網絡保安世界，範疇可以好大，Zetta Ke 就行學院路線，專門研究行業經濟及政策，是一個博士，亦是道德黑客。未知是否可以稱之為「學院派黑客」？ 文武兼備的黑客 「我大學主修 Information System，其實屬於商學院的科目。與 Computer Science 不同，我修讀的不太著重演算、程式的技術研究，而是較著重 Business Application，如電腦系統的管理、電子商貿研究，乃至區塊鏈技術應用等。」Zetta 從大學學士直讀至博士，現於科大既教且學。而 Zetta 的另一個身份，是研究團隊 VXRL 成員，曾經發現過 windows 漏洞，絕對是又 talk…

今早港鐵測試新訊號系統，導致兩架地鐵相撞，荃灣線金鐘至中環路段全線封閉搶修，港鐵方面全面叫停系統測試，指必須調查清楚訊號系統出事原因，方可繼續測試計劃。常用於訊號系統管理的 SCADA/ICS 系統，被廣泛應用於基建設施或工業運作的監控介面上。南韓網絡保安專家表示，原來 SCADA/ICS 亦是黑客喜愛攻擊的目標之一，試想像電力、供水、核電設施的控制系統可以被隨意玩弄，引發的災難，就絕不止列車「輕微」碰䃥那麼簡單。 今晨港鐵測試系統訊號卻發生意外，導致兩列地鐵發生碰撞，車廂嚴重變形，同時令兩名車長受傷。（互聯網圖片） 今晨港鐵測試系統訊號卻發生意外，導致兩列地鐵發生碰撞，車廂嚴重變形，同時令兩名車長受傷。（互聯網圖片） 黑客攻擊 SCADA/ICS 製造大停電 今次港鐵意外是訊號系統故障所致，並非黑客所為，但其實最近就有一次黑客攻擊 SCADA（Supervisory Control and Data Acquisition, 資料採集與監控）/ ICS （Industrial Control…

特權帳號管理方案領域上，CyberArk 絕對是龍頭，去年就繼續被 Gartner 欽點評為 Leader 了。最近，CyberArk 特別舉辦了 CyberArk Refresh，從 Endpoint、Cloud、DevOps 等不同角度介紹 CyberArk 強大功能，幫助用戶更好地發揮手中利器。 CyberArk 活動由 Jack Poon 揭開序幕，Jack 指出 Gartner…

眾多網絡攻擊點之中，端點是最令 IT 人員頭痛的，因為實在太多，而且越來越多，如何管理呢？所以要有 UEM（Unified endpoint management）。我地請教 IBM 香港資訊安全業務經理 Ricky Ho，為大家講講 UEM 嘅精髓。 了解隱藏成本是第一步 端點管理需要面對很多難題，Ricky Ho 指出，這些難題導致管理成本高昂，而且延伸更多隱藏成本。「首先是太多工具，有些機構甚至用上 20 個端點管理工具。然後是能見度問題，試問有幾多個 IT 能清楚知道公司總共有幾多個端點裝置？更枉論用緊哪個…

每逢有網絡保安事故，本地傳媒都會即時搵保安專家評論事件。這些被行家視為「傳媒好友」的專家不多，因為解答不單要快，意見亦要準確簡短，才能幫助記者搶先報導事件。如果言論能再帶有一點幽默感，自然更易成為傳媒寵兒。香港互聯網協會網絡保安及私隱小組召集人楊和生就是其中之一，原來當初他踏入電腦界全因為懶，誰不知現在卻是最忙的職業。 輸在起跑線 早於 1990 年讀大專一年級時，楊和生已開始接觸電腦，「那時讀電腦工程，喜歡寫電腦程式只因為懶，因為發現有很多重複性的工作毋須人手處理，例如要處理一大堆文件檔案的排版，其實只須編寫簡單的程式，就可交由電腦自動執行。」令他沉迷鑽研電腦程式的原因，除了他宅宅的沒有其他嗜好，還與他的電腦設備輸在起跑線有關，「以前無錢，所以第一部電腦的硬件配備比同學差很多，例如別人的電腦用 386 （Intel 處理器型號）、1MB RAM，我就只用 286 及 640KB RAM，連電腦屏幕也只得黑白。」眼見朋友的電腦可以做到很多東西，楊和生亦想試試自己那部弱弱的電腦可否做出接近的效果，所以便花了很多時間練習寫程式，蒲深水埗黃金電腦商場買書自學一些破解技術，「當時完全無黑客的概念，只是有興趣試試修改程式，例如修改電腦遊戲內的生命值、武器防具等，雖然自己完全沒有打機的嗜好……」 後來有朋友移民美國，楊和生為了保持通訊而連上互聯網，才從不同渠道認識黑客這回事，「不過那年代接觸的黑客技術並非以破壞為目的，只是大家互相分享一些程式的漏洞，例如當時互聯網供應商使用的 FreeBSD 作業系統，就有各式各樣的破解玩意，雖然有些成功有些失敗，但我已可讀取到其他用家的電郵地址及內容。」掌握到這些個人私隱，有心人其實已可利用來進行社交工程（Social Engineering）攻擊，楊和生則笑說可能自己沒有犯罪基因，所以即使讀取到伺服器內的電郵內容，也僅僅是滿足了自己的成功感，未能發現偉大的「錢途」。 大專時經常蒲黃金的結果，就讓楊和生認識了一班「砌機佬」，後來其中一個相熟的店員在商場內另起爐灶，順理成章便邀請他一同開檔。「那時賣電腦很好賺，一套電腦可賺取四成利潤，有時講價可以減到幾百蚊，不似現在只賺到百多元，想平幾蚊都難。」賣電腦的好處，就是可以接觸最新的電腦資訊，同時以平價入貨，「所以第二部電腦已是當時頂級的 486，一下子由最慢變成最快。」無論上學或兼職都與電腦有關，讓他打穩了電腦編程的根基，所以出來工作後，編寫程式的技術及速度亦較人高及快。 隱密攻擊…

三月初，一個黑客組織向以色列網站發動大規模網絡攻擊，原本呢次攻擊嘅最佳估算係將勒索軟件植入過百萬個網站之上，逼使中招者俾贖金。不過，一個錯誤嘅指令竟搞到成件事失敗收場…… 今次代號為 #OpJerusalem 嘅網絡攻擊，原定嘅劇本係透過攻擊一個為視障人士提供訪問權限嘅 nagich.com 插件服務，改寫其中嘅代碼，當瀏覽有使用呢個插件嘅網站時，就會自動跳去一個寫住 “#OpJerusalem, Jerusalem is the capital of Palestine” 嘅頁面，同時彈出要用戶安裝 “flashplayer_install.exe” 嘅通知，從而下載勒索軟件。不過，呢次攻擊最終只係按劇本嘅前半部分進行，黑客最期待嘅畫面竟然無出現。 事後據網絡保安專家嘅分析，原來黑客喺編寫惡意程式嘅時候，選擇咗向 Windows 系統用家攻擊，只要程式檢測到係 Windows…

香港《個人資料（私隱）條例》早於 1996 年生效，是亞洲首個全面保障市民私隱的條例，我們，曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進，不斷修訂，而香港就原地踏步，猶如在用二十年前的電話，很落後。」莫乃光從事資訊科技及電訊業二十多年，見證業界發展，作為立法會議員， 開口埋口都是政策。「政府要改變做事方法，要知道今日的網絡世界如何，要更新政策，拖延下去絕非香港之福。」 香港，未 ready 「香港現在面對的網絡安全問題，基本上與全世界都一樣，其實重點是應對的準備是否足夠，而我覺得香港未足夠。」莫乃光所講的準備，是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例，已經有很多需要改善的地方。現在很混亂，例如政府可以用那條法例檢控網絡入侵呢？《電訊條例》用過一兩次，檢控不法偷用電視機頂盒訊號；《截取通訊及監察條例》呢？只能用於本地執法部門，不適用於其他罪犯。再問下去，『不誠實取用電腦』又範圍太闊，實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出，香港現行法例並沒有一條具針對性。檢控方面未完善，至於阻嚇及預防方面，亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改，原地踏步，尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義，香港的定義仍然沿用二十年前的；GDPR 罰則嚴厲，可達公司全年收入的 4%，具阻嚇作用。另外，香港私隱專員的權力、檢控權都很薄弱，都必須檢討。」可喜的是自從國泰等事故之後，政府承諾會在第一季檢討相關政策，研究修訂條例。「不過，過程亦困難重重，凡是會提高成本的條例，商界很多時就本能地反對。而似乎政府害怕商界的反對聲音，多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前，比其他地方明顯特別落後，是有其原因的。 莫乃光，資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情，是對企業的支援。「政府投放於創科的金額可以過千億，但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵，但資助用於改善系統以增強競爭力，就沒有資源做好網絡保安，所以政府應該開出特定的金額，幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面，對警察的執法能力就相當肯定。 支持警方擴軍，籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案，警方特別擴充部門，成立網絡安全及科技罪案調查科，人手亦每年遞增，我絕對支持。」近年網絡罪案數字不斷上升，加強警力非常合理。「我相信罪犯都明白，今時今日在網上犯案搵錢很容易，風險亦較低。唔通仲揸支槍去打劫？」莫乃光認為唯一的不足，是部門的透明度很低。「其實我沒有足夠資料去討論細節，因為透明度很低。我認為警方可以多與業界及專家交流，讓大眾對警方更有信心。」 網絡安全立法有其利弊…

DEF CON ’18 邀請了一班小朋友參加比賽：攻進一個複製的選舉結果網站，最後由一位 11 歲小朋友於 10 分鐘內成功攻入。除了顯示今日的網絡安全問題，亦提醒大家，別小看小朋友的能力。曾經有個 List 大數著名的兒童黑客，今日大家重溫一下： Reuben Paul 網絡安全界神童 Reuben Paul 現年 13 歲，是一位白帽黑客，其身份包括網絡保安大使、兒童黑客、最年輕少林功夫黑帶、體操運動員、Video-gamer、網絡忍者及 CyberShaolin 創辦人。Reuben…

一間公司面對最大網絡安全問題，可能不是網絡攻擊，是資源，不論大中小企業，同樣頭痛。Andrew Lam 從事網絡安全行業多年，盡見這種困境。「而且不是純粹資金問題，更是人手問題。就算公司有錢買網絡安全產品，沒有人手及技術去管理，也是枉然；事故發生又冇人理，更是徬徨無助。」與其要客戶購入網絡安全產品而不懂管理，Andrew 認為不如為他們提供最專業的服務，幫助他們，Green Radar 因此誕生。「我們以 as-a-service 服務形式提供網絡保安支援，當客戶遇上困難的時候，亦有專業團隊提供協助，而定價時也考慮到企業的難處。」最新面世的 Green Radar，以 MDR（Managed Detection and Response）為基礎，帶來革命性網絡保安方案，先天下之憂而憂，救企業於水深火熱。 針對網絡環境，重點設計方案 Green Radar 要解決企業缺乏資源及專業人才的問題，先重點針對現今的網絡環境去設計方案。「環顧現今的網絡攻擊，其實超過 80％ 源於電郵。不少釣魚電郵手法極高，驟眼一望，有時候連專家都難分析真偽。」針對性釣魚電郵更難防，遇上這類攻擊，必須要有一定的危機處理措施。「一般的電郵服務就未必照顧到針對性釣魚電郵，何況很多老闆的電郵是交給秘書處理，要這個秘書分析真假電郵、偵測病毒根本是強人所難。」Green…

「Hacker 不一定要穿 hoodie，不一定在漆黑中、電腦前不停打 code 的。」卡片上職位是 Senior Associate，其實就是 Ethical Hacker，Monie Sum 專程化個靚妝再襯條裙來做訪問，希望一洗大眾印象，包括自己親朋。「我也解釋了很多次，但總有家人及朋友不太明白甚麼是 Ethical Hacker。」大眾聽見「黑客／Hacker」聞風喪膽，而其實呢，Ethical Hacker 是專業人仕，PwC 就有幾十個，可以在中環 Big Four 會計師樓返工，團隊三份一是女生，更率先享受「靈活工作」計劃，彈性工作時間、衣著、地點，加上市場求才若渴，絕對是職場新貴。 「成黑之路」從「多手」開始…