因為疫情嘅關係，視像會議程式突然變到人人都要識用咁滯，南非外交部長馬沙巴內夫人亦唔例外，早排佢本來要就新冠病毒嘅影響，用Zoom主持一個部門嘅視像會議，不過事與願違，呢個會議最終俾黑客入侵，仲要播埋色情內容，場面令人尷尬。 最慘會議上除咗有部門員工同傳媒之外，為咗提升參與度，會議直情開放俾公眾加入，有意參加嘅人超過400個，相信黑客扮成參與者混入會議，喺眾目睽睽之下播放裸露圖片同色情畫面。 隨住視像會議程式嘅需求愈嚟愈大，相關嘅網絡安全問題亦都成為熱話，美國聯邦調查局(FBI)都點名話，Zoom程式有明顯嘅安全漏洞，已經成為黑客目標，更加指出兩宗黑客成功入侵嘅例子：馬薩諸塞州一間高中用Zoom上堂期間，就俾不明來歷嘅入侵者大聲講粗言穢語，同埋公然講出負責老師嘅住址；州內另一間學校就有入侵者喺鏡頭面前，向與會者展示納粹德軍標誌紋身。FBI提醒市民用Zoom或者同類軟件嘅時候，要確保軟件已經更新到最新版本，亦唔好隨便公布同透露進入網路會議室或網路教室嘅連結。 除此之外，加拿大多倫多大學有份參與嘅研究機構Citizen Lab，早前就揭發Zoom有時會用中國伺服器（servers）供應商發出嘅密鑰（keys），就算係北美客戶嘅 Zoom 會議，都可能用咗嚟自中國嘅密鑰。報告質疑Zoom喺中國有三間公司，有可能令 Zoom面對官方壓力嘅時候，有法律責任要披露加密資料。而Zoom亦喺4月3日承認，因為2月用戶流量急升，誤將幾千個用戶嘅會議流量，分流咗去中國兩個數據中心處理，Zoom無透露受影響用戶有幾多，雖然強調已經盡快修補漏洞，不過事件已經令大眾對Zoom嘅安全性存有戒心。 唔少用戶亦都開始尋求Zoom程式以外嘅選擇，包括：Google Hangouts Meet、Microsoft Teams、Cisco WebEx 、又或者係Skype嘅會議功能，經常有需要開視像會議嘅朋友，不妨了解多啲。 資料來源：https://bit.ly/34KXc0R、https://bit.ly/2ymH9Kz、https://bit.ly/3eutbH7 相關文章：【緊急自救】修改群組政策設定 煞停Zoom 派送Windows登入密碼

勒索軟件（Ransomware）有幾猖獗，相信好多人都知，例如全球最大外幣兌換公司 Travelex，就不幸成為 2019 年最後一間受害機構，喺除夕當日中招，被開發 Sodinokibi 嘅黑客組織勒索 300 萬美元（現已增加至 600 萬美元）。最重要係，黑客組織講到明唔俾錢就會公開由 Travelex 偷返嚟嘅客戶私隱資料，唔再係鎖死晒啲檔案就算。為咗增加可信性，黑客組織已率先將另一受害機構 Artech Information Systems 嘅 337MB 檔案，喺俄羅斯討論區公開「些牙」⋯⋯ 勒索軟件最令人頭痛嘅地方，係佢會鎖死電腦入面嘅檔案，仲會透過內部網絡感染其他儲存設備，不過以往嘅勒索軟件只會鎖死檔案，如果受害者平時有做好備份，最多重新還原資料，損失有限。不過，開發 Sodinokibi…

最近金價高到得人驚，日日係咁升，好似 2019 年全年金價就升咗19%，跑贏恒指，再次證明黃金依然係避險之王。大家唔好誤會，以為去錯咗財經版，只係近年好多人都話「data is gold」，喺呢個年代，數據價值唔會差得過黃金，但係數據會唔會好似黃金咁樣，有完善嘅機制監管佢嘅買賣同埋升跌呢？睇完以下三篇報導，你或者會有答案。 第一篇係《華盛頓郵報》上月初嘅報導，內容係講微定向（micro-targeting）呢家嘢，近年被政黨廣泛應用，用佢嚟追蹤特定選民，收集並建立數據庫，再靠數據分析嚟設計競選活動。2016年美國大選時，侵侵俾錢請嘅「劍橋分析」（Cambridge Analytica）就係玩微定向嘅高手，因而俾唔少人質疑微定向改寫咗選舉結果。Google 同埋 Twitter 早前已公布，佢哋唔再俾微定向用喺政治用途，唯獨係 Facebook 企硬唔肯咁做，《華盛頓郵報》仲訪問咗 Facebook 前資訊保安總監 Alex Stamos，佢話微定向唔係追蹤一、兩個美國人，而係成千上萬人，咁樣做其實係扼殺緊真正嘅民主。 另一篇報導嚟自《Politico》，又係追住 Facebook 而嚟，佢哋嘅記者調查之後發現，有 265…

喺九月尾，獨立安全研究人員 @axi0mX 表示，發現一個存在於 bootroom 嘅漏洞，呢個取名為 checkm8 嘅漏洞，由於係寫死咗喺 ROM 入面，所以除非更換硬件，否則係修復唔到嘅。受影響嘅 iPhone 包括 iPhone 4S（ARM A5 chip）至 iPhone X（ARM A11 chip），基本上除咗最新出嘅 iPhone…

美國因為各種政治、經濟問題，先後將多國列入經濟制裁名單，除咗禁止採購對方嘅產品，亦向對方出口美國嘅產品加征關稅。不過，最近美國 FBI 一位網絡安全部門發言人 Richard Jacobs 就指出，制裁令嘅影響就係導致針對勒索或詐騙嘅網絡攻擊大增，目的就係填補因經濟制裁引致嘅損失，再支持黑客提升武器，形成不良嘅惡性循環。 Jacobs指出，調查顯示發動攻擊嘅黑客，大部分同被制裁國家有密切關係，雖然呢啲黑客主要來自四大國家，包括俄羅斯、伊朗、北韓及中國，但情報顯示正有擴大跡象，例如南美、中東及東南亞國家。被制裁國出動國家級黑客向美國企業進行各種攻擊，雖然仲有盜取科技、商業秘密為目的嘅個案，但針對金錢嘅攻擊就特別多，黑客會將所得嘅贖金及詐騙返嚟嘅金錢填補國庫，令被制裁國有錢可用，同時國家亦會支援黑客升級裝備，以發動更精密嘅攻擊。佢以最近一宗 9.5 千萬美元嘅轉帳詐騙為例，雖然大家都會恥笑受害人點可能靠一個電話及電郵，就相信對方真係上司而轉錢，但 Jacobs 話實際情況係呢啲騙案通常經過四個步驟以上，去搏取對方信任，稍為留神都有可能上當。 對於懷疑被騙或勒索嘅公司，Jacobs 話如果可以喺 48 小時內向 FBI 求助，都仲有機會制止轉帳或攞得返啲錢，但一過咗呢個大限，大家就唔使旨意仲可以攞得返。好似上述嘅個案，FBI 就幫受害公司截停咗 7 千萬美元，大大減少到損失。銀行業方面亦對情況表示擔憂，因為每次成功攻擊，造成嘅金錢損失高達一億美元，足以令被制裁國投入更多資源去扶植黑客為國家搵錢。…

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！ 日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。 Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。 GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將…

其實人臉識別技術仍未成熟，但世界各地執法機關已經一致看好，中國就係其中一個？究竟人臉識別技術會令世界更加美好，抑或變得縛手縛腳？背後有何隱憂？最近科技網站 ZDNet 發表咗一篇關於澳洲政府看待人臉識別嘅文章，睇下有乜嘢啟示同借鑑？ 反恐為由，硬推人臉識別 唔少政權都喜歡以「反恐」為由去提升國防、安檢權限同技術。昆士蘭州警察局（QPS）於去年黃金海岸嘅英聯邦運動會（Gold Coast Commonwealth Games）推出人臉識別系統，作為防範恐怖襲擊之用。點知轉個頭，已經被警方用來進行一般警務調查；雖然被權限所約束，只能接觸有限資料，但已夠引起大眾關注及不安。 如果話套架生未發展成熟，又未諗到全個配套，貿然上馬絕對不智。昆士蘭大學資訊科技及電機工程學系 Brian Lovell 直斥當局呢個決定 complete failure，徹底失敗。Brian Lovell 指，昆士蘭州警察局完全無喺 deployment 下工夫，完全無認真咁為鏡頭擺位、部署考慮過，而且背後亦無做好基建 support，反而會製造出私隱危機。Brian Lovell…

Pentest 滲透測試係發掘網絡系統漏洞嘅好方法，所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時，懷疑殺得性起，做多咗嘗試強行爆入法院大樓，再攻埋其他系統，結果搞到官非纏身！ 上星期三，美國愛荷華州（Iowa）達拉斯縣（Dallas）法院發現有不明人士闖入法院大樓，觸動警報系統，結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio，被捕時二人即刻話係受到達拉斯縣政府所僱用，目的係測試法院嘅安全系統。起初當局回應話無咁嘅事，但經查明係，證實 State Court Administration（SCA）的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試，而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員，但…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

Facebook、Twitter 上嘅假消息問題嚴重，兩間公司尋日一齊發聲明話刪除咗大量針對香港示威活動嘅假消息及假帳戶。其實唔單只佢哋，網上嘅假新聞都係無日無之，所以唔少國家都意識到單係靠呢啲外國機構嚟審查係絕對唔夠；另外如果太多國民依賴外國社交平台，亦難以達到控制言論嘅目的。 越南政府信息部部長阮猛雄（Nguyen Manh Hung）早前喺一個會議上，就向胡志明市嘅 IT 界業內人士表明，政府希望越南可以擁有自家嘅社交平台，同時亦表明政府會為本地企業提供平台去測試新技術及網絡安全環境，唔使再靠 Facebook 等社交平台，同時亦可以幫國民過濾假消息。雖然外界對越南政府呢個願景有好多懷疑，例如係咪想拑制言論等等，不過，國內就已經有唔少地道嘅社交平台出嚟，而且佢哋嘅「野心」都唔細。 Hahalolo 呢個係一間以胡志明市為基地嘅旅遊資訊社交平台，今年 6 月先開業，但目標就係喺 2024 年吸引到 20 億用家使用。 Gapo 新鮮滾熱辣喺七月先開業嘅社交平台，提供聊天及貼文功能，CEO 話好有信心喺…