唔知大家仲記唔記得,舊年10月美國《華盛頓郵報》沙特阿拉伯裔記者卡舒吉(Jamal Khashoggi)入咗沙特駐土耳其伊斯坦布爾領事館後下落不明,最後證實被殺呢單新聞?你可能會話,呢單嘢同資安界好似冇乜關係,不過隨住呢單案進入審訊階段,愈來愈多細節披露出嚟,先發現原來做開資安嘅公司係有另一條財路! 正常嘅資安機構,最多咪做下防毒軟件,擋擋黑客同埋病毒程式之類,但係有部分嘅業務就複雜好多,好似NSO Group、Gamma Group、Hacking Team(呢間今年四月啱啱同另一間公司合併成為Memento Labs)等等,佢哋係專為各國政府提供軟件,偷取目標人物喺網上嘅所有數據(沙地記者當然係目標人物之一啦),雖然佢哋呢類生意唔多公開,但從唔同渠道獲得嘅資料顯示,呢盤生意查實幾和味! 先舉NSO Group為例,佢聲稱自己2018年嘅總收入係2.5億美元,但係今年二月,一間英國私募基金Novalpina Capital收購咗佢大部分股權,作價就超過10億美元,可想而知,佢哋生意應該超過佢報出嚟個數啦!要了解佢哋盤生意點解咁大,當然要先知道客人係邊個啦,咁佢哋實唔會自己爆響口嘅,但又好衰唔衰,2015年一次大型數據外洩事件,其中部分數據就咁啱見到Hacking Team嘅客戶名單,當中包括沙地阿拉伯政府、FBI、馬來西亞反貪部門,同埋位於非洲尼日尼亞嘅巴耶爾薩州政府,一睇都知個個係尊貴客人,就解釋到生意額點解會咁大。 呢類生意唔係今時今日先有架喇,自從2013年發生斯諾登事件,全世界知道美國有個咁完善嘅電子監察系統,其他國家當然都想有個咁正嘅系統,於是出得起錢嘅政府,一係就請私人資安機構幫手,一係就索性高薪挖晒西方情報組織嘅前員工,希望洞悉各種加密技術同埋解拆方法,之前《紐約時報》就獲得阿拉伯聯合酋長國一間叫做DarkMatter嘅公司嘅人事部文件,發現佢哋請咗好多前美國國家安全局嘅前員工,就懷疑係後者嘅做法。 你話咁樣偷取個人資料到底合唔合法,條界線就真係好模糊嘅,因為就算上到法庭,都唔知點先可以舉證,就以最近一單為例,有個同埃塞俄比亞有連繫嘅美國人,懷疑埃國政府搵人監聽佢同埋佢嘅家人,但最後法庭都以監聽活動唔係喺美國發生為由,冇受理到單案件,從中可以見到舉證嘅困難。雖然陸陸續續都有人想施加壓力,例如十一月就有美國參議員提出議案,話要調查一下NSO Group,有冇做出危害美國國民嘅事,不過就算真係通過,查得嚟都蚊瞓,照目前情況睇,都應該未有乜嘢事可以威脅到呢類機構繼續賺大錢架喇!
Search Results: 加密技術 (38)
涉及侵害個人私隱嘅法例推行,會唔會影響到國外投資者信心,以及侵害到國家喺國際上嘅競爭力問題,最近又成為咗澳洲政府獨立安全法監察局(Independent National Security Legislation Monitor,INSLM)檢討緊嘅問題。負責今次調責嘅 Dr Renwick 就話,雖然現時全球政府都面對住加密技術妨礙搜證嘅問題,但如果呢啲侵入性法例會令到公眾懷疑佢嘅安全性,同時會令執法機關行使不必要嘅權力,咁就有機會要修正喇。 方便搜證疑侵害私隱權 講緊嘅係澳洲上年年尾通過咗一條Telecommunications and Other Legislation (Assistance and Access) Act 嘅修正法例,目的係為咗方便執法人調查罪犯,以防佢哋以加密方式收起犯罪證據,因此建議但凡唔肯向執法人員提供手機同埋手提電腦密碼,有機會被判五年監禁及罰款50000澳幣。 咁都不特止,正所謂魔鬼永遠喺細節度,原來條例仲講明,如果執法機構要求科技公司幫手,解開某人嘅電子設備密碼,而科技公司拒絕配合,分分鐘要面臨約 5000萬港幣嘅罰款!而如果科技公司嘅員工向任何人透露執法機構嘅要求,亦有機會被判五年監!外國公司亦可以用呢條法例,叫澳洲律政部長查你部電腦,睇下有無境外犯法,總之一句講晒,就係條法例好鬼惡啦! 澳洲政府嘅理據係,因為近幾年科技發展太快,影響到執法同埋危害國家安全,所以先打算立呢條法例,新南威爾斯州公民自由委員會副主席Lesley…
雲端應用雖然已大行其道,不過,不少企業管理者仍然無法信任其安全性。最近一份針對亞太地區企業進行的安全調查報告《Data Security APAC 2019》顯示,發展成熟的企業當中,只得 27% 認為公共雲(Public Cloud)有足夠的網絡安全功能。而整個亞洲區的企業中,有 73% 受訪者認為資料外洩是無可避免,這可能跟超過 75% 企業管理者未能了解如何可安全保護業務有關。 增加攻擊難度 企業要提升公共雲的防禦力,可從設定嚴緊的登入措施及加密數據著手。首先企業管理者要釐清各員工的登入權限,可有效阻止未獲授權的員工接觸重要的文件或作業;不過,如登入帳戶資料被盜取,黑客一樣可以登入雲端應用竊取資料,所以企業亦應考慮採用多重因素認證(Multi-Factor Authentication)機制,例如以 USB、藍牙硬體鎖作為 Security key,員工登入帳戶時必須持有這硬體鎖,這樣即使登入名稱及密碼外洩,黑客亦無法登入帳戶,減少公司機密資料被盜取的風險。 另一方面,雖然公共雲供應商有提供網絡安全措施,但客戶並不能單純依靠對方的防護,因為客戶本身存有分擔責任(shared responsibility),必須採取足夠的手段去保護儲存在雲端的資料,否則亦難以追討賠償。而要確保數據安全,最好便是選用加密技術,例如 tokenisation 或 cyptographic 等工具,將數據亂碼化或以金鑰作保護,即使數據被盜用,或於轉送中褒被攔截,黑客亦難以破解及還原數據的內容。 雖然 MFA 或 Tokenisation 都是非常有效的保護公共雲手段,但在今次調查報告中,企業的採用率都不高,前者少於 50%,後者更少於 20%。隨著全球各地陸續立法管制數據安全,資料外洩已不單只會影響商譽,更有可能為企業帶來災難性的金錢賠償,要避免企業營運陷入困境,由今日開始,就要立即採取措施,守好雲端上的數據。 (article sponsored by Edvance)
獨角獸 Slack 經營嘅企業向通訊協作軟件,喺 6 月尾上市後股價曾一度颷升 6 成,而最近雖然跌返啲,但依然高過建議招股價差唔多十蚊美元,可見大家都仲係睇好佢嘅發展,認為佢有力同 Microsoft、Google 競爭。不過,Slack 股價有一個非常大嘅威脅,一日唔處理,企業客戶一日都唔會用得安心,呢個威脅就係傳輸嘅數據無做 end-to-end encryption。 喺 Slack 嘅招股書入面,都承認咗自己有可能唔足以應付有組織罪犯或國家級黑客嘅複雜攻擊,令到內部系統有可能受到入侵,同時強調理論上唔可能完全阻截呢啲攻擊。咁點解黑客可以攻入系統,就有可能盜取到用家嘅個人私隱,而呢個情況唔會係 WhatsApp、Telegram 上發生?因為 WhatsApp、Telegram 採用咗 end-to-end…
6 月初,開發 GandCrab 勒索軟件嘅黑客組織發表退休宣言,話自己兩年唔夠已賺咗 3 億美元服務費,收夠籌準備 20 日後退休。點知未到限期,「正義聯盟」已放出破解方法,真正做到保護市民,抵俾個 Like ! 開發勒索軟件 GandCrab 然後將服務賣俾其他人用嘅黑客組織,今個月初氣焰囂張咁發表退休宣言,通知客戶同受害者 20 日後就會停止服務,意思係客戶要收贖款就好快啲收,而受害者再唔交贖款就永世都唔使旨意破解到被鎖檔案。點知未夠 20 日,網絡安全公司 BitDefender 同歐洲刑警組織組成嘅正義聯盟,一齊將破解 GandCrab…
雲端應用大行其道,企業在數碼轉型的大趨勢下,都開始進行各種部署,當中網絡安全就是其中一個考慮重點。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2019 港台加密趨勢研究》的調查報告,內裡指出有 48% 港台企業認為員工疏忽為數據安全的首要威脅,另外有 91% 港台企業表示希望數據加密技術可在企業內部及雲端環境中運作使用,反映管理者均意識到保護數據安全的重點——必須掌握主導權,而 BYOK(Bring Your Own Key)就是最可靠的方法。 獨立硬體演算省電腦資源 nCipher Security 大中華區業務總監戴文忠指出,互聯網上各種活動,簡單如發送及接收電郵或瀏覽網站,以至較複雜的電子支付等,都需要在執行指令前進行身份驗證,「舉例每部智能手機都有一張獨立的電子證書,證明這部手機的身份屬實及沒有被冒認,當核實了溝通雙方的身份後,才能執行之後的動作。」為了防止這張電子證書被冒認,製造商必須以數據加密的方法將它「鎖起」及存放起來,實際上就是通過密碼學(Cryptography)的各種演算法例如…
每逢有網絡保安事故,本地傳媒都會即時搵保安專家評論事件。這些被行家視為「傳媒好友」的專家不多,因為解答不單要快,意見亦要準確簡短,才能幫助記者搶先報導事件。如果言論能再帶有一點幽默感,自然更易成為傳媒寵兒。香港互聯網協會網絡保安及私隱小組召集人楊和生就是其中之一,原來當初他踏入電腦界全因為懶,誰不知現在卻是最忙的職業。 輸在起跑線 早於 1990 年讀大專一年級時,楊和生已開始接觸電腦,「那時讀電腦工程,喜歡寫電腦程式只因為懶,因為發現有很多重複性的工作毋須人手處理,例如要處理一大堆文件檔案的排版,其實只須編寫簡單的程式,就可交由電腦自動執行。」令他沉迷鑽研電腦程式的原因,除了他宅宅的沒有其他嗜好,還與他的電腦設備輸在起跑線有關,「以前無錢,所以第一部電腦的硬件配備比同學差很多,例如別人的電腦用 386 (Intel 處理器型號)、1MB RAM,我就只用 286 及 640KB RAM,連電腦屏幕也只得黑白。」眼見朋友的電腦可以做到很多東西,楊和生亦想試試自己那部弱弱的電腦可否做出接近的效果,所以便花了很多時間練習寫程式,蒲深水埗黃金電腦商場買書自學一些破解技術,「當時完全無黑客的概念,只是有興趣試試修改程式,例如修改電腦遊戲內的生命值、武器防具等,雖然自己完全沒有打機的嗜好……」 後來有朋友移民美國,楊和生為了保持通訊而連上互聯網,才從不同渠道認識黑客這回事,「不過那年代接觸的黑客技術並非以破壞為目的,只是大家互相分享一些程式的漏洞,例如當時互聯網供應商使用的 FreeBSD 作業系統,就有各式各樣的破解玩意,雖然有些成功有些失敗,但我已可讀取到其他用家的電郵地址及內容。」掌握到這些個人私隱,有心人其實已可利用來進行社交工程(Social Engineering)攻擊,楊和生則笑說可能自己沒有犯罪基因,所以即使讀取到伺服器內的電郵內容,也僅僅是滿足了自己的成功感,未能發現偉大的「錢途」。 大專時經常蒲黃金的結果,就讓楊和生認識了一班「砌機佬」,後來其中一個相熟的店員在商場內另起爐灶,順理成章便邀請他一同開檔。「那時賣電腦很好賺,一套電腦可賺取四成利潤,有時講價可以減到幾百蚊,不似現在只賺到百多元,想平幾蚊都難。」賣電腦的好處,就是可以接觸最新的電腦資訊,同時以平價入貨,「所以第二部電腦已是當時頂級的 486,一下子由最慢變成最快。」無論上學或兼職都與電腦有關,讓他打穩了電腦編程的根基,所以出來工作後,編寫程式的技術及速度亦較人高及快。 隱密攻擊…
IoT(Internet of Things, 物聯網)產品嘅漏洞多不勝數,雖然唔少有良心嘅廠商喺發現漏洞後好快會推出更新檔修補,但由於唔係自動更新,好多時都要用家手動處理,如果廠商無通知用家,其實用家好難發現。 最近一款喺 Amazon 及香港電器連鎖店有得賣嘅智能門鐘系統 Ring DoorBell,被 BullGuard at Dojo 研究人員發現漏洞,經 Wi-Fi 無線傳輸嘅數據因採用了較弱嘅加密技術,可以被黑客利用 VideoSnarf 攔截,了解屋主有幾多家庭成員、出門習慣,連以往俗稱現場監視嘅「踩線」都可以慳番,罪犯只須安坐家中,就可策劃爆竊、綁票行動。黑客甚至可以好似電影橋段一樣,插入一段虛假影像扮親友㩒門鐘,並發送到用家嘅專用手機 app 內,誘騙用家遙控開門。 Ring…