近日有傳中國受水災影響,部分地區出現糧食危機,政府亦帶頭呼籲民眾不要浪費食物。除了天災之外,人禍也會引發糧食短缺,例如以色列安全專家就發現,由Motorola設計的智能灌溉系統在設計上缺乏安全考慮,竟容許用戶以出廠登入資料長期使用系統,只要黑客有心,隨時可摧毁大量農作物,製造糧食危機! 為減少人力需求、降低成本,不少農場也會裝設智能灌溉系統,交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知,如未能及早發現系統損壞或運作異常,農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor,就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶,竟然未有為系統設定密碼,黑客只要使用Motorola預設的帳戶登入名稱如admin,即可遙距登入帳戶,修改智能灌溉系統的設定及執行異常灌溉指令,而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護,但由於未有強制用戶在安裝後更改帳戶登入資料,全靠客戶自律,結果情況就如許多IoT物聯網產品的用戶一樣,放任繼續使用原廠設定。 Naor說要找出這些系統並不困難,只要使用IoT裝置掃描器,就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola,讓對方通知用戶盡快修改密碼,而Naor發現仍未修改密碼的用戶已減少至78個,不過由於研究已經公開,肯定會有黑客嘗試入侵這些用戶。 事實上,各國政府均意識到IoT產品的安全問題,並開始陸續規管生產商,例如美國於2020年1月1日生效的SB-327 Information Privacy:Connected Devices 條文,就限制生產商必須為每部產品設定獨一的出廠登入密碼,即使用戶未有更改,也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引,但距離立法還有一段長時間,用戶現階段必須靠自己,例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等,雖然未必百分百安全,但也可減少大部分危機。 資料來源:https://zd.net/3kDpb9V
Search Results: 2FA (66)
疫情下經常在家,不少人都訂閱了 Netflix 之類的串流影片服務消磨時間。最近有黑客亦推出另類影片訂閱服務,150 美元就可終生收睇。至於影片主角?有可能是你或我,因為黑客提供的串流影片,全部來自已入侵的網絡監控鏡頭,總數更有50,000 部之多,當真一個價睇到笑也令你驚。 今次事件由新加坡傳媒 The New Paper 發現,記者 David 指出有大量被入侵的網絡監控鏡頭影像,正被上載至色情網站,當中有不少來自新加坡的家庭,其他如泰國、南韓及加拿大亦榜上有名。記者深入追蹤後,發現在即時通訊平台 Discord 其中一個擁有過千成員的群組內,有黑客開價:只要繳付 150 美元,就可終生收睇容量高達 3TB 的「盜錄」影片,題材非常豐富,例如身穿內衣褲的女學生溫書、伴侶性交、少婦哺乳…… 據知影片長度由少於一分鐘至約20分鐘,部分有裸露鏡頭的主角更是兒童,非常離譜!據說現時已有 70…
在新冠肺炎肺炎疫情下,僱員在家工作是遙距營商的主要安排,遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分,上班要參加或主持視像會議,而下班後又要教子女用視像會議上課,連老婆上的烹飪班,都話要用視像會議學餸。突然,原是 IT 從業員的你同我,都變成視像會議從業員,好像升了「呢」。 市場上視像會議軟件多不勝數,如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx,新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等,也有其他人用專用的企業級視像會議系統,亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議,五花八門,各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/), 因為其免費版本功能已經非常強大,即使是收費版本也很便宜,只需美元 14.99 一個月,購買一年的費用是美元 149.9,性價比相當高。因為可以月付,很多企業在「遙距營商計劃」中,都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思,將會詳細探討這間在 2019…
美國總統大選在即,Trump 雖然經常抨擊對手 Biden 低智商,但今次 Biden 終於可以盡情恥笑 Trump,事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘,更有安全專家在5次機會內猜出他的帳戶登入密碼,發圖證明自己成功進入侵侵帳戶,認真無面。 成日用 Twitter 發表自己政見的侵侵,帳戶有八千幾萬人關注,影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者,等大家以為他及 Twitter 在保護帳戶上做好功夫,不過,四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…
2019 年,擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts,主動自首承認由 2014 年至 2018 年間,外洩 500 萬住客資料,當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料(即行蹤)、預約日期等,付款資料其實都有外洩,不過有 AES-128 加密。呢單嘢極度震撼,因為 Starwood 沒有交代外洩原因,好難令人唔懷疑同管理失誤有關。而呢件事入面,最無辜(亦係最 Juicy)可能係…
日前,一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞,以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示:儘管許多人認為 VPN 對於所有需要在家辦公的員工來說,是一種安全的解決方案,但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下,將 VPN 部署為唯一的安全控制層,會給許多公司帶來「很有安全感」的錯覺。而事實是,黑客透過 VPN 入侵的實例比比皆是,近期較熱門的事例便有三菱電機 VPN 攻擊和…
唔少黑客都喺暗網上出售惡意軟件,例如上星期就有黑客打包出售 1300 款釣魚工具收藏。視乎惡意軟件嘅實力,叫價可以輕易破萬美元。好似 Android 銀行木馬軟件 Cerberus,月初因為瞞過 Google Play Store 監測、成功上架而響朵,而最近開發者就喺暗網上準備將呢隻「有實積」嘅軟件全套出售,開出五萬美元底價,話目標係以十萬美元賣出!網絡安全專家就話,今次開發者咁急住賣出呢套軟件,而唔繼續靠佢搵食,原來係因為開發團隊已經拆夥⋯⋯ Cerberus 點解咁出名呢?係因為佢嘅入侵手法非常精密,同埋入侵後可以做到嘅嘢極多。當呢隻軟件喺 Google Play Store 上架嘅時候,佢只係一隻好「清純」嘅匯率兌換 app,不過當下載量過千,Cerberus 先至開始做嘢,透過軟件更新引入惡意程式,之後只要用家喺手機開啟理財或銀行 app,Cerberus 就會用透明畫面記低用家輸入嘅資料,同時截取埋用家收到嘅…
新冠疫情期間,醫療行業成為全城焦點,公眾除咗關注抗疫資訊,亦關心醫療機構嘅網絡安全性,事關佢哋掌握住顧客最敏感嘅私隱以及醫療科技機密,加上呢段期間黑客組織攻擊醫療機構嘅新聞瘋狂飆升,所以唔擔心就假。而作為醫療機構嘅網絡安全管理者,可以點做? SolarWinds 嘅 Network Performance Monitor(NPM)監測方案,有助 IT 管理員了解問題所在,當中嘅 NetPath 工具會透過簡單嘅圖像化介面,清晰顯示點到點嘅連線情況,及早發現可疑嘅網絡連線。遙距工作期間,NPM 更有助掌握網絡設備及 VPN 加密傳輸嘅使用狀況,管理員可以更靈活調度網絡資源。 一站管理複雜 IT 架構 其次係監測醫療機構嘅 IT 架構,由於現時企業無可避免採用大量雲端應用服務,令 IT…
當一百個人被問到「你擔唔擔心自己畀黑客搞」時,少過十個表達擔心。係嘅,即使每日有人被 Hack 而蒙受不同程度損失,呢類罪案都未得到應有嘅關注 - 平民級 Cybercrime 有幾多上到新聞?又例如在高度數據化時代,係咪每間公司都按比例投入足夠網絡保安資源?回答唔擔心的受訪者,識得香港悍匪張子強同葉繼歡,但聽到 TrickBot、WannaCry 時一頭霧水,連史上最兇的 Malware 點運作都唔知,咁那裡來的自信覺得自己真係零被 Hack 風險?2019 年一批 Deliveroo 用戶收到電郵通知其帳戶登入資訊被更改,但自己明明無改過,打開 Deliveroo 發現 Access Denied,並在短時間內收到…
成日同大家報導全球黑客透過唔同手法發動攻擊,但好似好離身喎,中親招果啲都係外國大企業,係咪唔多關我哋香港事呀?咁就要睇下香港警務處網絡安全及科技罪案調查科(下稱「網罪科」)最新發表嘅行動報告喇。原來單係今年頭一季,本港已發生 153 宗商業電郵騙案,雖然比上年同期減少 26 宗,但損失金額反而多咗一倍,達 8.64 億港元!而網罪科為咗打擊惡意網域,更喺今個月 14 至 20 日期間開展「馭風行動」,偵測到 79,926 個惡意網域,包括釣魚網站、惡意軟體網站等,其中 787 個更係針對本港嚟攻擊,造成超過 780 萬港元嘅金額損失,所以都唔好以為香港無黑客「關照」呀! 喺今次馭風行動入面,網罪科到訪過 16 間數據中心及聯絡咗…