比 Spotify 更具彈性，真係好方便！ 黑客盜取個人資訊後，要甩手套現，以往所需時間以星期為單位。Trend Micro 最近發現黑客將盜取資料雲端化成 Cloud of Log，加快交易流程之餘，更提供先進分析與篩選工具，方便網絡罪犯揀選訊息日後犯案，令人防不勝防。 雲端化為罪犯換來速度。以往黑客盜取資料、轉賣並犯案的過程，以星期為單位。雲端化後大大縮減至以天、甚至小時為單位，研究團隊以 Garage Sale 與 Online Shopping 比喻雲端化的高效率。「黑客的交易時間等於企業的應變時間，以往企業有平均十天去發現資料被竊取、評估損失、擬定對策、通知受影響客戶與執法機構等，黑客將贓物雲端化令防守難度劇增。」 數據化年代，Ransomware、Botnets、Keylogger 等竊取個人資料的攻擊變成主流，黑客每次盜取的訊息量劇增，掌握的個人資訊亦以 TB 計，偷竊資訊內容涵蓋…

一場疫症，令大部分香港企業被迫急著數碼轉型，同時黑客亦覷準機會，大舉進攻港企網絡，當中不乏巨型企業中招，暴露了潛藏已久的企業網絡安全意識嚴重不足問題。PwC 網絡安全及私隱保護服務合夥人及 Dark Lab 創辦人顏國定透露，香港近期的網絡攻擊事件大幅上升約十倍。他分析情況指，港企的資安水平落後世界先進地方最少 5 年，主因沿於長久以來，香港社會針對網絡攻擊事件的透明度不足，造成企業以至大眾對網絡安全失去危機感。他認為，現時的監管機制只靠企業自願性披露，情況恐難改善。 香港網絡攻擊升十倍　勒索攻擊明顯進化 顏國定表示，在疫症爆發之前，經他團隊處理的本地網絡攻擊事故，一年平均約四十多宗。但疫症爆發至今，處理事故宗數大幅上升至幾乎一日一至兩宗，按此比例計算，升幅達十倍，而且黑客的攻擊手段亦越見高明。顏以勒索攻擊為例，以往黑客成功駭進企業系統，會短時間引爆病毒，癱瘓並鎖死企業系統，然後直接要求企業支付贖金，攻擊是一次性的。現在，黑客會先潛伏企業系統內一段時間（以香港情況，潛伏期大概一個月），期間黑客會偷偷在系統裝上電腦病毒及後門程式，並且盡量搜集企業的機密資料及客戶資料，之後等待適當時機，黑客就會「唧牙膏」式地攻擊，例如突然在社交媒體把企業的機密資料到處洩漏，並要求企業支付贖金；如果企業拒絕，黑客就會在對方疲於尋找解決方法時，再突然洩漏更多資料，甚至鎖死企業系統。這種持續性的攻擊，比起舊有模式，對企業造成更大恐慌和困擾，因為企業無法得知還有幾多機密資料和客戶私隱會被突然洩漏，相對地受害人就會更容易支付贖金。 長期認知不足　港企資安水平落後 顏國定亦指出，雖然香港企業在近期的數碼轉型風潮下，確實增加投放資源在網絡安全之上，但卻流於「買最貴的系統，但買回來後，從不善用」的層次，令到保安系統即使升級，仍未能發揮應有作用，有些大公司甚至連最基本的 MFA (多重認證）都未有實施。顏形容，港企的網絡安全水平落後世界先進國家五年，主要原因是社會對網絡安全意識長期不足，由市民大眾到公司企業，都不知道網絡攻擊的嚴重性，「連 MFA 這些低成本又有效的保安措施都嫌麻煩」。由於缺乏意識，因此由資訊安全的人材培訓，以至保安系統升級，都被長期忽視，結果現在急於數碼轉型的情況下，企業網絡保安錯漏百出，淪為黑客攻擊目標，「黑客其實都是漁翁撒網式在世界各地找獵物，所以哪裏防禦措施薄弱，哪裏就會成為黑客的天堂。」 監管靠自願披露　透明度不足恐難改善 針對社會整體對網絡安全意低下問題，顏國定認為，核心在於網絡攻擊事故的「披露（Disclosure）」不足，「香港現時的資安教育，很多時候是要求市民大眾『自己小心啲』，但人性在缺乏危機感下，必然會粗心大意。因此最有效的教育是增加危機感。」顏解釋，香港現時主要靠《個人資料（私隱）條例》要求企業自願性披露網絡攻擊事故，但由於欠缺約束力，企業為保聲譽，都會盡量低調處理，結果網絡攻擊事故鮮被曝光，社會大眾一直誤以為「風平浪靜」，自然不懂得去重視問題。他建議，政府可以借鏡先進國家，立法要求企業必須主動披露網絡攻擊事故，並為企業網絡安全措施要求，訂立清晰標準，以有效提高資訊透明度。「只有建立在有力的法律基礎上，企業才有不能迴避的責任，去披露資安問題的實際情況。當資訊的透明度有所提高，公眾認清事實，大家才會從日常生活中感受到網絡攻擊的嚴重性。於這樣的社會氣氛下，我們才能談得上以教育提高大眾以至企業的網絡安全意識。」

資安權威 Gartner 在 10 月 19 至 22 日舉行年度 Gartner IT Symposium/Xpo 2020，當中最注目的是其年度趨勢報告發表會，疫情下發佈會改為網上進行，主題當然圍繞著疫情怎樣影響企業營運模式，轉變又會帶來甚麼趨勢。這份報告一向獲業界高度重視，主流媒體都廣泛引用，到底動盪的 2021 年，各大企業的 IT 頭目需要注意甚麼？ Internet of Behaviours…

資安權威 Gartner 在 10 月 19 至 22 日舉行年度 Gartner IT Symposium/Xpo 2020，當中最注目的是其年度趨勢報告發表會，疫情下發佈會改為網上進行，主題當然圍繞著疫情怎樣影響企業營運模式，轉變又會帶來甚麼趨勢。這份報告一向獲業界高度重視，主流媒體都廣泛引用，到底動盪的 2021 年，各大企業的 IT 頭目需要注意甚麼？ 1.Internet of Behaviours…

多得網絡安全研究人員的努力，經常對網站及應用服務的潛在漏洞保持好奇心，才可減少用家的損失，好像智能運動產品Fitbit的應用程式市場Fitbit Gallery，竟可讓有心人將惡意app上載，在未獲審批前以官方連結分享出來，用家好易中招。 上年Google宣布收購 Fitbit 大計，令品牌大受市場關注，不過礙於反壟斷法關係，交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美，上班運動兩相宜，所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen，就對 Fitbit Gallery 的運作感到興趣，深入調查有關第三方 app 開發者在上載新…

很多人、事、計劃因疫情而流逝，但又有少數事強勢回歸，QR Code 就係好例子。廿年歷史以上的進取企業，相信 Archive 都有至少一份 QR Code Proposal，不過當年瞬間被社交平台與各種無線傳輸技術淹沒，淪為倉管，直到社交距離成為 New Normal，QR Code 重出江湖，擔當企業 Digitization 的一環，讓消費者 Access 餐廳 Menu 或購物 Coupon。眼見 QR…

雖說現時Apple的iOS 14及Google的Android 11作業系統，已大大增加應用軟件取用手機功能的權限透明度，甚至可讓用家逐次授予使用權。不過，面對著一些合理地取用全球定位功能、卻不合理地使用資訊的app，如用家未有留意細則或用法，便有可能洩露自己的行蹤。最新的例子是不少港人都有使用的運動記錄app Strava，預設功能可讓擦身而過的用家閱覽你的個人資料及經常出沒的運動地點，遇著立心不良的匪徒，隨時有人身安全危機！ 作為一隻運動記錄應用軟件，Strava在安裝時，要求取得定位權限，合理至極；而且相信絕大部分用家，為免每次使用app時都要重新授權，都會選擇長期開放取用位置權限，減少麻煩。不過，其中一位Strava用家Seward在Twitter上透露，當他完成一次跑步記錄後，竟發現記錄內tag了一位當日曾與他擦身而過的女跑手，Seward甚至可以細閱這位女跑手的Strava帳戶資料及運動記錄。經深入調查後，Seward發現原來Strava app預設的私隱分享功能非常「無私」，個人資料、運動記錄、團體活動等都設定為可供任何人查閱，而當中Flyby功能便是今次事件的元兇，因為開啟後，系統便會與附近的用家分享運動及位置記錄。雖然這功能用在正途上，或可組織該區的運動愛好者一起訓練，但卻同時洩露了過多個人資訊，包括經常出沒位置及所使用的運動手錶等，匪徒便有可能在路上埋伏，又或借助詳細的個人資料，發動社交工程(Social Engineering)攻擊。 事件經報導後，Strava即時出面澄清，並表示會通知所有用家有關修改這項私隱設定的方法。用家如希望關閉這項功能，可登入Strava官網，在設定中點選Privacy Control，於Flyby點選「No One」便可。用家亦可同時修改其他私隱設定，例如只跟朋友分享資訊或運動記錄，減少不必要的危險。 資料來源：https://bit.ly/3361ZL2

2019 年，擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts，主動自首承認由 2014 年至 2018 年間，外洩 500 萬住客資料，當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料（即行蹤）、預約日期等，付款資料其實都有外洩，不過有 AES-128 加密。呢單嘢極度震撼，因為 Starwood 沒有交代外洩原因，好難令人唔懷疑同管理失誤有關。而呢件事入面，最無辜（亦係最 Juicy）可能係…

後疫情時代，無論是生活與工作都出現「新常態」(New Normal)，大部分企業工作負載轉移到網上進行，難免令公司網絡基建壓力倍增，相信不少中小企的管理層正為此大感頭痛，無法在成功與效益之間取得平衡。 其實目前市面上，已經有針對中小企網絡監察的解決方案，嘗試為用戶提供最佳的成本效益，支援可能持續的「疫後」居家工作環境。Progress 作爲美國上市企業，在去年藉收購 Ipswitch，獲得包括 MOVEit、WhatsUp Gold 與 WS_FTP 在內的三項技術，已經做足準備，爲香港中小企安全與網絡管理提供優質服務。 WhatsUp Gold：自動網絡管理 疫情之下，在家工作與 A/B 分組辦公室上班情況常見，企業對維持穩定網絡表現的需求激增，與此同時，企業還需要爲員工提供安全檔案分享平台，才能維持團隊有效協作。Progress 的 WhatsUp Gold 能爲企業精準找出網絡有問題的地方，監察不同組織的運作情況，再作效能與數據分析，避免業務因網絡問題而停頓。 WhatsUp…

近年網絡隱私關注度高，保護用家私隱甚至成為某些瀏覽器製造商的賣點，然而，無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例，透過用戶在性格分析的遊戲答案，收集大量個人資料，令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡，收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target？我們介紹了一些方法去提高您的隱私設置，令您冇跡可尋！ 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎，提高隱私。例如 DuckDuckGo 搜索引擎，由於它拒絕對用戶搜索進行追蹤，就算搜索結果未必能及 Google 深入，卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度，可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…