一場疫症，令大部分香港企業被迫急著數碼轉型，同時黑客亦覷準機會，大舉進攻港企網絡，當中不乏巨型企業中招，暴露了潛藏已久的企業網絡安全意識嚴重不足問題。PwC 網絡安全及私隱保護服務合夥人及 Dark Lab 創辦人顏國定透露，香港近期的網絡攻擊事件大幅上升約十倍。他分析情況指，港企的資安水平落後世界先進地方最少 5 年，主因沿於長久以來，香港社會針對網絡攻擊事件的透明度不足，造成企業以至大眾對網絡安全失去危機感。他認為，現時的監管機制只靠企業自願性披露，情況恐難改善。 香港網絡攻擊升十倍　勒索攻擊明顯進化 顏國定表示，在疫症爆發之前，經他團隊處理的本地網絡攻擊事故，一年平均約四十多宗。但疫症爆發至今，處理事故宗數大幅上升至幾乎一日一至兩宗，按此比例計算，升幅達十倍，而且黑客的攻擊手段亦越見高明。顏以勒索攻擊為例，以往黑客成功駭進企業系統，會短時間引爆病毒，癱瘓並鎖死企業系統，然後直接要求企業支付贖金，攻擊是一次性的。現在，黑客會先潛伏企業系統內一段時間（以香港情況，潛伏期大概一個月），期間黑客會偷偷在系統裝上電腦病毒及後門程式，並且盡量搜集企業的機密資料及客戶資料，之後等待適當時機，黑客就會「唧牙膏」式地攻擊，例如突然在社交媒體把企業的機密資料到處洩漏，並要求企業支付贖金；如果企業拒絕，黑客就會在對方疲於尋找解決方法時，再突然洩漏更多資料，甚至鎖死企業系統。這種持續性的攻擊，比起舊有模式，對企業造成更大恐慌和困擾，因為企業無法得知還有幾多機密資料和客戶私隱會被突然洩漏，相對地受害人就會更容易支付贖金。 長期認知不足　港企資安水平落後 顏國定亦指出，雖然香港企業在近期的數碼轉型風潮下，確實增加投放資源在網絡安全之上，但卻流於「買最貴的系統，但買回來後，從不善用」的層次，令到保安系統即使升級，仍未能發揮應有作用，有些大公司甚至連最基本的 MFA (多重認證）都未有實施。顏形容，港企的網絡安全水平落後世界先進國家五年，主要原因是社會對網絡安全意識長期不足，由市民大眾到公司企業，都不知道網絡攻擊的嚴重性，「連 MFA 這些低成本又有效的保安措施都嫌麻煩」。由於缺乏意識，因此由資訊安全的人材培訓，以至保安系統升級，都被長期忽視，結果現在急於數碼轉型的情況下，企業網絡保安錯漏百出，淪為黑客攻擊目標，「黑客其實都是漁翁撒網式在世界各地找獵物，所以哪裏防禦措施薄弱，哪裏就會成為黑客的天堂。」 監管靠自願披露　透明度不足恐難改善 針對社會整體對網絡安全意低下問題，顏國定認為，核心在於網絡攻擊事故的「披露（Disclosure）」不足，「香港現時的資安教育，很多時候是要求市民大眾『自己小心啲』，但人性在缺乏危機感下，必然會粗心大意。因此最有效的教育是增加危機感。」顏解釋，香港現時主要靠《個人資料（私隱）條例》要求企業自願性披露網絡攻擊事故，但由於欠缺約束力，企業為保聲譽，都會盡量低調處理，結果網絡攻擊事故鮮被曝光，社會大眾一直誤以為「風平浪靜」，自然不懂得去重視問題。他建議，政府可以借鏡先進國家，立法要求企業必須主動披露網絡攻擊事故，並為企業網絡安全措施要求，訂立清晰標準，以有效提高資訊透明度。「只有建立在有力的法律基礎上，企業才有不能迴避的責任，去披露資安問題的實際情況。當資訊的透明度有所提高，公眾認清事實，大家才會從日常生活中感受到網絡攻擊的嚴重性。於這樣的社會氣氛下，我們才能談得上以教育提高大眾以至企業的網絡安全意識。」

踏入 11 月，大家開始籌備年度總結＆明年展望，各行各業主題，肯定離不開疫情新常態。資安服務平台 Fortinet 的 Chief of Security Insights and Global Threat Alliance Derek Manky 搶先出閘，以《Back to Basic》為重心，總結疫情下黑客動向與企業 3 個趨吉避凶方法。…

不少網絡安全機構都曾發出警告，呼籲普羅大眾切勿使用公共 Wi-Fi 熱點，處理涉及個人私隱的事情，例如登入帳戶、網購、理財等，因為它們缺乏數據加密保護，很容易被黑客攔截數據。而 Google 最近便推出針對公共 Wi-Fi 的 VPN 服務，只要用戶訂購每月 2TB 雲端儲存服務，即可免費獲得保障，好抵用！ 現時不少人都會使用 VPN (Virtual Private Network, 虛擬私人網絡) 服務，理由各異，例如要收看有地區版權限制的劇集、隱藏自己的上網蹤跡、阻擋廣告追蹤等，而經常要在戶外工作人士，由於經常需要連接公共 Wi-Fi 熱點上網，節省數據用量開支，就更加需要使用 VPN…

朋友在通訊 App 分享連結時，若果有 Preview，感覺比一條普通連結實在，可以衡量登陸網頁的必要。不過看似窩心的 Feature，原來潛藏資安漏洞，隨時出賣用戶 IP，甚至破壞 End-to-End Encryption（E2EE）加密原則以及用戶對平台的信任。 網頁預覽顯示的初心，絕對方便用家，故大部分通訊 App 都備有此功能，像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數，向用戶提供預覽選擇的 Signal 與 Wire…

殭屍網絡 (Botnet) 一向令人頭痛，因為黑客可以利用它發動多種攻擊，例如 DDoS 網站或應用服務、發送垃圾電郵、挖礦 (cryptocurrency)，黑客更可入侵中招的電子設備偷取資料。不過，擁有人工智能的蜂巢網絡 (Hivenet) 就更令人頭大，除了擁有殭屍網絡功能，其分散式運作更難以被一舉殲滅，甚至懂得自動感染其他電子設備…… 殭屍網絡已在網上橫行多年，但自從 IoT (Internet of Thing, 物聯網) 產品被廣泛採用，就令到黑客可操控的電子設備暴增，根據歐洲網絡安全公司 ENISA 最新研究報告估計，現時平均每日都有 770 萬個 IoT 設備連上互聯網，但當中只得…

釣魚電郵大家都有收過，而最近網絡安全公司 Sophos 收到的一封垃圾電郵就頗有趣，因為黑客試圖令收件人相信自己管理的社交平台違反版權守則，並恫嚇會在時限後停止帳戶，迫使帳戶管理人於虛假社交平台登入帳戶。安全專家指黑客在電郵及虛假網站上做足功夫，一心急就會上當。 Sophos 安全專家在博客上提到間中會收到來自社交平台的電郵，指有用戶投訴其專頁使用了違反版權的素材，須管理人親自解釋。專家相信投訴事件非常普遍，所以就令黑客有機可乘，發出偽造電郵令帳戶管理人信以為真，心急點擊電郵內的連結登入帳戶了解詳情及解釋。文章中提及，Sophos 在最近真的收到這類恫嚇信，不過作為網絡安全專家又怎會如此容易受騙？專家指由於他檢查了發信人的電郵地址並非來自 Facebook server，而且英文文法差，即時已確認是釣魚電郵。不過，專家再深入研究電郵內容，發現黑客也在多方面下苦功，提升電郵的可信度。 首先電郵內有一個「Continue」字眼的超連結，如以滑鼠浮標移至上面，的確會顯示連結是指向Facebook網站；原來黑客只是登記了一個專頁，並將版面偽裝成 Facebook 的申訴版權頁面，令社交平台帳戶人信以為真，於是點擊頁面上的https://facebook.com/copyright/xxxxx超連結。造假第二步是這條超連結卻使用了常用的 HTML 編碼欺詐手法，顯示出來的超連結卻與實際指向的網站不符。造假第三招是雖然該版面都有取得 HTTPS 認證，但專家指出該認證只是早幾天前才發出，可合理懷疑其造假成份。一旦管理人被以假亂真，便會直接輸入帳戶登入資料，甚至進一步輸入 2FA 雙重因素驗證碼，最終便會被黑客奪去帳戶。 由於黑客造假都夠專業，所以專家勸籲大家在收到電郵時，一定要多方面確認信件真偽，例如要詳細檢查發信人地址、將浮標指向電郵內的超連結，預覽與目標網址是否一致。另外，他警告即時導向網址屬於官方網址，從上例也可見未必一定為官方所開設，所以如果要登入帳戶，最穩陣還是親手於網址列輸入官網，再登入個人版面查看有否相關內容或訊息，就可減少被騙風險。 資料來源：https://bit.ly/2HKQjF6

近日有傳中國受水災影響，部分地區出現糧食危機，政府亦帶頭呼籲民眾不要浪費食物。除了天災之外，人禍也會引發糧食短缺，例如以色列安全專家就發現，由Motorola設計的智能灌溉系統在設計上缺乏安全考慮，竟容許用戶以出廠登入資料長期使用系統，只要黑客有心，隨時可摧毁大量農作物，製造糧食危機！ 為減少人力需求、降低成本，不少農場也會裝設智能灌溉系統，交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知，如未能及早發現系統損壞或運作異常，農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor，就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶，竟然未有為系統設定密碼，黑客只要使用Motorola預設的帳戶登入名稱如admin，即可遙距登入帳戶，修改智能灌溉系統的設定及執行異常灌溉指令，而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護，但由於未有強制用戶在安裝後更改帳戶登入資料，全靠客戶自律，結果情況就如許多IoT物聯網產品的用戶一樣，放任繼續使用原廠設定。 Naor說要找出這些系統並不困難，只要使用IoT裝置掃描器，就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola，讓對方通知用戶盡快修改密碼，而Naor發現仍未修改密碼的用戶已減少至78個，不過由於研究已經公開，肯定會有黑客嘗試入侵這些用戶。 事實上，各國政府均意識到IoT產品的安全問題，並開始陸續規管生產商，例如美國於2020年1月1日生效的SB-327 Information Privacy：Connected Devices 條文，就限制生產商必須為每部產品設定獨一的出廠登入密碼，即使用戶未有更改，也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引，但距離立法還有一段長時間，用戶現階段必須靠自己，例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等，雖然未必百分百安全，但也可減少大部分危機。 資料來源：https://zd.net/3kDpb9V

今時今日，絕大部分人上網都是用智能手機，但網絡安全公司Rapid 7研究員就發現，Safari、Opera等7款手機版瀏覽器存在極大漏洞，可讓黑客在網址列偽造網頁連結，令用家誤以為自己正在訪問官方網站，實情卻被引導至釣魚網站上，不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站，瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術，例如在網址列加入鎖頭圖標，讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過，Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細，而被部分瀏覽器取消，從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器，最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器，均存有JavaScript詭計漏洞，因本身設計的問題，令黑客可操控網址列上出現的網址，但實際上卻將用家引導了偽造網站，而由於沒有鎖頭安全圖標輔助，用家便無法得知已跌入陷阱，成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例，由於在設計上系統會保留任意port上呼叫的網址在網址列上，只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容，便可透過時間差，在網址列仍顯示原網址的情況下，極速將用家引導至其他偽造網站，以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣，用家便會傾向相信自己正在訪問官方網站一樣，從而輸入自己的帳戶登入資料。 除了Safari，其他6款瀏覽器亦存在類似問題，Rapid7研究員在今年8月發現這漏洞後，已去信通知受影響的瀏覽器供應商，不過，除了Apple已修補了Safari的漏洞，Opera承諾會在11月推出修補檔外，其他4款瀏覽器供應商卻未有回覆，相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器，建議用家最好避免使用。 資料來源：https://bit.ly/2TfyS22

在新冠肺炎肺炎疫情下，僱員在家工作是遙距營商的主要安排，遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分，上班要參加或主持視像會議，而下班後又要教子女用視像會議上課，連老婆上的烹飪班，都話要用視像會議學餸。突然，原是 IT 從業員的你同我，都變成視像會議從業員，好像升了「呢」。 市場上視像會議軟件多不勝數，如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx，新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等，也有其他人用專用的企業級視像會議系統，亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議，五花八門，各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/)， 因為其免費版本功能已經非常強大，即使是收費版本也很便宜，只需美元 14.99 一個月，購買一年的費用是美元 149.9，性價比相當高。因為可以月付，很多企業在「遙距營商計劃」中，都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思，將會詳細探討這間在 2019…

隨著雲端儲存技術發展，企業存檔由過往文本模式轉移上雲，但雲端存取有洩漏的風險，不論是黑客的入侵，抑或是內部人為閃失等，都令企業怕怕。在遙距工作的趨勢下，你需要的是結合能保障數據可得性（availability）、誠信（integrity），與及保密程度高兼能掌控多雲環境下的數據保護服務！是次研討會將探討 IT 保安模式 CIA （Confidentiality, Integrity and Availability) 及 3-2-1 Backup 策略的可行性，分享由 Hitachi Vantara 及 Thales 組成的強大保護，如何讓你獲得全面的數據保護，毋懼數據外洩。 參加研討會問答環節，有機會獲得神秘禮物，立即報名！ 活動詳情： 主題：3…