老闆成日同我講,公司budget好緊架,應慳則慳啦,IT嘅嘢夠用就得啦,唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇,佢睇完就即刻轉晒軚,話一間公司嘅網絡保安其實好緊要架,仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉?咪就係英航俾人判罰天價罰款囉!事緣舊年9月,英航俾一個名為Magecart嘅黑客組織睇中,佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式,於是搵方法拎到英航網頁嘅登入權限,再將card skimmer 嘅 script 植入俾錢買機票嘅網頁,結果成功喺舊年8月21號到9月5號期間,偷走約38萬客戶嘅名字、電郵地址、信用卡等資料,詳細案情可以睇番我哋舊文(https://bit.ly/2CPy0f7 )。 經過一輪調查之後,英國資訊專員辦公室(ICO)早兩日就決定向英航罰款1.8億英鎊,係ICO歴來開出最大額罰款,差唔多係英航2017財政年度全球營業額嘅1.5%,諗起都好肉赤!英航行政總裁Alex Cruz當然立即出嚟呼冤,話對ICO嘅決定感到驚訝和失望,英航對偷取客戶資料嘅犯罪行為作出快速反應,並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅,或者可以減到罰款都未定。 可能大家會問,點解今次判得咁甘?之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦,點解都係罰50萬英鎊就搞掂?原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則(GDPR)》之後,加重咗罰則,最高罰款可以去到全球營業額嘅4%,所以今次英航其實係未去到最高罰款嘅,但撞正事件喺GDPR通過之後先發生就冇法子啦,但亦都俾到教訓各大小企業嘅老闆們,唔好睇少保護客人資料呢樣嘢,唔係分分鐘賺埋都唔夠交罰款! 相關文章:【謎底已經解開!】英航資料洩露案真相大白?
Search Results: CRI (120)
年青人嘅破壞力真係不容忽視,外國少年黑客團隊研發出名為 Silex 嘅惡意程式,專門針對採用咗弱密碼防護嘅 IoT(Internet of Thing)產品,而且瞬間已經攻陷過千台。 據悉 Silex 係由三個少年黑客組成嘅團隊編寫,包括 Light The Leafon / Light The Sylveon(Light)、Alx 及 Skiddy。其中 Light 只係約…
上回分析過 HKUSPACE 為期三年半、用 30 萬學費 (18萬加上12萬)就可成為網絡安全碩士的課程。有讀者就問,香港有無學校為中學生提供「升呢」成為網絡保安學士的課程?以前的確沒有,但今年就有喇。 香港科技專上書院(Hong Kong Institute of Technology, HKIT)成立初期叫 College of Info-Tech,於 1997 年創辨,後來於 2003 年 10…
早前, (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴,法庭判了一句:「任何人使用自己的電腦,不涉及取用另一人的電腦,便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨,先此聲明:本人不是藍、黃、紅,亦沒有任何意圖不尊重香港法律界、法官的意思,Neo 亦只是個黃毛小子,未有經過任何法律訓練,以下只是一堆廢話:請不要拉我。 我的感慨在於:甚麽是「自己的」電腦?你付了錢,買了一部有 CPU 有一些 Buttons 的東西回來,就是「自己的」電腦嗎?這個所謂的「自己性」(i.e. ownership) 實在是站在 Asset Ownership 的立場而言,即是說,你大可把這個東西用鐵鎚打爛,因為這是你閣下的財產。私有財產的權利,令你可以對此物有獨佔性的權利,別人不經同意使用、損毁,就是侵權行為,受法律約束。顯而易見,這是站在「客觀財物」的角度看「電腦」。 然而,一部電腦(姑且當它是一個 countable noun)的獨佔性可否成立?在硬體而言,OK。你碰我粒掣、插我個 Port,用它來墊煲,就是侵犯了我的「硬體權」。然而,電腦的「存在感」不在於硬體,更在於軟體,尤其是他的 Operating…
當上網已成習慣,網民最講求上網要快要方便,最緊要唔使成日入密碼或做機械人認證,如果 Load 個網站要等多過三秒鐘?隨時已經無興趣再等。但你有無諗過,方便快捷嘅背後,你犧牲咗啲乜?就係付出太多個人私隱訊息,唔想咁可以點? TOR 幫到你。 瀏覽器洩密真危機 成日講上網會洩露好多個人訊息,究意有幾多?講多無論,試下入呢個網站 (webkay.robinlinus.com)先。試完係咪好驚驚?抑或睇完都無乜感覺?不妨抽幾樣嚟睇睇。首先係地圖位置,如果罪犯掌握到你實時位置,即係知道你行蹤,唔單只女士會好危險,如對方有你屋企地址,更可以肆無忌憚等待良機爆格。 跟住就係用緊嘅上網裝置作業系統同瀏覽器版本,作業系統及軟件供應商成日叫大家更新系統版本,就係為咗堵塞一啲已知嘅漏洞,如果黑客知道你未更新,要攻擊你就容易好多啦。再嚟就係 Auto-Fill Phishing,如果你貪方便啟用咗,黑客有機會通過唔同方法例如 Cross-Site Scripting (XSS)嚟盜取你嘅登入資料,所以話如果你嘅瀏覽器透露咗咁多訊息,係咪好危險? TOR網絡 遊花園消痕跡 如果你唔想乜都俾人𥄫實,可以點做?你可以試用 TOR(The Onion Router)洋蔥路由器。…
網絡保安世界,範疇可以好大,Zetta Ke 就行學院路線,專門研究行業經濟及政策,是一個博士,亦是道德黑客。未知是否可以稱之為「學院派黑客」? 文武兼備的黑客 「我大學主修 Information System,其實屬於商學院的科目。與 Computer Science 不同,我修讀的不太著重演算、程式的技術研究,而是較著重 Business Application,如電腦系統的管理、電子商貿研究,乃至區塊鏈技術應用等。」Zetta 從大學學士直讀至博士,現於科大既教且學。而 Zetta 的另一個身份,是研究團隊 VXRL 成員,曾經發現過 windows 漏洞,絕對是又 talk…
過咗農曆新年,又係打工仔求變嘅旺季。作為IT從業員,為咗提高被獵頭嘅機會,自然識得利用 LinkedIn 等職場社交平台去增加曝光率。不過有資安機構就警告,自從上年中開始,發現越來越多黑客利用呢個平台,誘騙求職者開啟惡意連結或附件,從而下載及安裝 More_Eggs 木馬程式喺對方嘅電腦入面,成功操縱受害人嘅電腦。 首先黑客會喺 LinkedIn 開一個虛假職業仲介公司帳號,然後誘騙目標人物建立關係;相隔一個星期,黑客就會發出一個載有招聘職位資料嘅電郵,要目標人物打開連結,進入預設嘅虛假網站,下載及開啟 Microsoft 文件檔或 Javascript。只要目標人物打開檔案或允許執行 Macros 指令,接住落嚟系統就會自動執行安裝木馬程式指令;另一個情況係電郵內會附有一個無法開啟嘅 PDF 檔案,誘騙目標人物打開旁邊嘅連結去虛假網站。 雖則話騙徒手法層出不窮,但今次呢條橋其實一啲都唔創新,中招嘅原因主要係出喺人心之上。奉勸各位準備搵工嘅人士,千祈唔好咁容易打開陌生人提供嘅連結,否則只會得不償失。 資料來源:https://bit.ly/2EaZbi0
無檔案惡意程式日益嚴重,多少因為現今的防毒工具偵測能力越來越強,相對而言無檔案惡意程式較難被偵測,而且可長期匿藏兼無限復活,非常難纏。根據報導,針對企業的攻擊得逞案例當中,有 77% 是無檔案惡意程式攻擊,大家要認識這種攻擊方法,加倍提防。 甚麼是無檔案惡意程式 無檔案惡意程式(Fileless Malware)是一種利用既有軟件、被認可的應用程式如 Microsoft Word、Flash、Adobe PDF Reader、JavaScript 甚或系統工具如 Microsoft Windows Management Instrumentation (WMI) 、PowerShell 之類去執行惡意行動的網絡攻擊。它不似傳統的惡意程式那樣帶有明顯特徵,亦不以電腦硬盤為目標,尤其針對記憶體進行攻擊,其隱蔽性極高、匿藏期長,一般 whitelisting、signature detection、hardware…
一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」,Hacker,泛指以任何手法入侵他人電腦嘅人。黑客有正有邪,更亦正亦邪。 入侵動機各不同,有為錢、為興趣、為學習、為國家、為理想,甚至為啖氣都有。Hacker 分好多顏色「帽子」,以下簡介 hacker 帽子顏色分類,以後唔好再「色盲」亂咁「扣帽子」。 (第一部份) (大題)黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標,在非法的情況下攻擊系統,透過破解、入侵去獲取不法利益。黑帽係網絡罪犯,會hack 入某個系統盜竊數據,從而進行金錢勒索或賣畀黑市。黑帽嘅存在,令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反,白帽又叫 Ethical Hacker(道德黑客)。不少白帽受聘於網絡安全公司或大企業,在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞,以「改善」為目標,令網絡世界更安全。白帽中亦有 Bug…
又係時候更新 Google Chrome 瀏覽器喇!因為 Google 宣布為咗修補三個高風險漏洞,所以就推出 80.0.3987.122 版本更新檔。Google 講到明其中一個漏洞正被黑客廣泛利用嚟入侵 Chrome 用家,真係要 LaLa 裝喇。 今次被發現嘅三個漏洞,其中兩個係由 Google 自己嘅 Security Team 發現,另一個就由外人通報,仲獲取到 5000…