欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

收集人臉、指紋特徵，話就話可以方便大家出入私人地方或購物，甚至推動智慧城市；但一旦負責機構唔小心外洩，受害人係無得改呢啲「個人密碼」㗎！ 又唔係話完全無可能，只要整容或換指紋就得，不過睇完都覺得荒謬啦，人哋唔小心洩漏咗客戶嘅生物特徵，竟然要受害者二次遇害？所以每個人都要小心，喺選擇係咪授權其他機構採集及使用自己嘅生物特徵時，真係要諗清楚係咪必須，好似如果只係方便買嘢、出入閘口等等，特別係信唔過或唔知邊個機構負責管理呢啲資料，都係用返相對傳統嘅方法例如感應式支付卡、密碼或門匙好啲。 指紋特徵公開存放 點解突然咁講呢？唔係因為沙田第一城撤回人臉識別系統測試，而係因為外國真係出咗事。一間開發指紋識別系統 Biostar 2 嘅公司 Suprema，喺 8 月初被網絡安全公司 VPNMentor 嘅研究員發現超過 100 萬筆指紋資料被公開存放於網絡上，部分更有姓名、住址、履歷、相片等，大部分受影響嘅都係英國公司，中招者包括英國警方用嚟出入禁區或特殊機關嘅資料，絕對有可能被恐怖份子所利用。 VPNMentor 研究員發現呢堆合共 23GB 嘅資料後非常震驚，因為只要黑客攞到生物特徵資料，受害者真係一世受困擾，於是第一時間想通知 Suprema 處理，不過打齊官網上所有電話，都搵唔到負責人士，搞到呢堆資料喺網上公開存放在…

無論係企業抑或個人，喺轉售、棄置或因中毒而要重設電子產品嘅時候，都應該要注意小心處理入面儲存嘅資料。以為刪除晒入面嘅資料或回復原廠設定就得？等英國國家網絡安全中心嘅專家話你知得唔得。 英國國家網絡安全中心（UK National Cyber Security Centre, NCSC）早前發佈咗一份關於 電子裝置還原原廠設定或重新配備嘅安全指引，指引內模擬咗四個唔同嘅場景，分別係：裝置受惡意軟件感染、設定新裝置、於組織內將裝置重新交由另一相同職級嘅人使用，及清洗裝置以作出售或於組織內將裝置重新交由較低權限的人使用。根據以上呢四個場景，NCSC 對 Android、iOS 作業系統嘅裝置都有唔同建議。 Android 裝置唔建議放售 首先係清洗病毒及內存資料方面，專家指一旦 Android 受惡意軟件感染，單係回復原廠設定或重裝系統並唔足夠，因為先進嘅惡意軟件可以繼續存在於系統內，同時間，做完以上動作都唔會清除到 SD 卡上嘅資料。如果裝置係牽涉到接觸高度機密資料，專家就建議中毒後要換過部新機，而且由於 Android 裝置係無認證方法可以完全清除所有資料，所以無論部機有無中過毒都好，只要入面嘅資料唔外洩得，都唔好拎去轉售，又或交俾組織內權限較低嘅人使用。…

DEFCON 網絡安全大會，每年都吸引到好多業內高手或黑客出席；所以如果你所屬組織長期需要呢一方面嘅專家，呢類型嘅黑客大會就係最佳揀蟀機會。好似喺今次大會，就連美國國防部人員都到場，目的就係說服有識之士為國家效力！ 五角大樓長期缺人 今次 DEFCON 其中一個亮點，就係將成間醫院嘅設備搬咗入 BioHacking Village 俾大家試 hack。但同一時間，喺今屆首設嘅 Aviation Village 入面，亦放咗部 F-35 戰機駕駛模擬器喺度俾入場人士了解下。喺啲咁嘅場合，美國國防部有人喺度絕對合理，但呢個剛啱喺今年 4 月上任嘅 Defense Digital Service（DDS）https://dds.mil/…

ASUS、Huawei、Intel、NVIDIA、GIGABYTE、ASRock、MSI、Toshiba……講明先唔係大清算，只係合共廿幾個電腦硬件品牌嘅驅動程式被發現有漏洞，可以俾黑客攞到 Ring 0 最高權限，快啲睇下自己有無份先。 DEFCON 網絡安全大會嘅好玩之處，係過程中有好多黑客會發表獨家調查報告，而且仲會好詳細咁分析保安事故發生嘅原因，有時呢啲錯誤真係低級到難以置信會發生喺一啲大企業身上，所以特別適合花生友睇。 電腦安全公司 Eclypsium 研究員今年就喺 DEFCON 上發表報告，佢哋研究咗各大電腦硬件公司推出嘅硬件驅動程式（drivers），當中發現有廿幾個品牌、40 個驅動程式存在高危級別漏洞，黑客可以通過呢啲漏洞，將登入 Windows 作業系統嘅權限由 Ring 3 一口氣提升至最高嘅 Ring 0，令到黑客可以喺電腦內為所欲為，例如整死部電腦、安裝後門等惡意軟件、盜取資料等等。而最大嘅問題係，呢啲 drivers…

唔單只牙線唔可以交換用，就連手機充電線都唔得，因為都有可能引發病毒感染㗎！ 近排搭車成日碌手機睇新聞睇片，搞到部 iPhone 好快無電，相信唔少 iPhone 用家都會喺公司擺多條 Lightning 線駁電腦充電。但你有無諗過，插住果條線好可能係鬼線，只要你開著電腦做嘢，隨時可以俾黑客偷走資料？ 手機充電線內藏病毒 其實好多手機用家對充電線都無乜戒心，基本上有需要時就會四圍問人借線充電。理解嘅，因為咁細條充電線，可以惡得去邊丫？有黑客為咗提高公眾對充電線嘅安全意識，特別整咗條像真度高達 100 % 嘅 Lightning 線出嚟，但就內置 Wi-Fi 接收器同惡意軟件，只要目標人物將呢條線插入電腦，黑客就可以透過 Wi-Fi 訊號發出指令，指示惡意軟件執行特別任務，例如引導瀏覽器去釣魚網站，又或將電腦進入鎖定模式，強制要用家輸入登入資料，從而盜取登入系統權限。當然，職位愈高，帳戶可接觸嘅公司資料都愈機密。 製作呢條古惑…

勒索軟件肆虐，美國唔少行政機關都飽受困擾，中招者糾纏於是否交付贖金嘅決定之中，正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講，絕對係一件成本低、回報大嘅攻擊，加上暗網有大量勒索軟件發售，只要略懂電腦技術就可以買嚟用，然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上，好似 Windows、Linux 系統等等，不過網絡安全公司 Check Point 研究員就發現，Canon 相機嘅 PTP （Picture Transfer Protocol）數碼圖片傳輸協定存在 6 個漏洞，其中 5 個係關於 Buffer Overflow，最後一個就係暗中升級韌體。通過呢幾個漏洞，黑客可以透過 USB 或…

網絡安全專家又有新發現，一種被命名為「Warshipping」嘅攻擊手法，已經由 IBM X-Force Red 嘅研究員成功驗證，透過發放呢隻 Warship，黑客可以光明正大咁將爆格工具運入目標公司內，再慢慢截取有用訊號嚟破解，唔使再假扮清潔工人或維修電工嚟偷入公司。 Warshipping用完即棄 IBM 研究員發明嘅 Warship 工具，其實係一個造價大約 100 美元嘅用完即棄手作仔。呢個工具大約得一部手機咁大，可以掃描附近嘅 Wi-Fi 裝置，然後就靜靜等待任何同公司 Wi-Fi 網絡熱點進行「握手」（handshake）嘅訊號，當截取到呢啲數據，Warship 裝置就會經由內置嘅 3G modem…

家陣公司為咗節省資源，好多嘢都靠外判，等自己唔使養咁多人。就連網絡安全工作都係，一來市場上唔夠人手，二來逐樣產品買亦負擔唔起。理解嘅，在商言商，老闆又錯唔晒，不過如果公司連一個識 IT Security 嘅同事都無，又可以點去評估外判商做緊啲嘢掂唔掂？好似好多企業都鍾意搵公司做 consultation，但公司入面無人識 cyber security，根本唔知點揀，所以有多啲 budget 嘅就會搵 Big 4，因為連銀行金融業都搵佢哋做評估，差極都有個譜啩，但 Mr. Smith 真係要再強調一次，好易中伏！ 試過有次公司要搵美國一間大公司做 code review，評估一隻用嚟保護其他 application 嘅軟件有無漏洞。結果報告返咗嚟，話隻軟件嘅 loophole…