📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Private key security and protection / 私錀的安全與保護 — Tim Hsu
Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講,主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生,同時也是幣托、OTCBTC的資安顧問。
2018年一月被發現的硬體漏洞meldown跟spectr,我們的硬體為了要讓執行速度更快,processor會預先執行某些指令,也因此駭客可以透過這種方式,間接檢測出我們記憶體的內容,把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update,但是在這之後硬體安全的問題逐漸浮出來面,也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全,也有硬體安全跟使用者資安觀念的問題。
淺談交易所與錢包
在從交易所提幣的時候,首先Server會先將這筆交易紀錄到交易所自己的資料庫內,之後再取得交易所金庫的private key去金庫取錢,再打到使用者的錢包內。在這個過程中,如果駭客可以竄改Server或資料庫的交易金額,原本要打給使用者1 BTC,變成10BTC,或是直接取得金庫的private key,對交易所都是一大噩夢
圖(一) 從交易所提幣的流程
攻擊手法
1. 交易所的網路架構
案例一: 交易所因為怕被偷交易資料與客戶資料,所以都把這些資訊先加密後再存到資料庫,但是這些資料仍然會被偷(交易所遭到電話詐騙),往後將這些資料加了三層密,仍無法防範資料被偷的情形,原因出在圖(二)的交易所網路架構。
圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)
因為OA 與資料庫之間的網路沒有防火牆保護,所以駭客不用正面攻擊有防火牆的部分,而是攻擊OA的部分,再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦,都有可能造成交易所資料外流。
解決方式: 就是在OA與資料庫間架個防火牆,如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫,QA則只能連到測試環境,HR、CEO不需要、也不能連線到資料庫,依職責對連線範圍做縮限,則駭客可以攻擊的目標變少,我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」
圖(三) 好的交易所的網路架構
2. DNS Attack
透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁,來騙取使用者個資。雖然在導向駭客頁面時,很容易發現駭客的網頁沒有使用安全憑證,或是安全憑證不是SSL核發,但使用者仍可能因資安觀念低落,而堅持連線到不安全的網站。
3. Online Paper Wallet
很多人因為覺得私鑰放電腦覺得不安全,又沒錢買硬體錢包,所以透過線上私鑰轉換器將私鑰轉換成QR code,然而再轉換時勢必要輸入自己的私鑰,容易使私鑰遭竊。
圖(四) 私鑰轉換詐騙網頁
4. 使用者對私鑰保護的意識很低
例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性,而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。
5. 硬體錢包的漏洞
TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器,但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼,就可以通過硬體的側通道分析,輕易提取出未加密的私鑰,而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了,仍有被攻擊的疑慮,最好的解決辦法就是硬體錢包外再設定一個long Password,這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊
圖(五) 硬體錢包漏洞
題外話 — Iphone Jailbreak問題
今年在twitter,有人公布了最新攻擊iphone的方式,而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom,而bootrom的程式碼則是位於記憶體唯獨區域,所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機,而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制,不僅要取得欲攻擊的手機,而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題,以後的iOS作業系統都更容易遭到入侵,因為我們可以在舊的手機上裝新的iOS系統,然後透過bootrom的漏洞來了解新的iOS系統的運作方式,因此這個問題應該被更加重視。
圖(六) axi0mX針對此bug的文章
保護方式
透過secure sharing將私鑰拆成User、Company、Vendor,分散私鑰存放風險
圖(七) 拆散私鑰,分散存放的風險
保護思維
未來除了在演算法的鑽研,也應該多多關注整個 區塊鏈產業的資安問題,從身分認證、系統安全、IT架構,都應該要從安全的角度來設計。
圖(八) 講者參考的設計架構
以上方的圖片為例,很多軟體架構在設計時都忽略了作業系統這一塊,而講者分享了他在設計時針對Server或資料庫的 OS做的處理,如下圖
圖(九) OS層級的安全防護
我們的app、網站、服務都跑在Sandbox層上,Sandbox可以限制由內到外的網路封包收送,同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令,而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence,並且通知使用者。 我覺得這樣的好處是,使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊,也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence,工程師也可以更快找到安全漏洞。
結語
近年來因網路的應用,資安越來越重要,除了軟體方面外,硬體方面也要兼顧安全,而使用者的觀念宣導更重要,否則不管我們的系統做的再怎麼嚴密,只要使用者意外連到駭客網站或是洩漏自己的私鑰,一切都是白談。演講中有一句話我覺得很值得借鏡,就是「我們一定要假設我們的系統會被駭客破解,而我們要做的就是盡可能減少被入侵後的損失」,上面提到的Host-IDS就是這樣的觀念,我們無法防止駭客進到Sandbox,但是可以記錄駭客的進到Sandbox後所有行為,這樣的架構才能在第一時間修正系統漏洞。
參考資料
Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2
Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/
spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk
Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌
同時也有1部Youtube影片,追蹤數超過2萬的網紅ChouByeByeChannel,也在其Youtube影片中提到,- 【關於遊俠小傳的起源】 仙境回歸原廠那一年,我選擇了咒術當我的本尊,一路跌跌撞撞練到了175,我的傷害就像長不高的小男孩一樣,總是被班上的遊俠嘲笑,而且天生就是這樣高傲遊俠們只要配一個天羽套,就能在同樣經濟條件下輾壓咒術傷害,當時的我深受打擊,明明我也花了不少錢,為什麼總是輸人家一截?當時我就決...
「跑online未認證帳號」的推薦目錄:
- 關於跑online未認證帳號 在 Taipei Ethereum Meetup Facebook 的精選貼文
- 關於跑online未認證帳號 在 ChouByeByeChannel Youtube 的最佳貼文
- 關於跑online未認證帳號 在 TR頻道- 【 全新《跑Online會員中心APP》正式登場 】 的評價
- 關於跑online未認證帳號 在 跑online 登入失敗 - 遊戲板 | Dcard 的評價
- 關於跑online未認證帳號 在 [整理] 韓版註冊教學- 衝天跑- 沖天跑- 跑Online | PTT遊戲區 的評價
- 關於跑online未認證帳號 在 解決在Windows 10 中安裝軟體時的權限問題 - YouTube 的評價
跑online未認證帳號 在 ChouByeByeChannel Youtube 的最佳貼文
-
【關於遊俠小傳的起源】
仙境回歸原廠那一年,我選擇了咒術當我的本尊,一路跌跌撞撞練到了175,我的傷害就像長不高的小男孩一樣,總是被班上的遊俠嘲笑,而且天生就是這樣高傲遊俠們只要配一個天羽套,就能在同樣經濟條件下輾壓咒術傷害,當時的我深受打擊,明明我也花了不少錢,為什麼總是輸人家一截?當時我就決定了,既然打不贏,那就加入吧!而且為了證明躺著都能贏,所以我不接受任何金援,打算靠遊俠隻身闖蕩仙境傳說!!
-
【遊俠小傳歷史】
2021/03/07 第一次單人突破覺醒古副
2020/12/08 100集達成,並成為有課玩家
2020/11/06 成功製作了幻影獵人之弓!
2020/10/09 踏上幻影獵人之弓製作之旅
2020/09/25 第一次挑戰吃野王(虎王成功!)
2020/08/14 發揚了擲骰子衝裝法
2020/07/03 第一次打玩具副本
2020/04/03 第一次打三王
2020/02/21 買齊了影子職業套裝
2020/01/31 轉向銳利射擊遊俠
2020/01/10 第一次刷101塔-學會電擊陷阱之術
2019/12/20 第一次單刷古副
2019/10/18 第一次召喚狼出來
2019/10/11 第一次衝裝運氣超好 (2件+9天使羽翼戰袍)
2019/05/31 第一次穿上成套穆拉裝
2019/05/24 三轉考試過關
2019/03/24 與溜溜猴遇見的那天
2019/02/02 第一次進入周末副本單刷
2018/10/19 進階二轉
2018/05/04 第一次吃掉寶糖
2017/12/08 轉生
2017/09/10 第一次當隊長
2017/07/16 與小雞(狗狗雞)遇見的那天
2017/02/19 二轉獵人
2016/12/26 創角色
-
【遊俠裝備進度】2021/05/04
一般裝備
頭上: +10超時空頭冠, 附魔:VIT+2/LUK寶石Lv3/銳氣Lv1, 愛子魏格納卡片
頭中: 單眼眼鏡, 愛子魏格納卡片
頭下: 愛心泡泡糖, VIT+2
衣服: +9幻象機甲A型, 附魔:ATK/ATK/Archer, 憤怒九尾狐卡片
武器: +9幻影獵人之弓, 附魔:ATK+27, 紙妖卡片兩張
披肩: +9幻象推進翼B型, 附魔:CRI/CRI/ASPD, 花瓣怪蟲卡片
鞋子: +7時光靈巧戰靴, 附魔:名弓Lv4/無感肌肉, 未插卡
飾品(右): 幻象助推器R, 附魔:攻擊後延遲Lv4/名弓Lv5/致命Lv4, 黃金甲蟲卡片
飾品(左): 施密特國王徽章(Luk), 附魔:STR+3/魔力Lv4/VIT寶石, 黃金甲蟲卡片
特殊裝備
頭上: (服飾)很餓的大魚, 附魔:SP吸收1
頭中: (服飾)查理斯頓天線, 附魔:名弓
頭下: (服飾)嘴刁灰狼, 附魔:神射手石II(頭下)
衣服: +0影子獵人鎧甲
手套: +0影子遊俠手套
盾牌: +0影子遊俠神盾
披肩:
鞋子: +0影子獵人戰靴
耳環: +0影子弓箭手耳環
墜子: +0影子弓箭手墜子
-
【遊俠角色基礎素質】2021/03/07
角色等級: 174
STR: 1
AGI: 100
VIT: 34
INT: 49
DEX: 120
LUK: 110
-
【嘮叨區】
哈囉大家好我是小白,歡迎來收看我的遊戲頻道,目前頻道內容主軸都是仙境傳說Online,偶爾會發一些別的遊戲.我不是全職的YT仔,只是做興趣,所以大家看的開心就好哦!
訂閱起來:https://www.youtube.com/channel/UC628rflOBhz55j2MDuXvyXQ?view_as=subscriber
-
【頻道播放清單列表】
ChouBye小白 仙境傳說 - 遊俠小傳:https://www.youtube.com/watch?v=NSUCSAo4O-U&list=PLYymfqmKdctOC-mEtkRpt9NztIUDSWJFo
ChouBye小白 仙境傳說 - 咒術系列:https://www.youtube.com/watch?v=RZzIAOaGFPY&list=PLYymfqmKdctPTP9om3Dkysd8niIzVATSY
ChouBye小白 仙境小劇場:https://www.youtube.com/watch?v=Lya71sLquCY&list=PLYymfqmKdctMfdhaVfUpsVA7ZB0odDA3D
ChouBye小白 動森日常:https://www.youtube.com/playlist?list=PLYymfqmKdctMudQon6gD6BZ1yUXD28Wrj
ChouBye小白 The Forest(完結):https://www.youtube.com/watch?v=lSxZ4EIgfes&list=PLYymfqmKdctO0rvOOdj21KRoSXT-LIAFX
-
【仙境傳說 Ragnarok】
伺服器:台港澳伺服器 - 巴基力
網址:https://ro.gnjoy.com.tw/
-
【常用資訊查詢網站】
1. 巴哈姆特 - 仙境傳說版:https://forum.gamer.com.tw/A.php?bsn=4212
- 仍然很熱鬧的討論區,最新最新的消息及討論都可以在這邊找到
2. 仙境傳說(RO)幻想廳:https://rd.fharr.com/
- 幻想聽是我認為目前RO對於各項道具及魔物更新很即時而且精確的情報網站了!查詢卡片能力裝備資訊、怪物資訊等等,都非常推薦到這裡查詢
3. 天野幻境:https://roidv.com/
- 這是已經存在很久的老牌RO資訊網站了,但我只比較常搜尋簡易的基礎資訊,例如指令啊..屬性相剋之類的。
4. Ginyuki's RO | 銀雪的RO筆記 : https://ronews.ginyuki.com/
- 銀雪大的網站主要分享一些RO故事劇情的分析與更新資訊,我很多在RO上知道很有趣的故事或者歷史都是從銀雪大網站學到的!如果你對於RO想了解更多遊戲架構及遊戲歷史、任務故事背景等等...,非常推薦銀雪大的網站翻翻找找,會有很多意想不到的訊息呢!
5. 新仙境傳說R0(R版)任務筆記 : http://s010381.blogspot.com/
- 這個網站上的任務攻略整理的非常淺顯易懂!!
【仙境傳說相關的QA】
Q:請問現在還有外掛嗎?
A:我是很少看到了,你可以上線看看~
Q:請問現在是免費嗎?
A:現在全伺服器是免費商城制,就是玩遊戲不用錢,但有商城可以課金。
Q:請問要怎麼申請帳號?
A:到官網按照步驟申請,目前需要實明認證,就是需要附上身分證資訊
Q:不是台港澳的玩家可以申請帳號嗎?
A:我問過官方不是台港澳有其他方法可以申請嗎?他說請我看清楚(好像滿嗆的)只能台港澳
所以很抱歉...不行!
Q:請問一般服推薦那個伺服器?
A:我自己推薦波利。
跑online未認證帳號 在 跑online 登入失敗 - 遊戲板 | Dcard 的推薦與評價
昨天突然心血來潮想回鍋玩一下,先去私服觀望了一下發現沒什麼人之後決定下載港跑,但登入帳號密碼後遊戲直接關閉並跑出「? ... <看更多>
跑online未認證帳號 在 [整理] 韓版註冊教學- 衝天跑- 沖天跑- 跑Online | PTT遊戲區 的推薦與評價
以下台灣註冊的是可以正常進入遊戲的,但是此帳號『終身』無法儲值點數,並且可能隨時不能玩的風險,也不能認證成韓國區帳號韓國帳號請看discord群 ... ... <看更多>
跑online未認證帳號 在 TR頻道- 【 全新《跑Online會員中心APP》正式登場 】 的推薦與評價
全新《跑Online會員中心APP》正式登場 】 全新《跑Online會員中心APP》正式登場 日後新註冊會員必須使用 ... 請問為何認證完說遊戲帳號密碼錯誤不然就是說沒有認證. ... <看更多>