資訊安全

資料存證安全當道!區塊科技與 Openfind 合作推出數位資料存證安全方案

新創區塊科技近期與 Openfind 網擎資訊正式攜手合作
協助企業更安全的儲存、傳輸、驗證大量機敏檔案,在資訊溝通往來過程中獲得最完整的保障(圖取自unsplashed)

全球企業正⾯臨隨著數位轉型、快速變動帶來的挑戰,因資料遺失、被竄改或難以追溯來源等問題,多數可應用「區塊鏈技術」解決,許多軟體廠商都相繼投入研發。新創區塊科技近期與 Openfind 網擎資訊正式攜手合作,希望將區塊鏈存證技術與 Openfind ArkEase Pro 雲端儲存平台結合,使其檔案存取歷程完整保存的特性更上一層樓,協助企業更安全的儲存、傳輸、驗證大量機敏檔案,在資訊溝通往來過程中獲得最完整的保障。

為協助企業提升國際競爭力,近年來資策會科法所以「智慧財產」、「電⼦文書」或「數位合約」等主題推廣如何保護珍貴的智慧財產及其歷程與研發記錄,並強調保全數位證據的重要性;智財相關訴訟發生時,除了繁瑣的蒐證流程外,如何提出相關佐證尤其重要,而區塊鏈正是可運用的關鍵技術。因此,本平台也與達文西個資暨高科技法律事務所合作,確認使用區塊鏈存證機制的有效性,並提供本平台在存證應用時的證據能力相關諮詢及顧問服務。Openfind ArkEase Pro (AEP) 雲端儲存平台提供了完整的檔案存取、修改和下載紀錄,結合區塊科技的區塊鏈智財存證平台,可⼤幅縮短曠⽇費時的蒐證及公證流程,讓企業可專注於技術創新,輕鬆保障研發成果。

檔案存證安全是企業

區塊科技提供的智財存證平台,不僅能夠自動盤點數位檔案,也能透過不可否認、不可篡改的區塊鏈,舉證研發資料生成時間;而網擎資訊 AEP 作為企業完整的檔案平台系統,除了不斷追求提升資料分享與管理效率外,也提供防制勒索軟體、遠端共編等各項應用,經由智財存證的加值,能夠在企業生產力工具上精益求精。區塊科技執行長黃敬博表示:「透過與市場領導者 Openfind 合作,不僅能夠加速實踐新創點子,也證明了區塊鏈技術可以在企業數位轉型的浪潮下扮演關鍵角色。」

隨著區塊鏈應⽤的蓬勃發展,藉由統整流程與技術專業,使用者將能輕鬆享用先進的數位安全服務。以 Openfind在郵件領域深耕多年的經驗,加上區塊科技的區塊鏈存證平台,未來整合防詐騙、信件已讀追蹤機制、電子存證信函等成熟技術後,不但能協助導入更全面的檔案保全系統,也能使企業的電⼦文件存證流程更臻完備!「區塊科技也會持續與網擎密切合作,完整支援各項智財存證應用,並結合網擎擅長的資安領域,提供同時滿足企業溝通與數位轉型之解決方案。」黃敬博指出。

關於 ArkEase Pro 雲端儲存服務平台

ArkEase Pro 雲端儲存服務平台為企業建立專屬私有雲,提供企業級檔案協作平台 (Content Collaboration Platform ),讓使用者能安全地儲存、分享以及同步電腦、手機和平板上的資料。完整的安全控管、權限與稽核設定,讓企業確保重要資料安全無虞,兼顧協作效率及資安要求、滿足法規遵循。更多訊息,請瀏覽產品網頁 https://openfind.com.tw/taiwan/arkeasepro.html

關於 區塊科技

區塊科技 BlockChain Security 成立於 2018 年 2 月,目標為整合資訊安全、數位證據保存及區塊鏈技術,建構出適用於各產業的資安鑑識與數位存證解決方案。平衡區塊鏈處理效能與資料隱私,區塊科技同時注入數位資料防偽、區塊鏈合約簽核、電子郵件防詐等自研發專利能量,以先進技術確保專業品質,並持續將區塊鏈存證應用導入多元場域中,為企業及民眾帶來安全及便利的生活。更多訊息,請瀏覽公司網站 https://chainsecurity.asia/

關於 Openfind

Openfind 成立於 1998 年 1 月,長期致力於網際網路相關技術研發,為企業用戶與廣大網友提供高品質、高穩定與高擴充性的軟體與服務。從企業市場搜尋引擎系列產品、電子郵件伺服器或郵件防護、稽核、歸檔系統,到一般使用者的電子郵件信箱與企業郵件代管服務,Openfind 堅守「創新技術與優質服務」的企業文化,以提供使用者最符合成本效益的解決方案。更多訊息,請瀏覽公司網站 https://openfind.com/

以上內容由區塊科技提供

【幣圈大事件】BTC減半就在今晚!? 『比特幣減半』好文精選

區塊誌編輯部/整理

比特幣即將迎來第三次獎勵減半– 是加密貨幣不可不留意的大事件

所謂的比特幣(BitCoin, BTC) 減半,代表減半挖礦獎勵 – — 減少獎勵礦工確認交易紀錄所獲得的比特幣獎勵。比特幣每歷經21萬區塊高度,都會減少目前獎勵顆數一半,以維持貨幣通縮機制。原本12.5 顆BTC獎勵,縮減為6.25 顆。經過2012/2016年兩次獎勵減半,本次將於區塊高度63萬時進行出塊調整(每21萬區塊高度減半一次)。
為了讓讀者能夠一手掌握事件的來龍去脈,更能知悉減半的後續影響,特整理各家精選好文如下:

「科普」:比特幣減半究竟怎麼回事?

高度 vs 時間

區塊鏈瀏覽器

減半是隨著區塊高度精準定位,但由於區塊不一定按照每10分鐘出塊一次的定性規律,故用約略時間推估,大致上比特幣是以四年為週期,才減半一次。
【比特幣減半事件簡表】 時間/高度
第一次減半 2012.11.28 ( 區塊高度 210,000 )
第二次減半 2016.7.9 ( 區塊高度 420,000 )
第三次減半 2020.5.12 ( 區塊高度 630,000 )

分析:區塊先生

【區塊先生】解讀 比特幣減半 – Bitcoin Halving《區塊鏈-每日直播》(#140集) – YouTube 連結

專題鏈聞 (ChainNews)

「比特幣減半能否三度延續上漲劇本?」
https://www.chainnews.com/zh-hant/articles/058056701391.htm
市場面/挖礦行業/ 鏈上數據分析 /安全性 /經濟學等 面向整理。

市場面

Messari:深度分析比特币第三次减半影响与投资理论 – 链闻 ChainNews
https://www.chainnews.com/articles/885934747423.htm

鏈上數據分析

比特币减半在即,透过链上数据了解比特币发生的有趣变化 – 链闻 ChainNews
https://www.chainnews.com/articles/889535355544.htm

估值模型

三种模型估值比特币:安全性与稀缺性设计如何驱动价值? – 链闻 ChainNews
https://www.chainnews.com/articles/950610215640.htm

經濟

比特币价值全新叙事:比特币会淘汰所有其他货币 – 链闻 ChainNews
https://www.chainnews.com/articles/718858204543.htm

2020年內即將減半的八大幣種 (手榴彈實驗室)

完整蒐錄!一次看完八種即將減半的幣種 by手榴彈實驗室整理 (出處 手榴彈實驗室 Grenade.tw FB

線上瘋減半倒數

幣安倒數計時鐘

鏈新聞 四比特幣減半倒數鐘

『比特幣減半倒數鐘!這些小工具可以陪你一起倒數,但幣安有點落漆 』
https://www.abmedia.io/bitcoin-halving-countdown-clocks/
鏈新聞細心整理了四種倒數減半的計時器,並按照各自預測時間先後呈現。

減半倒數行情預測

區塊客

比特幣減半如何影響幣價?參考過去兩次減半你需要知道的事 –
https://blockcast.it/2019/09/14/bitcoin-halving-everything-you-need-to-know/

動區動趨

減半行情|比特幣獎勵減半效應,會在何時、何種方式計入「BTC 幣價」?
https://www.blocktempo.com/bitcoin-halving-price-black-swan/

比特幣減半慶祝活動

『幣安 Bitcoin Havling Party 』 ( 抽BNB )

幣安 Bitcoin Havling Party 活動 (圖片:Eventbrite 活動頁面)

減半Party活動細節

預計減半前 2 小時幣安 YouTube 進行減半派對直播 (已開播)

☆活動重點☆
1. 四場抽 BNB 機會
2. 與幣安 ( Binance ) 一起慶祝四年一次的比特幣產量減半
3. 看 CZ 與 Coley (CEO @Binance.US) 超難得重磅亮相


Eventbrite 活動
https://www.eventbrite.com/e/the-binance-halving-party-tickets-104775147286
( *只有通過 Eventbrite 報名的人,才有資格參加聚會中的 BNB 幸運抽獎機會! )

幣安中文專頁活動專頁
https://www.facebook.com/BinanceChinese/posts/1875956945872252

動區動趨 (抽htc手機)

取自官網

時間|5/12(二)比特幣減半前5小時開播(00:30)
▍地點|動區動趨的Facebook, Youtube

▍活動頁傳送門:https://www.facebook.com/events/584913695711556/

【一起熬夜看減半| 4年一度的歷史時刻】比特幣減半轉播實況分析 https://www.facebook.com/events/584913695711556/permalink/585062942363298/

[時事觀察] 未來將來:浴火重生的DeFi

文/marxwang

(原標題:從 Uniswap / LendF.Me 盜領事件,看 Defi 的自我修煉之路)
僅僅在一週內,Defi 就發生兩起重大盜領事件。

首先 4/18日,Uniswap ImBTC-ETH 流動池發生盜領,造成超過30萬美金損失。緊接著隔日(4/19) 借貸平台 lendF.me 資金池也出現類似盜領情況,損失將近2470萬美金 (詳見下方摘要)。

事件發生後,讓外界好奇的是,究竟項目遭遇什麼問題導致資金被盜?更重要的是,兩起事件所造成後續影響為何?未來需如何改進?

探究這些問題前,讀者可先了解『DeFi 運作架構』才好了解事情的全貌。

圖一:DeFi 運作架構
出處:Ivan Martinez Medium 連結

起因:DeFi 成也架構,敗也架構

由上圖可看出,DeFi 服務是架構在底層模組之上。在以太坊 DeFi 生態系中,從底層公鏈到流動層共可分為五層 ( Layer 0 – 4 )。就好像建造房子需要先打地基,然後才能往上加蓋。房子要蓋得穩,地基首先必須穩固。

分層架構的設計思維,在業界十分普遍,像是OSI模型(Open System Interconnection Reference Model)七層架構 。這種架構的優點可以彈性而靈活的擴展。上層選用下層的服務作為基礎,提供更上一層的支撐。不過如此一來,風險也伴隨增加。當下層服務存在漏洞或者設計上缺陷時,上層服務因為依賴耦合關係,必定會受到影響。

本次Uniswap 事件就是一例!Uniswap 開發團隊早已發覺在代幣交換協議(V1版)中,已無法安全地交換ERC777規範發行代幣。

Uniswap 對外宣告,在服務中交換 ERC-777 代幣並不安全(出自 Uniswap Github)

事發之後,Tokenlon 補充,此次危機只存在「結合 ERC777與Uniswap/Lendf.me」交互運作時

還好,漫霧安全團隊表示,即便協議層存在重入攻擊的可能性,也能透過合約程式碼修補。

問題解決惹。 Problem Solved.
除非你要自找麻煩,不然建議你關掉視窗,不要繼續往下讀。
————(我是分隔線)———

當你跨越這條線,代表你準備好接受更多挑戰。又或者,以下概念也許你已經不陌生或是感到老生常談。沒關係,我們就把這些點子當作修煉檢查表,逐項打勾吧。

☐修煉1 :DeFi 基礎建設的強化

Defi 基礎建設範疇定義為:Layer 0 – 4(參考上圖一)。
具體強化重點可分成「資安」與「功能」改進兩部分。

由於 Defi 生態系目前仍以以太坊為主流,資安領域的重點在於保全智能合約程式與協議改進。程式語言已Solidity優先,但不限於此。由於沒想要寫萬言小說,所以以下重點摘錄,並只點出問題。(如果已經有解法,請不吝賜教)。

資安問題
根據知乎 Solidity 十大問題的整理 (連結):

  1. Reentrancy – 重入
  2. Access Control – 访问控制
  3. Arithmetic Issues – 算术问题(整数上下溢出)
  4. Unchecked Return Values For Low Level Calls – 未严格判断不安全函数调用返回值
  5. Denial of Service – 拒绝服务
  6. Bad Randomness – 可预测的随机处理
  7. Front Running
  8. Time manipulation
  9. Short Address Attack – 短地址攻击
  10. Unknown Unknowns – 其他未知

功能問題
一、交易效能改進:
1.交易擁塞:大量交易造成區塊打包塞車,並且會造成連鎖加成反應。
2.跨鏈交易處理 :代幣資產交換不可避免,資產都註冊在單一公鏈很理想,但未必符合未來趨勢。
二、預言機改進:價格如同時間一樣神聖,現實中我們利用昂貴的原子鐘為大家定時,鏈上的預言機報價仍然存落差障礙,尤其是 chainlink之類的機制改進。
三、協議改進:如同Uniswap 協議已經推出V2版,支援更多幣種(如ERC777)與增強功能 詳細可參考 https://uniswap.org/blog/uniswap-v2/

回歸本事件的思考。技術上而言,本事件的各別協議是安全的。但是Defi 普遍存在協議間/模組間的交互場景,將會製造更多風險不確定性。這兩事件也暴露出,與Defi 急速發展相比,風險意識提升速度仍嫌不足。服務提供者可以做出更多貢獻。

☐修煉2: 用戶必須心存風險意識

Defi ,顧名思義是分散式網路金融,屬於一種新興金融領域。即便Defi 借鏡傳統金融的發展,作法上仍有很大的差異。投資最怕的就是誤會,因此這邊還是要提醒Defi用戶,關注你的資產。再好的新方案,投資前務必分散風險,並且做好功課,再自主進行決策。

(以下省略)

☐修煉3: DeFi 體驗再進化

這不僅是Defi 問題,可以說是加密貨幣/區塊鏈服務或Dapp的共同問題:體驗
根據科技導入生命週期(Technology Adoption Life Cycle) 曲線,如果Defi 算是科技上的一種全新體驗,可以吸引多少人加入使用?

出處: 智庫百科

嘗試問自己以下問題:
1.加密錢包為何要助記詞才能用? 每一個錢包都要記一組助記詞跟密碼? 這是幫助用戶還是在阻擾用戶(開放討論,基本教義派勿戰)
2. 我們要提供的體驗是挫折,還是享受?

成功的體驗改進結果只有一種:「回不去了

未來將來:浴火重生的DeFi

不死鳥一輝再次復活(圖片取自:頭條號/阿呆趣談

很喜歡漫畫『聖鬥士星矢』中的不死鳥一輝(鳳凰星座 フェニックス イッキ )角色。因為他總是能夠在歷經粉身碎骨之後,一次又一次的浴火重生。如果 Defi 真的有那麼一天擠身主流,與傳統金融成為人類社會的重要一部分,相信它也是歷經一次又一次的考驗,不斷改進,直至成為可以被大多數人接受的新事物!

我真心期盼 那一天的到來。

備註

1. Uniswap事件整理

攻擊對象:Uniswap 中 imBTC 資金池 (透過 Uniswap V1 )
事件揭露
1. Tokenlon 發文表示, ImBTC 在 Uniswap 的資金池已被提領一空 ( drained )。
2.安全人員Julien Bouteloup (@bneiluj) 於Twitter 協議漏洞(尚未被修補),由於協議允許合約呼叫改造過的 hook (鉤子函式),允許再次呼叫提領 transferFrom 函式,致使攻擊方取得更多的 ETH與ImBTC代幣。如此一來,等同資金池代幣隨交易不斷被提取,直至提領一空。

延伸閱讀

1. imBTC Uniswap Pool Drained for ~$300k in ETH – DeFi ERC777 Exploit
https://defirate.com/imbtc-uniswap-hack/

2.『慢雾:详解 Uniswap 的 ERC777 重入风险』https://www.chainnews.com/articles/533666270146.htm

2.LendF.Me 事件整理

攻擊對象:LendF.me 借貸平台 資金池
事件揭露: Tokenlon 推文 ,表明LendF.me 出現類似 4/18重入攻擊。
總損失: 約2,470萬美金 (共12幣種資產被盜)
攻擊手法:重入攻擊(Reentrancy),利用二次supply()函式內呼叫提領函式 withdrew()累積攻擊方可提用額度並且進行提款,導致資金池被提領一空。經估計損失是LendF.me 擁有資產的99%。

延伸閱讀

1.Tokenlon : About Recent Uniswap and Lendf.Me Reentrancy Attacks
https://medium.com/imtoken/about-recent-uniswap-and-lendf-me-reentrancy-attacks-7cebe834cb3
2.慢雾:解析 DeFi 平台 Lendf.Me 攻击细节及防御建议 – 链闻 ChainNews
https://www.chainnews.com/articles/427601377396.htm

總結這兩次攻擊,雖然損失金額相差甚多,相同之處在於其攻擊手法均透協議漏洞或程式碼變數置換,發起重入攻擊(Reentrancy Attack)。而不同之處則是Uniswap 案件中,雖然Uniswap v1協議本身就不支援ERC777代幣並且已經揭露在案 (2018.12月),但這種攻擊只復現在 ImBTC 搭配Uniswap 交換協議情境下,各別使用並不會出現危機。

3. (4/21 事件更新) 鋒迴路轉,Lendf.Me 被盜的代幣已經全數歸還。

連結:『Lendf.Me 平台被盗代币已全部追回』鏈聞 ChainNews

[資安]不小心中了勒索病毒 WannaRen ?沒關係,相關解密工具已釋出!

(2020/4/10更新)
據資安廠商火絨 公告 /知乎,勒索病毒 WannaRen 作者近日主動聯繫火絨並主動釋出加密金鑰,提供給受感染者解密。原本作者希望火絨用戶支付BTC贖金,但索取未果之後,竟主動提供加密金鑰給廠商。獲得密鑰後,火絨團隊已釋出用於解密工具,提供受感染用戶解密。

根據enigmasoftware介紹,WannaRen病毒中毒特徵為:檔案內容會被加密,並且檔案名稱會加上「.WannaRen.」的副檔名,該款病毒也因此得名。此外,病毒將索取0.5顆 BTC作為解密贖金。

一些資安團隊均已釋出對應的解密工具,取得方式如下:

1.火絨團隊解密工具(GUI, WIN)

下載地址:https://www.huorong.cn/download/tools/wannaren_decryptor/HRDecryptor.exe
SHA1 81f366d71f87127b18f7e695519afd08fb4552a3

照片出處:火絨團隊

2.Raidrip7 WannaRen_decryptor (命令列, WIN)

下載位置:https://github.com/RedDrip7/WannaRen_decryptor (decode.exe/private.pem 都要下載)
decode.exe SHA1 3d43e9fb073d18cae45ac67edb3bc4c9c6ff4856

3. Emsisoft 線上解密服務(網頁)

免費勒索軟體 線上解密工具 (照片:取自Emsisoft 官網)

如果您的電腦已受到感染,可以利用上述工具進行解密。

區塊誌 編輯部/整理

讓專業的來!區塊科技推出 ChkSender 瀏覽器外掛守護你的郵件安全

電子郵件詐騙防不勝防 詐騙損失每年高達17億美金

取得ChkSender Chrome 外掛點我下載

電子郵件詐騙(Business Email Compromise, BEC)是一場由犯罪組織精心策畫的騙局。「就連 Google、Facebook 都乖乖受騙上當!」近期知名的案例,便是立陶宛男子以 BEC 手法假冒廣達收款約新台幣 38 億元得逞,被判 5 年有期徒刑。

早在七、八年前就傳出許多企業遇害,已被各界視為網路犯罪主流之一,比起其他的網路攻擊,BEC 詐騙手法對駭客而言技術難度不高,但是獲利卻是更加豐厚。在今年度最新由美國聯邦調查局(FBI)旗下的網路犯罪投訴中心(Internet Crime Complaint Center ,IC3)公佈的 2019 年網路犯罪報告,在去年總計 46.7 萬件的資安投訴案當中,BEC 電子郵件詐騙雖然不到 2.4 萬件,數量僅占全數投訴案件的 5%,但造成的損失卻高達 17 億美元,占去年網路犯罪損失總額的 50%。即便市場上已經有端點防毒、防止網路釣魚、進階閘道防護…等各式各樣的成熟資安解決方案,多年來始終尚未有杜絕電子郵件漏洞的有效機制。

首度公開全球獨步 BEC 電子郵件防詐完整解決方案,
照片左起為刑事警察局 陳詰昌、國立科技大學 黃政嘉、臺灣科技大學 查士朝、區塊科技 洪啟恒 (照片:區塊科技提供)

全球最專業數位鑑識品牌 Nuix 揭露電子郵件犯罪調查大解析

來自澳洲的國際數位鑑識權威「Nuix」是全球最專業的 eDiscovery 領導品牌,以全球企業訴訟案件作為服務主力,並且為 Amazon、HSBC、SAMSUNG…等超過 40 家知名跨國企業服務,站在資安事件的首席地位,他們發現電子郵件絕對是不容忽視的資安數位防禦破口,不僅把數位鑑識的技術與經驗深入耕耘在 BEC 領域,更是將營運目標從企業訴訟轉向為進攻 Cyber 的駭客事件調查,直接揭示防電子郵件防騙正是全球性大趨勢。

澳洲國際數位鑑識權威軟體Nuix (圖片擷取自官網)

本次發表會當中,Nuix 團隊網路鑑識調查專家 Stuart Clarke 更特別分享 BEC 案件鑑識手法與調查過程,分享團隊是如何運用即時企業調查(Real-time Corporate Investigations)挖掘電子郵件詐騙的種種足跡,透過 Nuix 的獨門技術針對電子郵件進行鑑識調查,讓駭客詭計無所遁形。

區塊鏈新創首度發表 臺灣自主研發 BEC 電子郵件 整合區塊鏈及智慧防詐解決方案

除了事後調查,由鑒真數位團隊所投資成立的臺灣區塊鏈資安應用新創「區塊科技 BlockChain Security」,長年以來發現 BEC 詐騙猖獗的難解問題,因此研究各種郵件詐騙手法,結合過去在資安鑑識與數位證據領域多年經驗,開發軟體套件來達成事前防禦及郵件存證目的,主要利用區塊鏈資料不可否認、不可篡改、永久保存等特性,自主研發獨步全球且適用個人與企業的區塊鏈電子郵件主動偵測工具 ChkSender,瞄準國際市場,鎖定全球 webmail 使用者提供服務。

ChkSender 產品公開發表會 (照片:區塊科技提供)

ChkSender 已經在 2020 年初上架免費開放下載(Chrome 商店連結),並且訂於本月底搶先正式開賣進階驗證功能,Gmail 用戶可以在官方網站或到 Chrome 線上應用程式商店下載安裝使用,針對這項嶄新區塊鏈技術新應用,發表會現場由區塊科技洪啟桓技術長親自分享 ChkSender 電郵防詐工具的發展藍圖,技術團隊更現場實機操作各種常見之詐騙手法,當使用者收信時,ChkSender 如何使用智慧自動學習(AI)機制,來辨識異常電子郵件特徵,僅需花費不到 10 秒的時間,就有機會避免平均每案件 15 萬美元的詐騙損失,在寄信時亦能夠存證自保,更獲得國際鑑識品牌 Nuix 的肯定,聯合公開 BEC 郵件詐騙的最新「事前防禦」及「事後調查」的完整解決方案,堪稱是 BEC 防電子郵件詐騙的技術創舉。

聯訪問答集
問:為何選擇開發 Chrome 瀏覽器外掛?
答:針對消費者習慣改變,電子信件收取多以Webmail 為主,因此開發Chrome瀏覽器外掛。日後考慮支援桌面版收信軟體。

問:為何先挑選Gmail 電子郵件服務?
答:Gmail 電子信箱使用者眾多,日後會擴展到其他常用Webmail服務。

問:ChkSender服務收費模式為何?
答:目前以免費服務方式提供基本的主動郵件偵測,如果想檢視更多可疑寄信者的資訊,或者進階加密傳送or存證傳送功能,則需要支付費用。收費方式在官網上已有說明(收費方案說明

點選『驗證郵件』按鈕,ChkSender會判別寄件人是否可疑,並列出相關資訊供收件人判讀(需扣點數)。

(區塊科技 技術長洪啟恒口述, 區塊誌整理)