上兩期都是環繞着「白帽黑客」（White Hat）這個題目，心想如果在港可以舉辦一個較大型的黑客 CTF 大賽，讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流，那倒是一個不錯的做法。 發現樂趣，創造奇蹟 過去十年，黑客的意義有所改變，但是精神是一樣的。黑客們的共通點，是想知道和理解事物如何運作，在深層次研究後，他們可以創造超乎想像的奇蹟，並在其中發現樂趣。然而黑客並沒有想像中的恐怖，如果黑客發現某軟件存在漏洞並報告給相關企業，那麼企業對其進行快速修補，便會避免此漏洞帶來的危害。 「我們的」黑客大賽，培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽，被譽為黑客界的「奧斯卡」，堪稱是殿堂級的安全盛會，黑客和安全專家都會慕名從世界各地趕來參加，去年參加人數更超過兩萬。我們也決定試一試，暫定於今年 10 月，在港舉行由我們公司主辦的首屆黑客大賽，希望培養業界人士對發掘網絡安全漏洞的興趣，從而提升本地的網絡安全水平。 高手相助，同場切磋 舉辦黑客大賽，我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思，一班高手們非常樂意出手相助，運用他們過往的參賽經驗，為我們籌備一個高水平的大賽。初步構思是先舉辦初賽，給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽，再與鄰近區域的高手一起在現場一較高下。 美國取經，10 月見 雖然有高手幫忙籌劃，我亦不敢怠慢，並計劃在…

今早好天氣，一望出街，成群人在低頭捉怪獸。Neo 諗，乜個遊戲仲未死咩？我家對出的地方，平時少外人，但也算係 Public Areas – 公眾地方，原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies，寫到差不多，忽然問我：喂，你有沒有考慮 Public Areas – 公共區域嘅 Security 呀？我反問，Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩？佢話，大佬，我係講緊企業入面果幾十萬呎地方，平日 D…

上一期講過甚麼是「白帽黑客」（White Hat），是指在完全合法的情況下對系統進行攻擊，以求找出安全漏洞，令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面，並對網絡安全作深入交流。 這位高手是來自北京的陳宇森，現年只是 26 歲，臉上還有一點稚氣，但跟他溝通，卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外，在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名，以及在 2017 年另一個全球大型黑客大賽 Pwn2Own，獲得世界第三名。年紀輕輕已在國際大賽打響名堂，實在殊不簡單。但他跟我說：往後應不會再參與同類型的比賽了。畢竟已獲過獎項，可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客，在 2014 年已成立了安全技術公司，運用自身的專長，開發了一些高端安全產品，來應付日益複雜的黑客攻擊，並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」，以黑客的思維制訂安全方案去對付黑客攻擊，從邏輯來說，應會更有效。 除了安全產品外，陳宇森也有一套獨特的技術人員培訓計劃，可以說是比較實戰型。點解？一般網絡安全培訓機構都比較學術性，市場上的安全證書如 CISSP、CISM 等，也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」，內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏，我個人也認同實戰比證書更重要，也正考慮如何把這套實戰平台引入，來提升本地網絡安全人才應對網絡攻擊的能力。

講到「黑客」這個名詞，一般都畀人感覺唔係咁正面，並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類，分別為「白帽黑客」（White Hat）、「灰帽黑客」（Grey Hat）及「黑帽黑客」（Black Hat）。白帽黑客以「改善」為目標，破解某個程序，令對方作出安全漏洞修補；灰帽黑客以「展現」為目標，透過破解、入侵去炫耀其擁有高超的技術，或者宣揚某種理念；黑帽黑客以「利慾」為目標，透過破解、入侵去獲取不法利益，或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一，但不要以為是一件容易的工作，你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員，並在完全合法的情況下攻擊系統，以求找出安全漏洞。另外，也有很多大企業會聘請白帽黑客來保護其系統和訊息，薪酬也非常可觀呢。 至於電腦廠商方面，為鼓勵找出安全漏洞，也會付出豐厚獎金（Bounty Program）給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場，以進一步加強系統安全性。對白帽黑客來講，又多了一個收入來源。 再且，近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽，獎金也愈來愈吸引，勝出者亦可名利雙收。Pwn 一般讀作 Pone，自從「own」這個字引申出來的，意思是玩家在整個對戰中處在勝利的優勢，主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗（例如：You just got pwned！）。CTF…

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」，Hacker，泛指以任何手法入侵他人電腦嘅人。黑客有正有邪，更亦正亦邪。 入侵動機各不同，有為錢、為興趣、為學習、為國家、為理想，甚至為啖氣都有。Hacker 分好多顏色「帽子」，以下簡介 hacker 帽子顏色分類，以後唔好再「色盲」亂咁「扣帽子」。 （第一部份） （大題）黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標，在非法的情況下攻擊系統，透過破解、入侵去獲取不法利益。黑帽係網絡罪犯，會hack 入某個系統盜竊數據，從而進行金錢勒索或賣畀黑市。黑帽嘅存在，令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反，白帽又叫 Ethical Hacker（道德黑客）。不少白帽受聘於網絡安全公司或大企業，在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞，以「改善」為目標，令網絡世界更安全。白帽中亦有 Bug…

「Attitude 非常重要，團隊合作，用心學習，有時要比考到甚麼證書更重要。」差少少以為會聽到食神金句「一字記之曰：心」。一直以為網絡保安公司就是一切以科技為王，拜會 Fortinet 香港總舵手 Cherry Fung 之後，就明白一間公司除咗產品要有食力，更需要心力，要邁進管理層，真係要學下嘢。 一切從三個人開始 Fortinet 現為世界三大網路安全設備供應商之一，江湖地位超班，然而，剛落腳香港時，並非想像中的君臨天下。「我在大約八年前加入 Fortinet，當時並沒有很多人認識，公司的同事得三個人，不少人甚至以為 Fortinet 是 SME 產品品牌。」當時香港辦公室屬於 SEA（東南亞），眼見公司的其他分區成績不俗，Cherry 亦深信香港區有其潛力，一切事在人為。「我相信『人』可以 make difference。科技公司亦需要人的參與，一個 project…

自 Facebook 被爆 5.33 億用戶數據洩漏，LinkedIn 亦被爆發生洩漏事故！一個據稱包含 5 億個 LinkedIn 個人資料數據存檔，在一個知名的黑客論壇上出售，該貼文的作者又洩漏了另外 200 萬條記錄，作為驗證的樣本。四個洩露的文件包含 LinkedIn 用戶的信息，包括其全名、電郵地址、電話號碼、工作場所等。CyberNews 提供檢查網站（https://cybernews.com/personal-data-leak-check/），讓用戶可檢查有否中招。 在該黑客論壇上，用戶可用大約值 2 美元的論壇積分，查看洩漏的樣本，但黑客似乎正在以拍賣形式處理逾 5 億名用戶的數據庫，並將價格定位為至少…

Business Insider 報道指，上周六在一個黑客論壇上，一個用戶免費發布 5.33億名 Facebook 用戶的電話號碼和個人數據，含及包括電話號碼、電郵、全名、生日等個人資料。受影響用戶來自過百個國家，美國有超過 3,000 萬個帳戶、英國有 1,100 萬個帳戶，有傳媒更估計香港受影響用戶達 293 萬。愛爾蘭的數據保護委員會（DPC）正在調查該宗涉及數據庫的大規模數據洩漏，DPC還表示，最近洩漏的數據集似乎包含來自其他Facebook用戶記錄的信息，「可能來自（2019 年外洩的數據）後期」，意味著 Facebook 數據洩漏事故已受到歐盟數據監管機構的調查。 Facebook 發言人向 Business Insider 透露，今次事件中所涉及的數據，為 2019…

香港嘅 startup 唔算多，金融科技範疇嘅，更屬罕見。AdvSTAR 由 Joe Chan 帶領，成功將研究院項目變成實際應用，叫好又叫座，當中嘅成功關鍵、經驗絕對值得借鑑。 防到一次 attack，已經極之好 Cyber Security 嘅有趣之處，就係「做咗好似冇做」，feel like yesterday。而冇事發生，就係最好，尤其係金融銀行業。「因為有一啲消息、資訊、本地情報、特定 APT、盲點、新型 attack 等，係佢地未必睇到，或者有某啲限制做唔到。對佢地來講，只要防到一次 attack 都已經極之好。」AdvSTAR 嘅誕生，正正針對金融、銀行及大企業特性，度身設計，揉合不同技術及程式，進行收集、發放、驗證、分析及配對資訊，同時提出專業建議、技術分享等。甫推出即獲各金融、銀行及大企業樂意採用，究竟成功關鍵係乜呢？…