Search Results: 網絡安全 (1052)

    「Hacker 不一定要穿 hoodie,不一定在漆黑中、電腦前不停打 code 的。」卡片上職位是 Senior Associate,其實就是 Ethical Hacker,Monie Sum 專程化個靚妝再襯條裙來做訪問,希望一洗大眾印象,包括自己親朋。「我也解釋了很多次,但總有家人及朋友不太明白甚麼是 Ethical Hacker。」大眾聽見「黑客/Hacker」聞風喪膽,而其實呢,Ethical Hacker 是專業人仕,PwC 就有幾十個,可以在中環 Big Four 會計師樓返工,團隊三份一是女生,更率先享受「靈活工作」計劃,彈性工作時間、衣著、地點,加上市場求才若渴,絕對是職場新貴。 「成黑之路」從「多手」開始…

    12 歲的黑客小天才 黑客界鼻祖 Kevin Mitnick,充滿爭議性的傳奇人物,看完他的經歷,會發覺「第一黑客」稱號,當之無愧。有人形容 Kevin 的上半生猶如電影《Catch me if you can》的男主角 Frank Abagnale。Kevin 於 1963 年生於美國加洲的一個猶太家庭,小時候已發揮黑客本色:12 歲時,利用Social Engineering 及 Dumpster…

    Splunk 令人著迷之處是其前瞻力,因此,每年的 Splunk Forum 不只是一次 Splunk 的動向或產品報告,更是一次業界未來報告。Splunk 近年收購了不同技術如 VictorOps(DevOps)、Phantom(Security Orchestration)等,加上 Machine Learning、Cloud 等技術,令 Splunk 於各範疇上進一步強化,今年的 Splunk Forum 就展示了這些技術如何完美地融合。 由 Detective…

    相信大家都收過欺詐電話,要用電話呃人,要花時間與對方溝通,但現今生活節奏急速,很多人都會 cut 你線,要成功得手,絕對唔容易。欺詐電郵就唔同,騙徒首先會對目標人物的背景有所掌握,也會精心製作電郵內容,並以冒充的身份把電郵發出,一般用戶收到這些電郵,都難以判斷真假。 傳統安全方案束手無策 事實上,電郵仍然是現今最大安全攻擊途徑。原因很簡單,發動攻擊成本不大,因為你是不能拒絕攻擊者發送電郵給你。況且傳統的電郵安全方案也好一段時間沒有技術革新,依然側重於防病毒、防垃圾電郵等功能,把懷疑有問題的 Email 隔離就了當。面對更新型的欺詐電郵攻擊,傳統的電郵安全方案缺乏技術及能力處理,可以說是有點手束手無策。 BEC 個案平均損失近百萬港元 Business Email Compromise(BEC)是近年出現的名詞,指利用欺詐電郵手法(或附有網絡釣魚攻擊)的新型威脅。 BEC攻擊者大多數會冒充公司外國供應商、老闆、公司高層、公司員工、公司律師(會計師)等… 欺詐目標大多數是公司的財務或高級管理人員,最終目的是以不同的藉口要求匯款,令公司蒙受重大金錢損失。據統計,每個案平均損失近百萬港元,這絕對是大茶飯。 期待最新技術杜絕 BEC BEC 之所以難以防止,因為它利用大眾的疏於防範的心理,讓受害者掉入社交工程(Social Engineering)陷阱。在今天高度透明的商業社會,要找出財務部門(或公司高層)的電郵地址並非難事,這也意味著一個一個精心炮製的欺詐,隨時可以用電郵發動。在「道高一尺魔高一丈」的網絡安全環境中,我們總不能單單每日叫員工提高安全意識。新一代的電郵安全系統,終於包含了BEC 防護功能,期待最新技術能把這類超級大殺傷力的欺詐電郵威脅徹底清除。

    一般大眾對 Big Four 印象都是專責會計、審計、稅務,而其實 Big Four 業務範圍早已涉足一切企業管理服務,包括 IT Security。PWC 為其中表表者,而且於此範疇有豐富經驗及技術支援,最近不單舉辦 Hackday 比賽,最新研發產品有 Hackbot,不得了。 從審計到資安 「傳統上,PWC 的業務是審計,所以會見到客戶業務的各種問題,因此衍生了不同範疇的顧問服務,包括網絡安全方面的服務。」Samuel 於 Big Four 行頭有二十多年經驗,正是從審計變成資安專家嘅活生生例子。「審計工作其實不只看財務數字,還要看…

    上兩期都是環繞着「白帽黑客」(White Hat)這個題目,心想如果在港可以舉辦一個較大型的黑客 CTF 大賽,讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流,那倒是一個不錯的做法。 發現樂趣,創造奇蹟 過去十年,黑客的意義有所改變,但是精神是一樣的。黑客們的共通點,是想知道和理解事物如何運作,在深層次研究後,他們可以創造超乎想像的奇蹟,並在其中發現樂趣。然而黑客並沒有想像中的恐怖,如果黑客發現某軟件存在漏洞並報告給相關企業,那麼企業對其進行快速修補,便會避免此漏洞帶來的危害。 「我們的」黑客大賽,培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽,被譽為黑客界的「奧斯卡」,堪稱是殿堂級的安全盛會,黑客和安全專家都會慕名從世界各地趕來參加,去年參加人數更超過兩萬。我們也決定試一試,暫定於今年 10 月,在港舉行由我們公司主辦的首屆黑客大賽,希望培養業界人士對發掘網絡安全漏洞的興趣,從而提升本地的網絡安全水平。 高手相助,同場切磋 舉辦黑客大賽,我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思,一班高手們非常樂意出手相助,運用他們過往的參賽經驗,為我們籌備一個高水平的大賽。初步構思是先舉辦初賽,給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽,再與鄰近區域的高手一起在現場一較高下。 美國取經,10 月見 雖然有高手幫忙籌劃,我亦不敢怠慢,並計劃在…

    上一期講過甚麼是「白帽黑客」(White Hat),是指在完全合法的情況下對系統進行攻擊,以求找出安全漏洞,令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面,並對網絡安全作深入交流。 這位高手是來自北京的陳宇森,現年只是 26 歲,臉上還有一點稚氣,但跟他溝通,卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外,在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名,以及在 2017 年另一個全球大型黑客大賽 Pwn2Own,獲得世界第三名。年紀輕輕已在國際大賽打響名堂,實在殊不簡單。但他跟我說:往後應不會再參與同類型的比賽了。畢竟已獲過獎項,可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客,在 2014 年已成立了安全技術公司,運用自身的專長,開發了一些高端安全產品,來應付日益複雜的黑客攻擊,並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」,以黑客的思維制訂安全方案去對付黑客攻擊,從邏輯來說,應會更有效。 除了安全產品外,陳宇森也有一套獨特的技術人員培訓計劃,可以說是比較實戰型。點解?一般網絡安全培訓機構都比較學術性,市場上的安全證書如 CISSP、CISM 等,也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」,內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏,我個人也認同實戰比證書更重要,也正考慮如何把這套實戰平台引入,來提升本地網絡安全人才應對網絡攻擊的能力。

    講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…

    近年常常聽到「人工智能」一詞,好像潮語一樣,並代表著「高科技」的意思。一些產品含有自動調節功能,就以誇張宣傳手法說是「人工智能」,這根本不符合「人工智能」的定義。 「人工智能」已有幾十年歷史,早在八十年代初,電腦科學家便開始設計能學習和模仿人類行為的程式。在電影裏,如《Terminator》、《Matrix》或《Ex Machina》所描述的「人工智能」,都擁有觀察和感知能力,並可以做到推理和解決問題,這類可稱為「強」人工智能,但是現今技術水平仍未有效實現。 目前的科學研究工作都是集中在「弱」人工智能這部份,並取得重大突破。智能是從何而來呢?讓我們先理解「人工智能」、「機器學習」和「深度學習」的區別和關係。 「人工智能」的領域中,「機器學習」是其中一種方法;在「機器學習」的技術中,通過使用大量樣本作訓練而積累的智能,就稱為「深度學習」。 在使用電腦的過程中,大家會不知不覺地留下大量數據及電子足跡,這給予「深度學習」在訓練時所需之用;此外,系統運算速度的提升,令「機器學習」時間大大加快。綜合這兩個主要因素,終於令「機器學習」成熟起來,在「人工智能」的應用邁進了一大步。 同樣,近年一些高端網絡安全產品也採用「機器學習」去處理大量電腦使用者的日常行為,並作深入分析。即使黑客成功盜取了用戶的帳號及密碼,保安系統也會跟用戶日常使用方式作出對比,如發現有明顯偏差,就會發出警示或作出攔截。一幕幕兵賊鬥智(人工智能)的場面,已在網絡安全領域中展開。

    一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」,Hacker,泛指以任何手法入侵他人電腦嘅人。黑客有正有邪,更亦正亦邪。 入侵動機各不同,有為錢、為興趣、為學習、為國家、為理想,甚至為啖氣都有。Hacker 分好多顏色「帽子」,以下簡介 hacker 帽子顏色分類,以後唔好再「色盲」亂咁「扣帽子」。 (第一部份) (大題)黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標,在非法的情況下攻擊系統,透過破解、入侵去獲取不法利益。黑帽係網絡罪犯,會hack 入某個系統盜竊數據,從而進行金錢勒索或賣畀黑市。黑帽嘅存在,令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反,白帽又叫 Ethical Hacker(道德黑客)。不少白帽受聘於網絡安全公司或大企業,在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞,以「改善」為目標,令網絡世界更安全。白帽中亦有 Bug…