作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

以為响手機裝防毒軟件就冇問題？點知原來個防毒本身就有問題…… 網絡安全公司 Comparitech 最近為 21 款 Android 免費防毒軟件進行分析，結果真係嚇死人，發現當中竟然有 3 款存有嚴重安全漏洞、7 款根本無能力偵測樣本病毒；整體上，47％ 產品未能成功達標，真係唔裝好過裝喇。 Comparitech 從安全性、私隱度及廣告推送三方面進行測試，發現大多數 App 都貨不對辦：首先有三分之一嘅 app 根本無能力準確偵測病毒，而且幾乎所有 app 都响度監察緊你嘅行為。咁都未算，研究員仲發現有…

香港電腦保安事故協調中心（HKCERT）剛啱發表咗香港第二季《香港保安觀察報告》，統計數字顯示釣魚電郵嘅個案，數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗，升幅高達三倍，其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招，都係因為黑客用咗唔少有創意嘅方法，去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢，研究員指出以往釣魚電郵嘅欺詐方法，主要係透過引誘收件人點擊電郵入面嘅連結，然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等，部分冒牌網站會整到同官網一樣提升可信性，務求令收件人輸入登入資料，黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過，最近有黑客就改為喺附件到放置一個 PDF 檔案，電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用，講明唔係收費通知，只係要求用戶登入檢查。由於喺美國…

https://www.youtube.com/embed/nlS5lBNm9Us?wmode=transparent&rel=0&feature=oembed 上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門（Backdoor）好難分辨有心定無意，同埋簡單介紹咗後門的種類。今次就用三個實例，分析三種常見嘅後門攻擊手法係點執行，同埋根據呢三個個案嘅攻擊手法，從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。 寫死密碼 講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件，呢個後門屬於 hard-coded password，只要經 SSH 或 Telnet…

專門幫助慘遭勒索軟件攻擊嘅「No More Ransom」（拒絕勒索軟體）計劃剛剛慶祝成立 3 周年，計劃自 2016 年 7 月至今，共幫助超過 20 萬名苦主免費解鎖，慳返約 1.08 億美元贖款。團隊加油，繼續幫苦主鬆綁！ No More Ransom 計劃成立以嚟，其中一場勝仗必定要數 GandCrab。自 2018 年…

老闆成日同我講，公司budget好緊架，應慳則慳啦，IT嘅嘢夠用就得啦，唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇，佢睇完就即刻轉晒軚，話一間公司嘅網絡保安其實好緊要架，仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉？咪就係英航俾人判罰天價罰款囉！事緣舊年9月，英航俾一個名為Magecart嘅黑客組織睇中，佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式，於是搵方法拎到英航網頁嘅登入權限，再將card skimmer 嘅 script 植入俾錢買機票嘅網頁，結果成功喺舊年8月21號到9月5號期間，偷走約38萬客戶嘅名字、電郵地址、信用卡等資料，詳細案情可以睇番我哋舊文（https://bit.ly/2CPy0f7 ）。 經過一輪調查之後，英國資訊專員辦公室（ICO）早兩日就決定向英航罰款1.8億英鎊，係ICO歴來開出最大額罰款，差唔多係英航2017財政年度全球營業額嘅1.5%，諗起都好肉赤！英航行政總裁Alex Cruz當然立即出嚟呼冤，話對ICO嘅決定感到驚訝和失望，英航對偷取客戶資料嘅犯罪行為作出快速反應，並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅，或者可以減到罰款都未定。 可能大家會問，點解今次判得咁甘？之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦，點解都係罰50萬英鎊就搞掂？原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則（GDPR）》之後，加重咗罰則，最高罰款可以去到全球營業額嘅4%，所以今次英航其實係未去到最高罰款嘅，但撞正事件喺GDPR通過之後先發生就冇法子啦，但亦都俾到教訓各大小企業嘅老闆們，唔好睇少保護客人資料呢樣嘢，唔係分分鐘賺埋都唔夠交罰款！ 相關文章：【謎底已經解開！】英航資料洩露案真相大白？

年青人嘅破壞力真係不容忽視，外國少年黑客團隊研發出名為 Silex 嘅惡意程式，專門針對採用咗弱密碼防護嘅 IoT（Internet of Thing）產品，而且瞬間已經攻陷過千台。 據悉 Silex 係由三個少年黑客組成嘅團隊編寫，包括 Light The Leafon / Light The Sylveon（Light）、Alx 及 Skiddy。其中 Light 只係約…

上回分析過 HKUSPACE 為期三年半、用 30 萬學費 （18萬加上12萬）就可成為網絡安全碩士的課程。有讀者就問，香港有無學校為中學生提供「升呢」成為網絡保安學士的課程？以前的確沒有，但今年就有喇。 香港科技專上書院（Hong Kong Institute of Technology, HKIT）成立初期叫 College of Info-Tech，於 1997 年創辨，後來於 2003 年 10…

早前， (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴，法庭判了一句：「任何人使用自己的電腦，不涉及取用另一人的電腦，便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨，先此聲明：本人不是藍、黃、紅，亦沒有任何意圖不尊重香港法律界、法官的意思，Neo 亦只是個黃毛小子，未有經過任何法律訓練，以下只是一堆廢話：請不要拉我。 我的感慨在於：甚麽是「自己的」電腦？你付了錢，買了一部有 CPU 有一些 Buttons 的東西回來，就是「自己的」電腦嗎？這個所謂的「自己性」（i.e. ownership） 實在是站在 Asset Ownership 的立場而言，即是說，你大可把這個東西用鐵鎚打爛，因為這是你閣下的財產。私有財產的權利，令你可以對此物有獨佔性的權利，別人不經同意使用、損毁，就是侵權行為，受法律約束。顯而易見，這是站在「客觀財物」的角度看「電腦」。 然而，一部電腦（姑且當它是一個 countable noun）的獨佔性可否成立？在硬體而言，OK。你碰我粒掣、插我個 Port，用它來墊煲，就是侵犯了我的「硬體權」。然而，電腦的「存在感」不在於硬體，更在於軟體，尤其是他的 Operating…