智慧工地的「4S管理」（Smart Site Safety System）項目，除了上回提及的地下水道工程外，更可以實施於不同工地場景，如橋下空間的施工、工地機械移動、吊塔區域，以及很易被人忽視其危險性的堆填區等。筆者近期處理過不少這類安全項目，都利用了物聯網（IoT）、人工智能（AI）及大數據等科技，並以中央管理平台統一控制去改善工作環境，提高工地安全水平。 想睇更多專家見解？立即免費訂閱！ 筆者印象特別深刻的是堆填區，最近曾前往視察，發現它除了環境惡劣、臭氣熏天外，另一個大問題是推土機、垃圾車等大型車輛在場內「暴走」，完全沒有固定的行駛路線，十分容易發生意外。 查看資料，去年在打鼓嶺堆填區就發生過悲劇，一名男工被垃圾車撞倒後困在車底及石塊之間，最終不治。而在美國佛羅里達州的堆填區，亦發生過有員工上流動廁所時遭推土機連人帶廁輾過壓死！因此我建議，堆填區管理機構應考慮在推土機和車輛上安裝藍牙網關，並在工人活動區域設置感應式標桿。當車輛或推土機接近標桿時，藍牙網關能即時感應並觸發警報，從而避免車輛或推土機誤入工人工作區域。 香港大大小小的行車天橋、大型橋樑多不勝數，橋下工程可謂日夜皆在進行。這類項目往往需要數十名工人同時作業，動輒上百人。在如此密集的作業環境下，一旦發生意外，工人很容易被困在施工區域內。因此，有需要實時監控工人的數量，確保他們在安全的區域內工作，並避免在非施工期間有工人被遺留或逗留。建議可以為工人配備智能手錶，這些手錶的定位及數據會統一連接到智能中央平台。一旦發生緊急情況，即可以通過多種渠道，如短訊、CMP、手機 App 等，向工人及工程管理人員發出警報，從而避免意外。這種模式在短期或即日的工程均適用，每日收工時再統一收回智能手錶即可。 至於建築地盤經常需要用到許多大型移動機械，如挖掘機、吊機等，都是安全隱患的重點。這些機械在運作時，如果工人不小心走入盲點位置，就很容易發生意外。解決這個問題，可以考慮使用藍牙方案。例如在移動的吊臂機械上安裝藍牙網關，並為工人配備智能監控手錶。藍牙網關會以 1 秒的頻率接收附近的藍牙設備信號，以此判斷工人與機械的距離。如果設備信號靠得太近，系統將會觸發警報。即使工人視線被遮擋，也能確保他們不會與移動機械距離過近。 在地盤和堆填區這樣的環境中實施智慧工地，當然有許多細節問題，例如維護電源的挑戰、智能影像辨識所涉及的數據儲存及保護等，但其實都不難解決，全部已有實用的方案。說到底，要把智能科技應用在工地上，並非甚麼複雜的編程，只要我們能夠將智能平台與所有硬件設備相連接，並進行統一管理，那麼在發生緊急情況時，系統就能及時發出警報，有效地保障工人的安全。 作者：思路富邦集團（SagaDigits）創辦人陳智銓（Arthur）欲觀看更多 Arthur 撰寫的文章，可按此瀏覽。

近年 AI（人工智能）的應用百花齊放，不少企業已開始嘗試為業務引入各種 AI 應用，改善營運效率及客戶體驗，以免在同業中失去競爭力。早前 DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）便舉辦了「AI is a Double-edged Sword」研討會，邀請多間創意企業分享其成功借助 AI 在同業中突圍而出的心得，並由 CPC 及 Palo Alto Networks 安全專家，為企業介紹…

香港科技大學一直致力開拓創新教學新模式，早於數年前便將 AI 融入傳統主修課程，更於去年成為香港首家在教研上有系統地採用生成式 AI 的學府。為支援校內使用 AI 等需要，在香港電訊（HKT）的協助下，最近決定採用 思科的解決方案，不但降低管理難度，更為整個資料中心網絡增加可見性。思科指相比現有 InfiniBand（IB）技術下每個連接埠的成本，新解決方案足足降低了 40 至 50%。 今次科大在本身已有的 AI 數據中心之上，需要擴大其網絡設施，建構一個達 HPCIC 級的資料中心，要具備高性能計算和創新技術，以支援相關 AI 課堂、大型語言模型（LLM）訓練等需要。 未來擴充時可應用同一套系統…

網站作為企業與外界溝通交流的重要橋樑，承載著大量的敏感資訊和使用者資料。然而，與此同時，網路安全威脅也層出不窮，資料洩露事件時有發生，給企業和個人帶來了巨大的風險和潛在損失。本文將介紹兩種快速檢查網站資料洩露風險的方法，包括檢查網站後門檔案、查看伺服器日誌異常記錄。這些方法能夠幫助網站管理員及時發現並應對潛在的安全風險。 想睇更多專家見解？立即免費訂閱！ 方法一：檢查網站是否存在後門檔案 後門檔案通常是黑客為了再次入侵或控制網站而留下的文件。您可以通過檢查網站伺服器上的目錄，例如查看網站根目錄、主題目錄、外掛程式目錄等地方，查找是否存在異常的檔案或程式碼。您可以使用網站管理後台進行查看和對比原始版本的網站源碼。如果發現可疑檔案，建議立即進行審查並刪除。 方法二：檢查伺服器日誌是否存在異常記錄 伺服器日誌記錄了網站運行的各種資訊，包括使用者連接、系統錯誤、安全事件等。通過查看伺服器日誌，您可以發現是否有異常的連接或攻擊記錄。透過查看安全相關的日誌，如訪問日誌、錯誤日誌和安全性記錄檔。舉例說，如果發現大量來自同一 IP 位址的請求、或是從未知 IP 的未授權訪問或異常的錯誤資訊，可能意味著網站遭受了攻擊或存在資料洩露的風險。 網站程式會因業務需要存放大量資料。敏感資料外泄因而很多時候與網站漏洞有關，檢查這些漏洞並修復它們，對於保障網站資料安全至關重要。但要注意的是，這些方法只能提供初步的資料洩露風險檢查，並不能完全保證網站的安全性。為確保網站資料的安全，建議定期進行全面的安全檢測和風險評估，並學習發現與修復網站漏洞。 此外，為了進一步提升網站的安全性，建議採取以下措施： 1. 定期更新和升級網站及伺服器軟件，確保使用最新版本，以修復已知的安全性漏洞。 2. 使用複雜的密碼，並定期更換密碼，避免使用容易猜測的密碼。 3. 限制對網站敏感區域的存取權限，確保只有授權的用戶才能訪問敏感性資料和功能。 4. 部署防火牆和安全防護軟硬件，阻止惡意攻擊。…

勒索攻擊要成功，最重要是準確找出「身有屎」的目標，過往有不少騙徒會透過濫發帶有恐嚇成份的釣魚電郵，例如指對方違反了國安條例、家屬在內地犯事、電腦內藏有違法內容等，一旦收件人相信跟自己有關，便會乖乖按騙徒指示匯款。不過，一個新的騙徒集團除了應用上述方法，還自製孌童網站引誘目標人士瀏覽，更容易嚇到「受害者」俾錢。 想知最新科技新聞？立即免費訂閱！ 一改傳統漁翁撒網方法 含有勒索意圖的電郵或短訊，相信不少人都曾接收過，不過，很多時訊息的內容未必與自己有關，因為大部分騙徒都採用漁翁撒網策略，但求電郵或短訊有機會被有關人士接收得到。有時這些詐騙訊息未必一定要錢銀有關，例如指收件者的社交平台違反使用條例，又或通訊軟件如沒有在限時內驗證便會凍結帳戶，目的有可能是搶奪受害人的帳戶後再進行其他詐騙，但使用這種手法都較為被動，必須收件人信以為真才能成功。 這次由網絡安全機構 MalwareHunterTeam 分享的報告中，便揭示了一個新的詐騙集團一改傳統漁翁撒網的方法，改為主動出擊，製造出一個冒牌的 UsenetClub 討論區，等待獵物到訪。正牌 UsenetClub 以討論區形式運作，用家可按不同的主題自由討論及貼圖，而當中一個主題便與兒童色情照有關，只要付費訂閱，用家便可在討論區內觀賞或下載有關照片，而且毋須透露任何個人資料。而騙徒打造的冒牌討論區 UsenetClub 亦實施二級收費，用家可選擇以每月 69.99 美元或每年 279.99 美元進入討論區內，但奧妙之處是網站提供一個免費方案，只要用家下載及安裝 CryptVPN 軟件便可免費使用，同時網站亦強調軟件可保障用家的網上行蹤，對這班違法的用家更具吸引力。 威嚇舉報對方收集兒童色情照…

網站程式在商業世界扮演著重要角色，從網上商店到公司內部系統都離不開開發網站。然而，隨著針對網站的攻擊不斷湧現，單純的網站開發技能，已不足以應對日益複雜的安全挑戰。因此，近年越來越多公司聘請專家，為自家網站作漏洞測試。 網站漏洞測試是通過模擬黑客攻擊，來識別系統的缺陷，與網站開發相比，漏洞發掘更側重於對網站各組成部分的深入理解。測試員需要深入剖析網站的運作原理，從細微之處發掘潛在的安全隱患。擁有網站開發經驗的程式員，在理解和識別系統脆弱性方面具備天然優勢。為進入網站滲透測試領域奠定了堅實的基礎。 想睇更多專家見解？立即免費訂閱！ 尋找漏洞需要深入學習網站常見的安全性問題，如 SQL 注入、跨站腳本（XSS）等。透過並瞭解網站漏洞的成因、並擴展知識領域至資料庫管理、網絡基礎以及互聯網協定，將有助於更好地理解資料傳輸機制以及其潛在的攻擊手段。 同時，熟悉 Linux 作業系統與其命令行操作模式，也是關鍵技能，因為大多數測試工具和網站伺服器都基於 Linux 平台。日常 Linux 上的操作如查看系統日誌、伺服器參數、管理使用者許可權等操作，在滲透測試過程中同樣需要，透過學習相關知識能更深入地瞭解系統的運行機制和潛在的安全風險。 如想淺嘗如何發掘網站漏洞，在 Hack The Box、TryHackMe 等平台，有不同的漏洞模擬系統可用作學習，並透過接觸不同類型的漏洞掌握滲透測試技能。 持續進修是轉型過程中不可或缺的一部分。欲想學習更多有關尋找網站漏洞的發掘技術，歡迎報讀由香港資訊科技學院（HKIIT）舉辦的網頁程式滲透測試證書課程，由業界專家教授學員實戰技術，詳細講解不同的攻擊工具與識別網站的漏洞，助學員成為市場炙手可熱的道德白帽黑客（Ethical Hacking）人才。…

懷疑在上年自爆勒索軟件程式碼的黑客集團 HelloKitty，正式宣布改名 HelloGookie 繼續營運。為了祝暗網新網站開張，集團主腦 Gookee（又稱 kapuchin0）更在網站公開四個可用於解密被 HelloKitty 鎖死檔案的金鑰，以及從 Cisco 及遊戲開發公司 CD Projekt 盜取的應用程式及遊戲編碼的破解密碼。現階段尚未知道新集團是否已經如言開發出比 LockBit 更有趣的勒索軟件，但賣大包策略已確實收到宣傳效果。 想知最新科技新聞？立即免費訂閱！ HelloKitty 勒索軟件集團於 2020 年出現，過往曾因成功入侵遊戲開發公司…

至少有六個不同的殭屍網絡惡意軟件集團，正在試圖濫用 TP-Link Archer AX21 (AX1800) 路由器的一個已知漏洞，而根據網絡安全公司 Fortinet 的數據顯示，各路黑客平均每日都會嘗試利用這個漏洞發動約五萬次攻擊，所以用戶如果過了一年仍未修補這個漏洞，到發現被入侵時，就只能怨自己慢幾拍。 想知最新科技新聞？立即免費訂閱！ 有好幾個網絡安全研究人員，在 2023 年 1 月發現了 TP-Link Archer AX21 路由器的網絡管理介面存在嚴重的零日漏洞，研究員指出黑客可以通過連接路由器的 API，在路由器上不經身分驗證而執行惡意編碼，從而達到控制路由器發動 DDoS…

在現今的數碼趨勢下，數據已成為每一家企業的基石，因此保護身分安全成為成功的必要策略關鍵。然而，根據 SailPoint《Horizons of Identity Security》報告，與其他地區相比，亞太區企業的身分安全成熟程度差異較大，高達 60% 企業的成熟程度仍處於最低水平。 儘管澳洲、日本和新加坡等國家已制定成熟的身分及數據安全框架，但區內其他國家或地區卻才剛開始意識到此監管法規的重要性。身分安全在業務當中所發揮的作用，遠遠超越僅遵守監管法規，實際上更是緩減風險、提高營運效率及達致業務成功的重要基礎。因此，企業領袖必須認清身分安全計劃的龐大優勢，如可有效降低風險及簡化營運。把身分管理融入核心業務策略中可使企業超越技術限制，讓其安全目標與整體業務目標保持一致。 想睇更多專家見解？立即免費訂閱！ 從傳統身分安全轉型 對於剛起步發展身分安全的企業而言，有些障礙的確需要克服，特別是固有的技術債挑戰。正如報告所顯示，許多處於較低成熟階段的企業均面對硬件、系統及程序過時的難題。這些傳統身分安全工具並非針對現代企業目前需求而設計，而且無法管理複雜的多雲端環境及員工和非員工等多種身分。若要向前發展，企業必須專注識別並有條不紊地更新或替換這些過時的系統。這個關鍵步驟包括投資現代化技術並重新配置 IT 基礎設施，以支援更先進、更複雜的身分安全解決方案。 獲取管理層支持 能否加強企業身分安全計劃也取決於管理層的支持。正如報告所強調，77% 身分和存取權管理決策者認為，有限的高級管理層支持是一大障礙。要獲得決策人員的支持，有效傳遞身分安全的價值尤其重要，並需要強調身分安全除屬技術保障外，亦是達致業務目標不可或缺的一部分，例如產品創新和以數據為本的市場營銷等。以身分安全配合這些業務優先目標，從而培養高級管理層的承諾，這一點是關鍵。此外，制定業務案例來逐步解決預算限制及人才短缺等挑戰，也非常重要。這些案例應重點突顯更強的身分安全如何促進企業生產力和創新、降低網路風險並推動業務成功。 善用先進功能的優勢 在建立強大的高級管理層支持後，企業便就緒利用人工智能和自動化等先進技術來完善身分安全框架。這類技術整合不但能擴展身分安全措施的規模，亦讓企業能夠快速應對新出現的威脅，並在現時變奏快速的數碼環境中保持靈活。舉個例子，與沒有人工智能支援的企業相比，採納自動化和人工智能身分管理平台的企業擴展身分相關功能的速度快達 37%。 該項報告又指出，此等技術的採納率有所不同，從…

黑客利用技術手段在不同的攻擊事件中賺取豐厚回報。然而，若擁有技術而又想要合法且正當地獲取收入，其實可以通過正規途經，例如參加漏洞獎勵計畫（Bug Bounty Programs）。利用自己的專長幫助企業強化其網絡安全防護，不僅為網絡安全做出貢獻，還能夠獲得不錯的回報。 漏洞獎勵計畫，是由漏洞回報平台邀請廠商提交自己的產品作測試，並邀請安全研究人員找出並報告參與計劃公司的軟件、網站或應用程式中的安全漏洞。安全研究人員可以選擇如 HackerOne、Bugcrowd 或香港本土的初創公司 Cyberbay 等漏洞回報平台與廠商提交漏洞並進行溝通。一般而言，參與者將獲得金錢獎勵、公開表揚或廠商提供的紀念品。 想睇更多專家見解？立即免費訂閱！ 在 HackerOne 的新聞稿中，提到六名安全研究人員憑藉發現並報告安全漏洞，成功在平台上賺取超過百萬美元的獎金。而像 Google、Mircosoft 和 Apple 的科技巨頭，對嚴重漏洞的單個賞金獎勵高達 150 萬美元，其中 Google 就透過其漏洞獎勵計畫（VRP），向全球安全研究人員支付了近…