WhatsApp 係今年 4 月 29 日至 5 月 10 日期間，曾經俾以色列公司 NSO Group 開發嘅軟件天馬（Pegasus）利用軟件漏洞，透過撥打 Video Call 去控制對方手機，進行竊取資訊及監控嘅行為。之前收購咗 WhatsApp 嘅 Facebook 話，受影響嘅只得少部分人，但經過內部深入調查後，有指今次事件應該唔止影響…

香港的電子支付服務起步較遲，不過，近年在Alipay、WeChat Pay、PayMe、Tap&GO 等支付系統大舉推廣下，已有不少人習慣電子付費。今年六月 Visa 曾發表調查報告，指 53% 港人曾嘗試只靠電子支付過日常生活，71% 港人首選非現金支付方式。作為消費者，選擇電子支付只須克服信心問題；但作為收款的中小企業卻要諗過度過，因為安裝電子支付系統時，服務供應商會收取租金或於每宗交易收取費用，以及各式各樣的安裝費及保養費，再加上如要安裝多於一種收費方式，成本無疑會為中小企帶來不少壓力。 降低電子支付申請門檻 香港電子支付系統開發商 Yedpay 交易寶聯合創辦人兼技術總監黃韋皓解釋：「SME 要引入電子支付服務，門檻很高，申請手續又費時，而且又未必達到安裝要求，例如一些街邊檔沒有網絡連線，Yedpay 的一站式無線收款系統，便可以解決這些問題。」他說收款系統可插 SIM 卡，即使店鋪沒有寬頻服務，也一樣可以使用，而且一部機已有齊 Visa、Master、Alipay 、Apple Pay、Samsung Pay、Google Pay 及…

以前打仗，係比併兩國軍事實力，弱國唔夠強國打就唯有認低威。但時移世易，而家已經好少國家會真係出軍隊打仗咁勞民傷財，就算出軍都有一半係擺姿態而唔係真打，原因好簡單，真係要搞另一個國家，用網絡戰就得啦，唔使用刀嘅！ 最近東歐國家格魯吉亞就成為被害目標，早幾日（10月28日）被黑客大規模入侵，癱瘓咗成15000個網站，當中包括法院、新聞媒體嘅網站，最得人驚係連總統網站都中招，全部網站都換上前總統 Mikheil Saakashvili 張相，仲有句「I’ll be back!」嘅標語，兩間當地電視台 Imedi TV 同埋 Maestro 亦被短暫中斷廣播。唯一好消息，就係當地比較緊要嘅網絡基建並冇損毁，互聯網供應商 Proservice 第二日發聲明，話好努力咁修復緊有關問題，但用咗一日時間都只係修復咗一半網站，話要用多日先可以回復正常。 其實呢次已經唔係格魯吉亞第一次俾人搞，2008年佢哋同俄羅斯關係好緊張，甚至發生過軍事衝突，當時格魯吉亞政府已經指控過對方，話佢哋搵人癱瘓大部分銀行同埋政府網站，俄羅斯當然例牌否認，但係今次手法同上次好似，所以唔排除又係俄羅斯搞鬼。 BBC 記者 Rayhan Demytrie 引述網絡安全專家話，格魯吉亞嘅網絡設防好似中門大開咁，睇嚟唔搞搞佢真係隨時都再出事。…

聽到 Fancy Bear 呢個咁可愛嘅名，唔知仲會以為係迪迪尼之類嘅卡通角色。查實佢係一班來自俄羅斯嘅 APT 黑客組織，而且仲有證據顯示同俄羅斯軍方有千絲萬縷嘅關係，可以話係惡名遠播。 呢排有關佢哋嘅新聞特別多，首先係 Microsoft 揭發佢哋喺 10 月初向全球各地嘅運動組織及反禁藥組織，發動咗多項攻擊，手法包括 spear phishing、利用 IoT 已存漏洞、盜取密碼等等，目的係為咗恐嚇大家唔好禁止俄羅斯運動員出席 2020 東京奧運會。 同時間，又有一班自稱係 Fancy Bear…

日本機械人酒店 ヘンナホテル（Henna Hotel），早前被發現客房內嘅機械人助理存在漏洞，好明顯係因為營運者為咗方便客人使用，無好清楚咁試用過，結果反而害咗人哋啦，各位營運者真係要考慮清楚每項功能，會唔會存在網絡安全漏洞先好用呀！ 2015 年開業嘅 ヘンナホテル，係由母公司 H.I.S. 集團主導嘅主題酒店項目。酒店最大嘅特色，就係由前台接待、check in、搬行李，一概由機械人包辦，大大減省咗人力成本。對客人嚟講，有無人接待唔緊要，最緊要係可以喺社交平台打卡，同埋機械人唔好太蠢就得。 今次嘅漏洞係由網絡安全工程師 Lance R. Vick 所發現，Lance 入住期間發現床邊有部 Tapia 機械人，只要用手機經 NFC 同 Tapia 配對，安裝咗一個第三方應用程式，之後就可以無線串流播放音樂，或透過佢嚟視像對話。用 NFC…

數年前，有黑客遙距入侵澳洲一間賭場的監視器系統，偷看其中一間貴賓室內的撲克牌局，然後暗中通知現場的同謀下注，八局下來詐贏了將近3,300 萬美元。另一個讓人意想不到的場景，則是 2018 年某酒店大廳中壯觀的新式魚缸，雖然讓顧客們置身於愉悅的環境中，但魚缸內與酒店電腦系統相連的智能溫度監察器，卻存在網絡安全漏洞，結果成為絕佳的跳板，讓黑客成功闖入酒店電腦系統⋯⋯ IoT（Internet of Things, 物聯網）的發展速度愈來愈快，上述的個案恐怕只會愈來愈多。IoT（Internet of Things, 物聯網）的發展速度愈來愈快，根據最新數字顯示*，預計 2021 年將會有 250 億 IoT 連接上網。報告同時指出當中約 9 成缺乏網絡安全保護，透明度亦不夠高，令企業及使用者難以有效監管這些 IoT…

本周初，香港電腦保安事故協調中心（HKCERT）公佈了第三季保安觀察報告，相比起去年頭三季，數據顯示今年頭三季安全事故數字上升 213%，再加上物聯網（IoT）的普及必將帶來更多安全問題。為了提升企業的網絡安全意識，香港生產力促進局聯同本地十個資訊保安專業組織，舉辦一連兩天的「資訊保安高峰會2019」（Information Security Summit 2019）。 於今早揭幕的高峰會，以「使用新技術保護數據 應對網絡安全新威脅」為主題，生產力局總裁畢堅文在致辭時已指出，物聯網設備在智能製造和智慧城市上的應用普及化存在不少問題，面對網絡上愈趨猖獗及複雜的黑客挑戰，以及世界各地引入更嚴謹的個人私隱政策規管，企業必須更迫切提升自身的網絡防禦水平。 充當企業安全顧問 他續說生產力局剛推出全新顧問服務「Security-as-a-Business」（SECABiz），便是為了協助企業和軟件開發商做好系統保安；針對物聯網安全性，亦正與德國弗勞恩霍夫生產技術研究所（Fraunhofer IPT）合作制定的「工業4.0推行策略評估服務」，加入網絡保安元素。 政府資訊科技總監林偉喬先生（前排右二）、生產力局總裁畢堅文先生（前排左二）、生產力局首席數碼總監黎少斌先生（前排左一）和資訊保安高峰會2019籌委會主席Dale Johnstone先生在「資訊保安高峰會2019」開幕禮上與一眾主辦機構代表合照。 大會開幕禮今天由香港特別行政區政府資訊科技總監林偉喬先生主禮，兩天會議雲集多位來自美國、加拿大、英國、日本和本港等地的資訊保安專家，以及多家國際知名企業代表，分享資訊保安技術在物聯網、人工智能、5G等領域的應用和潛在的網絡安全威脅。生產力局亦會由十月至明年一月期間，舉辦多場工作坊，介紹雲端及流動環境的數據保安、大數據分析等範疇的最新技巧和方案。 詳情請瀏覽生產力局網站 https://www.hkpc.org/

早前英國一個 Samsung S10 用家，意外發現自己部手機喺加裝矽膠保護套後，指紋鎖竟然變成任何人都開得。Samsung 喺事後又承認呢個 Bug 真係存在，但當時只係建議用家要用返原裝保護套，對解決件事毫無幫助。不過，Samsung 而家已開始推出更新檔，俾受今次事件影響嘅 S10、S10+、Note 10、Note 10+ 嘅用家，如果收到通知，就要即刻更新同埋重設指紋認證喇。https://www.youtube.com/embed/e-uG8ZO28hU?wmode=transparent&rel=0&feature=oembed 指紋鎖愈驗愈醇 根據 Samsung 嘅公布，呢批手機採用嘅超聲波指紋鎖存有漏洞，佢原本嘅解鎖原理，係透過收集超聲波反射嘅數據，去重建 3D 指紋圖案再進行驗證。不過，由於矽膠手機套本身嘅材料或入面嘅紋理有可能會被指紋鎖誤認為指紋特徵，所以如果戴咗套做指紋登記，呢啲「數據」會被記錄為指紋嘅一部分；而即使無戴套做指紋登記，亦會因手機系統慢慢「適應」咗用家嘅指紋誤差，令戴套後變得更容易解鎖。知道呢個漏洞後，NatWest、Royal Bank 等銀行已即時移除咗支援…

第五代（5G）流動通訊技術備受關注，早前有香港電訊商利用 5G 頻譜，僅以 14 秒完成下載 2GB 影片，高速上網表現，令企業管理者相當憧憬技術可以盡快投入市場，取代現時企業內部的 Wi-Fi 網絡基建。而香港的頻譜使用權已在 10 月中由本地四大電訊營辦商投得，如無意外，為期 15 年的頻譜使用權將於明年 4 月 1 日生效。不過，5G 技術其實有一定的使用限制，而且網絡安全性亦較 Wi-Fi 無線傳輸技術不足，站在「安全第一」的前提下，管理者應認真考慮升級部署。…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…