Search Results: 加密 (414)

    無檔案惡意程式日益嚴重,多少因為現今的防毒工具偵測能力越來越強,相對而言無檔案惡意程式較難被偵測,而且可長期匿藏兼無限復活,非常難纏。根據報導,針對企業的攻擊得逞案例當中,有 77% 是無檔案惡意程式攻擊,大家要認識這種攻擊方法,加倍提防。 甚麼是無檔案惡意程式 無檔案惡意程式(Fileless Malware)是一種利用既有軟件、被認可的應用程式如 Microsoft Word、Flash、Adobe PDF Reader、JavaScript 甚或系統工具如 Microsoft Windows Management Instrumentation (WMI) 、PowerShell 之類去執行惡意行動的網絡攻擊。它不似傳統的惡意程式那樣帶有明顯特徵,亦不以電腦硬盤為目標,尤其針對記憶體進行攻擊,其隱蔽性極高、匿藏期長,一般 whitelisting、signature detection、hardware…

    GandCrab 勒索軟件自從喺上年一月出現,即刻成為網絡罪犯嘅至愛,不停利用佢發動攻擊,將受害者電腦入面嘅檔案加密,再勒索對方用達世幣(DASH)交贖款。 香港亦有唔少網民中招,時不時會有人喺討論區上跪求解鎖方法。 雖然由歐洲刑警組織等機構創立嘅 「拒絕勒索軟體」(NOMORERANSOM) 計劃已經喺上年十月推出解救方法;不過魔高一丈, 黑客又將 GandCrab 升級,先後推出 5.04 至 5.1 版本,再次吹熄受害者嘅希望之光。 而家有好消息, NOMORERANSOM 啱啱推出 update 版,不單可以解救各種勒索軟件,就連 GandCrab 最新版本都可以破解埋,如果有巴絲打不幸中伏,就要快快上…

    駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰? 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有: TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google…

    香港《個人資料(私隱)條例》早於 1996 年生效,是亞洲首個全面保障市民私隱的條例,我們,曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進,不斷修訂,而香港就原地踏步,猶如在用二十年前的電話,很落後。」莫乃光從事資訊科技及電訊業二十多年,見證業界發展,作為立法會議員, 開口埋口都是政策。「政府要改變做事方法,要知道今日的網絡世界如何,要更新政策,拖延下去絕非香港之福。」 香港,未 ready 「香港現在面對的網絡安全問題,基本上與全世界都一樣,其實重點是應對的準備是否足夠,而我覺得香港未足夠。」莫乃光所講的準備,是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例,已經有很多需要改善的地方。現在很混亂,例如政府可以用那條法例檢控網絡入侵呢?《電訊條例》用過一兩次,檢控不法偷用電視機頂盒訊號;《截取通訊及監察條例》呢?只能用於本地執法部門,不適用於其他罪犯。再問下去,『不誠實取用電腦』又範圍太闊,實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出,香港現行法例並沒有一條具針對性。檢控方面未完善,至於阻嚇及預防方面,亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改,原地踏步,尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義,香港的定義仍然沿用二十年前的;GDPR 罰則嚴厲,可達公司全年收入的 4%,具阻嚇作用。另外,香港私隱專員的權力、檢控權都很薄弱,都必須檢討。」可喜的是自從國泰等事故之後,政府承諾會在第一季檢討相關政策,研究修訂條例。「不過,過程亦困難重重,凡是會提高成本的條例,商界很多時就本能地反對。而似乎政府害怕商界的反對聲音,多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前,比其他地方明顯特別落後,是有其原因的。 莫乃光,資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情,是對企業的支援。「政府投放於創科的金額可以過千億,但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵,但資助用於改善系統以增強競爭力,就沒有資源做好網絡保安,所以政府應該開出特定的金額,幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面,對警察的執法能力就相當肯定。 支持警方擴軍,籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案,警方特別擴充部門,成立網絡安全及科技罪案調查科,人手亦每年遞增,我絕對支持。」近年網絡罪案數字不斷上升,加強警力非常合理。「我相信罪犯都明白,今時今日在網上犯案搵錢很容易,風險亦較低。唔通仲揸支槍去打劫?」莫乃光認為唯一的不足,是部門的透明度很低。「其實我沒有足夠資料去討論細節,因為透明度很低。我認為警方可以多與業界及專家交流,讓大眾對警方更有信心。」 網絡安全立法有其利弊…

    最近看到網絡媒體報道有一個知名國產電子產品製造商,所開發的一個應用程式,會過度收集手機使用者個人資料, 據報自 2016 年 12 月發佈以來,已在谷歌商店上被下載逾 1,000 萬次。 其實電話程式出現係幫助電話使用者獲得更理想嘅使用體驗,而收集一些輔助性資料以作出更貼身的資訊服務配套,是再好不過的事情。 但魔鬼的細節就此出現了,因為使用該有關程式而收集到的個人資訊,是否單純作為其所聲稱的唯一用途,卻是無從確實。因為由資料被收集的那一刻(可能你也沒有察覺,有關程式何時開始收集及哪些資料正在被收集),到資料被作相關用途之後,資料被存放到哪裡?會存放多久?哪些人可以取存?多久之後會被刪除?期間有關資料是否有合理的保護(如加密)?相關資料是否以安全的方式被傳送?這一切一切都是我們需要知道及有權利知道的重點,否則盲目允許這些程式收集個人資訊,就等於將這些資料無條件雙手奉上予不知名的人士或機構。 套用香港借貸廣告中的標語 — 咪比料中介。手機程式可能只係中介,將你嘅資料轉發畀第三方,從而獲得金錢或其他利益。

    根據全球知名的資安組織 OWASP (Open Web Application Security Project) 定期公佈的十大網路資安風險報告,去年最新報告中,「失效的身份認證 (Broken Authentication) 」高踞第二名。另外 IBM 今年四月公佈的《X-Force Threat Intelligence Index 威脅情報指數》報告中則指出,跟雲端基礎建設設置不當相關的資料洩露就比前一年大幅增加四倍,而且絕大多數是人為錯誤。至於資安業者 Palo Alto Networks…

    勒索軟件肆虐全球,著名的有 WannaCry、NotPetya、Locky、LeakerLocker 等,而 PyLocky 主要於歐洲肆虐,重災區為法國,不過 PyLocky 有英、法、韓及意大利版本,顯示此勒索軟件亦針對不同語系受害者。 透過垃圾電郵散播,能避過沙盒偵測 PyLocky 於去年發現,屬變種 Locky 勒索軟件,散播途徑主要透過垃圾電郵及釣魚電郵,誘騙受害者開始連結,觸發惡意程式。PyLocky 會進入睡眠狀態 999.999 秒或 11 日半(如受害系統記憶容量只餘 4GB 以下),以避過沙盒偵測。PyLocky 以…

    在 2019 年消費性展覽 CES 上,實體安全金鑰開發商 Yubico 首度推出支援 iPhone 的新款金鑰 YubiKey,iPhone 用戶密碼安全保護從此多一種選擇。 其實實體金鑰的原理就同普通屋企鎖匙一樣,只不過將網上帳戶密碼轉換成物理鎖匙。用戶使用時,要先在支援該功能的網站註冊一個「瑣頭」,從此登入該網站,就只需將安全金鑰插入電腦或手機設備便可「開鎖」,無需再輸入密碼。因為需要用到物理鎖匙,安全度便可大大增加,對於堅持使用弱雞密碼「123456」的懶人嚟講,可話一大恩物。 Yubico 為目前市面上較多人使用的金鑰品牌,好長一段時間,該公司僅面向 PC、Mac 及其它移動設備。如今推出 YubiKey for lightning,已獲得 Apple…

    相信Windows老手多少都聽講過 CCleaner,呢款 Piriform 旗下嘅老牌系統清理軟件,免費又冇廣告,深受大家歡迎,全球有1.3億使用者!但自從 Piriform 被 Avast 收購後,CCleaner 新聞多多:去年9月被 hack 足一個月,227萬用戶受到影響;近期又被 BetaNews 編輯 Wayne Williams 撰文強烈攻擊,指 CCleaner 開始推送廣告,又綑綁 Avast 其它產本;最新版本仲被指出後台自動運行,收集用戶資料而唔畀用戶…

    加密貨幣「比特幣」引起大眾的關注,相信很多人也理解什麼是區塊鏈技術了。雖然比特幣的功能有限,但憑藉其區塊鏈的優勢,已經發展成為可以交換和存儲價值的可信系統。 「以太坊」就是一個執行智能合約的分散式平台 但是,如果你想訂立一項經濟協議或未來的交易呢?如何利用分散記錄?「以太坊」(Ethereum)就是使用了區塊鏈 2.0 技術來創建「智能合約」,透過編寫代碼,使雙方達成協議而不需要中間人,並形成一個執行智能合約的分散式平台。 比特幣不能記錄一份「合約」 以太坊為智能合約提供了動力。舉個例子,A 君和 B 君打賭曼城會否再贏得來屆英超冠軍,注碼 10 個比特幣。假如 A 君和 B 君都互相不信任,他們將不得不使用可信的第三方作為託管代理。換句話說,他們每個人都必須向代理商提供這筆款項,代理商負責分發獎金。在這種情況下,即使中間人使用比特幣,比特幣區塊鏈也無法記錄這個合約。 以太坊就是有約束力「合約」 以太坊就提供了一個「智能」解決方案,讓A君和B君雙方同意下使用一些基本代碼,把條款記錄下來,然後放在以太坊的區塊鏈上,令到協議變得具有約束力。這就是一個「合約」,因為 A 君和…