美國食物及藥物管理局（FDA）早前發出警告，指出美國醫療科技公司 Medtronic 推出嘅胰島素自動注射器 MiniMed 嘅舊型號有安全漏洞，可以俾黑客無線修改注射劑量，隨時搞出人命。漏洞被揭兩年，但專家發現對方竟然無主動回收，專家於是實實在在寫隻殺人 app 出嚟，警告對方唔係講玩㗎！ 殺人 app 暴力破解連接 糖尿病患者有唔同類型，有啲糖尿病人無法分泌足夠胰島素（Insulin），亦有糖尿病人係因為出現胰島素阻抗（Insulin Resistance），對血液中嘅糖份敏感度下降，最終導致血糖累積。如果病情嚴重，病人就需要口服或注射胰島素藥物，醫生會調校藥劑，維持體內嘅胰島素量，過多或過少都會對人體造成傷害，甚至有性命危險。 QED Security Solutions 研究員 Billy Rios 同埋 Jonathan…

上回分析過 HKUSPACE 為期三年半、用 30 萬學費 （18萬加上12萬）就可成為網絡安全碩士的課程。有讀者就問，香港有無學校為中學生提供「升呢」成為網絡保安學士的課程？以前的確沒有，但今年就有喇。 香港科技專上書院（Hong Kong Institute of Technology, HKIT）成立初期叫 College of Info-Tech，於 1997 年創辨，後來於 2003 年 10…

上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程，是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子，但又有興趣「中途轉機」、加入資安行業的在職人士，又有哪一個課程是入行踏腳石？答案可在 HKUSPACE 課程找到。 香港大學專業進修學院（HKU School of Professional and Continuing Education, HKUSPACE）已經辦學60年，其前身是香港大學學外課程，而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年，已有282萬人次報讀學院課程，其中有關資訊科技和資訊保安的課程，在這十多年間大受歡迎，每年課程的學額都是供不應求，課程種類繁多，包括資訊保安的深造文憑、理學士、碩士課程，任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程（Postgraduate Diploma in Information Technology），這兼讀課程的部分學費可以申請CEF（持續進修基金），成功達標者可得到基金資助 80% 學費津貼，而從 2019…

早前， (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴，法庭判了一句：「任何人使用自己的電腦，不涉及取用另一人的電腦，便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨，先此聲明：本人不是藍、黃、紅，亦沒有任何意圖不尊重香港法律界、法官的意思，Neo 亦只是個黃毛小子，未有經過任何法律訓練，以下只是一堆廢話：請不要拉我。 我的感慨在於：甚麽是「自己的」電腦？你付了錢，買了一部有 CPU 有一些 Buttons 的東西回來，就是「自己的」電腦嗎？這個所謂的「自己性」（i.e. ownership） 實在是站在 Asset Ownership 的立場而言，即是說，你大可把這個東西用鐵鎚打爛，因為這是你閣下的財產。私有財產的權利，令你可以對此物有獨佔性的權利，別人不經同意使用、損毁，就是侵權行為，受法律約束。顯而易見，這是站在「客觀財物」的角度看「電腦」。 然而，一部電腦（姑且當它是一個 countable noun）的獨佔性可否成立？在硬體而言，OK。你碰我粒掣、插我個 Port，用它來墊煲，就是侵犯了我的「硬體權」。然而，電腦的「存在感」不在於硬體，更在於軟體，尤其是他的 Operating…

從事資訊安全工作多年，曾在不同場合的講座中，被不少中學生和老師問我如何入行？要成為資安顧問，有何學歷要求？ 資安顧問是否「黑客」？ 應該考取哪些資安課程證書會較實際？甚至打爛沙盆問到篤，追問資安顧問的收入及發展前途。當然除了學生之外，還有其他行業人士有興趣「中途轉機」，可見普羅大眾對資安行業的資訊還是比較陌生，更遑論要成為資安 新人王 。 著重實戰經驗 其實資訊安全行業絕不神秘，跟其他行業一樣，也有很多相關證書可以考取，晉升階梯亦算清晰。接下來筆者將會撰寫一系列資安入行秘笈，分享在業內快人一步上位的正確途徑。 毋容置疑，擁有資安證書會較容易入行，但如果你有使用和安裝網絡安全產品 （如防火墻）的經驗，又或有 PKI 密碼學和電子證書使用和配置的經驗，甚至乎你已考取了相關的國際資安證書，很多公司都會願意聘請成為資安顧問。不過，最穩打穩紮的途徑，還是修讀香港各大教育機構開辦的課程。 VTC 資安 新人王 速成班 香港專業教育學院（VTC）開辦的資訊及網絡安全兩年制高級文憑 （Diploma）全日制課程，可算是本地課程的表表者。課程旨在訓練學生學習及應用資安知識，去分析、設計及實現安全的網絡及電腦系統。課程的內容緊貼市場，還著重通識教育、語文訓練、全人發展，亦為學生提供實習機會，有助加强學生的解難能力和熟習職場運作，往往一畢業就能快速受聘並跟職場環境磨合，屬於實戰型課程。本港不少公營機構及私營企業，包括跨國公司等，都樂意提供實習機會給這課程的學生。 入學門檻並不算高，只要於香港中學文憑考試 (Hong Kong Diploma of Secondary Education Examination, DSE)其中五科成績考獲第二級或以上（包括英國語文及中國語文）；或擁有 VTC 基礎（級別三）／基礎課程文憑、中專教育文憑／職專文憑、毅進文憑或同等學歷，即可申請。不過，這課程屬 VTC 的熱門學科，每年招收約 90 個學生，但入學申請卻多達數百，競爭頗為激烈。…

眾多網絡攻擊點之中，端點是最令 IT 人員頭痛的，因為實在太多，而且越來越多，如何管理呢？所以要有 UEM（Unified endpoint management）。我地請教 IBM 香港資訊安全業務經理 Ricky Ho，為大家講講 UEM 嘅精髓。 了解隱藏成本是第一步 端點管理需要面對很多難題，Ricky Ho 指出，這些難題導致管理成本高昂，而且延伸更多隱藏成本。「首先是太多工具，有些機構甚至用上 20 個端點管理工具。然後是能見度問題，試問有幾多個 IT 能清楚知道公司總共有幾多個端點裝置？更枉論用緊哪個…

以為資料庫保安好嚴密？其實盲點處處！去年資安事故中不乏大公司資料外洩，除證明黑客攻擊越趨嚴重，更證明「人類總要重複同樣的錯誤」，再大嘅團隊都有盲點。其實，不少資安事故屬於可避免的，本文內容節錄自與 IBM 香港資訊安全業務經理 Ricky Ho 嘅訪問，教你認清 5 大資料庫保安盲點，Ricky 更就 5 大盲點提供相關建議，協助大家防患於未然，學嘢喇。 5 大資料庫保安盲點。 盲點一：安全方案訊息七國咁亂 不少企業 IT 都面對一個典型狀況：IT 環境及訊息不斷變動及擴展，今日出個 App，聽日又話搞 IoT，後日就來…

倒賣之王，長老拜服 在近年互聯網的世界市場，以一個概念、想法、產品，用科技去顛覆舊行業，什麼共享經濟，足以令一間小小公司成為獨角獸，屢見不鮮。我對本故事主人翁，可以將同一個概念類似的產品可以賣完一次又一次，不得寫個服字。他是 DNS 倒賣之王 David Ulevitch。 大學的一年級的 DNS 小型項目終被收購 2001年，David作為華盛頓大學的一年級學生，創建了 EveryDNS。EveryDNS 是一個典型的大學科研小型項目，這項目以滿足 David 對於 Web 的 DNS 管理軟件的需求。雄心勃勃的 David 當時想成為域名系統提供商，讓用戶可免費將域名映射到網站，系統的所有運作經費完全靠捐贈資助。EveryDNS…

最近看到網絡媒體報道有一個知名國產電子產品製造商，所開發的一個應用程式，會過度收集手機使用者個人資料， 據報自 2016 年 12 月發佈以來，已在谷歌商店上被下載逾 1,000 萬次。 其實電話程式出現係幫助電話使用者獲得更理想嘅使用體驗，而收集一些輔助性資料以作出更貼身的資訊服務配套，是再好不過的事情。 但魔鬼的細節就此出現了，因為使用該有關程式而收集到的個人資訊，是否單純作為其所聲稱的唯一用途，卻是無從確實。因為由資料被收集的那一刻（可能你也沒有察覺，有關程式何時開始收集及哪些資料正在被收集），到資料被作相關用途之後，資料被存放到哪裡？會存放多久？哪些人可以取存？多久之後會被刪除？期間有關資料是否有合理的保護（如加密）？相關資料是否以安全的方式被傳送？這一切一切都是我們需要知道及有權利知道的重點，否則盲目允許這些程式收集個人資訊，就等於將這些資料無條件雙手奉上予不知名的人士或機構。 套用香港借貸廣告中的標語 — 咪比料中介。手機程式可能只係中介，將你嘅資料轉發畀第三方，從而獲得金錢或其他利益。

今年元旦日發生第一宗懷疑電腦網絡被攻擊的事件。1 月 1 號，銅鑼灣宜家傢俬電視遭受到惡意干擾，事件中，有關分店門口電視突然播出男性下體裸露片段。據報，當時有顧客向職員投訴，但職員不以為意，其後先發覺事態嚴重，立即用紙將螢幕包住（其實點解唔熄咗個電視？）。 店方仍在研究事件，個人認為有關電視內容如屬第三方供應，則有關源頭可能被人刻意攔截，並加插相關裸露片段。如屬店方自行提供，則有關店舖的網絡（或無線網絡）可能受到入侵，並更改了播放嘅內容，由於一般有關店舖電視播放的內容都是固定不斷循環，所以職員通常都不加理會。若果有關電視內容不是由網路提供，例如直接連接 DVD 輸入，則可能有關智能電視的遙控功能並未好好保護，讓有心人能夠用相同遙控改變電視連接網絡設定或利用如「同步播放」等功能從手機直接將影訊播放到電視。 可見現在針對各類型資訊播放或顯示的安排，若果未能從安全角度好好考慮，都有一定的挑戰與風險。