2020 疫情之後，遠端工作及混合辦公模式變成生活日常，已成為現今普遍趨勢，相信大家對 VDI（虛擬桌面基礎結構）都不陌生吧？尤其如今遠端工作模式橫行，工作中使用 VDI 的場景越來越多。不過，你知道嗎，有個場景，大家講起來是又愛又恨 。雖然一看就知道，VDI 是未來的剛性需求，但實際投入就知道，有好多細節位要留意。 為什麼愛「VDI」？ 這個世界上，沒有無緣無故的愛，也沒有無緣無故的恨。因為在研發場景大家都看到了程式編碼安全的需求，而這也是 VDI 的核心優勢之一，所以遇到研發場景就會理所當然地運用 VDI 來解決問題。 那為什麼又恨「VDI」？因為當大家一腳踏進去，才會發現「資料不落地」只是入門需求，寫程式不過是狹義的研發，廣義的研發場景非常複雜，涉及到各行各業與多個職能。除了大家熟悉的 eCommerce、IT 軟件開發，在製造業、金融業、建築業、設計業，廣義的研發無處不在，核心資料、知識產權、繪圖體驗、軟件授權、合約設計等，這些都是務實需求。舉個例子，像是 3D 類的設計、模擬軟件就是製造業、建築業研發的關鍵應用，各廠商都說自己的 VDI 沒問題，實際上線立刻問題百出，把用戶搞得頭昏腦脹。…

隨著企業踏上數據轉型之路，陸續採用更多雲端服務及遙距工作工具，遭受網絡攻擊的層面亦大增。非牟利雲端安全機構 Cloud Security Alliance 早前完成一項相關調查，發現大部分企業都受身份驗證、帳戶權限及密鑰管理等問題困擾，除了引來黑客攻擊，內部員工亦可乘機作反。 新冠疫情開始至今已兩年多，期間不少企業為了讓員工工作，倉卒購入各種雲端遙距工作工具。雖然隨著疫情減褪，大部分企業已安排員工重回辦公室上班，但網絡安全專家指出，在數碼轉型的需求下，企業仍難以避免要採用更多雲端應用服務，因此被入侵的危機仍然會愈來愈高。Cloud Security Alliance 早前完成的一份調查報告一共訪問了安全業界 700 位專家，結果發現業界一致認為要建立一個安全的雲端運算環境，必須解決身份驗證、帳戶權限及密鑰管理等挑戰。 報告內歸結了四個常見的雲安全漏洞，包括：不安全的接口和 API、雲端服務設定錯誤、缺乏雲安全架構和策略、軟件開發環境欠缺安全策略。在不安全的接口和 API 方面，專家指可讓黑客有機會接觸到機密的資料庫，甚至可透過 API 獲取帳戶 token，從而控制帳戶。雲端服務設定錯誤，例如將數據庫資料設定成公開，有可能發生數據外洩問題。此外，缺乏雲安全架構及軟件開發環境欠缺安全策略上，前者可令黑客在取得一個普通帳戶權限下，通過漏洞提升至最高權限及隨意橫向移動，後者則有可能在開發過程取了藏有惡意程式的開源軟件使用。 網絡安全專家建議企業引入零信任 (Zero…

Apple 即將推出 iOS 16，除了早前宣布加入的安全功能，最新又再追加 Lockdown 模式，為高風險用家如人權組織、記者等提供另一重保障。相關安全功能亦可於 iPadOS 16 及 macOS Ventura 上使用，對平權人士提供全方位保護。 為了獲取對現有政權不利的消息，不少政府除了會派員監視人權組織成員、記者外，亦會想盡辦法入侵對方的電子設備，從中攔截所有訊息及聯絡人資訊。以色列科技公司 NSO 便是其中一個專門為各地政府提供監控的服務供應商，公司推出的 Pegasus監控軟件便曾多次被發現潛伏於上述人士的智能手機內，雖然該公司表示只允許授權政府用於罪案調查，但實際上如何使用，NSO 亦未有明確表示會如何監察。 替政權辦事的黑客，過往經常利用硬件或軟件的零日漏洞入侵電子設備，以 Apple 的…

元宇宙（Metaverse）被許多公司譽為是下一代新的經濟模式，不少企業管理者都在其中積極探索商機。不過，在開拓元宇宙商機的同時，透徹理解區塊鏈（Blockchain）技術及應用層面的安全問題亦至關重要。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全服務供應商 Check Point Software Technologies（以下簡稱 Check Point），早前便聯同本地珠寶零售商周生生集團國際有限公司舉辦了一場行政午宴研討會，從零售、技術及安全層面，協助與會者開啓元宇宙之門。 元宇宙開啟零售新市場NFT保障數字資產擁有權 周生生集團國際有限公司電子市務主管 Danny Tsang 認為元宇宙概念提供了一個空間，讓零售業向客戶帶來更多嶄新及獨特的購物體驗，但首要是能夠深化地解決現有的技術問題， 包括軟件和硬件，和潛在安全風險上的疑問。Danny 說雖然元宇宙概念仍處於起步階段，不過公司亦以開放的態度研究它的可能性。例如未來是否能為現時非常流行的非同質化代幣（NFT）融入未來元宇宙的零售世界中，讓客戶購物後能取得合法及安全的數字資產擁有權，但這一切尚待發掘。 Danny 說元宇宙概念為零售業提供了一個無限想像空間，可為客戶帶來更多獨特的體驗。 Danny…

新冠疫情肆虐期間，市民一窩蜂湧上網上服務平台，非接觸式營運（contactless operation）業務似乎最能受惠。不過，要在芸芸競爭對手中突圍而出，電商必須有其獨特的賣點及超前部署。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全服務供應商 Fortinet 便在早前舉辦了一場網絡分享會，聯同網上語言學習平台 Kelly’s Education 創辦人，一同分享如何跑贏逆境。 科技帶動精準配對 學習進程可視化家長更放心 網上語言學習平台 Kelly’s Education 創辦人兼首席執行長 Ken Chau 笑說，公司業務在疫情期間一直錄得高速增長，但能夠在同業中脫穎而出絕非幸運。而是憑著獨特的市場定位和創新科技的配合，將學童的學習進程具體化地呈現在家長面前，增强家長的信心。 「我們專注提供跨地域師生配對服務，以為學童找到最經濟實惠的學習資源。傳統教學以學生的年齡或就讀級別作為配對準則，缺點是就算兩位小朋友的年齡或級別相同，學習水平也會因個人資質、當地教育模式而存在分歧。」Ken…

Microsoft 網絡安全研究員警告，近日被植入新信用卡刷卡器 (card skimmer) 的網站悄悄上升，新攻擊包含三種隱藏手法，有助減低被網絡安全工具發現的機會，而現時病樣本資料庫 Virus Total 收錄的相關樣本可見，偵測率均非常低，網站管理員必須加倍留意。 Card skimmer 專門用於盜竊購物網站用家的信用卡資料，黑客會利用各種方法入侵網站，再於結帳頁面植入惡意編碼竊取輸入的信用卡資料，並將這些資料送交黑客的 C&C 控制中心，由於中招網站在外貌上並無異樣，因此用家可說無法防備，只能靠店商能否阻止惡意功能入侵。 黑客為了減少被發現的機會，多年來一直奇謀盡出，例如改用 Telegram 或 Discord 等合法平台接收盜取的資料，又或將惡意編碼混入主流的開源媒體播放器。 Microsoft 研究員最新發現的入侵方法共有三種： 惡意圖標：黑客將已加密的…

說到電腦安全，不少人都會聯想到網絡，而應用程式安全都十分重要。而被黑客成功入侵，當中有80%是來自應用程式，事實上，在程式開發初期，已可避免不少程式被入侵的機會，防範未然。 Synopsys Inc, Software Integrity Group, Regional Sales Manager John Chan 就指，隨數碼化越來越流行，應用程式對科技公司重要性越來越大，如不少軟件程式牽涉到客戶資料。他更提醒，應用程式帶來安全性及License合規性問題，都有可能令公司名譽受損，以及帶來實際經濟損失。 John Chan解釋，黑客就有機會盜取應用程式內的資料，甚至整個程式遭到綁架，嚴重者可控制整個應用程式。 於軟件開發時已做到防護 提到 Synopsys 產品特點，就是在軟件開發時，已做到防護（Shift-Left）時已能提供保安方面協助，工具亦全自動化，配合現軟件開發時分秒必爭的環境。Synopsys 亦幫助客戶在整個開發周期（Software Development…

香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 編制的《香港保安觀察報告》出爐，2021 第四季度報告提到，涉及香港的單一網絡保安事件宗數為 4,753，按季下跌 2.2%。其中網頁塗改按季上升 33%，釣魚網站亦按季上升 7%。 報告提到，釣魚網站事件連續四季上升，與去年同期相比，釣魚網站事件升幅達 265%。大部分釣魚網站都是以偽冒金融機構和網購平台為主，其他亦有科技公司、電子錢包、網上娛樂平台等。HKCERT 提醒，釣魚網站仿真度極高，用戶可仔細檢查網址來分辨真偽，留意英文串法、域名等。 《香港保安觀察報告》季度報告除會提供過去一季被發現曾經遭受或參與各類型網絡攻擊活動的香港聯網系統的數據外，HKCERT 指由今期開始，亦會回顧該季度所發生的重大保安事件及探討熱門保安議題，並提出易於執行的保安建議，以提升公眾的資訊保安認知的水平，増強應對有關風險的能力。 今期報告的重點包括： 2021年第四季度涉及香港的單一網絡保安事件較對上一季微跌2.2%；然而釣魚網站事件卻連續四季上升，大部份都是以偽冒金融機構和網購平台為主；利用QR code作網絡攻擊與日俱增，不法分子會循流動支付、賬戶驗證、網站瀏覽、訊息儲存四種常用的QR code應用進行攻擊；開始進行NFT(非同質化代幣)交易前，大家要考慮如何安全地儲存NFT資產，可選擇以連線錢包(熱錢包)或離線錢包(冷錢包)儲存，也可以混合使用這兩種錢包；以及常用於軟件開發的 log4j 開源軟件爆出保安漏洞，黑客可籍此發送特定的記錄檔訊息至 Log4j…

Trend Micro 報告指，2020 年中起，一個名為 Tropic Trooper 的威脅組織，持續針對與交通運輸部門相關的組織和政府體系行動。這個高級長期威脅 (Advanced Persistent Threat, APT) 也被稱為 Earth Centaur 和 KeyBoy，由 2011 年起一直存在，主要針對香港、菲律賓和台灣的政府、醫療保健、高科技和交通部門的組織，作間諜活動。Trend Micro 指出，由於在…

美國、英國、新西蘭等多國政府的安全機構，相繼向當地公私營機構發出警告，因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞，將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見，黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式，再加上受影響企業數以萬計，難怪各國政府如此慌張！ Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台，它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據，因此不少企業也有採用。而就在上星期五，有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞，經調查後，專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器，於伺服器的日誌中留下一句惡意編碼，其後當 Log4j 收集伺服器的日誌時，錯誤地執行將惡意編碼，被強制到訪黑客的控制中心，進一步下載一個以 Base64…