Visa 信用卡嘅非接觸式感應付款技術，早於上年已被研究人員警告，因為其付款金額限制功能唔夠穩陣，只要有辦法繞過認證機制，限制交易金額嘅保護機制就會形同虛設，黑客就可以實現「真‧無限簽帳」喇！ 網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試，成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制，而且試埋用英國 5 間主要銀行所發出嘅信用卡，全部都可以做到，理論上，其他英國銀行應該都無一倖免。 研究人員嘅攻撃方法，係利用一部裝置攔截信用卡同終端機之間嘅訊號，即係中間人攻擊（man in the middle…

企業數碼轉型的好處多不勝數，誘因包括存取資料方便、雲端應用服務選擇多、部署快速、節省硬件成本開支等等。既然有這麼多好處，自然一窩蜂移雲。不過，不少企業決策者選用雲服務後，才發現情況並非想像中完美，連接公司與雲端伺服器原來並不簡單，同時亦無法把握儲存於雲端的數據安全性。要解決問題，選取合適的雲端存取安全代理 (Cloud Access Security Broker, CASB) 服務是最簡單快捷的方法。 網絡安全客戶有責 大部分企業的數碼轉型第一步，都會由採用 Office365、G Suite 等一站式雲端應用服務開始。當中有企業決策者對這些雲端服務存有誤解，以為供應商必須確保客戶的數據得到保障，可免受黑客攻擊或遭遇私隱洩漏。事實上，使用者與服務供應商存有明確的分擔責任（shared responsibility）概念，使用者亦須採取足夠手段，例如嚴謹的登入帳戶措施、明確的存取檔案權限，去保護存放在雲端上的數據。 要達到網絡安全標準，卻有不少問題要解決，因為單點式解決方案（point solution）無法照顧各應用層面，例如電郵收發、檔案分享、數據存取等；設立 proxy 或 gateway，網絡延時又有可能拖垮工作進度，而編寫 API 亦需要一定的技術人員和時間，反而有違數碼轉型快捷便利的初心。…

做得電腦維修，自然希望啲人嘅電腦設備唔好咁襟用，系統間唔中可以 down 下機，咁先至有生意做。但呢啲嘢通常只會諗下就算，始終維修員都有職業道德，斷唔會咁無良主動出擊，暗中整壞你部電腦或系統搏開單嘅。 陰招搵錢 不過，行業中都會有敗類，Siemens 一個前合約承包商 David Tinley，喺 2002 年接咗 Siemens 一個客製化電子試算表合約，用嚟管理公司旗下同電力供應行業有關的計劃時，就偷偷哋喺試算表入面藏下邏輯炸彈（Logic Bombs）代碼，只要達到某啲條件，例如過咗保養期一段日子，試算表就會發生故障，於是乎 Siemens 就會搵 David 去搞返掂。 十幾年過去，David 埋下嘅邏輯炸彈已經發作過幾次，Siemens 亦一如佢所料，次次都搵佢修復。不過去到…

為咗減少用家帳戶被盜取嘅風險，好多網站或應用程式例如 Facebook、Instagram 都採用咗雙重驗證（Two Factor Authentication, 2FA），用家除咗要輸入登入帳戶名稱、密碼之外，仲需要提供額外嘅驗證碼，例如通過 SMS 將一次性驗證碼發送俾用家，又或好似匯豐等網上理財一樣，要輸入保安編碼器提供嘅登入編碼。視乎所登入帳戶嘅重要性，用家未必每次都需要用到 2FA 嚟登入，例如當網站或應用程式偵測到用家使用另一部裝置登入，又或用家要求重設密碼，先至會觸發 2FA 運作。 暴力破解2FA驗證 Facebook 旗下嘅 Instagram 本身亦設有 2FA 驗證基制，當用家要求重設密碼，Instagram 就會將…

被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點，要追溯至烏克蘭的首都基輔。 走過佈滿歷史建築地標的 Podil 街區，咖啡店和公園逐漸消失眼前，取而代之是糟糕的工業景觀。走過一條天橋下方，跨過鐵軌上的垃圾及走進一道混凝土門，便是樓高四層的 Linkgos Group 總部，它是一間小型的烏克蘭軟件家族企業。 其中在三樓有一間伺服器室，內裡堆放了一個個盒子般大小的伺服器，它們被一堆電纜連接著，並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護，如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken，總之在該國經營須納稅的生意，幾乎都要用到這個軟件。 不過在 2017…

人哋用得你嘅服務，梗係相信你可以守護佢哋嘅私隱，點知上載嘅相可以喺網上任睇，全無私隱可言，咁仲唔係虛假宣傳？Online Buddies 就係因為咁而被告喇。 網絡安全公司嘅研究員經常會進行一啲網上調查，分析一啲應用服務供應商提供嘅服務有無漏洞存在，因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題，所以當研究員發現到漏洞所在，就會第一時間通知對方修補，而喺漏洞修補後或對方過咗一段時間都無反應，先至公開漏洞等對方正視。一般嚟講，服務供應商都會即刻解決問題，以免影響用家嘅信心，或被黑客入侵造成更大嘅損失。 Online Buddies、Jack’d 共用儲存平台 除咗以上兩項風險，服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies，喺上星期五就俾紐約州總檢察長 Letitia James 檢控，指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分，令用戶相信其上載嘅相片有足夠私隱保護，可以防止被授權以外嘅人睇到，但被告一方卻對漏洞視而不見，收到報告一年都無修補漏洞，令用戶嘅個人私隱蒙受損失，結果判處罰款 24 萬美元，同時勒令 Online Buddies 要持續改善網絡安全程度。…

有網絡安全專家發現，專門中東地區攻擊燃油設施嘅黑客集團，正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份，似乎準備大開殺戒！ 工業控制系統（Industrial Control System, ICS）掌管住全個國家嘅命脈，好似發電網、供水系統、水壩、運輸網絡、核電廠等設施，都係經過 ICS 管理，所以如果發生國家之間嘅戰爭，ICS 好自然會成為攻擊目標之一，可以造成斷水斷電斷物流，國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要，黑客集團亦唔會放過攻擊機會，不過由於各工業採用嘅 ICS 系統及技術都有分別，投入嘅成本高，所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過，網絡安全研究組織 Dragos 嘅專家就發現，呢個潛限制已出現變化，其中一個俄羅斯黑客集團 XENOTIME ，開始由專注攻擊燃油區塊，擴闊至供電設施，出現跨區塊攻擊。 ICS 系統安全性癱瘓…

呢個禮拜嘅網絡安全關鍵字，唔使公投都知答案肯定係「漏洞」啦！當大家知道原來醫管局一個機密度咁高嘅系統，係可以唔需要用密碼登入，成個業界即刻嘩聲四起，乜原來咁都得？有老闆講笑咁話早知新入果張標書唔使寫埋 2FA 之類嘅多重驗證安全系統入去咁多餘啦！官方仲有啲更抵死嘅回應，話因為電腦附近 24 小時都有人 on duty，所以就算唔用密碼登入，理論上都係好安全咁話。如果當佢啱，咁銀行入面點解仲要有夾萬？差館夠人多喇啩，出入咪又係要嘟卡？ 好嘞唔講呢啲，講返今次重點先。有人話呢個係系統漏洞，將來會修補返，但其實呢個好明顯唔係漏洞而係後門。漏洞（Vulnerability）係指執行系統時出現咗超出預期或無考慮過嘅反應，而結果係可以俾黑客利用嚟攻擊，呢啲先叫做漏洞，例如近來最火熱嘅 Microsoft Windows 系統 BlueKeep 漏洞（CVE-20190708），就可以俾黑客遙距執行惡意程式。 不過，如果喺設計系統時一早預留咗條秘密通道，又或者黑客利用漏洞嚟植入後門，將來可以繞過驗證方法 log in，咁就應該叫暗門（trapdoor） 或後門（ backdoor）至啱。其實留定條秘密通道可以有好多原因，正常用途包括為咗方便 programmer 測試或修改系統，又或者作為正常登入系統失靈時嘅後備救援方法；至於暗黑系用途，自然係用嚟監測其他用家嘅私隱，或暗中安裝各種…

好消息，Instagram 識聽民意推出新安全措施，即使用家嘅帳戶被黑客所奪，用家都可以靠新方法奪回，唔使再驚辛苦經營嘅帳戶俾人搶走！ 名人明星多受害者 每隔一段時間，就聽到名人或者 KOL 嘅 Instagram 帳戶被黑客盜用，受害人包括萬人迷碧咸、樂壇天后 Lady Gaga、韓國暖男李鍾碩等等，就連老佛爺愛貓 Choupette 嘅 IG 帳戶都俾黑客入侵過。舊年我哋曾經報導過幾百個 IG 帳戶被 hack 事件（https://bit.ly/2zhZHsO），受害者就算喺 IG 設定咗雙重認證，都未必可以攞返個帳戶。你知啦，一般人無咗個帳戶，都可以重新開個新…

近年 IT 行業人材短缺，Cyber Security 網絡安全就更是重災區，人手極度不足；修讀相關課程的畢業生突然變得搶手，不少準畢業生表示將學歷放上 LinkedIn 等職場社交平台，很快就有人力資源顧問公司找上門。不過，所謂搶手實屬虛火，因為僱主最著重求職者的實際工作能力，要成功受聘，或加入心儀的大公司，還得先展示自己的實力。問題來了，對一個即將畢業的學生來說，如何憑空變出實力證明？參加黑客大賽，就是一個最佳捷徑。 貼地難題取材現實 一畢業就加入全球四大會計師事務所工作，相信是不少準大學畢業生的夢想。三位來自香港中文大學計算機科學與工程學系、信息工程學系和數學系的學生梁成悅（Jason）、湯湛飛（Chris）、陳兆俊 （Erwin），就於去年畢業後獲羅兵咸永道會計師事務所（PricewaterhouseCoopers, PwC）聘用，成為網絡安全部門的職員。能夠有這項令人葡萄不已的待遇，全因他們去年於「HackaDay 2018」黑客大賽勝出，展示了卓越的網絡安全工作能力。PwC 合伙人顏國定說公司在擬定賽事的題目時，內容非常貼地，都是客戶日常都會面對的網絡安全問題，所以能夠勝出賽事，代表優勝隊伍都非常熟悉相關問題，比起一般面試更能掌握求職者的實力，所以公司會向優勝隊伍提供實習或優先面試的機會。換言之拿著這張直通車票，如無意外都可成為 PwC 的一員，毋須再經人事部篩選，過五關斬六將。 Erwin（右二）、Jason（中）及Chris（左二）去完奪得 HackaDay 2018 賽事冠軍，當時也沒想到真的可以加入 PwC。…