有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告,內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞,不過由於產品已下架多時,因此廠方亦未有提供安全更新的打算。報道刊登兩日,安全機構便發現有黑客積極利用漏洞入侵,將大量 D-Link NAS 變成殭屍大軍,受影響的裝置多達 9.2 萬,建議用家即時將裝置斷網,並考慮升級新裝置先好使用。 想知最新科技新聞?立即免費訂閱! 發現這個安全漏洞的是 Netsecfish 安全研究人員,據知漏洞發生在兩方面,一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus,使用這個帳戶登入毋須輸入任何密碼,其次是系統參數容許遙距注入編碼,只要同時利用,便可在 D-Link…
Search Results: CFI (3)
網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…
無論係「扮工」時間定係等車搭車,我相信香港人無時無刻都係 loop 住 Facebook 同埋Instagram 係咁睇圖,一日掃幾百張都唔出奇。如果話當中有一張半張做過手腳,真係未必咁易發覺得到。 講緊嘅係隱寫術(Steganography),其實佢唔係乜嘢新發明,好多個世紀前已有人用緊,最早由邊個發明就無從稽考喇。隱寫術最適合用嚟傳送機密訊息,例如將訊息內容藏於圖畫或文章之中,由於接收訊息嘅人一早知道解密方法,所以就算將呢啲有餡嘅圖畫或文章公諸於世,其他人一係就睇唔到,就算睇到亦唔會知道密文嘅意思。亦有網站為咗捍衛自己嘅版權,將訊息隱藏喺文字之中,好似之前 Genius.com 懷疑自己製作嘅歌詞俾 Google 偷咗去用,於是喺歌詞內加入隱藏嘅摩斯碼,就咁揭穿 Google 採用嘅第三供應商 LyricFind 真係有搬字過紙嘅嫌疑,所以隱寫術都有正面用途。 隱寫術改圖不易察覺 至於惡意用途,就係黑客可以將要偷走嘅資訊,又或惡意程式代碼收埋喺圖像檔案入面喇。其中一個常見嘅方法係利用 RGB code,我哋平時睇嘅圖,其實背後係由好多個 pixel…