早前報導佛羅里達州兩個巿政府齊受勒索軟件襲擊，兩個市政府最終決定交贖款了事，其中人口大約 12000 人嘅 Lake City 跪低向黑客支付 42 個 Bitcoin （約價值 46 萬美元）後，秋後算帳就正式開始，搵咗個 IT 主管出嚟問責，兼夾革職祭旗。究竟點解要佢揹呢隻鑊？ Lake City 乃佛羅里達州一個小市鎮，官方形容今次保安事故係連中三元（triple threat）。事源有個濕滑嘅同事收咗個有毒電郵，粗心大意地下載咗個受感染嘅檔案，引發連鎖反應：先中木馬程式 Emotet，引入另一個木馬 TrickBot…

人哋用得你嘅服務，梗係相信你可以守護佢哋嘅私隱，點知上載嘅相可以喺網上任睇，全無私隱可言，咁仲唔係虛假宣傳？Online Buddies 就係因為咁而被告喇。 網絡安全公司嘅研究員經常會進行一啲網上調查，分析一啲應用服務供應商提供嘅服務有無漏洞存在，因為服務供應商未必有足夠人手去監測自己嘅伺服器有無問題，所以當研究員發現到漏洞所在，就會第一時間通知對方修補，而喺漏洞修補後或對方過咗一段時間都無反應，先至公開漏洞等對方正視。一般嚟講，服務供應商都會即刻解決問題，以免影響用家嘅信心，或被黑客入侵造成更大嘅損失。 Online Buddies、Jack’d 共用儲存平台 除咗以上兩項風險，服務供應商仲有可能被執法機關起訴。美國紐約一個專門提供同性戀交友平台應用服務嘅公司 Online Buddies，喺上星期五就俾紐約州總檢察長 Letitia James 檢控，指出被告公司早年收購嘅 Jack’d 手機約會應用軟件存有誤導成分，令用戶相信其上載嘅相片有足夠私隱保護，可以防止被授權以外嘅人睇到，但被告一方卻對漏洞視而不見，收到報告一年都無修補漏洞，令用戶嘅個人私隱蒙受損失，結果判處罰款 24 萬美元，同時勒令 Online Buddies 要持續改善網絡安全程度。…

人生有個豬隊友確係慘仔嘅，最慘如果係自己上司，有時都唔知點幫佢兜，搞到我都好想升高三個 key 同佢講，「你真係蠢唔係扮㗎喎！」唔知係咪開口中，早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品，分析吓有冇後門，其中一項要做 dynamic analysis，睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕，所以成 team 人好快已有共識，就係利用一隻 open source 嘅工具，去 capture 軟件嘅網絡流量做分析，同時用不同嘅 軟件（當然都係快靚正嘅 open…

間間公司 day 1 搞網絡保安，多數都係槍頭對外㗎啦，又防火牆又防間諜軟件又擋 DDoS 攻擊，目的只有一個，就係唔好俾外人入侵到自己個網絡。但實情係，世間上最難防嘅永遠唔係外人呀！ Ponemon Institute 早前出過一份調查報告，總共調查咗 159 間公司，結果發現佢哋因為公司員工或外判員工造成嘅網絡入侵，一年內總共損失咗 876 萬美元！雖然大部分係員工刻意所為，但亦有唔少係意外造成，例如員工唔小心將藏有敏感資料嘅 USB 手指漏咗喺餐廳、廁所，又或者返工手痕 click 咗入去條有毒嘅網址之類，單係呢類無辜辜嘅意外，每次平均已令公司損失 28 萬美元，你都咪話唔得人驚。 報告仲話呢類內鬼個案特別難查，平均要用…

年青人嘅破壞力真係不容忽視，外國少年黑客團隊研發出名為 Silex 嘅惡意程式，專門針對採用咗弱密碼防護嘅 IoT（Internet of Thing）產品，而且瞬間已經攻陷過千台。 據悉 Silex 係由三個少年黑客組成嘅團隊編寫，包括 Light The Leafon / Light The Sylveon（Light）、Alx 及 Skiddy。其中 Light 只係約…

獨角獸 Slack 經營嘅企業向通訊協作軟件，喺 6 月尾上市後股價曾一度颷升 6 成，而最近雖然跌返啲，但依然高過建議招股價差唔多十蚊美元，可見大家都仲係睇好佢嘅發展，認為佢有力同 Microsoft、Google 競爭。不過，Slack 股價有一個非常大嘅威脅，一日唔處理，企業客戶一日都唔會用得安心，呢個威脅就係傳輸嘅數據無做 end-to-end encryption。 喺 Slack 嘅招股書入面，都承認咗自己有可能唔足以應付有組織罪犯或國家級黑客嘅複雜攻擊，令到內部系統有可能受到入侵，同時強調理論上唔可能完全阻截呢啲攻擊。咁點解黑客可以攻入系統，就有可能盜取到用家嘅個人私隱，而呢個情況唔會係 WhatsApp、Telegram 上發生？因為 WhatsApp、Telegram 採用咗 end-to-end…

每年 Amazon Web Services（AWS）都會於全球 35 個城市，舉辦 AWS Summit 峰會。香港站已於上星期完滿結束，峰會當日吸引了二千多名 IT 從業員參加，同場更有 40 家 AWS 合作夥伴開設展區，展示所提供的雲端應用服務。峰會的主題演講不單詳盡介紹了 AWS 的各種服務，更邀請了美聯物業、中華電力等機構出席，分享其借助 AWS 的數碼轉型歷程。 自從…

其實我好怕用 USB 手指，雖然係好方便，隨時拎出嚟就可以抄嘢走，但係啲手指愈出愈細隻，好易跌咗都唔知。咁當然啦，普通人跌隻 USB手指，最多唔見咗啲資料，如果有做 backup 嘅，問題都唔大，但如果係黑客跌咗 USB 手指，就分分鐘監都有得坐！ 點解咁講？事關比利時最近發生咗件好有趣嘅事：話說有位 35 歲嘅仁兄俾比利時警察拉咗，因為佢向當地一間叫做 Crelan 嘅銀行辦公室掟汽油彈，佢之所以俾比利時警方拉到，係因為掟汽油彈時唔小心跌咗隻 USB 手指，比利時警方就係憑隻手指入面嘅資料確認到佢身份。 但係呢個唔小心嘅代價就認真大，比利時警方慢慢研究 USB 手指入面嘅資料，再加埋去佢屋企搜證，就發現佢除咗掟汽油彈外，仲曾經向 Crelan 銀行發動…

漠視意見，只會帶來嚴重嘅後果。就好似宿命一樣，但凡有漏洞唔解決，就一定會俾黑客利用。Apple 都冇辦法擺脫呢個 Murphy’s Law，佢嘅 GateKeeper 漏洞冇解決，就出事喇…… 是咁的，今年初研究員 Filippo Cavallarin 發現 MacOS GateKeeper 存有漏洞，允許黑客繞過 Gatekeeper 安全機制，然後喺冇顯示冇通知嘅情況下執行惡意程式。最㷫嘅係，Filippo 通知咗 Apple 之後，Apple竟然漠視意見，一直唔修補呢個漏洞。Well，該研究員惟有將行動升級，喺上個月將呢個漏洞資料公開…… 呢個漏洞主要出自 Gatekeeper…

呢個方法唔得，咪試下另一個方法囉！呢句說話大家都講過唔少，同時間亦係黑客高手嘅處世態度，所以先可以創造咁多攻擊方法出嚟。最近有網絡安全研究員發現，黑客又喺釣魚電郵攻擊手法上加多重掩飾方法，通過 QR Code 將目標人物帶離公司嘅防禦系統，再利用心理盲點令對方輸入公司帳戶登入資料，雖然唔係百分百成功，但都係果句，試下無壞丫。 今次被研究員發現嘅 QRishing 攻擊手法，針對嘅攻擊對象係法國公司 Cofense 嘅僱客。攻擊首先由一般嘅釣魚電郵開始，目標人物會收到一封標題為 Review Important Document 嘅電郵，叫佢哋利用附件嘅 QR Code 去讀取一份重要嘅文件。如果目標人物用手機 scanner 跟住照做，黑客就會引導佢哋去到一個虛假嘅 SharePoint 登入網站，由於呢個網站係企業常用嘅內部管理系統，所以好易有目標上當，跟手輸入埋…