一日到黑都聽到政府資料外洩，雖然都已經見慣，但就絕對唔可以習慣。最新一單係最近厄瓜多爾被揭發前所未有咁大規模嘅資料外洩，可以話係破盡所有國家嘅記錄。你估下到底有幾多人民嘅私隱洩漏咗？五成？七成？定係八成？錯！係100%，全國人民資料都外洩晒！ 話說厄瓜多爾全國人口有 1650 萬人，今次洩漏出去嘅個人資料總共有 2000 萬人，點解會咁離奇？原來連之前已經離世嘅國民資料都洩漏埋，換句話講，舉國上下無人倖免，包括埋厄瓜多爾總統 Lenín Moreno，同埋 2012 年曾經受厄瓜多爾政治庇護、維基解密創辦人阿桑奇，都喺洩密名單入面，真係夠晒災難級！ 事件係由一間叫做 vpnMentor 嘅網絡安全公司發現，漏洞源自美國邁阿密一個唔安全嘅伺服器，相信由厄瓜多爾公司 Novaestrat 所持有。調查發現，伺服器入面 18GB 個人資料唔係得人名咁簡單，仲有埋出生日期、出世地點、住址、電郵、身份證號碼、職業、銀行賬戶狀態、結餘，同埋信用類別。 咁大件事，梗要搵人問責，當地警方已經率先拉咗 Novaestrat 嘅經理…

從事網絡安全行業，都知道世界上沒有百分百安全的偵測工具，可以完全阻截黑客的攻擊。如果有，就不會出現零時差攻擊（Zero Day Attack）。 RESEC 網絡安全公司的 Executive Chairman Tal Yatsiv 亦明言，網絡安全只是一場攻防戰，防守方往往處於被動，大部分時間只能見招拆招；相反攻擊者由於了解守方的防禦手法，自然更易鑽探漏洞，想出新鮮的攻擊方法，「所以我們認為最佳的防禦策略，並不是偵測而是預防。」他說傳統防禦概念是以不同的工具去偵測哪些檔案藏有病毒，建立白名單，但前設是病毒特徵資料庫必須先有記錄，否則偵測工具便會放行，換言之都有出錯風險，「因此 RESEC 創辦人及 CTO Oren Shnitzer 當年設立 RESEC 時，其宗旨並非為了攔截有問題的檔案，而是視一切檔案都有問題，並提供安全方法讓用家去開啟檔案。」 安全防禦 拒設白名單…

Pentest 滲透測試係發掘網絡系統漏洞嘅好方法，所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時，懷疑殺得性起，做多咗嘗試強行爆入法院大樓，再攻埋其他系統，結果搞到官非纏身！ 上星期三，美國愛荷華州（Iowa）達拉斯縣（Dallas）法院發現有不明人士闖入法院大樓，觸動警報系統，結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio，被捕時二人即刻話係受到達拉斯縣政府所僱用，目的係測試法院嘅安全系統。起初當局回應話無咁嘅事，但經查明係，證實 State Court Administration（SCA）的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試，而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員，但…

當網絡安全公司 Check Point 今年三月舉報呢幾間公司嘅手機有漏洞，有兩間好快就推出修補檔，而華為就「計劃」喺下一代手機再修補，Sony 仲勁，直頭回應話已跟足指引毋須改善添，大家買手機識揀啦！ SMS訊息設定手機傳輸 今次 Check Point 安全專家發現嘅漏洞到底係乜嘢嚟？原來係同 OMA CP 訊息有關。OMA CP 即係 Open Mobile Alliance Client Provisioning，係一種俾網絡供應商推送通訊設定嘅單向訊息，等手機可以用嚟發送圖片、電子郵件或傳輸數據，所以每次用新手機接駁網絡供應商，又或有新嘅網絡設定，網絡供應商都有需要發出呢種訊息，一旦黑客可以假扮供應商發出訊息，用家又同意安裝，黑客就可以通過改動手機嘅傳輸設定，將用家嘅電訊、網絡連接引導去惡意伺服器。…

單係電話騙案已經好難防備，如果再加埋人工智能嚟扮聲扮口音，中招風險肯肯定大增。以為好難攞到你把聲？少年，你太年輕了。 而家最多人討論嘅欺詐科技，一定係 Deepfake 技術，透過 AI 模擬技術，就可以令浸浸、朱克伯格等名人，喺影片中講出你想佢講嘅說話，要製造災難性假新聞真係一啲都唔難，跟車太貼嘅個案亦只會愈嚟愈多。不過，現階段模擬像真度都仲有啲瑕疵，小心留意絕對可以發現唔自然嘅地方。 語音分析提升像真度 如果唔睇畫面，淨係聽聲又如何？相信會仲多人中招。好似今年三月英國一間能源公司嘅 CEO，就因為收到德國母公司上司一通電話，就將 200 萬港幣轉咗去匈牙利供應商嘅戶口。呢個 CEO 事後話騙徒唔單只把聲同佢上司一模一樣，而且仲連語氣、口音都無分別，所以就咁上當，如果唔係對方幾分鐘內又再要求過數令佢起疑，隨時會二次中招添。 欺詐案調查專家 Rudiger Kirsch 喺收到承保嘅保險公司委托，經調查後發現今次唔單只係一般電話騙案，仲係加入咗人工智能元素。由於保險公司從未處理過同 AI 有關嘅個案，所以先搵佢幫手。佢話自己都測試過一啲黑客用嚟模擬語音嘅軟件，像真度極高，而且唔難買到，所以預期呢類騙案會大幅增加。 其實上年網絡安全公司…

我好鍾意睇 John McAfee 嘅花邊新聞，呢一秒話俾仇家落毒搞到要留院兩日，下一秒就話要參選下屆美國總統，跟住仲話自己偷咗中美洲國家 Belize 嘅機密文件，所以成日俾人追殺。如果真係俾佢當選美國總統，我諗真係同侵侵有得 fight！ 佢創辦嘅網絡安全公司 McAfee 就正路好多，雖然前年賣咗俾 Intel，但一直以嚟 John McAfee 都經營得有聲有色，作為資安界一份子，每季梗係要讀過佢哋嘅研究報告先安樂，話晒分析晒網絡保安趨勢，唔睇分分鐘俾人話 out！ 2019 年第一季報告啱啱出爐，睇完真係冷汗都標埋，McAfee 研究員指出，平均每分鐘就出現 504 種新嘅網絡威脅，而全季差唔多有成…

網絡安全公司 Arkose Labs 剛推出 2019 年第三季 《Fraud and Abuse Report》 ，調查結果顯示，有超過一半（53％）社交媒體嘅登入都係機械人製造出嚟；而所有新開嘅帳戶中，亦有 25% 係假嘅，情況愈來愈嚴重。Arkose Labs 指出愈來愈多社交媒體攻擊，如帳戶盜用、假帳戶、垃圾訊息等，唔單只由黑客或騙徒操作，仲有 75% 會靠機械人執行，真係非常誇張。 Arkose Lab 指帳戶盜用問題之所以特別猖獗，皆因門檻不高，而且唔少人會以社交媒體帳戶登入其他服務，奪取到帳戶就可以攞到好多個人資料，成本效益更高。Arkose…

大量網絡安全統計數字顯示，醫療機構已成為黑客其中一個至愛目標，除咗因為佢哋保存咗好多病人資料，亦因為醫療機構有大量聯網器材，喺設計時根本無乜點諗過會被黑客攻擊，所以有唔少漏洞可以被利用。 而最新一份由網絡安全公司 FireEye 發表嘅調查報告，就指出由上年十月初至今年三月尾，喺地下討論區內刊登咗大量出售病人私隱嘅廣告，呢啲病歷紀錄主要來自美國、英國、加拿大、澳洲同印度，當中更包含病人嘅電郵地址、駕照、醫療保險資料等等，而最平一宗交易涉及約 20 萬病人資料，價錢只由千六蚊港幣起。考慮到黑客可以攞住呢啲資料，之後用嚟向病人發動社交工程、釣魚攻擊，甚至進行勒索嘅話，呢筆費用絕對係價廉物美。記憶猶新，上年新加坡醫療機構 SingHealth 被黑客盜取嘅 150 萬個病歷中，更包括總理李顯龍，當然如果有呢啲名人資料，價錢就唔會咁平啦。 主動調查黑客攻擊目標 除咗售賣病人私隱外，亦有黑客賣埋醫療機構嘅登入資料，等買家可以自由出入醫療網絡、喺系統植入木馬，甚至橫向發展，感染其他醫療機構嘅系統。而根據 FireEye 嘅報告，嚟自中國嘅 APT 黑客團體，對醫療機構最有興趣嘅係同癌症研究相關嘅研究報告。FireEye 專家話喺今年四月初，多個中國黑客團體嘗試向美國一間醫療中心發動攻擊，偷偷潛入系統去挖掘癌症醫療報告。FireEye 專家指出佢哋喺隔離系統內放置嘅各類誘餌文件中，全部黑客團體都嘗試盜取一份癌症會議文件，專家解釋話相信係中國醫療企業想了解美國治癌嘅最新發展，希望可以搶先喺市場上推出新藥物。 喺報告嘅最後，專家指出醫療體系絕對有必要建立更強及統一嘅網絡安全標準，因為隨著而家愈嚟愈多醫療器材具備上網功能，黑客可以隨意修改一啲醫療設備嘅參數，令病人服用過量或不足的藥物，致病人於死地；亦可以偽造各類檢查報告嘅結果，例如電腦掃描、磁力共振、血液化驗等等，同樣可以令有病變無病，無病變有病添！ 資料來源：https://bit.ly/2L6oG7y

電競熱潮直捲全球，唔少後生仔都夢想成為電競選手，可以靠打機搵食。不過，真正嘅電競手一啲都唔易做，日日都要打十個鐘頭機，仲要操體能，所以連香港跳高隊代表楊文蔚都話：「電競同田徑一樣咁難行，跨得過你就係運動員。」 啱㗎，所以大部分人打機其實志在 kill time，邊會覺得可以靠佢搵食。之不過，有啲無 game 品嘅人明明唔夠人打，但又唔肯認輸，於是就想靠邪道威威，上網搜尋有無秘技或程式可以修改遊戲，情況就等於運動員食禁藥一樣。 最識得利用人性弱點嘅黑客又點會放過機會？早前網絡安全公司 Cyren 專家就發現，網上有一個連線射擊遊戲《Fortinite》嘅遊戲修改程式 Syrk，聲稱只要下載及執行 SydneyFortniteHacks.exe，就可以提升玩家嘅開槍準繩度，但實際上 Syrk 係一隻勒索軟件。當用家執行檔案後，就會發現電腦內的圖像、影片、文件同埋音樂檔案全部被上鎖，同時畫面會顯示一段「你已經被綁架」嘅訊息及聯絡電郵地址，要中招者用電郵聯絡，商討俾幾多同點樣俾贖金。為咗加強真實感，黑客仲喺畫面上加咗個計時器，指兩個鐘內唔採取行動，所有檔案就會被刪除。 專家指出 Syrk 其實係以一隻開源勒索軟件 Hidden-Cry 為基礎修改而成，佢嘅源碼喺上年放咗喺 GitHub 俾人下載使用，所以話呢個世界真係乜都會有人分享，只要有心機喺網上面搵就得。幸運地，專家發現用嚟解鎖嘅工具同時放埋喺受害者嘅電腦入面，只要打開一個叫做…

收集人臉、指紋特徵，話就話可以方便大家出入私人地方或購物，甚至推動智慧城市；但一旦負責機構唔小心外洩，受害人係無得改呢啲「個人密碼」㗎！ 又唔係話完全無可能，只要整容或換指紋就得，不過睇完都覺得荒謬啦，人哋唔小心洩漏咗客戶嘅生物特徵，竟然要受害者二次遇害？所以每個人都要小心，喺選擇係咪授權其他機構採集及使用自己嘅生物特徵時，真係要諗清楚係咪必須，好似如果只係方便買嘢、出入閘口等等，特別係信唔過或唔知邊個機構負責管理呢啲資料，都係用返相對傳統嘅方法例如感應式支付卡、密碼或門匙好啲。 指紋特徵公開存放 點解突然咁講呢？唔係因為沙田第一城撤回人臉識別系統測試，而係因為外國真係出咗事。一間開發指紋識別系統 Biostar 2 嘅公司 Suprema，喺 8 月初被網絡安全公司 VPNMentor 嘅研究員發現超過 100 萬筆指紋資料被公開存放於網絡上，部分更有姓名、住址、履歷、相片等，大部分受影響嘅都係英國公司，中招者包括英國警方用嚟出入禁區或特殊機關嘅資料，絕對有可能被恐怖份子所利用。 VPNMentor 研究員發現呢堆合共 23GB 嘅資料後非常震驚，因為只要黑客攞到生物特徵資料，受害者真係一世受困擾，於是第一時間想通知 Suprema 處理，不過打齊官網上所有電話，都搵唔到負責人士，搞到呢堆資料喺網上公開存放在…