訊息，這是一層風險。而 Telegram 本身只有在 secret chat 模式才能設置「閱後即焚」，但手機與電腦介面的 secret chat 又分開當兩條聊天通道，用起來頗亂。

另外還有一個很關鍵的原因，Telegram 可以隱藏電話號碼，可以隨時更換 ID，聽起來雖然很方便，但這種方便只適合出「公海」，如果是朋友之間的聯絡，反而添了一重疑魂，我較難知道對方身份。但如果對方是用 Signal，由於是用真實的電話號碼，當我之前已有對方電話號碼，之後見他上 Signal，就較易相信對方是真身。（如果對方手機卡被盜，就是另一回事，以後再說。）總之 Signal 的作用，是用來取代 WhatsApp 的使用場合，而不是取代 Telegram 的使用場合。

還有甚麼問題或因素，令你依舊堅持不轉用 Signal 呢？不妨留言，看看我有沒有辦法說服你。

*———*

請訂閱 Patreon 頻道，支持不受干預的獨立分析及評論。

http://patreon.com/pazu

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

最簡單的免費翻牆方法

文：薯伯伯

我見區家麟最近寫了一篇文章，叫《感謝國家》，提到：「一直以來，希望減少上網⋯⋯知易行難，說說而已。感謝國家感謝黨。回內地兩天，『指根』清淨，願望達成。一過關，手機變成廢物⋯⋯WhatsApp、Instagram、LINE全部死掉，臉書不能上、谷歌搜尋不讓搜，連Gmail也不能查。」

我想說，其實到中國辦事或旅遊，翻牆已是必備技能，除非真的很想耳根或指根清淨，否則還是最好學一下翻牆方法。翻牆的途徑很多，有些較為複雜，又或需付錢，不過也有超級簡單兼完全免費的方法，不一定是最好，但操作簡單又不用錢，在這裡介紹一個。

StarVPN
https://starvpnapp.com/
網址：https://starvpnapp.com/download
收費：免費版（我也只是用免費版，強調很多次是有免費版的），或較快沒廣告付費版
平台：可以在 iOS、Mac 及 Android 上使用。
簡評：安裝容易，沒流量限制。過去數月，在中國境內，一直能正常使用，暫未被封，強調是暫時仍然未被封而已。

使用方法：

1. 下載此 VPN 的 app。

2. 第一次打開，會問要否選擇付費，點擊右上方的「X」，即表示不付費試用。（如果這段文字是可以改變文字大小，我會放到好大好大，因為無論如何強調，仍然會有人問，這個軟件要收費嗎？這個問題是無限 loop。）
3. 點擊 Add VPN Configurations，按「容許」，認證之後，便能連接。
4. 若然成功，應該能即時翻牆。

注意此 app 只能在較正常國家的 AppStore 或 PlayStore 才能下載此 VPN 的 app，所以在中國區的 Store 就沒有啊，建議入境前，在境外先下載好。這個辦法，至少在近日仍能正使用，沒有受十九大影響。如果以後這個方法失靈，我再介紹其他翻牆的辦法吧。

比較一下：自行安裝翻牆軟件 vs 中移動上網卡

很多香港人都會買中移動上網卡來翻牆，但上網卡流量及日數均有限定，若只想到中國數日，買卡不太合算。另外香港的中移動有所謂的「大中華計劃」，即一個月費，其流量可以包括大中華地區，但月費計劃不算吸引。更重要的是，就算不考慮價格，這種境外上網卡的流量似乎是走「特別通道」，較其他上網方案都慢，而且沒訊號的死角頗多（尤其在酒店房間），基本上就只能發些簡單訊息之類，刷刷 Facebook，用途不大。

自行安裝翻牆軟件，則只要連接當地 wi-fi 或使用當地電話卡，便能使用。速度較快，流量又足，不論對長途或短途過客，尤其筆者生活在西藏，這個方法較方便。

--

若你有朋友需要前赴中國，又正在為翻牆而苦惱，請把此文 share 給他們，或在評論位置 tag 上他們的名字。

（更新：2019年4月26日，仍然能使用 StarVPN 上網，速度可以接受。）

———

【新書速報】Pazu 薯伯伯《不正常旅行研究所》

一本專門收錄「不正常」見聞的旅遊筆記

從西藏拉薩到神州大地；
由亞洲各國至中東地區。
非常人般玩轉奇異世界、
紀錄精彩故事文化習俗。

＊絕密放送：百項私伙旅遊裝備大檢閱＊

旅遊專欄作家、西藏「風轉咖啡館」東主Pazu薯伯伯

二零一九年五月上旬，各大書店，非常上架！

#不正常一旅遊研究所
#薯伯伯新書
#白卷出版社
#序言書室
#誠品書店