Search Results: 開源 (79)

    說到電腦安全,不少人都會聯想到網絡,而應用程式安全都十分重要。而被黑客成功入侵,當中有80%是來自應用程式,事實上,在程式開發初期,已可避免不少程式被入侵的機會,防範未然。 Synopsys Inc, Software Integrity Group, Regional Sales Manager John Chan 就指,隨數碼化越來越流行,應用程式對科技公司重要性越來越大,如不少軟件程式牽涉到客戶資料。他更提醒,應用程式帶來安全性及License合規性問題,都有可能令公司名譽受損,以及帶來實際經濟損失。 John Chan解釋,黑客就有機會盜取應用程式內的資料,甚至整個程式遭到綁架,嚴重者可控制整個應用程式。 於軟件開發時已做到防護 提到 Synopsys 產品特點,就是在軟件開發時,已做到防護(Shift-Left)時已能提供保安方面協助,工具亦全自動化,配合現軟件開發時分秒必爭的環境。Synopsys 亦幫助客戶在整個開發周期(Software Development…

    香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 編制的《香港保安觀察報告》出爐,2021 第四季度報告提到,涉及香港的單一網絡保安事件宗數為 4,753,按季下跌 2.2%。其中網頁塗改按季上升 33%,釣魚網站亦按季上升 7%。 報告提到,釣魚網站事件連續四季上升,與去年同期相比,釣魚網站事件升幅達 265%。大部分釣魚網站都是以偽冒金融機構和網購平台為主,其他亦有科技公司、電子錢包、網上娛樂平台等。HKCERT 提醒,釣魚網站仿真度極高,用戶可仔細檢查網址來分辨真偽,留意英文串法、域名等。 《香港保安觀察報告》季度報告除會提供過去一季被發現曾經遭受或參與各類型網絡攻擊活動的香港聯網系統的數據外,HKCERT 指由今期開始,亦會回顧該季度所發生的重大保安事件及探討熱門保安議題,並提出易於執行的保安建議,以提升公眾的資訊保安認知的水平,増強應對有關風險的能力。 今期報告的重點包括: 2021年第四季度涉及香港的單一網絡保安事件較對上一季微跌2.2%;然而釣魚網站事件卻連續四季上升,大部份都是以偽冒金融機構和網購平台為主;利用QR code作網絡攻擊與日俱增,不法分子會循流動支付、賬戶驗證、網站瀏覽、訊息儲存四種常用的QR code應用進行攻擊;開始進行NFT(非同質化代幣)交易前,大家要考慮如何安全地儲存NFT資產,可選擇以連線錢包(熱錢包)或離線錢包(冷錢包)儲存,也可以混合使用這兩種錢包;以及常用於軟件開發的 log4j 開源軟件爆出保安漏洞,黑客可籍此發送特定的記錄檔訊息至 Log4j…

    Trend Micro 報告指,2020 年中起,一個名為 Tropic Trooper 的威脅組織,持續針對與交通運輸部門相關的組織和政府體系行動。這個高級長期威脅 (Advanced Persistent Threat, APT) 也被稱為 Earth Centaur 和 KeyBoy,由 2011 年起一直存在,主要針對香港、菲律賓和台灣的政府、醫療保健、高科技和交通部門的組織,作間諜活動。Trend Micro 指出,由於在…

    美國、英國、新西蘭等多國政府的安全機構,相繼向當地公私營機構發出警告,因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞,將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見,黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式,再加上受影響企業數以萬計,難怪各國政府如此慌張! Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台,它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據,因此不少企業也有採用。而就在上星期五,有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞,經調查後,專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器,於伺服器的日誌中留下一句惡意編碼,其後當 Log4j 收集伺服器的日誌時,錯誤地執行將惡意編碼,被強制到訪黑客的控制中心,進一步下載一個以 Base64…

    Google 發表安全報告,綜合去年在自家雲端平台上部署的不安全實例 (instances) 被入侵數據顯示,黑客最快只需 22 秒,便能在相關 instances 內安裝挖礦軟件,盜用受害者資源搵錢,而且 58% 入侵事件都能做出以上「佳績」,快過你沖杯咖啡! 現時不少企業都會將工作移至雲端平台,不單可以節省成本,而且亦可以彈性加減所需運算資源。Google Cloud Platform 是其中一個最多人使用的平台,但使用者卻未必有足夠的安全意識,讓黑客可以快速入侵,盜取機密知識產權,或安裝挖礦軟件,免費使用受害者租用的運算資源挖礦加密貨幣。根據 Google 發表的報告顯示,以後者為目標的入侵明顯佔最多,幾乎 86% 因設定出錯而被入侵的 instances 都屬於此類。…

    數據外洩威脅急劇上升,保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據,複雜性也在不斷發展,例如同態加密(Homomorphic encryption)、混入假數據等等,無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一,是將數據資料分開儲存。研究人員只可以讀取第一個數據庫,具有完整資料的數據庫就會儲存於其他地方,檢查數據時必須利用演算法去還原完整數據,免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案,系統會將敏感資料完全加密,研究人員要調用真實數據時,系統便會進行同態運算,令數據在毋須解密下都可被搜尋。十多年來,IBM 一直在為同態加密技術作出貢獻,例如提供適用於 Linux、iOS 和 MacOS 的工具包,以及安全儲存和處理數據的雲端環境。不過,同態加密還未成熟,因為需要太多運算,拖慢檢索速度,如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法,主要是加密數據庫內的資料,不過並非全面加密,而是平衡保密與共享原則,只向研究人員透露非私密訊息,減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料,只有獲得演算法密鑰的特定人員可以訪問,其他用戶只可讀取未加密的部分。單向函數密鑰(如 SHA256 hash 算法)是最常用的演算技術,如欠缺這條密鑰,攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段,因為隨機噪音(random noise)可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術,用戶可以將噪音混入數據庫,然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內,有可能令資料準確度出現問題,因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱(Differential Privacy)工具包,它可被應用於訓練人工智能或分析營銷活動數據,而不被噪音影響準確度。…

    加密貨幣市場近月鬧得熱哄哄,幣價如坐過山車,有人瞓身炒幣,也有人氣男歌手姜濤的支持者,以偶像及其所屬的男子組合 Mirror 之名,註冊加密貨幣「Keung To」幣(又名姜濤幣)及「Mirror」幣。加密貨幣交易平台 CoinUnited.io 共同創辦人暨軟件公司 RedSo 合夥人李思聰接受本網查詢時表示,基於加密貨幣的開源特性,「原則上任何人都可以自行創建一種加密貨幣!」 加密貨幣主要分成區塊鏈平台原生幣及代幣(Token)兩大類,其中原生幣的例子包括來自以太坊(Ethereum)的以太幣(ETH)、建基於幣安鏈(Binance Smart Chain,BSC)的幣安幣(BNB)等,至於姜濤幣及 Mirror 幣等均屬於代幣。李思聰續指,最廣為人認識的比特幣由於本身沒有牽涉智能合約的概念,技術上無法生出其他代幣,因此代幣只能夠透過以太坊、幣安鏈之類的區塊鏈平台創建出來。 創建代幣的流程也不如想像中複雜。首先,開發者需要向區塊鏈平台購入若干平台原生幣,並以之存放於相關的加密幣錢包之中,之後便可以透過 Remix 之類的智能合約編輯器編寫智能合約(即註冊代幣),「(開發者)可以在一些 Open-source(開源)平台尋找相關的代碼,再將之 copy & paste…

    NFT(Non-fungible Tokens,中文為不可代替代幣,或非同質化代幣)是近期創科界,以至是藝術界熱門話題之一,接連有藝術家及音樂人將作品化為 NFT 數碼資產,並以天價成交。藝術品以外,數碼娛樂其實亦可滲入 NFT 元素,像港產遊戲開發商 Animoca Brands,近年亦將遊戲內的裝備、道具等化成 NFT 數碼資產,為玩家提供數碼產權(Digital Property Rights)。公司昨日更宣布,成功籌集 88,888,888 美元融資,現時公司估值已達 10 億美元。 Animoca Brands 本輪融資由 Kingsway…

    數碼轉型已經深入生活的每一個部分,企業與客戶活在以雲端應用,與智能手機為中心的經濟體系內,對於應用與服務開發的速度與效益持續提升。結合開發人員(Development)與IT營運管理(Operations)的「DevOps」流程,近年已成為不少企業,藉此加快服務開發生命周期的新文化,最近更出現融入保安管理的「DevSecOps」框架。 JFrog China 總經理 George Hurn-Maloney 認為,市場目前正經歷轉型時刻,開發服務的速度提升,但當中帶來的網絡安全隱患值得留意。 DevOps或存在安全隱患 擁有多年推動DevOps項目經驗,早於2017年創立當地分公司的JFrog China總經理George Hurn-Maloney認為,市場目前正經歷轉型時刻,開發服務的速度提升,但當中帶來的網絡安全隱患值得留意。他指出就算是JFrog目前大部分屬於傳統銀行的客戶,也要經歷雲端架構與服務轉型的陣痛。 George指目前有90%軟件,以至市場上炙手可熱的Kubernetes(K8s)Containers標準與應用,其實都是建基於開源標準,雖然這是時代的進步,但也有可能造成網絡安全問題。而JFrog China正與包括羅兵咸永道(PwC)與香港代理群柏數碼科技(B & Data Technology)等多個機構合作,除了融入開源社群,推動DevSecOps文化之外,也協助企業客戶檢查當中的源碼,是否存在被入侵與其他網絡風險問題,融入更高規格的安全掃描標準。當中B & Data總經理Billy表示,該公司於去年底開始與JFrog China合作於本地推出DevSecOps相關服務,而目前JFrog推出包括插入軟件(Plugin)的選項,讓開發者能在初期發現潛在風險或問題。 B…