提到借用大量其他人嘅電腦硬件資源，去達成某個目標，可能大家會即時諗起黑客操控殭屍大軍發動嘅 DDoS攻擊或挖礦（cryptomining）。事實上，借用其他人嘅電腦硬件資源唔一定要作奸犯科，而係可以集合大家嘅力量為人類謀求福祉。好似新型冠狀病毒，現時就有廿幾個計劃需要「眾籌」硬件資源，以早日搵出病毒嘅弱點及研製疫苗嘅方法，不過所謂嘅眾籌唔使實物捐獻，只要讓出部分電腦運算能力就得㗎喇。 Folding@home 眾籌電腦硬件資源計劃，其實早喺 2000 年出現，呢個計劃由史丹福大學 Pande Lab 所主導，目的係借用網民嘅電腦運算能力，去模擬蛋白質嘅折疊過程，以了解多種疾病嘅起因及發展。點解要走去研究蛋白質呢？因為佢係人類細胞構成嘅主要成分，只要出現不正常折疊，就有可能發展成錯誤形狀，同埋會影響埋其他正常嘅蛋白質，逐漸發展成各種疾病，當中好似癌症、腦退化症及病毒，就有需要模擬蛋白質各種折疊狀況，先了解到上述疾病嘅出現原因及治療方法。而喺今次新型冠狀病毒疫情上，由於仲未搵到病毒表面蛋白質同肺部細胞蛋白質嘅結合機制，所以就未研究到有效嘅疫苗。有見及此，Folding@home 喺較早前已開展咗 3 個專門針對新冠病毒嘅研究計劃，而最近更發展至 23 個，希望可以加快研究進度，盡快研製有效疫苗。 想參加呢個計劃？其實唔難，只要你喺連接住互聯網嘅電腦上安裝 Folding@home 專用軟件，系統就會自動將工作送交你嘅電腦演算。擔心會影響你部機嘅效能？其實軟件主要會喺你部電腦閒置時先啟動 CPU 或 GPU…

今次微軟認真叻叻豬！佢哋啱啱宣佈，成功同多國警方以及來自 35 個國家嘅私營機構，夾手夾腳消滅咗全球最大殭屍網路 Necurs。Necurs 呢隻嘢近年好紅，佢厲害嘅地方係一旦電腦被感染，就會不停傳送垃圾電郵俾人，2017 年就試過以每小時 500 萬封電郵嘅速度，係咁將 Dridex 同埋 Locky 兩隻勒索程式傳送出去，一炮而紅！ 多年嚟資安界對 Necurs 可以話係冇晒符，由2016 到 2019 年期間，9 成由電郵傳送嘅病毒程式都係透過 Necurs…

隨著 5G 及 Wi-Fi 6 新一代流動通訊及無線網絡制式上馬，突破了從前的傳輸速度及頻寬的限制；更被視為推動第四代工業革命開展的核心一環，有利於物聯網（Internet of Things, IoT）技術應用及發展，使利益隨時獲利倍翻。現時對IoT裝置缺乏統一的規格及監管，部分生產商為了搶銷量降成本，退而求其次地犧牲網絡安全性，卻令 IoT裝置安全漏洞百出。企業要借助IoT拓展業務就不能過於大意，否則便有如大開中門，「邀請」黑客隨意出入。 物聯網普及 提升自動化及數據分析 IoT的應用層面非常廣泛，例如網絡監控鏡頭、溫度及濕度感應器、防漏水感應器、智能門鎖、電力監測系統、智能燈光系統等，最大優點是可讓作業自動化完成，減少人力成本。此外，IoT 應用亦逐漸與傳統的 IT 系統結合，包括操作型科技系統 (Operation Technology, OT）、工業控制系統（Industrial Control…

PayPal 作為電子支付平台，自然吸引唔少罪犯、黑客搵食，最常見嘅手法莫過於大包圍式向網民發出釣魚電郵，用唔同主題例如重設密碼、懷疑洗黑錢等，呃人點擊虛假連結去登入帳戶，盜取登入資料再去轉走啲錢。不過，CyberNews 網絡安全研究團隊就發現，黑客正利用盜取返嚟嘅 Facebook 帳戶，向原有人嘅朋友發送要求代收 PayPal 款項嘅訊息，從而達到呃錢嘅目的。 或者好多人會懷疑，今時今日喺 Facebook Messenger 收到朋友要求轉錢，點會咁易中招呀？但今次嘅詐騙方法有啲唔同，首先罪犯唔會直接叫你幫手買點數卡或過數，而係會話你知佢有筆錢要經過 PayPal 收，而咁啱佢又無帳戶，所以想借你個帳戶用，等你收到錢先再過數入佢銀行。由於唔需要你俾錢先，對方亦無話有錢齊齊賺，成件事純粹係搵你幫手，如果咁啱罪犯用嘅係你好朋友嘅帳戶，相信好多人嘅戒心都會大減。 而今次呢個詐騙手法嘅盲點，就係罪犯利用咗 PayPal 允許支付者可以退款政策，當受害人以為自己收到錢再轉帳俾罪犯後，對方就可以即時申請退款，彈弓手攞返轉俾受害人 PayPal 帳戶嘅錢。而更高一級嘅方法，係罪犯根本唔需要申請退款，因為佢可以連 PayPal 帳戶都係偷返嚟，由得原有人發現後自己跟進，罪犯同樣毫無損失，而且亦更難追蹤。…

加密貨幣（Cryptocurrency）採用區塊鏈（Blockchain）技術，分散式帳本大大提升造假帳嘅難度，安全程度甚至被譽為牢不可破。不過，其中一隻加密貨幣 bitcoin gold（BTG） 最近又被黑客成功造假數，呃咗約 7.2萬美元，仲要係兩年內再度出事，乜嘢叫做不可竄改？Are they a joke to you？ 除咗 BTG，其實已有唔少加密貨幣出過事，好似 Verge、Monacoin、Ethereum Classic 等等。又話區塊鏈技術不可竄改，咁到底發生乜嘢事？原來要篡改加密貨幣並唔係完全無可能，只要黑客控制到呢隻加密貨幣喺整個網絡上嘅51%運算能力（Hash rate,哈希率），就可以將新挖出嘅貨幣隱藏唔廣播，然後迅速將貨幣喺市場上出售及提取資金，跟住先將挖出嘅貨幣廣播等其他節點驗證，咁黑客就可以成功擁有呢個貨幣之餘，之前嘅交易亦會被視為無效但錢已攞，達成Double Spending雙重支出攻擊。由於黑客要攞到 51% 嘅演算能力去控制「賽果」，所以除咗叫做 51%攻擊，亦可以叫做多數派攻擊（majority…

【網絡運程七宜七忌】之（五）智能捕捉。 一掃知宜忌，免費試用 : https://bit.ly/2R0EwEP 宜：智能捕捉忌：引流入屋玄機詩：攻破帳戶隱入侵 人工智能除三害 傳統的電郵防護工具，主要倚靠對比已知的威脅情報，以及人手增添各種安全設定，攔截惡意電郵。不過，現時黑客攻擊模式每天都在進化，例如以往魚翁撒網式嘅釣魚攻擊，已轉變為瞄準指定目標的魚叉式釣魚攻擊；又如偽冒或盜用企業管理層電郵帳戶，向其他員工進行商業電子郵件詐騙，超越傳統防護工具的偵測能力範圍。要對付日新月異的攻擊，最有效的方法還是使用人工智能。 Barracuda Sentinel 就是具備人工智能引擎的防禦工具，透過機器學習分析帳戶的行為習慣，例如登入時間、位置、頻密程度、登入行為等因素，可準確揪出有可能已被入侵的電郵帳戶，防止帳戶盜用及進一步發出詐騙電郵。另一方面，人工智能系統可自動檢測電郵內容，將帶有惡意連結的電郵隔離處理，同時進行DMARC驗證，確保電郵來自可信任的網域。所有防護效能均全自動執行，減省煩複的設定及誤報，全方位守護企業的電郵系統。 相關資料：https://www.barracuda.com/products/sentinel 一掃知宜忌，免費試用 : https://bit.ly/2R0EwEP ============================ 唔想錯過熱門網絡保安消息，請即訂閱 wepro180 電子周報：https://bit.ly/2Q1626s

唔少人去餐廳或 cafe 嗰陣，都習慣將手機放喺枱面，方便隨時檢查下有無短訊或接聽來電。而為咗私隱問題，通常都會將屏幕朝下，咁就唔怕其他人（特別係另一半）睇到自己同邊個傳緊短訊，甚至係訊息內容啦！不過，有網絡安全專家指出如果手機啟動咗語音助手功能，放喺枱面呢個行為已足夠俾有心人奪取你部手機嘅控制權，暗中讀取你嘅私隱，最驚係可以用你部電話打俾其他人傾偈，而你係完全唔會發現㗎！ 發現呢個漏洞嘅研究員，係來自華盛頓大學電腦科學及工程嘅 Ning Zhang，佢稱為 Surfing Attack 所利用嘅方法，其實只係人耳聽唔到，但手機收音咪就接收到嘅高頻音效，於是就可以暗中向手機嘅語音助手發出指令，例如讀取剛收到內有雙重因素認證（2FA）碼嘅訊息、甚至係用你部手機打電話同人傾偈添。研究員試用過市面上 17 部智能電話，包括 iOS 陣營嘅 iPhone，以及 Android 陣營嘅 Samsung Galaxy 等等，佢話只要將手機放喺枱面，無論將枱用金屬、玻璃、木作為材料，甚至喺 30呎外，都一樣可以通過枱作為媒介，將高頻音效傳送過去，而且正面或反面咁擺，都完全無問題，不過屏幕朝下就更難察覺手機運作緊咁解。…

一聽到生物特徵辨識（Biometrics）技術，大家應該好快諗到係乜嘢嚟，而且仲應該成日用到添。事關而家好多智能手機、平板電腦、notebook 都已經支援指紋、人臉辨識，的確方便過入密碼多多聲，所以生物特徵辨識已經唔係乜嘢新鮮事。之不過，Behavioural biometrics 又係乜嘢嚟？應用起上嚟又有乜嘢限制呢？ 所謂 Behavioural biometrics，可以理解為一啲同行為有關嘅個人習慣，例如講嘢嘅節奏、左右手各自嘅打字嘅速度、㩒掣嘅力度、鍵盤使用習慣等等，如果唔係刻意打算去模倣指定目標，都未必會咁細心去留意呢啲個人習慣。可能有人會問，既然有可能模倣，咁點解唔索性用返生物特徵辨識就算呢？ 其實咁諗都無錯，不過，應用喺安全認證方面，個人習慣就比較難模倣啲。首先生物辨識技術一般都擺到明要對比邊啲資料，例如係指紋、虹膜、人臉、聲紋等等，只要知道需要邊種生物辨識數據，黑客都有可能偷同複雜得到。行為習慣生物辨識就難得多，因為應用機構未必會公開到底採集邊種個人習慣，正如上面舉嘅例子，如果唔講明用邊種或邊幾種，就算想模倣都無從入手，倒不如直接威迫當事人簡單。現時呢種技術已有應用程式商店、銀行試用緊，據講成效都唔錯，幫佢哋識別到好多帳戶盜用情況。 雖然 Behavioural biometrics 聽落好似幾安全，不過，實際運用起嚟都有一定限制，因為個人行為習慣好受身體狀況影響，例如原本靠分析左右手各自輸入文字速度嘅方法，喺其中一隻手受傷時會唔會被誤判？又例如客戶中風後，手指嘅靈活程度亦一定受影響，咁樣又係咪會登入唔到帳戶呢？所以 Behavioural biometrics 要普及，相信都仲有好多問題要解決。 資料來源：https://bit.ly/2PBEdQ0 相關文章：【極度恐慌】人臉、指紋特徵要死守 一遇外洩無得翻身

Microsoft Windows 用家唔多唔少都曾經遇到呢個情況，就係打開嘅檔案格式，同你原先預期嘅唔一樣，特別係以前會去討論區下載 BT 檔案或各類海盜版資源嘅人，就更加容易中招。點解呢？因為 Windows 系統設計者本身可能為咗簡化顯示資訊，方便用家睇檔案名，所以系統係預設咗將檔案延伸（file extension）名隱藏。不過，專家話咁做就令用家有可能開錯惡意程式，所以都係建議大家開返顯示好啲。 Microsoft Windows 系統喺顯示檔案時，預設嘅做法隱藏咗佢嘅檔案格式，例如 invoice.pdf，顯示出嚟就只會得 invoice，另外就用預設開啟呢種檔案格式嘅程式，例如 Adobe Acrobat，作為檔案嘅 icon。雖然睇落都好似幾 user-friendly，但諗深一層又確係有漏洞可以利用。網絡安全網站 BleepingComputer 創辦人 Lawrence…

【網絡運程七宜七忌】之（四）合帳管理 宜：合帳管理 忌：分散配置 玄機詩：工具散亂多盲點 一站管理至輕鬆 網絡攻擊的手法日益廣泛，不少企業也會採購多種網絡安全工具，以減少被黑客入侵的風險。不過，如每種工具都要獨立管理，不單增加管理人員的工作負擔，亦會令安全性欠缺透明度，難以發覺漏洞的存在，防護效能存疑。 Barracuda Essentials 雲端防禦工具，除了具備最先進的網絡安全威脅偵測及攔截能力，亦提供一站式簡易管理介面，可集中管理 Barracuda 所有設備及服務。配合於世界各地建立的雲基礎設施，讓管理員可快速掌握全球各種威脅動態，減少人力需求之餘，亦可為企業大大節省基建費用。 免費試用 : https://bit.ly/2R0EwEP Essentials產品特色：高效，簡單易用–基於雲的管理，提供全球概覽列表，可集中管理所有Barracuda設備和服務。Barracuda雲管控還允許管理員設置集中管理原則和配置，簡單清楚的界面，一目了然， 使企業能夠以最少的IT預算輕鬆所有權便捷的集中管理服務。