仲記得以前家居寬頻無咁快嘅年代，如果有片有音樂想 Download，而公司嘅網速又比較快嘅話，自自然然會借用公司部腦嚟做嘢啦。所以喺核電廠返工，而身邊又有無限電力，點解唔拎嚟挖礦咁大嘥先！ 無論你有無挖過礦，都應該聽過用嚟挖礦嘅電腦，硬件設備一定要好勁，同時要耗費大量電力。事關挖礦其實係鬥快計數，為咗快人一步計出答案，機能就唔可以慢，又或者學似黑客咁，利用病毒控制網絡上嘅電腦一齊計，咁呢門生意幾乎可以做到零成本。 密室偷電 烏克蘭一個核電廠工人就非常大膽，為咗減低挖礦成本，於是就喺核電廠嘅儲物室內擺放自己嘅電腦，借用電力挖礦。由於廠房內出現不尋常嘅電力消耗，所以驚動咗烏克蘭政府嘅Ukrainian Secret Service（SBU）嚟調查，搜勻成個核電廠後，先至揭穿呢個計劃。起初調查員同核電廠方面好緊張，因為核電廠涉及國家安全，如果俾黑客入侵就會好麻煩，特別係烏克蘭曾因為俄羅斯黑客攻擊而發生大斷電添。好在今次事件只係純粹偷電，犯案員工並無將自己部電腦連接核電廠網絡，所以大家先可以安心收隊。 其實喺核電廠挖礦事件已經唔係第一次發生，上年俄羅斯一個工程師仲狼死，偷用埋核電廠內嘅超級電腦嚟挖礦，連硬件費用都唔出。至於今次烏克蘭核電廠員工由於只係偷電，所以預計刑罰會較輕，而核電廠方面就計劃要追討佢偷咗嘅電費，叫做有人情味喇。 資料來源：https://bit.ly/2zlSwQ0

大量網絡安全統計數字顯示，醫療機構已成為黑客其中一個至愛目標，除咗因為佢哋保存咗好多病人資料，亦因為醫療機構有大量聯網器材，喺設計時根本無乜點諗過會被黑客攻擊，所以有唔少漏洞可以被利用。 而最新一份由網絡安全公司 FireEye 發表嘅調查報告，就指出由上年十月初至今年三月尾，喺地下討論區內刊登咗大量出售病人私隱嘅廣告，呢啲病歷紀錄主要來自美國、英國、加拿大、澳洲同印度，當中更包含病人嘅電郵地址、駕照、醫療保險資料等等，而最平一宗交易涉及約 20 萬病人資料，價錢只由千六蚊港幣起。考慮到黑客可以攞住呢啲資料，之後用嚟向病人發動社交工程、釣魚攻擊，甚至進行勒索嘅話，呢筆費用絕對係價廉物美。記憶猶新，上年新加坡醫療機構 SingHealth 被黑客盜取嘅 150 萬個病歷中，更包括總理李顯龍，當然如果有呢啲名人資料，價錢就唔會咁平啦。 主動調查黑客攻擊目標 除咗售賣病人私隱外，亦有黑客賣埋醫療機構嘅登入資料，等買家可以自由出入醫療網絡、喺系統植入木馬，甚至橫向發展，感染其他醫療機構嘅系統。而根據 FireEye 嘅報告，嚟自中國嘅 APT 黑客團體，對醫療機構最有興趣嘅係同癌症研究相關嘅研究報告。FireEye 專家話喺今年四月初，多個中國黑客團體嘗試向美國一間醫療中心發動攻擊，偷偷潛入系統去挖掘癌症醫療報告。FireEye 專家指出佢哋喺隔離系統內放置嘅各類誘餌文件中，全部黑客團體都嘗試盜取一份癌症會議文件，專家解釋話相信係中國醫療企業想了解美國治癌嘅最新發展，希望可以搶先喺市場上推出新藥物。 喺報告嘅最後，專家指出醫療體系絕對有必要建立更強及統一嘅網絡安全標準，因為隨著而家愈嚟愈多醫療器材具備上網功能，黑客可以隨意修改一啲醫療設備嘅參數，令病人服用過量或不足的藥物，致病人於死地；亦可以偽造各類檢查報告嘅結果，例如電腦掃描、磁力共振、血液化驗等等，同樣可以令有病變無病，無病變有病添！ 資料來源：https://bit.ly/2L6oG7y

電競熱潮直捲全球，唔少後生仔都夢想成為電競選手，可以靠打機搵食。不過，真正嘅電競手一啲都唔易做，日日都要打十個鐘頭機，仲要操體能，所以連香港跳高隊代表楊文蔚都話：「電競同田徑一樣咁難行，跨得過你就係運動員。」 啱㗎，所以大部分人打機其實志在 kill time，邊會覺得可以靠佢搵食。之不過，有啲無 game 品嘅人明明唔夠人打，但又唔肯認輸，於是就想靠邪道威威，上網搜尋有無秘技或程式可以修改遊戲，情況就等於運動員食禁藥一樣。 最識得利用人性弱點嘅黑客又點會放過機會？早前網絡安全公司 Cyren 專家就發現，網上有一個連線射擊遊戲《Fortinite》嘅遊戲修改程式 Syrk，聲稱只要下載及執行 SydneyFortniteHacks.exe，就可以提升玩家嘅開槍準繩度，但實際上 Syrk 係一隻勒索軟件。當用家執行檔案後，就會發現電腦內的圖像、影片、文件同埋音樂檔案全部被上鎖，同時畫面會顯示一段「你已經被綁架」嘅訊息及聯絡電郵地址，要中招者用電郵聯絡，商討俾幾多同點樣俾贖金。為咗加強真實感，黑客仲喺畫面上加咗個計時器，指兩個鐘內唔採取行動，所有檔案就會被刪除。 專家指出 Syrk 其實係以一隻開源勒索軟件 Hidden-Cry 為基礎修改而成，佢嘅源碼喺上年放咗喺 GitHub 俾人下載使用，所以話呢個世界真係乜都會有人分享，只要有心機喺網上面搵就得。幸運地，專家發現用嚟解鎖嘅工具同時放埋喺受害者嘅電腦入面，只要打開一個叫做…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

Facebook、Twitter 上嘅假消息問題嚴重，兩間公司尋日一齊發聲明話刪除咗大量針對香港示威活動嘅假消息及假帳戶。其實唔單只佢哋，網上嘅假新聞都係無日無之，所以唔少國家都意識到單係靠呢啲外國機構嚟審查係絕對唔夠；另外如果太多國民依賴外國社交平台，亦難以達到控制言論嘅目的。 越南政府信息部部長阮猛雄（Nguyen Manh Hung）早前喺一個會議上，就向胡志明市嘅 IT 界業內人士表明，政府希望越南可以擁有自家嘅社交平台，同時亦表明政府會為本地企業提供平台去測試新技術及網絡安全環境，唔使再靠 Facebook 等社交平台，同時亦可以幫國民過濾假消息。雖然外界對越南政府呢個願景有好多懷疑，例如係咪想拑制言論等等，不過，國內就已經有唔少地道嘅社交平台出嚟，而且佢哋嘅「野心」都唔細。 Hahalolo 呢個係一間以胡志明市為基地嘅旅遊資訊社交平台，今年 6 月先開業，但目標就係喺 2024 年吸引到 20 億用家使用。 Gapo 新鮮滾熱辣喺七月先開業嘅社交平台，提供聊天及貼文功能，CEO 話好有信心喺…

https://www.youtube.com/embed/gNeQjEflwT4?wmode=transparent&rel=0&feature=oembed 成日話疑人勿用，疑檔勿開，只要防毒軟件或電郵防護軟件發出警示，就唔可以打開呢啲檔案或附件。但站於公司營運立場，係咪可以咁簡單？唔使講都知無乜可能，有啲檔案真係唔開唔得，舉兩個例子就知點解。 個案一：來歷不明電郵 但凡公司請人，人事部都會收到大量來自陌生人發出嘅CV。如果唔開電郵附件，點樣篩選適合人選嚟面試？ 個案二：日常往來伙伴 採購部日常工作就係收客戶訂單同邀請廠方報價，全部靠收發文件檔案去確認交易內容。即使係合作開嘅伙伴發出嘅電郵，點樣確認對方電腦系統仲係安全？ 既然有啲檔案係唔開唔得，管理層就要諗辦法處理。最新嘅網絡安全概念，已經唔係靠防毒軟件去分辨可信同不可信清單，而係將所有人視為不可信任。Content Disarm & Reconstruction (CDR)，就係將檔案「漂白」嘅最可靠方法，透過重組檔案內容，系統可以將大部分類型檔案內嘅隱藏病毒、 惡意代碼、釣魚網站連結全部清除，令用戶可以隨意開啟檔案而不用擔心被感染。市場上雖然有不少CDR軟件，但喺操作介面、運作速度、重組後檔案可保留嘅原始格式等方面都有好大分別。 想知道CDR軟件嘅威力有幾強有幾快，就要報名參加由 Edvance 舉辦嘅 ReSec 實戰工作坊，名額有限，先到先得。詳情如下： 日期：10 月 15…

數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

收集人臉、指紋特徵，話就話可以方便大家出入私人地方或購物，甚至推動智慧城市；但一旦負責機構唔小心外洩，受害人係無得改呢啲「個人密碼」㗎！ 又唔係話完全無可能，只要整容或換指紋就得，不過睇完都覺得荒謬啦，人哋唔小心洩漏咗客戶嘅生物特徵，竟然要受害者二次遇害？所以每個人都要小心，喺選擇係咪授權其他機構採集及使用自己嘅生物特徵時，真係要諗清楚係咪必須，好似如果只係方便買嘢、出入閘口等等，特別係信唔過或唔知邊個機構負責管理呢啲資料，都係用返相對傳統嘅方法例如感應式支付卡、密碼或門匙好啲。 指紋特徵公開存放 點解突然咁講呢？唔係因為沙田第一城撤回人臉識別系統測試，而係因為外國真係出咗事。一間開發指紋識別系統 Biostar 2 嘅公司 Suprema，喺 8 月初被網絡安全公司 VPNMentor 嘅研究員發現超過 100 萬筆指紋資料被公開存放於網絡上，部分更有姓名、住址、履歷、相片等，大部分受影響嘅都係英國公司，中招者包括英國警方用嚟出入禁區或特殊機關嘅資料，絕對有可能被恐怖份子所利用。 VPNMentor 研究員發現呢堆合共 23GB 嘅資料後非常震驚，因為只要黑客攞到生物特徵資料，受害者真係一世受困擾，於是第一時間想通知 Suprema 處理，不過打齊官網上所有電話，都搵唔到負責人士，搞到呢堆資料喺網上公開存放在…