#新年以來第一篇就來點勵志的小品文
漢高祖劉邦有個孫子叫做劉安,是個頗具傳奇意味的人。
在正史《漢書》中,劉安因為被人揭發謀反而畏罪自殺;但民間反而認為他是升天了,而他家養的雞犬因為舔食了他留下來的仙丹,所以也跟著升天了(故留下「一人得道,雞犬升天」的成語典故)。
#但在此要強烈呼籲一下 : 真的不要給貓狗吃人的食物,牠們真的會升天(不是開玩笑的)
#而另一個有名的傳說則是他發明了豆漿跟豆腐
但今天這則故事要講的是相傳是劉安所編輯的一本道家色彩濃厚的書籍--《淮南子》;而在《淮南子•人間訓》中記載了一個故事。
故事裡說在塞北邊疆有一個很會養馬,然後被稱為"塞翁"的老人(講到這邊還要繼續往下講嘛................??)
某一天,塞翁的家的馬莫名的跑走而出走到北方胡人的領地裡,因此前來慰問的鄰居要他想開一點,但塞翁反而安慰大家說:『這說不定是好事?』
幾個月後,那匹馬自己回來了,而且還帶著一匹來自北胡的駿馬回來,鄰居因此前來恭賀他;但塞翁卻搖搖頭說:『這說不定是壞事啊 ?』
而善養馬的塞翁家本來就不乏良駒,他兒子更是愛騎馬,哪裡想到有一天竟然摔馬跌斷大腿,此時鄰居又紛紛前來慰問;此時塞翁依舊跳針的說:『這說不定是好事?』
(一樣的台詞,讓人不禁懷疑他有失智的可能性.........)
又過了一年後,胡人大舉入侵,邊境地區的壯丁都被徵召上戰場,卻死傷了八九成,但塞翁的兒子卻因為跛腳而免役,父子倆因此能相安渡日。
雖然看完之後不知道該說是塞翁太聰明,還是鄰居智商太低;但這個故事假的成分很高,其目的也不過在呼應一個(同被認為是道家系統的)《老子》中強調的古老諺語 : "禍兮福之所倚,福兮禍之所伏"。
至此,便接到我今天要講的重點了......(講了快700字,才要講重點,真的很有我的風格呢)
-------------------------------
一個多禮拜前的平安夜,我正好因為例休而得以休假;一般休假時也就是我處理生活中瑣事的時候,於是我趁著吃午餐外出,順道買了家用品與繳費。
由於騎機車已經二十幾年了,以前又騎過幾年打檔車,所以我一般會習慣在轉彎時壓車過彎(也大約就是十幾二十度的角度)來減少煞車損耗跟保持引擎與行進流暢。
但不知怎麼的,最近覺得後輪的胎壓不足,所以壓車時會覺得有點不穩;而且引擎也要花費更大的力量才能把速度帶到一般習慣的時速(因為胎壓不夠,輪胎跟地面接觸的面積就會加大,那同樣騎40公里的速度,引擎就要花費更多力量才能達到這個速度,這個可以從聲音跟車身震動來得知)
我總以為這是因為這一陣子天氣從熱變冷,所以輪胎裡面的空氣體積變小所致,日後有機會再去充氣就好;於是,我這一陣子就是騎慢一點以策安全。
而當天在回程路上瞥見儀表板里程數的我,驚覺又到了換機油的時候了(一般機車標示是每1000公里就會轉為紅標,提醒你換機油;但為了機車好,我一般都是800公里就會換,所以只要里程數達到8的倍數,我就會自己騎去換機油並檢查胎壓),我想也可以順便請師傅幫忙輪胎充氣。
是以,抵達機車行的我很快交代來意後,便在一旁放空滑手機。
哪想到我滑了幾分鐘後就聽見師傅說 : "唉唷,恭喜中獎了。"
我抬起頭來,師傅正看著我的後輪;而當我趨前去時,便看見黑色的輪胎上有一個銀點。
"你壓到釘子了。"
看見這個銀點,近日來輪胎疲軟的原因終於水落石出。
我當下回答 : "喔,那好,就順便補一補吧。"
回答的當下,我竟然還有一點高興。
只是當師傅用老虎鉗拔出那根釘子時,說了一句 : "唉唷,已經磨掉半根了。"
這句話頓時叫我有些後怕。因為要是釘子變得更短了,就可能會因為壓到坑洞而讓輪胎整個沒氣,甚至會讓我當場摔車;但後怕一了,隨之而來的是更大的欣喜。
高興什麼?
至少我是在機車行裡面發現這件事的;而不是我的家人在我爆胎摔車,然後被後車輾爆後,檢方的檢驗報告裡得知車禍成因的.........
所以,我覺得我很幸運。
幸運的是我在出事前就處理完這件事。(至少也會是正要上班或下班回家時,才發現後輪完全沒風,然後無法上班或晚上沒地方修車)
幸運的是我在放假的時候,剛好可以處理這件事。
幸運的是我在剛好要換機油的時候,發現這件事。
幸運的是當師傅把車子升高時,輪子正好迴轉到我們可以看清楚那根釘子的角度,才能處理這件事。
以上幾個環節,要是少了哪一個因素,都可能造成意外;但我就是這麼幸運的碰上了並且處理了。
所以我很高興,而且越是後怕,就越是慶幸。
-------------------------------
由於都市的節奏比較緊湊,造成大家在耐心跟得失心上容易失衡,所以處理跟看待事情的角度就會比較淺短。
可能會有一部分的人在碰到這種事時會覺得自己只是換個機油卻又無故破財而大呼倒楣,那是因為他看見的是 : 自己本來花500塊能解決的事,卻還要花更多的錢來處理意料之外的事。
但每當我碰到這種事的時候,我總會認為 : 如果我沒有及時處理,等到馬路上爆胎摔車,那要多花的更是修車錢;但要是我直接自摔倒斃,又或是被後車輾斃呢?
哪個成本比較大?
還記得我上次說我請拖吊車把車送進原廠,還在回程的火車上碰到一個阿美族的耆老嗎?
其實那次就是我的十多年老車有了怪聲音,所以進廠維修的。
你猜猜跟我家相熟識的原廠師傅怎麼說??
"還好你沒有硬開回來找我,不然這台車就要報銷了。"
看到這裡,各位覺得是我無視雜音硬開上路,然後報銷的成本高?
還是我請拖吊車(某家銀行的卡友免費),然後自己花幾十塊錢往返新竹,再用我放假的時間去取車........的成本比較高呢?
所以,或許我們都會有不順或是意外破財的機會,但當你要大呼倒楣,或是要怨恨造化總是弄人時,或許你該想的是 : 至少我還有命付帳單。
因為結果其實可以更糟的,不是嗎?
我有個大膽的想法 : 有沒有想過"塞翁失馬"可能是個國外流傳進中國的故事?
#塞翁smart ?
.
.
.
====
#活著本身就是一場恩典
#當你埋怨要晚回家的時候
#想想那些只能在頭七回去一趟然後永遠都回不了家的人吧
#然後我真的事後去買樂透_結果只中兩個號碼.......
每週一、三、五的晚上10點半,一起看、一起想、有瞌睡蟲一起養。
====
如果文章能合胃口,請記得按讚、分享、追蹤、搶先看。
#設搶先看的步驟請看這裡 : https://www.facebook.com/GeeChungYo/posts/2253325874890594
=====
但在此要強烈呼籲一下 在 [情報] iPhone 史上最大資安危機,強烈呼籲受影響的各界重要 ... 的美食出口停車場
本文轉貼自:Hiraku Dev
https://hiraku.tw/2019/11/5006/
iPhone 史上最大資安危機,強烈呼籲受影響的各界重要人士立即更換你的手機
2019/11/16 1 comment Article 技術研究
本文為原創研究,轉載歡迎,唯請附上本文原始連結或者註明本人為原作者。
不同於以往的文章,由於這次的漏洞太可怕,所以我會盡量用對「沒有技術概念的人」
也可以看得懂的方式說明。
首先,在幾個月前,國外的駭客發現了 checkm8 這個 bootrom 漏洞,而在最近,基於
這個漏洞所實作的越獄工具 checkra1n 已經釋出。
我們都知道,手機、電腦的系統並非完美無缺,都會有一些大大小小的 bug,小的可能
只是系統會當機耗電,嚴重的則是駭客可以輕鬆偷取你的資料。大部分的情況下,這
些 bug、漏洞都可以透過系統更新來解決。但極少數的情況下,由於漏洞是出現在無法
更新的「硬體」上,導致有這個漏洞的裝置無論如何系統更新都無法修正,而這次的
checkm8 就是屬於這樣的漏洞(bootrom exploit)。
checkm8 影響的裝置範圍非常廣大,從 iPhone 4s 到 iPhone X、iPhone 8 這一代完
全都被影響,當然,在這期間發佈的所有 iPad、iPod touch、Apple TV、Apple Watch
,甚至 HomePod 全部也包括在內。
簡單來說,iPhone 上唯一不受到影響的只有 iPhone XR、iPhone XS、iPhone 11、
iPhone 11 Pro(以及未來出現的機種),iPad 只有 iPad Pro 12.9 吋(第三代)11
吋、iPad Air (第三代)、iPad mini(第五代)以及未來出的機種不受到影響(請注
意,2019 年 9 月出的 iPad 第七代有此漏洞),iPod touch 全系列則目前全滅。
在 checkra1n 發佈之前,如果想要駭入別人的 iPhone,通常會需要誘導對方下載惡意
軟體(類似釣魚手段),或者拿到對方手機之後,要解開密碼,再安裝惡意軟體進去。
解開 iPhone 密碼的難度相信大家大概都有聽過,就連 FBI 想要破解恐怖攻擊份子的
iPhone 密碼都遭遇困難了,可見沒有相當技術能力是幾乎不可能達成的。而最嚴重的
遠端執行惡意程式碼漏洞,有公司開價 200 萬美金徵求此類漏洞,可見其困難度以及
稀缺程度根本無法想像。
然而 checkra1n 出現之後,大大降低了偷取資料的難度。經過實驗證明,透過
checkra1n (或者任何基於 checkm8 此漏洞開發的工具),可以在沒有任何密碼的情
況下,只要可以接觸到對方手機,就可以直接用軟體看到手機內部的資料,更甚者,可
以植入惡意軟體。雖然惡意軟體在重開機之後就會無法執行,但對於只需要一次性偷取
資料的情況來說,已經是綽綽有餘了。或者我們可以問自己,你的 iPhone 多久重新開
機一次?我自己最高紀錄是 40 多天沒有重開過。
更重要的是,目前 checkra1n 這個破解工具雖然需要手機連接上電腦才可以執行,但
是目前已經有人在開發硬體 dongle。未來只要攻擊者在你去上廁所,手機放在桌上的
時候,有機會拿到你手機三分鐘,就可以插入一個像是隨身碟的裝置到你的 iPhone 上
,就可以植入惡意軟體,或者獲得重要資訊。
因此在此呼籲所有各界重要人士、政府部門官員,如果你使用 iPhone,強烈建議儘早
更換到 iPhone XR、iPhone XS、iPhone 11、iPhone 11 Pro 等沒有漏洞的硬體,iPod
、iPad 也一併更換。
對於一般使用者,如果你的手機遺失,請慎重考慮是否直接清除遠端所有資料並放棄找
回手機的可能。
今天我借到了一台 iPad mini 2、一台 iPhone 7 Plus,跟一台 iPhone 6s,我對它們
使用 checkra1n 工具觸發漏洞,然後嘗試在沒有密碼解鎖的情況下讀取裝置內的資料
。結果實驗成功,兩台裝置都讓我可以直接看到使用者的檔案。
【更新】有太多人懷疑我的實驗過程了,剛剛重新實驗一次,步驟如下:
iPhone 6s DFU 重刷 iOS 13.2.2
1.刷完之後不接電腦,設定好 iCloud、Find My iPhone、Touch ID、密碼
2.下載一個 App Store 軟體並且進去 App 做一些操作
3.手機接上電腦,不解鎖,進入 DFU 執行 checkra1n
4.破解完成之後存取手機,下指令發現可以看到照片列表,但無法讀取(所以沒破解密碼
可以直接讀取是錯的,在此更正)
5.測試讀取 /var/mobile/Library/Preference 裡面內容,可以看到內容
6.測試重新掛載根目錄,可以掛載並寫入內容
7.在實驗中,我可以確定幾件事:
不需要密碼就可以獲得使用者檔案列表
1.裝置跟電腦之間不需要按「信任連線」一樣可以獲得資料
2.Sandbox 跟使用者目錄雖無法直接看到內容,但可以透過根目錄寫入檔案,有機會植入
惡意軟體
3.光可以看到使用者檔案列表,對於某些 App 來說已經有訊息洩漏可能(例如你有一個
4.管理文件檔案的 App,然後你的檔名就包含機密資訊)
最後再次強烈警告,這不是像是「追蹤器在有跟沒有之間」的唬爛嘴,而是經過實驗證
明的結果。
尤其最近大選將近,無論哪一個陣營,請都保護好自己的資料安全。
最後補充一點,平常使用各種要插入 iPhone 的設備時,需要注意不要在手機上「信任
」該裝置即可。因為要被攻擊,手機必須進入一個叫「DFU 模式」的特殊模式,一般我
們正常使用是不可能觸發 DFU 模式的,所以你仍然可以用別人的充電器、保護殼之類
的,只要不讓其他人可以操作你的手機本身就不必擔心漏洞本身。但是一旦被攻擊者可
以摸到你的手機,操作 DFU 模式的話,不管是不是用原廠線或者任何配件,一樣會被
攻擊。此外,一旦你點了「信任」充電裝置,代表允許改裝置讀取你的資料,那這樣無
論你用哪一台手機,不管有沒有漏洞,你的資料都是在危險威脅下的。
PS. 因為 iPhone XS 修正了這個漏洞,所以肯定在 iPhone XS 研發階段,Apple 就知
道這個問題了,但是在今年還是推出了有漏洞的 iPad 第七代跟 iPod touch 第七代,
提姆廚子你好樣的。
感謝 Mowd、Jacob、Garynil 提供機器測試,感謝 littlesocks 給予這篇文章諸多建
議,感謝 Birkhoff Lee 對於實驗過程的指正。若沒有他們的協助,我無法完成這項研
究文章。
https://hiraku.tw/2019/11/5006/
心得:
主要要注意的就是iPhone 4S到iPhone 8/X這一代的使用者
不過用舊硬體(?)的iPad/iPod Touch第七代還是要注意一下
主要就是手機最好還是隨時帶在自己的身上,各種特殊模式沒事不要去開應該就還安全
--
Sent from Google Chrome on Windows 10 Pro.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.204.141 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1573883096.A.359.html
※ 編輯: olmtw (223.136.204.141 臺灣), 11/16/2019 13:45:59
... <看更多>