網絡安全公司Aqua Security最新發現，GitHub旗下的 npm 開源軟體註冊中心服務存在時差缺陷，黑客可利用搜尋時差得悉套件名稱是否已被私人註冊，從而在公開資料庫中上載名稱幾乎一樣的惡意套件，令軟件開發者被誤導下載使用。GitHub 已表明無法修正缺陷，開發者只能自保。 npm ( Node Package Manager ) 是跟 NodeJS 一起安裝的管理工具，它可讓軟件或網站開發者借用其他開源軟件時，更容易解決 NodeJS 編碼的部署問題。由於在現時開發軟件或網站時，為加速開發流程及減少不必要的開發過程，幾乎所有軟件開發者都會引用開源軟件，因此 npm 亦成為黑客目標，通過上載藏有惡意功能的軟件，感染其他開發者的軟件或網站，替黑客進行公司機密或信用卡資料盜竊的行為。要達成這種供應鏈攻擊 ( supply chain…

Tesla創辦人 Elon Musk 完成收購社交媒體Twitter後即時大舉改革，包括解僱公司管理層、計劃削減 Twitter 一半人手，近日更延伸到用戶認證制度，透過 Twitter 宣布會向藍剔徽章用戶收取每月 8 美金的費用。Elon Musk 此舉引來 Twitter 用戶熱烈討論外，更吸引了騙徒乘機利用 Twitter 藍剔認證之亂，向用戶發出網絡釣魚電郵。 Twitter 藍剔徽章認證一向深受歡迎，因為比例少、關注度高，令不少用戶都想擁有。然而近日許多 Twitter 用戶聲稱收到電郵，包括外國媒體…

不論去銀行提款機撳錢，又或使用電腦登入帳戶，很多時也無法避免要使用鍵盤輸入密碼或登入資料。英國格拉斯哥大學研究團隊就指出，只要通過熱能監察鏡頭及AI人工智能系統，就可以憑鍵盤上殘留的熱量還原密碼，就算在一分鐘後偵測熱能，成功率都有 62%。系統甚至能 100% 破解 6 位數字的銀行提款機密碼，非常危險，以後輸入密碼，可能要作狀撳多幾個掣。 在鍵盤上讀取輸入密碼的橋段，曾經在大量電視劇集或電影內出現，不過大部分都是掃描留在輸入裝置上面的指紋，極少會偵測殘餘熱量。英國格拉斯哥大學電腦科學系研究員受到熱能監察鏡頭大跌價啟發，再結合人工智能及機器學習系統，設計出名為 ThermoSecure 的還原密碼方法。 研究員解釋，雖然一般人在鍵盤或 keypad 上輸入密碼，手指尖每次接觸表面材質的時間都很短，但無可避免地會將熱能傳送到表面上，因此只要在極短時間內利用熱能監察鏡頭拍攝鍵盤或 keypad 表面，便能取得曾輸入過的按掣資料及其順序。根據測試，在一分鐘時偵測熱能成功率有 62% ，如在 20 秒內，成功率更飊升至 86%。 研究員說，其實這種技術非常普通，要擷取資料並不困難。但還原密碼的難度在於連續輸入的時間極短，導致熱能變化差距微細，如果單靠人力去分析，除非密碼只得幾個字元，否則便極難做到，因此必須出動人工智能及機器學習，讓系統從大量數據中整理出人類輸入密碼及創建密碼的習慣、常用的密碼字元及組合等，即使是多字元的高強度密碼，也有可能成功還原。從研究員公布的數據可見，系統成功還原…

不少專家均建議企業啟用多重因素驗證 ( MFA )，以保障員工帳戶的安全。不過，MFA 並非萬能，因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段，令用家自動確認可疑的 MFA 驗證，例如 Uber 被入侵事件就是其中一個案例。 Call 車 app Uber 的員工帳戶早前被入侵，導致內部應用服務被塗改內容，以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任，指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後，網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料，然後再利用釣魚攻擊，假扮成…

DDoS（分散式阻斷服務）的規模日益龐大，每秒攻擊次數屢創新高，不過一般都只會持續數秒至幾分鐘。不過，網絡安全公司 Imperva 最新為客戶攔截反常 DDoS 攻擊，不單只每秒訪問次數接近現時最高紀錄，持續時間更非常誇張，對企業造成極大危機。 DDoS 攻擊的全名是 Distributed Denial of Service attack，中文稱之為分散式阻斷服務攻擊，通過不同攻擊手段消耗目標網站、連線遊戲或網上應用服務的運算或網絡資源，最終陷入癱瘓狀況。相對於 DoS 攻擊（Denial of Service attack）的單一攻擊來源，發動 DDoS 的攻擊者會利用多個來源，例如最常見的是利用受感染電腦組成的僵屍網絡（botnet）大軍。不過，近年黑客使用先進的放大（Amplification）技術，只須少量僵屍裝置便能製造龐大的無效訪問要求，例如早在 6…

再有網絡安全公司發現，第三方軟件倉上存在多個內藏惡意功能的 Python packages，這些 packages 包括 loglib-modules、pyg-modules、pygrata、pygrata-utils 及 hyg-sol-utils，全部都可用於盜取開發者的 Amazon AWS 帳戶登入憑證。貪方便直接使用開源資源？好易誤中地雷。 為了加速應用服務開發，不少開發者都會使用軟件倉庫上的開源套件，直接將其功能加入自己的應用服務內。不過，在使用這些套件時卻未有審視內裏有否可疑功能，因此很容易將惡意功能加入自己的應用服務內，推出後更會波及用家。而這次被 Sonatype 安全研究員 Ax Sharma 發現的上述套件，便會在使用時將開發者的 AWS 帳戶憑證及環境變數等資料，一併上傳至黑客控制的伺服器，變相令黑客可以進入帳戶盜取公司的機密資料，甚至進行更多惡意行為如安裝挖礦程式、執行勒索軟件等。 更嚴重的是，研究員發現黑客控制的伺服器上存在數以百計帳戶憑證，而且全部伺服器對外開放，所收集的帳戶憑證亦只以…

今時今日，很多公司都採用混合工作模式，令虛擬世界的病毒攻擊都出現「變種危機」。企業要適應這個 Cyber Pandemic，需要一個能針對不同規模的混合工作環境，同時能提供一站式安全防護的完善方案。若方案能做到 Secure by Design，集合諮詢、監察、威脅偵測、漏洞管理，以及裝置管理，更是萬無一失。想有齊上述優點，NTT 與 Check Point 的聯合方案將是企業首選。 傳統方案易出人為錯誤 上述變種危機為何會出現呢？NTT Ltd. 香港高級網絡安全解決方案工程師林嘉興解釋，新冠疫情加快了企業的數碼轉型步伐，Hybrid Workplace 亦成為新常態，企業將更多 Application 部署在雲端數據中心，或者直接採用 SaaS Application，這個轉變令黑客多了…

新冠疫情肆虐期間，市民一窩蜂湧上網上服務平台，非接觸式營運（contactless operation）業務似乎最能受惠。不過，要在芸芸競爭對手中突圍而出，電商必須有其獨特的賣點及超前部署。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全服務供應商 Fortinet 便在早前舉辦了一場網絡分享會，聯同網上語言學習平台 Kelly’s Education 創辦人，一同分享如何跑贏逆境。 科技帶動精準配對 學習進程可視化家長更放心 網上語言學習平台 Kelly’s Education 創辦人兼首席執行長 Ken Chau 笑說，公司業務在疫情期間一直錄得高速增長，但能夠在同業中脫穎而出絕非幸運。而是憑著獨特的市場定位和創新科技的配合，將學童的學習進程具體化地呈現在家長面前，增强家長的信心。 「我們專注提供跨地域師生配對服務，以為學童找到最經濟實惠的學習資源。傳統教學以學生的年齡或就讀級別作為配對準則，缺點是就算兩位小朋友的年齡或級別相同，學習水平也會因個人資質、當地教育模式而存在分歧。」Ken…

混合工作環境在疫情下盛行，企業與員工早已適應遙距辦工，打破工作空間限制的工作模式成為辦工的新常態，並預料在疫情後仍會持續。根據環球科技及業務解決方案服務供應商 NTT Ltd. 在 2021 年底發表的《環球工作場所報告》指出，90% 的受訪香港企業表示，已適應混合工作模式並重新考慮企業的 IT 安全性。然而，有 65% 的企業認為，在混合工作模式下，更難發現 IT 安全的潛在危機。究竟企業在迎接遙距辦工常態的衝擊時，要如何保障 IT 設施的安全性，避免網絡攻擊來襲？ 第五代網絡攻擊 繞過偵察衝擊企業 企業對混合工作環境的網絡安全擔憂不無道理，當現實中香港遭受第五波疫情攻擊之際，虛擬世界亦同樣面對「網絡疫情」。目前，企業正受第五代網絡攻擊（Gen-V of cyber-attack）侵擾，這些攻擊趨向複雜且入侵面廣泛，衝擊流動網絡、雲端設施、網絡，甚至能繞過偵察系統。企業實施遙距工作時，則需面對全球網絡攻擊激增的問題。由於業務數據無處不在，遙距用戶存取數據時，自然令企業受攻擊的機會大增；在遠離公司系統的保護下，不難想像攻擊會更趨頻繁。手握大量個人資料及資產數據的金融業自然首當其衝，NTT…

愈來愈多防禦措施用於抵擋勒索軟件攻擊，但黑客一於「你有張良計，我有過牆梯」，其攻擊方法也愈趨高明。Splunk 的最新研究就警告，一旦勒索軟件的加密過程開始，被攻擊一方只有 43 分鐘的時間來緩解該攻擊，運作得最快的勒索軟件，甚至能在 4 分鐘將 10 萬個檔案加密。 安全監控和數據分析供應公司 Splunk 早前評估了 10 種勒索軟件變體加密數據的速度，並編制出《An Empirically Comparative Analysis of Ransomware Binaries》報告。Splunk 使用其…