外判服務已經係大趨勢，例如公司要寫個網站或手機應用軟件，好多時都唔會係自己員工寫，一來呢啲project 通常都係一次性，寫完就唔會長期養住呢個人；二來有啲外判商收取嘅費用真心平，老闆當然樂於採用。唔係話全部廉價服務都唔好，但中伏風險實在大得多，例如售後服務唔見影、網絡防禦方案原來唔安全等等，做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢？最近由一班電腦專家進行嘅調查報告，應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊，早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證，佢哋發現喺呢個程式碼討論區平台上嘅…

美國 FBI 嘅 Internet Crime Complaint Center上星期發出通告，警告觀察到美國企業受勒索軟件攻擊嘅風險大增，再一次強調唔可以俾贖款，應該搵佢哋幫手解決問題。不過，始終有人唔可以無咗或急住用被鎖死嘅檔案，所以都會選擇交贖款。 反入侵黑客C&C 一個喺九月尾成為勒索軟件受害者嘅 Tobias Fromel，由於黑客闖入咗佢可被公開搜尋到嘅 QNAP NAS 裝置，然後啟動咗名為 Muhstik 嘅勒索軟件，令到佢檔案全部被鎖死。可能因為黑客只係要求大約 700 美元嘅 Bitcoin，唔算太大數目，所以Fromel 權衡過後都係選擇俾錢。…

識得玩，一定玩 GIF 圖。比起唔識郁嘅相，GIF 嘅創作空間自然大得多。WhatsApp 喺三年前開始支援 send GIF，但原來喺今年 5 月，有網絡安全專家發現 Android 版 WhatsApp 喺玩 GIF 圖方面竟然存在重大漏洞，用家一旦中招，原先開放俾 WhatsApp 嘅權限，亦會同時間送埋俾黑客。不過唔使驚，WhatsApp 用咗接近三個月時間，而家已經修補咗漏洞，大家可以安心繼續玩喇！ 新作業系統先出事 唔知大家仲記唔記得，究竟提供咗啲乜嘢手機權限俾…

被稱為全球現時最嚴厲的私隱保障及安全法規，歐盟《一般資料保護規則 》（GDPR） 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理，提供更好的保障，但仍然有許多公司未有對此嚴格遵守，當中包括歐洲以外的知名公司。 例如，美國酒店連鎖巨頭萬豪國際集團 （Marriott International）因駭客盜取了 3.83 億條客人訂房記錄，結果要面對 1.25 億美元巨額罰款；谷歌亦因其用戶意見征求政策，以及未對使用用戶信息進行足夠監管，而被罰款 5,680 萬美元。 儘管以上案件備受矚目，全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上，亦必須嚴格遵守 GDPR，只要有任何一個客戶屬於歐盟公民，都要遵守該新法，但香港一些公司仍然以為這法規與其業務運作無關。事實上，歐盟是香港的第二大的貿易夥伴，排名僅次於中國內地；在香港，市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR，香港電腦保安事故協調中心（HKCERT）已經找出可造成資料外洩的四種主要網絡攻擊，若採取適當的保安措施，便可以減低其影響。這些攻擊包括： 網絡釣魚攻擊：網絡釣魚是最常見的攻擊手法之一，有很高的騙取用戶憑證成功率。因此，應定期進行用戶意識培訓，以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊：實施計劃周全的修補程式更新管理，包括修補程式更新週期，例如在推出到生產環境之前在預備環境進行「用戶接受度測試」（UAT），以及訂立針對終止支援的系統的適當退出計劃，對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡，尤關重要。若企業因一些實際的理由而無法替代舊版系統，便需要一層額外的保護（即防火牆）來控制和監視對它的訪問。來自不可信的網路的攻擊：一旦員工試圖通過公開的網絡（例如互聯網或公共 Wi-Fi）進入公司網絡，資料外洩的風險就會大大增加，例如設備丟失、會話劫持等，所以必須應用嚴格的身份驗證，例如雙重驗證、使用 VPN…

PDF 係大家常用嘅文件檔，如果內容包含機密或敏感資訊，都會 set password 保護。但黑客而家有方法修改呢啲檔案，令到擁有解鎖密碼嘅人喺打開檔案嘅同時，傳送多一份解鎖內容俾黑客，做咗解鎖佬都唔知！ 用嚟加密 PDF 檔案嘅密碼演算法，本身其實好安全，不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員，指出 PDF 檔案其中一個漏洞係檔案只會半加密，字串內容係受到保護，但檔案嘅結構就無加密可以讀取，所以黑客可以篡改結構內容，將惡意程式注入其中，當檔案被合法打開，就會暗中將內容傳送俾黑客；另一漏洞就係 CBC（Cipher Block Chaining）加密模式，由於本身缺乏一致性嘅驗證，令到黑客可以修改特定區塊內容而唔影響解鎖程序，於是黑客就可以加入惡意程式，暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼，一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞，經研究員測試後，發現喺…

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！ 日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。 Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。 GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將…

無可否認，企業嘅網絡安全措施做得好，的確可以有效阻截黑客攻擊，不過，黑客亦唔會咁傻仔咁固執，攻你唔入，咪向你嘅第三方供應商落手囉！ 講緊嘅係飛機製造商 Airbus，法新社（AFP）最新報導，兩間有份參與調查嘅網絡安全公司，透露 Airbus 喺最近一年內曾遭受四次大型攻擊，其中兩次係針對佢哋嘅引擎供應商 Rolls-Royce 及 Assystem 嘅子公司 Expleo。法新社引述專家嘅意見，佢哋話雖然 Airbus 有使用 VPN 嚟分隔內部網絡，但佢哋有時亦會允許第三方供應商入嚟做嘢，所以黑客只要能成功攻擊第三方供應商，就可以作為跳板攻入 Airbus。而根據專家嘅調查顯示，黑客進入 Airbus 網絡嘅目的，主要係針對佢哋嘅引擎科技，包括軍用機 A400M 、A350 客機，以及用嚟控制飛機各感應器嘅系統，盜取技術多過想偷個人私隱。…

黑客攻擊每日都在進化，導致原來「先進的」偵察及分析服務如 NTA、UEBA、SOAR、EDR，統統成為「過去式」，難以讓企業避過攻擊。SOC（Security Operation Centre）是現時最炙手可熱的網絡安全代管服務，不過，缺乏有效的後台支援，SOC 亦有權走漏眼！Palo Alto Networks 即將舉辦網絡安全工作坊，深入介紹為何 SOC 必須在大數據分析、雲端計算、人工智能及機械學習的武裝下，防禦力才能達到滴水不漏。Cortex XDR 的專家亦會示範如何以自動化偵測及攔截技術，制止黑客的自動化攻擊，將網絡、端點及雲端應用的盲點全部掃除。 工作坊現已開始接受報名，名額有限，請立即行動。 Break the Security Silos 時間：10 月 25…

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…