如果大家好記性，都記得舊年香港爆過單遺失選民登記冊嘅新聞，最精采 係上個月選委會開記招提返呢件事，竟然話調查完都判斷唔到點解會遺失……any肥，我只係想講，香港地方咁細，唔見咗選民登記冊都牽連甚廣，換轉係美國，當然就更大件事，而且分分鐘影響埋選舉結果！ 路透社最近就出咗篇獨家文章，話原來美國政府內部已經做緊嘢，一個月前推出咗新計劃，希望可以喺 2020 年總統大選前，提升選舉系統嘅防禦能力。上屆選舉時，已經有俄羅斯黑客入侵選民驗證系統，從中偷走資料，但大家擔心嘅係上次只係試驗，今次大選行動會升級，黑客唔滿足於拎資料咁簡單，而係透過操控及竄改資料嚟決定選舉結果，咁就更加大件事！ 華府網絡安全和基礎設施安全局（CISA）局長 Christopher Krebs 接受訪問時就話，近幾個月各州縣政府部門先後被勒索軟件攻陷，部分檔案被鎖住唔能夠打開，要用虛擬貨幣交贖金先開得返，而好有可能下年大選都有機會中招，俾黑客用同樣招數鎖住選民資料。 目前 CISA 已經同所有州政府聯繫，一方面提供教材，等佢哋知點樣應對呢類攻擊，另一方面就落手落腳幫佢哋做齊晒各方面嘅測試，睇下有冇乜嘢漏洞，及早作出修補。雖然目前仲未有指引，如果州政府中招後應唔應該俾贖金，但 CISA 就強調做好預防及備份措施，就係希望唔會出現要俾贖金嘅呢一日。 當然啦，唔想俾黑客勒索，最有效方法就係定時備份，有州政府選舉工作人員就話，自從 2016 年開始，已明顯加強咗網絡保安，而且不時都會備份選民資料以防萬一，但係到底要幾耐備份一次先妥當？暫時都未有清晰指引喇！ 資料來源：https://reut.rs/2ZwpYxK

成日話免費軟件唔係免費，原因就係咁，因為你喺用嘅同時，其實係付出緊某啲代價，例如要睇廣告、喺社交平台分享資訊等等，更嚴重嘅代價，就係有可能被黑客入侵，盜取個人私隱，Android免費版本嘅應用軟件 CamScanner 就係最佳例子。 CamScanner 第三方供應商偷藏後門 CamScanner 係一隻可以將影相製作 PDF 嘅應用軟件，由於好方便用嚟製作電子書，所以係一隻大受歡迎嘅 app，單係 Android 版本嘅下載量已破億，雖然免費版會有水印，亦唔支援 OCR，但都唔影響佢嘅受歡迎程式。不過，Kaspersky 網絡安全專家發現 Android 版 CamScanner 內藏後門，可以俾黑客暗中遙距安裝惡意軟件，盜取個人私隱或進行網上購物。 Kaspersky 專家話首先發現…

仲記得以前家居寬頻無咁快嘅年代，如果有片有音樂想 Download，而公司嘅網速又比較快嘅話，自自然然會借用公司部腦嚟做嘢啦。所以喺核電廠返工，而身邊又有無限電力，點解唔拎嚟挖礦咁大嘥先！ 無論你有無挖過礦，都應該聽過用嚟挖礦嘅電腦，硬件設備一定要好勁，同時要耗費大量電力。事關挖礦其實係鬥快計數，為咗快人一步計出答案，機能就唔可以慢，又或者學似黑客咁，利用病毒控制網絡上嘅電腦一齊計，咁呢門生意幾乎可以做到零成本。 密室偷電 烏克蘭一個核電廠工人就非常大膽，為咗減低挖礦成本，於是就喺核電廠嘅儲物室內擺放自己嘅電腦，借用電力挖礦。由於廠房內出現不尋常嘅電力消耗，所以驚動咗烏克蘭政府嘅Ukrainian Secret Service（SBU）嚟調查，搜勻成個核電廠後，先至揭穿呢個計劃。起初調查員同核電廠方面好緊張，因為核電廠涉及國家安全，如果俾黑客入侵就會好麻煩，特別係烏克蘭曾因為俄羅斯黑客攻擊而發生大斷電添。好在今次事件只係純粹偷電，犯案員工並無將自己部電腦連接核電廠網絡，所以大家先可以安心收隊。 其實喺核電廠挖礦事件已經唔係第一次發生，上年俄羅斯一個工程師仲狼死，偷用埋核電廠內嘅超級電腦嚟挖礦，連硬件費用都唔出。至於今次烏克蘭核電廠員工由於只係偷電，所以預計刑罰會較輕，而核電廠方面就計劃要追討佢偷咗嘅電費，叫做有人情味喇。 資料來源：https://bit.ly/2zlSwQ0

數碼轉型的好處，相信毋須特別多提；不過隨著愈來愈多企業將重要工作或數據轉移雲端，網絡安全的問題亦陸續浮面，例如難以把握的多雲(Multi-Cloud)架構、複雜的存取權限管理，特別是「影子 IT」」（Shadow IT）應用失控，每走一步似乎都可以引發難以預計的洩密風險。既要繼續移雲，但對網絡安全又有大量疑雲，應該如何自處？ 發展過快 監管困難 先來看看現時企業管理者面對的難題，愈趨複雜的多雲架構及存取權限問題都較易理解，但到底「影子IT」應用又是什麼一回事？它其實代表未經企業 IT 部門允許的應用軟件。根據最新發表的一份網絡安全調查顯示，企業管理者認為員工使用的雲端應用軟件數量為 452 種，但實際上卻是 1807 種，足足接近 4 倍之多，完全低估了實際使用情況，這些影子 IT 應用既然未被允許使用，企業 IT 部門所採購的網絡安全設備自然難以洞察及堵塞其漏洞，大大增加黑客潛入的門路。 除了雲端應用「失控」， BYOD（Bring…

作為資安界一分子，每年都會特別留意幾個關於網絡安全嘅全球盛事，DefCon 自然喺名單之上，呢個喺 1993 年由「黑客之神」Jeff Moss 搞嘅大會，嚟到今年已經係第 27 屆，每年都會喺拉斯維加斯舉行，吸引全球黑客高手參加。大會高手如雲，上年更有個 11 歲小朋友，只用咗 10 分鐘就成功入侵美國選舉網站，成為一時熱話。 今屆大會啱啱喺美國時間星期四（8月8號）開鑼，而焦點就落喺 BioHacking Village 身上。其實 BioHacking Village 唔係新嘢，過往幾屆都有搞，但通常都好細規模，可能一張細枱放幾部醫療儀器俾人 hack…

如果失驚無神有日收到其中一個網站發出電郵叫你重設密碼，作為登記用戶，你第一時間會諗啲乜呢？到底呢封係釣魚電郵，定係網站洩漏咗用戶嘅帳戶資料至要重設呀？ 釣魚電郵係近年黑客最常利用嘅攻擊手段，所以一般人都對呢啲電郵提高警惕，唔會隨便點擊入面嘅連結。雖然網絡專家叫用家只要檢查清楚發信人嘅電郵地址係咪真確，又無暗中擺入假 link，就可以避免俾黑客暗算，但始終大家只係區區一介網民，有得揀都唔會亂 click 啦，何況仲要叫用家㩒掣重設密碼？ 講緊嘅係外國一個專門售賣二手鞋同古著嘅網站 StockX，因為犯咗一個輕微錯誤，搞到喺 Twitter 上俾網站會員瘋狂查詢。事緣最近網站升級，唔知係咪提升咗登入密碼嘅要求定係其他原因，所有登記會員都要重新設定密碼。StockX 為咗提醒用家呢件事，於是就發出電郵啦，但內容只係幾隻字交代網站升級，叫網民㩒掣重設密碼，然後就無其他資訊，試問網民又點會第一時間點擊？梗係要檢查下發出電郵嘅網絡、附帶嘅連結按掣有無古怪先啦。不過就算檢查完發現無錯，今時今日都要再做多次 fact check ，所以有網民就喺瀏覽器輸入官網網址，嘗試唔㩒個掣去睇下乜事，跟住就發現無法登入，一定要改密碼先。 謹慎嘅會員就懷疑到底點解要改密碼呢？係咪網站俾黑客入侵搞到會員資料外洩？所以就走去 Twitter 上 StockX 發生乜事，搞到 StockX 方面突然要回應好多人嘅查詢，澄清並無發生資料外洩，令到原本只係一件通知會員更新密碼嘅小事，升級成為關公事件。…

如果問未來最矚目嘅流動通訊科技係乜，十居其九都會答5G同埋物聯網（IoT），華為創辦人任正非月初接受英國《金融時報》訪問，都話美國佬搞完佢哋嘅5G後，下一個戰場就係物聯網，就知呢兩樣嘢幾咁受全世界重視。 不過物聯網有個好大嘅問題，就係物聯網嘅概念係將所有本來上唔到網嘅死物，都搞到佢哋可以駁晒上網，以前就算只得電腦同埋手機可以上網，要搞網絡保安已經唔容易，而家仲所有嘢都上晒網，黑客要入侵更加易而反掌。 舉個簡單例子，之前聽行家講過，有個中小企客俾黑客入侵，check晒全公司網絡都搵唔到個漏洞，最後結果發現原來佢門鎖係連住物聯網，但係因為要識別員工資料，所以又連咗上公司個數據庫，就係咁出事……試想像一下如果公司有幾樣嘢都用緊物聯網，情況會幾失控。 歐洲一間認證機構digital.security就諗到條橋，幫出品物聯網設備嘅公司做認証，只要產品出廠前俾佢哋做25至30個測試，確保產品無論連接其他物件、互通訊息嘅協定、連接嘅伺服器，以及產品內置嘅應用程式，都唔會有保安漏洞，而成個過程會聘請獨立資訊保安專家嚟評估，通過測試就會喺產品貼上IQS（IoT Qualified as Secured）嘅標誌，為期兩年，兩年後要再拎返嚟重新測試先可以續牌，過程都好嚴格，以後要添置物聯網產品時，就記得睇下有冇IQS標誌先好買！

https://www.youtube.com/embed/LylBbr_IK74?wmode=transparent&rel=0&feature=oembed 後門（Backdoor）係近期非常熱門嘅話題，成日有人爭拗後門係有心擺入去，漏洞（Vulnerability）就係無心之失。不過，網絡安全組織 VXRL 成員 Boris So 就話其實有心定無意並唔重要，因為出嚟嘅結果就係可以俾黑客偷入嚟做嘢。今次佢就同大家分析下究竟常見嘅後門有幾多種先。 「近嚟國際關係緊張，所以 backdoor 就成為咗爭拗問題。以前大家都覺得後門係特登整出嚟，將一啲唔需要、唔應該存在嘅功能放喺系統入面，例如無緣無故 send 走啲檔案，又或者俾人隱密進入系統等等。」Boris 指出至於工程師、開發者為咗方便維修而設置嘅「後門」，就被叫做 Trapdoor。「如果純綷從技術角度分析，其實係睇唔到有心定無意，因為大家做到嘅嘢都係一樣；舉個例，原本你部手機係 unlock 唔到，但透過一啲方法可以解鎖或 root 機，咁就好難拗呢啲方法係咪後門。」 Boris 以之前被大規模封殺嘅公司所推出嘅電腦為例，「之前俾人搵到佢嘅…

人哋用得你嘅服務，梗係相信你可以守護佢哋嘅私隱，點知上載嘅相可以喺網上任睇，全無私隱可言，咁仲唔係虛假宣傳？Online Buddies 就係因為咁而被告喇。 網絡安全公司嘅研究員經常會進行一啲網上調查，分析一啲應用服務供應商提供嘅服務有無漏洞存在，因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題，所以當研究員發現到漏洞所在，就會第一時間通知對方修補，而喺漏洞修補後或對方過咗一段時間都無反應，先至公開漏洞等對方正視。一般嚟講，服務供應商都會即刻解決問題，以免影響用家嘅信心，或被黑客入侵造成更大嘅損失。 Online Buddies、Jack’d 共用儲存平台 除咗以上兩項風險，服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies，喺上星期五就俾紐約州總檢察長 Letitia James 檢控，指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分，令用戶相信其上載嘅相片有足夠私隱保護，可以防止被授權以外嘅人睇到，但被告一方卻對漏洞視而不見，收到報告一年都無修補漏洞，令用戶嘅個人私隱蒙受損失，結果判處罰款 24 萬美元，同時勒令 Online Buddies 要持續改善網絡安全程度。…

獨角獸 Slack 經營嘅企業向通訊協作軟件，喺 6 月尾上市後股價曾一度颷升 6 成，而最近雖然跌返啲，但依然高過建議招股價差唔多十蚊美元，可見大家都仲係睇好佢嘅發展，認為佢有力同 Microsoft、Google 競爭。不過，Slack 股價有一個非常大嘅威脅，一日唔處理，企業客戶一日都唔會用得安心，呢個威脅就係傳輸嘅數據無做 end-to-end encryption。 喺 Slack 嘅招股書入面，都承認咗自己有可能唔足以應付有組織罪犯或國家級黑客嘅複雜攻擊，令到內部系統有可能受到入侵，同時強調理論上唔可能完全阻截呢啲攻擊。咁點解黑客可以攻入系統，就有可能盜取到用家嘅個人私隱，而呢個情況唔會係 WhatsApp、Telegram 上發生？因為 WhatsApp、Telegram 採用咗 end-to-end…