唔好以為你無用 Facebook,就唔會俾佢攞到個人私隱資料,事關 Facebook 專為手機應用軟件開發者提供 SDK 系統開發套件,方便佢哋嵌入軟件內,收集用家數據用嚟推送相關廣告賺錢,所以如果係女士又用緊生理周期記錄 app 嘅話,姨媽幾時到、經期徵狀同埋性生活都會一一上報,唔知妳又想唔想呢? 私隱直送服務 專門監察政府及企業有無過份採集個人私隱嘅獨立組織 Privacy International,上星期發表咗一個調查報告,佢哋今次選擇咗生理周期手機應用軟件為調查目標,利用儀器攔截輸入 app 內嘅資料,睇吓開發商會將幾多用家私隱傳送去 Facebook。結果發現,最多人用嗰幾隻 app 包括 Period Tracker(Leap Fitness)、Period…
Search Results: AR (2094)
僵屍網絡係其中一種黑客最常用嘅攻擊方法,因為受感染及操控嘅僵屍電腦真係好使好用,唔單只可以用嚟發動 DDoS 攻擊,亦可以借用嚟挖礦,每部機借少少運算能力出嚟,黑客幾乎乜都唔使做就有加密貨幣收,而且中招者亦唔易發覺,難怪成為黑客愛用手段。不過,最近一個由黑客控制嘅 Command & Control(C&C) Server,就俾法國警方成功搗破,一下子解放咗 85 萬部僵屍電腦,認真功德無量! 今次事件嘅幕後功臣係防毒軟件公司 Avast 嘅專家,因為佢哋發現咗網上其中一個惡意程式 Retadup 嘅 C&C 伺服器設計上存在漏洞,如果能夠好好利用,就可以將佢由黑變白,遙距移除受害人電腦內嘅惡意程式。 偷襲C&C伺服器 不過,瓦解黑客集團嘅過程都唔簡單,由於 Avast 專家發現…
Pentest 滲透測試係發掘網絡系統漏洞嘅好方法,所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時,懷疑殺得性起,做多咗嘗試強行爆入法院大樓,再攻埋其他系統,結果搞到官非纏身! 上星期三,美國愛荷華州(Iowa)達拉斯縣(Dallas)法院發現有不明人士闖入法院大樓,觸動警報系統,結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio,被捕時二人即刻話係受到達拉斯縣政府所僱用,目的係測試法院嘅安全系統。起初當局回應話無咁嘅事,但經查明係,證實 State Court Administration(SCA)的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試,而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員,但…
Apple 嘅 iPhone 11 系列將於下星期五推出,伴隨住新機出爐,作業系統亦會升上 iOS 13。不過,早前 Apple 放出供測試嘅 iOS 13 GM(Golden Master) 版最然係最接近完成嘅版本,但就俾網絡安全研究員 Jose Rodriguez 篤爆 Apple 仲未修補到之前佢舉報嘅漏洞,可以喺唔使機主解鎖嘅情況下,讀取機主嘅聯絡人資料。 Rodriguez…
研究員搵漏洞,除咗想維護網絡安全,亦希望對方可以正視問題,之不過站於對方立場,醜事梗係收埋最好。早前有研究員發現一款路由器有嚴重漏洞,之不過廠方嘅回應就有好大改善空間囉。 Singtel 旗下網絡安全研究團隊 Trustwave 嘅 Spiderlabs 喺年初發現,一款 D-Link ADSL2+ 路由器出現嚴重漏洞,可以唔使認證,直接從網頁上獲取路由器資料,當中更包括密碼。方法就係喺路由器嘅 index.asp 頁內搜尋 username_v 及 password_v 參數,咁就攞到用戶嘅登入資料。此漏洞非常嚴重,意味著黑客可以控制路由器、截取當中嘅數據傳輸。 Trustwave 當然有向 D-Link 通報,不過,對方似乎唔係好理。原本…
做咗資安專家咁多年,經驗話俾我知,一間公司無論做咗幾多網絡保安措施同買咗幾多防毒軟硬件,最尾都有可能係衰喺員工手上!最近 Proofpoint 出咗份報告就係最佳例證,喺過去 18 個月入面,專家發現超過 99% 含間諜軟件嘅電郵,都係全靠員工打開先會成功㗎咋! Proofpoint 專家 Chris Dawson 指出,而家黑客嘅入侵已經唔係以前漁翁撤網咁,而係針對性有目標咁做,例如見到近年好多公司都轉晒用雲端服務,所以黑客就順勢用電郵「分享」Office 365 同埋 Dropbox 嘅連結。Chris 雖然好多人都留意到寄件人好生面口,但係因為成日開慣呢類雲端網站連結,潛意識都係會撳落去先,於是就係咁中招。 公司咁大,邊類員工先係最易中招目標呢?Chris 就話好多人以為管理層先係黑客目標,因為佢哋掌管公司咁多資料,被入侵嘅價值自然高啲;但研究發現只得 7% 入侵個案係針對佢哋,反而有 36%…
唔好講咁多,即刻掹咗張 SIM 卡出嚟先,因為最新發現嘅呢個漏洞,正影響緊全球 10 億以上流動網絡用家,黑客只要發出一個含有惡意代碼嘅 SMS,就可以發動 SIMjacker 攻擊,喺你部裝置上面執行惡意程式,暗中控制你部裝置,包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡,甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上,所以無論你用邊款手機,以及各種可以插 SIM 卡上網嘅裝置,例如平板電腦、IoT 裝置,統統走唔甩,而且暫時係完全無修補方案,你話除咗掹 SIM 卡靠 Wi-Fi 上網之外,仲可以點做呢? 呢個核彈級…
網絡安全事故頻頻發生,香港企業當然不可能獨善其身,特別是雲技術興起,重要數據或敏感資料未必會只儲存在內部伺服器,被攻擊的層面自然大增。為了減低風險,現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過,面對層出不窮的攻擊手法及難以防備的人為疏忽,企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說,這類保險概念在香港屬起步階段,但在歐洲地區卻歷史悠久,遠在上世紀七十年代已有相關保險,因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟,不單只保障企業,個人一樣受保,例如經常拿著電腦到不同地方工作的自由工作者,保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險,主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇,但網絡安全保險就相對陌生。盧子頴解析,網絡安全保障範疇不難理解,當發生黑客入侵或資料外洩,善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障,主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後,企業必須聘請專家去證明這是否一宗網絡安全事故,進行調查及鑑證,分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報,便有可能需向法律顧問諮詢意。除此之外,為免外洩的客戶資料被黑客用作申請信用卡或借貸,企業或有需要採用信貸監控服務,而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業,這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額,例如過往的交易紀錄等,但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞,又或受到勒索軟件攻擊,待專家取證後,企業便可以修復系統及復原數據,涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱,導致客戶在名譽或金錢上出現損失,對方便有可能入禀追討賠償。 除了上述四項保障,盧子頴說因應市場需求,部分保險公司還會提供一些額外的保障,例如贖金索償,當企業遭受勒索軟件攻擊,有需要繳付贖金以取回解鎖方法,這些贖金便會獲得賠償。「另外,近年因外判商失誤造成損失的個案大增,所以亦有保險公司提供這類保障,例如一些業務涉及電子交易的企業,會委托外判商提供及管理網上交易平台,如證實導致資料外洩的失誤是出在對方身上,投保人便可獲得保障,而保險公司則保留向外判商追討損失的權利。」 事實上,網絡安全保險的保障範圍可以很全面,不過,盧子頴強調與其他保險產品一樣,投保的概念並非為了賺錢,而是減少損失。不過,是否所有企業也需要投保?他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information(PII),而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料?如需管有這些敏感資料,受黑客攻擊的風險便會增加,企業管理者應認真考慮投保,特別是全球各地都開始為保障個人私隱立法,歐盟通過的 GDPR…
除咗 Wi-Fi,我諗日常用得最多嘅無線科技,一定係藍牙!揸車嘅一日到黑都用藍牙免提唔在話下,就算好似我呢啲無車一族,都好鍾意用支藍牙遙控自拍棍影下相,或者駁部手機去藍牙喇叭聽下歌,但係藍牙有樣好衰嘅嘢,就係每次配對都好鬼蹝時間,所以一旦配對好,大部分人都會keep住由佢繼續用,咁就好易出事! 點解咁講?你睇下近期嘅新聞就知原因,首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON,就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭,然後遙控佢播放高頻音效,邊個唔好彩身處喇叭附近就有機會聽覺受損,所以大會俾所有與會人士嘅建議只得一個:熄咗藍牙佢! 另一單就再嚴重啲,有研究員發現藍牙原來存有漏洞,傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容,即使係一啲早已成功配對嘅產品,都可以喺配對後入侵,都係嗰句,你唯一可以做嘅,就係熄咗藍牙佢! 夠驚嚇未?未算!幾星期前,有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式,透過 AirDrop 拎到你個電話號碼;另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器,只要你部手機開著藍牙,喺顧客唔知嘅情況下追蹤佢哋嘅行蹤,仲將呢啲數據賣俾廣告商……林林總總多不勝數,如果你唔想成為以上事件嘅受害者,都係一句,熄咗藍牙就最穩陣啦! 資料來源:https://bit.ly/2HfZQkI
今年資安界最「老貓燒鬚」事件,一定要數 McAfee 單官司,佢狀告三位前員工偷走公司機密,拎埋去敵對公司返工。 正所謂日防夜防,家賊難防,由古至今內鬼永遠係最令人頭痛同最難處理嘅問題,麥肯鍚就曾經發表過報告,話 2012 至 2017 年期間,有五成違反協議嘅個案都係同內鬼有關,都咪話唔得人驚!雖然好多企業都有一套守則,防範公司資料外洩,當中包括培訓員工提高安全處理資料嘅意識,甚至一系列保安措施,但最後都避免唔到出事,原因係真正要提防嘅係公司數據。 細水長偷 好多公司會錯判形勢,以為內鬼多數會將所有資料拎走,只要留意有冇人一次過抄走好大size嘅檔案就得;但係員工跳槽唔係尋日先決定嘅事,亦唔會臨走嗰幾日先走嚟抄檔案,尤其係根本處心積累要轉工嘅,真係三個月前逐少逐少抄定都得啦!而且老實講,好多時候員工都會外出開會或者返屋企工作,根本有啲檔案一早已抄走咗,係絕對唔需要一次過抄走 10TB 檔案咁顯眼囉! 仲有就係,其實一間公司值錢嘅檔案,size 未必需要好大,以軟件公司為例,短短幾行只係 10KB 嘅程式碼已經可以係最重要嘅機密,而食品公司記載產品秘密配方嘅文件檔都好可能只得幾 KB,所以資安專家 Rob Juncker 提議企業判斷數據價值,唔應該用…