後疫情時代,無論是生活與工作都出現「新常態」(New Normal),大部分企業工作負載轉移到網上進行,難免令公司網絡基建壓力倍增,相信不少中小企的管理層正為此大感頭痛,無法在成功與效益之間取得平衡。 其實目前市面上,已經有針對中小企網絡監察的解決方案,嘗試為用戶提供最佳的成本效益,支援可能持續的「疫後」居家工作環境。Progress 作爲美國上市企業,在去年藉收購 Ipswitch,獲得包括 MOVEit、WhatsUp Gold 與 WS_FTP 在內的三項技術,已經做足準備,爲香港中小企安全與網絡管理提供優質服務。 WhatsUp Gold:自動網絡管理 疫情之下,在家工作與 A/B 分組辦公室上班情況常見,企業對維持穩定網絡表現的需求激增,與此同時,企業還需要爲員工提供安全檔案分享平台,才能維持團隊有效協作。Progress 的 WhatsUp Gold 能爲企業精準找出網絡有問題的地方,監察不同組織的運作情況,再作效能與數據分析,避免業務因網絡問題而停頓。 WhatsUp…
Search Results: AI (779)
近年網絡隱私關注度高,保護用家私隱甚至成為某些瀏覽器製造商的賣點,然而,無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例,透過用戶在性格分析的遊戲答案,收集大量個人資料,令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡,收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target?我們介紹了一些方法去提高您的隱私設置,令您冇跡可尋! 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎,提高隱私。例如 DuckDuckGo 搜索引擎,由於它拒絕對用戶搜索進行追蹤,就算搜索結果未必能及 Google 深入,卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度,可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…
透過人工智能技術編輯影片、相片或聲音檔案,達到以假亂真嘅 Deepfake 技術,由於效果實在太逼真,容易喺社會上散布虛假訊息,所以一直係全球政府及社交平台首要解決嘅問題。特別係美國總統大選在即,呢啲虛假訊息隨時可以令選情逆轉添!就喺呢個時候,Microsoft 宣布推出一套可以偵測 Deepfake 內容嘅工具 Microsoft Video Authenticator,借助人工智能去分析影片或相片中嘅瑕玼,再提供可信度俾用家自行判斷內容真偽,絕對有助打擊虛假訊息嘅散播。 點解 Deepfake 技術咁得人驚?因為佢都係利用人工智能深度學習嚟製造虛假內容嘅技術,一方面人工智能會自行產生愈嚟愈精細嘅內容,同時間另一組人工智能就會愈嚟愈精準咁識破虛假內容,喺兩套人工智能嘅競賽下,虛假內容自然愈嚟愈像真,好多時肉眼已分唔到真假。而 Microsoft 呢套工具,亦同樣使用人工智能技術,用咗 FaceForensics++公開嘅 1000 組 Deepfake 資料庫以及 Facebook…
現今科技日新月異,用家對科技產品同服務嘅要求愈來愈高。不單止你部手機會進化 — 大家密切關注嘅監控技術其實都與時並進。講到呢度,大家可能已經會開始擔心:以往嘅監控技術其實都唔係話冇威脅,而家佢地仲要加強?點算好?到底係咩嚟?…定 D 嚟,睇埋落去,將你地嘅問題一一解開,仲可能帶俾你一絲曙光。 監控技術當中最常見嘅其實係一種叫做「魔鬼魚」﹙Stingray﹚嘅假冒手機發射站。呢種發射站會 Jam 咗 3G 同 LTE 等等嘅服務,強逼手機連線到不受保障﹑難以加密嘅 2G 網絡上面。當手機連咗上去,監測者就會得到大量用家手機資訊,例如即時位置,IMSI ﹙International Mobile Subscriber Identity﹚ 號碼等等 —…
唔少人鍾意用 Google Drive 分享檔案,一來用開 Google Gmail,順理成章攞個免費儲存空間用,二來遙距工作模式下,將檔案放上雲端再分享俾同事或客戶,又的確係就手好多。不過,Google Drive 存在嘅一個更新檔案版本漏洞,就有可能被黑客利用嚟散播惡意軟件,中招話咁易。 今次呢個漏洞嘅運作原理,其實好簡單亦唔難識破,只要當事人夠小心,喺下載完個檔案後無立亂打開就得。如果有用開 Google Drive 嘅分享檔案功能,應該會知道 Google 容許用家將檔案上載去 Google Drive,再選擇只會同指定對象分享,或只要知道儲存連結嘅人就可以下載。 為咗方便用家更新已上載檔案嘅內容,用家只要喺檔案上 right-click 揀選「Manage Versions」,就可以置換新嘅檔案,而問題就出喺呢度嘞,因為…
作為一個雲服務供應商嘅技術支援人員,平時都收到唔少企業客戶投訴,問點解搬咗啲嘢上我哋嚿雲之後,竟然仲俾人入侵到去佢個 database?其實而宜好多企業管理者都以為將虛擬機、應用服務或數據搬上雲,我哋就會幫你守穩大門,唔會俾黑客入侵,但其實條款一早已寫明係「共同責任」模式(Shared Responsibility Model)嚟㗎! 呢個謬誤其實相當普遍,一來個客未必理解雲端服務嘅運作原理,二來幫襯時亦可能遊咗魂無聽清楚我哋提供嘅保障內容。事實上,公司一早已喺服務條款內寫明,只會確保提供嘅基礎架構、服務嘅安全性,而客戶必須負責自己嘅數據防護。 咁樣做絕對唔係「卸膊」,而係因為幫襯嘅客來自各行各業,採用嘅應用方案亦五花百門,試問我哋點可以一個 settings 招呼晒所有客呢?以 Web Application Firewall 為例,e-commerce 平台同一般企業客戶嘅設定已好唔同,前者要考慮準確過濾惡意連線之餘而唔會擋埋正常顧客,後者基本上就只會俾員工訪問數據庫,所以只可以留返俾客戶自己搞。仲有嘅係如果企業員工嘅安全意識不足,唔小心中咗釣魚電郵俾黑客攞到登入帳戶權限(最新鮮例子係 Twitter),雲供應商又點擋到呢啲表面上屬於合法登入嘅入侵? 另一方面,Web Application 同背後用到嘅 API 絕對係對外開放,而最終目的地自然係客戶嘅數據庫,莫講話我哋照顧唔到各企業採用嘅工具同設定,就算係企業自己,亦會因工具同工具之間嘅數據無法溝通,而掌握唔到出入嘅數據有無可疑,試問我哋又點樣幫你守穩門口呢?講出嚟你都唔應該信啦! 所以話,企業喺採用雲端服務嘅時候,態度亦要好似管理傳統…
睇過「竊聽風雲」嘅朋友,都會覺得原來偷聽係要咁大陣象,真係無「國安級」嘅設備,可能都未必做到。不過有研究人員就發現,有不法之徒利用高清通話(透過 4G LTE 網絡所連接嘅通話服務)存在嘅漏洞,偷聽手機對話,而用嚟偷聽嘅裝置費用,只係需要 7000 美金,即係大約 54000 蚊港紙。 一般流動電訊商都會用相同嘅加密金鑰,嚟保護透過同一手機訊號發射站,進行嘅多個 4G 語音通話。而研究人員就發現,當流動電訊商用一樣嘅金鑰嚟做加密,或者手機訊號發射站會重複用同一個密碼,又或者用可預測的AI演算法生成加密金鑰,就好容易成為竊聽者攻擊嘅對象。 竊聽者嘅攻擊分為兩個主要階段,第一個階段係記錄階段,透過截取目標裝置嘅加密無線訊號(亦稱為第一個通話),記錄低目標裝置同受害者之間嘅加密訊號,喺呢個階段,竊聽者要有一部可以偵察到無線電層傳輸方向嘅裝置,唔知鴨記有無得賣,不過部嘢真係唔洗 1400 蚊美金就做到。當偵察到目標配置,竊聽者可以對目標無線電嘅配置記錄進行解碼,直到拎到佢嘅加密資料(PDCP)。 當第一個通話結束,竊聽者就會進行第二步:呼叫階段,就算竊聽者手上並無受害者嘅任何金鑰解碼嘅材料,竊聽者都可以係第二階段用一部商用現成電話,知道受害者嘅電話號碼同佢而家嘅位置,然後打畀受害進行第二次通話,再用第二次用到嘅加密流量同第一次通話嘅流量進行比較,從而推斷出加密金鑰嘅位置,一旦有咗呢段「金鑰流」,竊聽者就可以利用佢嚟恢復返第一次通話嘅內容,專家將呢個漏洞命名為 ReVoLTE。(詳情參看下圖) 研究人員亦都提醒,竊聽者與受害者傾電話嘅時間越長,佢可以能夠解密先前對話嘅內容就越多,又指出發起 ReVoLTE 攻擊嘅設備成本只係需要 7000…
就喺幾日前,高達 7GB 咁多嘅個人資料被發現喺 Amazon 嘅 Amazon Web Service ﹙AWS﹚上流出。喺個 Data Bucket 入面,竟然裝住超過 3.5 億個獨立電鄱地址﹗ 研究人員指出,呢 D 資料已經喺 Amazon S3 呢個…
相信好多 Startup 都面對住同一問題,就係唔夠錢呀!你叫間公司一開始就投入大量資源嚟買網絡安全工具?梗係睬你都傻啦。不過又唔可以完全乜都唔做㗎喎,最緊要係應使得使,例如花少少錢做好最基本嘅電郵防護同埋落實以下措施,先至唔會咁易俾黑客入侵。 電郵防護服務 好多人會揀商用 Gmail 作為公司電郵,以為 Google 已經有足夠防禦力。不過,Gmail 只係採用統一嘅保護政策,企業有需要深入研究保護政策同改 settings 先可增加攔截成功率同效率,點都唔及幫襯電郵防護服務咁簡單,以 Startup 嚟計,員工人數少,服務收費亦唔會貴得去邊,加上而家九成網絡攻擊都以電郵發動,所以呢啲錢真係唔好慳。 多重驗證 如果用緊嘅服務例如電郵提供多重驗證(Multi-Factor Authentication),就一定要啟動,Google 本身就可以用手機嚟做驗證工具,但如果想更穩陣,可以買實體保安匙,例如 Yubikeys 就有…
日前,一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞,以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示:儘管許多人認為 VPN 對於所有需要在家辦公的員工來說,是一種安全的解決方案,但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下,將 VPN 部署為唯一的安全控制層,會給許多公司帶來「很有安全感」的錯覺。而事實是,黑客透過 VPN 入侵的實例比比皆是,近期較熱門的事例便有三菱電機 VPN 攻擊和…