關於 手機 重開機 好處 ，我們在網路上蒐集到這些相關的討論、資訊與評價

原本這幾週來家中上課的學生數持續增加，這幾天因為疫情的關係，就請他們回到視訊課程上，所以家裡少來了很多正妹，我女兒觀察後如是評論著。

回到視訊課倒有些意外的好處，因為視訊課時，會有個視窗看到自己的樣子，也就更能確定自己的發聲時的口型狀態。

另外則是因人而異，有些人用視訊課會比較放鬆，在自家的環境中有相當的安全感，但也會有人反而緊張，因為家人異樣的眼光。而有些人則是覺得無差別，外向型人喜歡人群接觸的，特別覺得沒什麼差別，甚至會覺得有些疏離感。

幾個視訊軟體，Skype還是覺得最好的，訊號比較穩定，Line則有個小問題，就是同時說話時會打架，兩邊各講各的，對方的訊號會消音。也有些優點，就是兩個人的對話會比較緩慢，慢下來、心也會靜下來。

用4G與家用的WiFi其實網速都夠快，所以大部份出現訊號不佳，除了用公共WiFi與3G外，就是手機、平板過熱了，降溫吹冷氣、開電風，畫面卡頓，再重開一次鏡頭，會恢復正常的機率八九成。

手機、平板、電腦也要常重開機，之前會出現沒聲音訊號，重開機就好了。似乎一個作業系統開久了，就很容易出現Bug，原理我不懂，反正重開機就正常的機率幾乎百分百。

然後，分享一個技術太進步造成的小困擾，像Apple的手機、平板、電腦，iphone、ipad、Mac，收音與放音都會做除噪，原理上是把持續性的聲音取樣後去消除後續相同的聲音，所以當我發聲持續相同音量一段時間，聲音就會變小聲，但持續變動的聲音，像講話則不會。

所以，只要學生反應我的聲音會不見，或他傳過來的聲音會不見，大概就是設備頂好、頂貴的，很貼心的做了除噪。

所以，我只好發時做點大小聲變化，欺騙一下除噪功能。

視訊課程這事也累積不少希奇古怪的經驗！

～～～～～～～
※ 一對一視訊個人課，請私訊
1. Skype ID: https://join.skype.com/invite/jxPHO1DdHiXT
2. Line ID: joseyang9287
～～～～～～～

#文末抽獎 #抽獎 #茶茶專屬優惠碼
出門半天終於不用再帶著尿袋的感覺實在太美好（淚）
欸不是！茶茶很健康沒事！不是那種尿袋！
我說的是以前行動電源的另一種稱呼啦😆

跟茶茶比較熟常碰面的朋友都知道直到現在我都還是iphone 6S的使用者（已超過四年），這麼長時間以來完全沒換過電池，但從去年年中後就開始深刻感受到電池快陣亡的掙扎⋯
常常出門一兩個小時手機電量就只剩下40%不到囧
沒有尿袋真的是無法活嗚嗚嗚
以至於常常去唱歌或是朋友聚餐大家都知道要是手機沒電問我行動電源一定有😂

一直到今年二月初時手機真的更常突然自己畫面全黑轉轉轉又重開機，實在不勝其擾之下想說看來不換電池不行，但當時已經快適逢過年期間，茶茶行程每天都爆炸滿不然就是在忙代購商品理貨包貨出貨真的沒有空跑維修行跟等待啊啊啊～～～

就在那時一個靈光乍現！想到女生做指甲、接睫毛、按摩、作臉都有可以到府服務的了，應該手機維修也有吧？？？
話不多說馬上拿起手機善用關鍵字搜尋還真的就讓我找到一家價格評價感覺都不錯的- 救星盒子 Saver In The Box✨

這家除了可以約 #到府快速維修 之外更特別的是還有自製的 #DIY盒子 ！
每個盒子裡面都有附該iPhone型號的專屬工作台、每個小螺絲的位置都幫你設計好收納凹槽，完全不必擔心拆了組不回去
教學紙也做得非常聰明！

技術人員說基本上按著步驟執行大家都可以輕易完成，也有提供教學影片，再不行還能聯繫客服處理～～
DIY的好處是可以讓喜歡自己動手來的人享受無與倫比的維修成就感之外還更便宜👍

但如果你跟茶茶一樣懶到極致，覺得可以花錢解決的事都是小事的話，那還是直接預約讓他們的服務人員上門幫你服務吧哈哈哈

我當天原本是約好要在家裡用好再出門去做指甲，結果一個來不及就臨時直接改約到美甲店處理了🤣
（ #提前24小時上官網預約 或 #任何時間跟粉專私訊預約喬時間 就可以，然後我是當天又提前跟客服詢問改地點）
在店裡技術人員幫我換電池時其他客人跟美甲師都超好奇，還有人直接要了聯絡資訊

話說技術人員真的動作超俐落，更換電池前也會先確認你目前電池健康度以及使用是否都正常才開始更換
生平第一次看到自己手機內部赤裸裸的樣子好害羞（？）
然後就在我ㄧ邊好奇發問技術人員一邊回答同時沒停下手邊工作，大約20分鐘我就獲得一台宛若新生、電池健康度💯%的iphone 6S了！！！（感動🥺🥺🥺

這麼方便省時又省力的服務只要收費$749是不是太感人～～～如果是要嘗試自己DIY更換的話更是只要$549啊啊😍

更換完畢到現在也使用了大約20天，一切都正常也不用每次出門都要緊張兮兮的帶行動電源了😭

跟茶茶一樣小資過生活不想換現在貴桑桑iphone的朋友，快幫手機換個電池或螢幕讓它再戰四年吧（？
🤣🤣🤣
—————————————————
✨粉絲優惠✨
凡帶著茶茶貼文預約維修服務的，可以優惠50元(至2021/6/30止) :
1. 私訊救星盒子小編預約直接貼上我的貼文截圖即可
2. 在救星盒子官網訂購可輸入我專屬的優惠碼 debby
以上，看你用哪個預約方式就用哪個優惠方法👍
—————————————————
🎉文末抽獎活動🎉
這麼方便的服務不能只有我享受到！
茶茶幫你們爭取到「抽三個」名額各「折價300」！！
原本價格就很佛這下更佛了💕
抽獎方式如下⬇️

1️⃣按讚茶茶這篇貼文
2️⃣追蹤按讚 茶茶粉專&救星盒子粉專
3️⃣標記一位朋友並留言：維修不用出門94爽
（抽獎結果將於3/7公佈）
—————————————————
#救星盒子 #時間就是金錢
#iPhone維修 #價格透明公開 #iPhone手機維修 #iPhone換電池 #iPhone螢幕維修 #手機維修 #到府維修 #DIY維修 #主板維修 #三級維修 #觸控病 #BSMI認證電池 #終身保固 #救星盒子 #拯救手機也拯救您 #debbylu0131

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌