數據外洩威脅急劇上升,保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據,複雜性也在不斷發展,例如同態加密(Homomorphic encryption)、混入假數據等等,無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一,是將數據資料分開儲存。研究人員只可以讀取第一個數據庫,具有完整資料的數據庫就會儲存於其他地方,檢查數據時必須利用演算法去還原完整數據,免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案,系統會將敏感資料完全加密,研究人員要調用真實數據時,系統便會進行同態運算,令數據在毋須解密下都可被搜尋。十多年來,IBM 一直在為同態加密技術作出貢獻,例如提供適用於 Linux、iOS 和 MacOS 的工具包,以及安全儲存和處理數據的雲端環境。不過,同態加密還未成熟,因為需要太多運算,拖慢檢索速度,如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法,主要是加密數據庫內的資料,不過並非全面加密,而是平衡保密與共享原則,只向研究人員透露非私密訊息,減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料,只有獲得演算法密鑰的特定人員可以訪問,其他用戶只可讀取未加密的部分。單向函數密鑰(如 SHA256 hash 算法)是最常用的演算技術,如欠缺這條密鑰,攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段,因為隨機噪音(random noise)可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術,用戶可以將噪音混入數據庫,然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內,有可能令資料準確度出現問題,因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱(Differential Privacy)工具包,它可被應用於訓練人工智能或分析營銷活動數據,而不被噪音影響準確度。…
Search Results: 密鑰 (53)
果然危機隨時都會出現!有分析 Android 應用程式的研究人員發現,嚴重的雲配置錯誤,引致潛在超過 1 億用戶數據洩露,證明惡意的應用程式入侵,不是手機上唯一的安全問題,配置錯誤都令用戶面臨極大風險! 網絡安全公司 Check Point Research (CPR)週四發布一份報告表示,23 個受歡迎的應用程式包含各種「第三方雲服務的錯誤配置」。現時線上服務和應用程式都已使用雲服務,疫情進一步推進遙距工作模式。雲端上作管理、存取和處理數據都非常方便,但一次存取或授權出錯就有機會造成資料公開或洩漏紀錄。由其是應用程式多以實時數據庫集成,需在跨平台存取和同步數據,但某些在今次檢查的應用程式的開發人員,無法確保身份驗證機制有正確配置。 CPR 的調查中所檢查的 23 個 Android 應用程式,包括的士召喚應用程式、徽標製作、屏幕記錄器、傳真服務和占星軟件,需當中所洩漏的數據,則包括電子郵件記錄、聊天訊息、位置訊息、用戶 ID、密碼和圖像。其中 13 個例子是敏感數據存放在不安全而且是公開的雲設置,這些應用程式的下載量介乎…
勒索軟件攻擊又見增加,連帶攻擊引致的停機時間也增長!根據網絡安全公司 Coveware 的季度勒索軟件報告的分析,今年首三個月的平均勒索款額為 220,298 美元,比 2020 年最後三個月的 154,108 美元為高。而入侵的手法方面,犯罪分子利用遠端桌面通訊協定(Remote Desktop Protocol, RDP)和其他軟件中的漏洞,再加上洩漏被盜數據的威脅,令受害者付款。 分析指,贖金金額高的原因之一,是因為犯罪組織活躍,並要求受害者提供價值過百萬美元的比特幣,以換取解密密鑰。這些組織包括名為 Clop 的勒索軟件幫派,Coveware 將其定性為「極度活躍」,多針對大規模受害者並提出高額贖金。在最常見的勒索軟件變體中,Clop 排行第四,佔所有攻擊的 7%。 最常見的勒索軟件依次為 Sodinokibi(佔總攻擊的…
Android 版 WhatsApp 被發現存在兩個嚴重漏洞,只要打開一個「加料」連結訊息,惡意軟件就可以通過 Chrome 執行,讓黑客可以讀取未受保護的外部儲存區域,當中更包括 WhatsApp 用於加密訊息的金鑰,即是所有對話及傳送的檔案都可被破解! 今次 WhatsApp 的漏洞由 Census Labs 研究員 Chartion Karamitas 發現,整個攻擊過程由一個 WhatsApp 短訊開始。研究員在影片中示範,黑客只要首先製作一個帶有惡意程式的 HTML…
上月教育行業受勒索軟件影響之後,英國國家網絡安全中心(National Cyber Security Center, NCSC)就如何保護網絡免受網絡犯罪分子侵擾提出建議,並警告針對學校、學院和大學的勒索軟件攻擊激增。 政府通訊信總部(Government Communications Headquarters, GCHQ)網絡安全部門的警報指,在過去一個月中,針對教育的勒索軟件攻擊數量激增,而與此同時,學校亦正準備恢復面授課程。 勒索軟件會攻擊加密伺服器和數據,從而阻止組織提供服務,在這種情況下,網絡罪犯企圖令學校和大學因要維持教學,而屈服於勒索要求,並要求受害者以比特幣支付贖金,換取恢復網絡的解密密鑰。而在最近受影響的教育機構中,勒索軟件令學生課程、學校財務記錄以及與 COVID-19 測試的有關數據損失。這些黑客威脅如果他們沒有得到贖金,便會發布被盜數據。 NCSC 運營總監 Paul Chichester 表示,任何網絡犯罪分子以教育行業作為目標,是完全不能接受的,並指這是一個日益嚴重的威脅,強烈鼓勵學校、學院和大學跟從指引採取行動,確保學生能不受干擾。NCSC的網絡安全建議包括制定有效的漏洞管理策略和安裝安全修補應用程式;以多重因素身份驗證,保護遙距線上服務,以及安裝和啟用防病毒軟件。 另外,NCSC 亦建議組織作離線備份,倘遇到因勒索軟件攻擊而需關閉網絡,仍可在不需支付贖金的情況下,恢復內容。 NCSC…
要數到本港最多個人用戶的電郵供應商,相信 Google 旗下的 Gmail 必然是頭幾位。Google Account 當然不只電郵這個功能,其 Google Drive 儲存空間等亦大受歡迎,絕對配得起「大神」這個名字。隨著我們把放在 Google 的資料愈放愈多,要避免被入侵帳戶以至私隱盡失,就要必須學懂管理個人 Google Account。一齊來看看科技達人 Ed Bott 的貼士吧。 Ed Bott 認為,使用…
在新冠炎肺疫情反反復復的情況下,新經濟常常受到衝擊,各地股市市場指數大上大落,疫情受控或疫苗開發有望,舊經濟抬頭,而疫情不受控或疫苗開發,又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」,又有「在家工作受益股」的綽號,有人認為她是比騰訊更騰訊,比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市,IPO 以每股 36 美元上市,疫情下最高價位每股達 588…
數據洩漏事故現時在香港未有立法規管必須通報,並無一個完善的通報機制,除了會造成大眾關注度不足和輕視問題的嚴重性,同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關,因為那些被洩漏的資料,分分鐘就是你的信用卡資料、住址、電話;香港過往也曾發生幾宗震撼全城的洩漏相關事故,包括航空公司洩漏 940 萬乘客私隱,選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦,所引發的潛在資料外洩危機等,全都令人擔心企業或政府部門有沒有足夠措施及防護策略,保護客戶、市民的隱私。如果要妥善保護資料,採用由專業的數據保護方案,便能輕鬆管理資料及為資料加密,並設置資料讀取權限,即使遙距工作,也不怕資料外洩。 數據加密零停機 效率保護性兼備 Thales公司的資料保護平台(CipherTrust Data Security Platform, CDSP),為全球各地政府、跨國企業、金融機構所採用,在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威,其提供的數據加密方案,能有效保障用戶的個人私隱及交易資料,不會外洩。 其中CipherTrust Transparent Encryption (CTE)方案的透明加密資料設置,可保護結構化及非結構化資料庫,加密內部系統、雲端環境,甚至在大數據和容器內的資料,同時保持存儲數據的效率,在部署時毋須更改應用程式或工作流程,使對業務及作業程序的影響減至最少。 透過Live Data Transformation (免停機背景加密)方案,能在零停機的情況下加密資料,期間不需中斷應用程式或工作流程,在加密過程中,使用者和處理程序可如常繼續存取資料庫或檔案系統,將加密過程對使用者的影響降到最低。另外,平台亦設最低權限使用者存取規則,保護資料免受外來攻擊,以及遭特權使用者誤用。 不少製造商及電子商貿公司亦採用 Thales…
現時不少企業已利用雲端平台,協助營運及管理網上平台,而可靠、易於管理的雲端服務平台,結合安全資訊分析,有效阻擋外來入侵與攻擊,相信是企業間夢寐以求的雲端服務。首屈一指的雲端服務供應商 AWS (Amazon Web Service,亞馬遜雲端運算服務),自 2006 年起已建立雲端服務平台,致力向客戶提供兼具深度與闊度的服務平台,支援超過 175 種雲端服務,在芸芸雲端服務供應商中,連續 10 年成為市場第一,而且兼客第三方的服務平台,例如可結合大數據分析龍頭供應商 Splunk 的資訊安全分析系統,全面保障雲端平台安全運作,預先偵測風險並自動對症下藥,究竟兩個系統的結合,實際上如何讓企業得到穩定而安全的雲端解決方案呢? 獲多項認證 AWS平台效率高合規格 AWS 的雲端服務平台包含不同範疇的服務,讓份屬不同行業的公司使用,例如 AI Machine Learning、Migration、Application…
早兩日,其中一個惡名昭彰的勒索軟件集團 Maze 在自家網站上貼出公告,表示 Maze Team Project 正式退市,打後如有任何以 Maze 品牌,或聲稱與 Maze 有合作關係的惡意攻擊,就必定屬於虛假訊息或詐騙。臨別在即,Maze 稍稍在貼文上解釋為何有 Maze Team Project 出現,合理與否?就要睇過至知。 Maze 勒索集團之所以出名,除了其勒索軟件的破壞力強及難以被破解,更因為他們是雙重勒索 (double extortion)…