Search Results: 專家主場 (62)

    世界盃對球迷來說,可說是四年一度的大喜日子,在俄羅斯的開波時間對本地球迷來說時差比較好,至少冇咁夜開波。對於足球的陣式,有傳統的 4-4-2、4-3-3、到較新陣式如 4-2-3-1、3-5-2、 3-4-2-1 等。如何擺陣和變陣,也視乎整體戰術、球員特質及比賽情況而定。 我喜歡 4-2-3-1 在公司內,高層管理人員基本上就是扮演足球「領隊」的角色,帶領員工為業務爭取好成績。在一次內部會議中,喜歡足球的我(已掛靴N年,現只睇波而已),就用了我比較喜歡的 4-2-3-1 陣式(攻守較容易作出變化)去形容對公司不同部門在球場的位置,及應該如何配合。 後防骨幹:Technical 讓我先從 4-2-3-1 的後面 4 位球員說起,Technical 部門是我們的後防骨幹,也是在 IT 公司裡最核心的(很多有經驗的領隊要重建球隊,都是從後防開始入手)。在整個後防,分「中堅」(Technical Implementation…

    之前寫過一些魚事,其實我亦成日賣魚俾人,幫一 D 企業發放各種魚類 (Phishing Email),搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣,你有沒有見過一種「野獸派」數銀紙方式?一整堆十蚊紙,幾百張成座山咁,當中又濕水又混亂,但係個大佬氣定神閒,一口氣數出來,都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊,有不同吸引力,有 D 係假扮 Invoice,有 D 係假扮香港 Salary Guide,有 D 係假扮你個帳號快要取消,等等。最攞命果條 FIT 殊,仍然係訴諸恐怖,話你個帳號畀人入侵咗,URGENT,快 D…

    權限(Access Rights)是一件很好玩的東西,在電腦系統中,處處可見其身影。例如,你登入你的網上銀行,你只能見到你的資料,見唔到我的資料,這就是你的「權」的「限」。理論上,系統中的一切活動,都需要夠權。不夠權,就睇唔到、改唔到、用唔到(此即上文的 C/I/A)。所以,世上所有黑客,都想抵達一個超高權限的境界,有如系統 Administrator 所有的特權咁高。如此,佢就乜都睇到、乜都改到、乜都用到(理論上)。 對於 Administrator 呢一類特權帳號(Privileged Accounts),係要好好管理的。但係……點管呢?因為佢係特權帳號,佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去,反過來,佢可以更改所有其他帳號,叫其他人奈佢唔何。咁又問,可唔可以取消呢 D 特權帳號,人人平等呢?咁又好危險,因為電腦成日壞,在緊急關頭要救機,唔通仲要圍十條友用十個帳號做十樣嘢咩?一定要用特權帳號,bypass everything,救到個系統再算。 (如果你再問我,點解系統會故障、點解要救機,你可以打去消費者委員會問。) 以前,管理這些特權,唯有由政策入手,再加信封。政策上講清講楚,冇人可以有特權帳號嘅密碼,要用的話,拆信封讀密碼,兩個人一齊做嘢,然後再改個新密碼入信封,再將信封鎖入夾萬。幾十年過去,好多機構仍係咁做。 以上這些,行家好清楚,煩親大家唔好意思。 現在係講真話時間。在塵世上,多數會出現以下情況: 特權帳號一地都係。有 D 秘密特權帳號,唔係叫 root…

    上兩期都是環繞着「白帽黑客」(White Hat)這個題目,心想如果在港可以舉辦一個較大型的黑客 CTF 大賽,讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流,那倒是一個不錯的做法。 發現樂趣,創造奇蹟 過去十年,黑客的意義有所改變,但是精神是一樣的。黑客們的共通點,是想知道和理解事物如何運作,在深層次研究後,他們可以創造超乎想像的奇蹟,並在其中發現樂趣。然而黑客並沒有想像中的恐怖,如果黑客發現某軟件存在漏洞並報告給相關企業,那麼企業對其進行快速修補,便會避免此漏洞帶來的危害。 「我們的」黑客大賽,培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽,被譽為黑客界的「奧斯卡」,堪稱是殿堂級的安全盛會,黑客和安全專家都會慕名從世界各地趕來參加,去年參加人數更超過兩萬。我們也決定試一試,暫定於今年 10 月,在港舉行由我們公司主辦的首屆黑客大賽,希望培養業界人士對發掘網絡安全漏洞的興趣,從而提升本地的網絡安全水平。 高手相助,同場切磋 舉辦黑客大賽,我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思,一班高手們非常樂意出手相助,運用他們過往的參賽經驗,為我們籌備一個高水平的大賽。初步構思是先舉辦初賽,給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽,再與鄰近區域的高手一起在現場一較高下。 美國取經,10 月見 雖然有高手幫忙籌劃,我亦不敢怠慢,並計劃在…

    今早好天氣,一望出街,成群人在低頭捉怪獸。Neo 諗,乜個遊戲仲未死咩?我家對出的地方,平時少外人,但也算係 Public Areas – 公眾地方,原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies,寫到差不多,忽然問我:喂,你有沒有考慮 Public Areas – 公共區域嘅 Security 呀?我反問,Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩?佢話,大佬,我係講緊企業入面果幾十萬呎地方,平日 D…

    上一期講過甚麼是「白帽黑客」(White Hat),是指在完全合法的情況下對系統進行攻擊,以求找出安全漏洞,令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面,並對網絡安全作深入交流。 這位高手是來自北京的陳宇森,現年只是 26 歲,臉上還有一點稚氣,但跟他溝通,卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外,在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名,以及在 2017 年另一個全球大型黑客大賽 Pwn2Own,獲得世界第三名。年紀輕輕已在國際大賽打響名堂,實在殊不簡單。但他跟我說:往後應不會再參與同類型的比賽了。畢竟已獲過獎項,可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客,在 2014 年已成立了安全技術公司,運用自身的專長,開發了一些高端安全產品,來應付日益複雜的黑客攻擊,並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」,以黑客的思維制訂安全方案去對付黑客攻擊,從邏輯來說,應會更有效。 除了安全產品外,陳宇森也有一套獨特的技術人員培訓計劃,可以說是比較實戰型。點解?一般網絡安全培訓機構都比較學術性,市場上的安全證書如 CISSP、CISM 等,也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」,內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏,我個人也認同實戰比證書更重要,也正考慮如何把這套實戰平台引入,來提升本地網絡安全人才應對網絡攻擊的能力。

    講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…

    上文提到,權要有限。那麼職責呢?要分。權要限、職要分,夠鐘要放工,得閒要睇 wepro180。 在系統中,有一條重要保安原則:職責分離。在系統及流程中,要把重要功能、職責拆開。在流程中,申請新帳號或者IT服務者,與批准者,須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截,一人管一截(有 D 似古代果 D 虎符)。又如寫程式的人,不可以把程式直接安裝入系統,要透過另一個團隊。以上這些職責分離,目的是要減少差錯及舞弊。文藝一些講:避免監守自盜。 (再文藝一些…在歷史中,這些職責分離比比皆是,例如中國的皇權與相權的分離、唐代的三省制,以至謀與斷的分工、三權分立等,都有古仔可以講。) 講到呢度,就可以明白,保安系統設計要嚴密,須要包括:有各系統權限的人,他們的職責是否有合理的分離。所以,大機構的 SIEM / Log Management 要求完備,因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

    近年常常聽到「人工智能」一詞,好像潮語一樣,並代表著「高科技」的意思。一些產品含有自動調節功能,就以誇張宣傳手法說是「人工智能」,這根本不符合「人工智能」的定義。 「人工智能」已有幾十年歷史,早在八十年代初,電腦科學家便開始設計能學習和模仿人類行為的程式。在電影裏,如《Terminator》、《Matrix》或《Ex Machina》所描述的「人工智能」,都擁有觀察和感知能力,並可以做到推理和解決問題,這類可稱為「強」人工智能,但是現今技術水平仍未有效實現。 目前的科學研究工作都是集中在「弱」人工智能這部份,並取得重大突破。智能是從何而來呢?讓我們先理解「人工智能」、「機器學習」和「深度學習」的區別和關係。 「人工智能」的領域中,「機器學習」是其中一種方法;在「機器學習」的技術中,通過使用大量樣本作訓練而積累的智能,就稱為「深度學習」。 在使用電腦的過程中,大家會不知不覺地留下大量數據及電子足跡,這給予「深度學習」在訓練時所需之用;此外,系統運算速度的提升,令「機器學習」時間大大加快。綜合這兩個主要因素,終於令「機器學習」成熟起來,在「人工智能」的應用邁進了一大步。 同樣,近年一些高端網絡安全產品也採用「機器學習」去處理大量電腦使用者的日常行為,並作深入分析。即使黑客成功盜取了用戶的帳號及密碼,保安系統也會跟用戶日常使用方式作出對比,如發現有明顯偏差,就會發出警示或作出攔截。一幕幕兵賊鬥智(人工智能)的場面,已在網絡安全領域中展開。

    以前網絡保安的工作範圍,主要是環繞著企業網關安全設備的管理,例如:防火牆、IPS、電郵病毒過濾等管理工作。因為傳統的企業網絡架構相對較為簡單,在網關設置防禦來管理企業員工的進出,這個方法行之有效。 再講番大約十年前,鑑於當時對雲端技術、流動設備的安全保護技術還不是太成熟,企業對相關技術採用還有很大的安全憂慮。當年更有安全設備廠商推出一些解決方案,去防止員工在企業環境內上網或使用即時通訊軟件,甚至發出干擾訊號去禁止員工使用流動上網。在現今新世代,若果使用這種方式的話,企業想請到員工都幾難。 近年由於雲端技術的成熟發展,很多企業為了加快營運效率,都轉用雲端服務。例如:雲端版本的 CRM 客戶管理、ERP 企業資源管理、文件傳輸等系統,方便員工在不同地域和時間上班。這個數碼轉型同時把企業的重要數據資料都上載雲端儲存,再加上現今流動設備的普及應用,員工很容易在辦公室以外地方利用自己的智能電話和手提電腦下載雲端上的公司資料,增加了公司資料外洩的機會。 雲端技術和流動設備的廣泛採用,改變了傳統網絡保安的覆蓋範圍。除了網關上的保護外,企業亦加強對雲端及端點(即 Endpoint,包括:手提電腦和流動設備)的資料加密、系統使用的行為監控及多層安全保護。隨著大家對安全意識的提升,行業對安全法規的落實,企業投放在安全的資源也以倍數增加,令到網絡保安的市場也加速擴大。