Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
Search Results: HR (1840)
相信好多人都同我一樣,好鍾意用 CCleaner,可以一次過清理晒所有冇用嘅電腦記錄,又簡單又易用,㩒個掣嗰吓特別爽……當然啦,另一個最主要原因係佢完全免費,作為精打細算嘅 IT 狗,都用咗 CCleaner 好幾年。 不過,最近 CCleaner 嘅軟件商 Avast 就好頭痕,呢間位於捷克嘅防毒軟件公司話由今年 5 月起,就俾人多次不停嘗試入侵佢個網絡,最近一次仲幾乎成功,Avast 資訊安全總監 Jaya Baloo 話,佢哋喺 9 月 23…
無論是大中小企業,今天同樣面對數碼轉型的各種問題,其中數據移雲就出現不少網絡安全問題。網絡安全企業 Palo Alto Networks 剛發表一份香港及亞太區大型機構雲端安全狀況的調查報告,結果令人震驚,多方面顯示香港大型機構並未理解雲轉移的安全問題,76% 受訪者仍誤以為雲端供應商可保客戶平安,同時亦有超過 3/4 大型機構從沒或未有每年為網絡安全進行審計! 負責這次調查報告的 Ovum Research,一共訪問了 500 個來自各行業的大型企業員工,受訪對象分別來自澳洲、中國、香港、印度及新加坡等地,每個地區各有 100 個受訪者。儘管今次調查共有 83% 受訪者同意網絡安全及私隱是雲端應用的最大挑戰,不過,Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca…
而家乜都講智能,手機如是、家居如是,所以又點少得車呢?而最容易令座駕變得智能嘅做法,就係幫架車出隻 app,用嚟管理行程、汽油零件損耗,甚至當作車匙用嚟開閂門同撻車,好似 Tesla、Mercedes-Benz 都有為車主推出專用 app。而今次車主資料外洩事故,就發生喺後者身上嘞。 美國西雅圖一位 Mercedes-Benz 車主,早前喺打開自己手機內嘅專用 app 時,發現除咗佢嘅個人帳戶資料之外,竟然仲睇到其他 Mercedes-Benz 車主嘅帳戶資料,而且呢啲個人資料包含車主嘅姓名、電話、地址、電郵、保險幾時到期等等,當然仲有架車嘅位置都睇到啦!另一位車主亦發現相同情況,佢仲嘗試用上面嘅電話聯絡另一位車主,發現佢都有呢個問題。呢次真係提供咗一個好好嘅途徑俾 Mercedes-Benz 車主聯誼,甚至組織車會都得啦!講笑啫,其實呢班車主當然陷入恐慌,因為呢隻專用 app 唔單只包含個人私隱,仲可以用嚟遙距解門鎖以及當 Keyless Go 車匙,不過好在經車主測試過後,解鎖同撻車呢兩項功能都應用唔到喺其他車主嘅車上,叫做唔怕俾人偷走架車。 刪app不如刪帳戶…
想開始試用智能家居,最方便嘅方法就係買個具備管家功能嘅智能喇叭,好似 Google Home、Amazon Alexa 呢兩個智能喇叭就非常多人買,當中又以 Google Home 較受歡迎,因為無論喺支援嘅品牌同埋語音操控表現上,都穩佔上風。不過,唔少用家都會擔心,呢啲喇叭會唔會偷偷錄低自己講嘅嘢再傳送出去?事關 Google 同 Amazon 都承認會收集語音嚟改善佢哋嘅助理功能,而事實上 Amazon 曾經喺 2017 年應阿肯色州警方及控辯雙方要求,交出一段兇殺案現場嘅錄音作為呈堂證供,所以話,用唔用真係好視乎大家覺得個人私隱有幾重要。 為咗證明呢啲智能喇叭真係存在安全漏洞,德國網絡安全研究實驗室 SRLabs 嘅白帽黑客,分別為 Google…
想偷取目標對象嘅資料,而又可以做到神不知鬼不覺,原來唔需要好高科技,只要喺對方嘅防火牆、路由器等硬件上加裝一粒晶片就做到。有專家示範只要喺網上買粒價值兩蚊美金嘅晶片,再偷偷地裝入硬件嘅底板上就得,提醒大家係無想像中咁難㗎! 示範呢個技術嘅係 ICS 安全公司 FoxGuard 嘅專家 Monta Elkins,嚟緊佢將會喺月尾嘅安全大會 CS3sthlm 上詳細公佈佢嘅 PoC 內容。為咗俾大家知道佢嘅研究有料到,所以佢係提前公開部分內容。Elkins 首先喺一塊價值兩蚊美金嘅 Digispark Arduino 底板上搵咗粒 ATtiny85 晶片嚟修改程式,呢塊晶片只係得 5mm 大,睇相就明白喺底板上出現一塊咁細嘅晶片,唔單只好難發現,同時亦係好合理。…
科技愈發達,帶嚟嘅方便就愈多,好似以前揸車要周圍搵車匙先可以撻車,但自從有咗無車匙 Keyless Go 技術,只要車主袋住車匙喺身就得。不過,呢種無線識別嘅技術,亦令到受攻擊嘅層面加大,黑客利用意想唔到嘅方法,將車匙遙距拎到手,根據 The Association of British Insurers 發表嘅統計數字顯示,單係 2018 年經佢哋處理嘅失車數字就多達 56000 架,比起 2017 年上升咗 12%。雖然唔係全部都因為呢種技術而失車,但 ABI 都警告 Keyless…
做咗資安界咁多年,其中一個印象最深刻嘅場景,就係 2010 年嗰屆 Black Hat 網絡保安大會,研究員 Barnaby Jack 現場示範點樣快速入侵一部提款機,成功令佢嘔晒所有錢出嚟。當部機嘔緊錢,畫面仲要顯示「JACKPOT」老虎機中獎畫面,所以日後呢類型入侵都叫做「jackpotting」。 雖然嗰次示範已經為提款機嘅保安響起警號,但話晒都要有番咁上下技術先做到,加上又未有真實案例出現,所以開頭都唔係咁多人關心。事隔幾年就唔係咁講喇,2017 年德國就開始出事,當地部門發現由 2 月開始到 11 月,總共發生咗至少十單 jackpotting 事件,雖然唔係每單都成功偷到錢,但加加埋埋都令銀行唔見咗 140 萬歐元! 你可能會諗,銀行網絡咁高保安,佢哋係點樣入侵到部提款機嘅呢?其實好簡單,入侵銀行網絡難度咁高,梗係唔係人人咁做,大部分黑客係直情撬開部提款機,將裝咗 jackpotting 程式嘅…
好多人都會用打機嚟減壓或 kill time,雖然只係娛樂嚟,但大家都唔好忽視佢嘅安全性。Cyware 網絡安全分析師就近發表一篇文章就指出,無論係玩家抑或遊戲開發商,都要改變一下大家嘅想法,否則好易造成個人私隱外洩,後果可以好嚴重咁話。 其實大家間唔中都會聽到玩家帳戶被搶嘅消息,除咗因為廠方管理玩家嘅私隱不善導致外洩,例如上個月手機遊戲開發商 Zynga就洩露咗兩億玩家帳戶資料,另外亦可能同玩家設定嘅密碼太過簡單有關。專家 Ryan Stewart 解釋,唔少玩家覺得打機只係娛樂,認為無乜特別風險,為咗快速登入帳戶,所以傾向選擇簡單嘅密碼組合,就算廠方提供雙重認證登入方法,都唔會特別選用。Ryan 亦指出加上大部分玩家都係青少年,佢哋亦唔認為個人私隱有幾重要,所以對守護帳戶疏於防範。 Ryan 話如提升打機嘅安全性,無論玩家或開發商都要有所提升。首先係玩家方面,其實資深玩家嘅帳戶係地下市場有市有價,而且有時帳戶入面仲會有玩家嘅信用卡資料,所以絕對會成為黑客攻擊嘅目標,所以玩家一定要設定複雜嘅密碼,同時唔好同其他帳戶共用密碼,絕對唔好貪方便直接用Facebook 或 Google 帳戶嚟登入,萬一私隱外洩就有可能令呢啲帳戶同時失守。如果打機嘅裝置有防毒軟件,玩家亦應該考慮安裝。 至於遊戲開發商方面,Ryan 話應該主動提醒玩家安全事項同提供實際做法俾玩家參考,自己亦要做好防禦工作,以免將玩家資料外洩。仲有一點較為特別,就係開發商應引入行為分析工具,當發現玩家嘅行為出現異常,例如短時間內登入位置過遠、登入時間大幅度改變,都有可能係帳戶被黑客攻擊嘅徵兆,咁就可以為玩家提供多一重保障。簡單哋講句,即係玩都要玩得專業啦。 資料來源:https://bit.ly/2OPkoF1
Samsung S10 嘅超聲波指紋鎖,推出以嚟真係問題多多,例如之前有黑客成功用 3D 打印嘅指紋嚟破解指紋鎖,又因為超聲波掃描技術要緊密接解手指嘅關係,唔可以用無法緊貼住屏幕嘅玻璃保護貼,令到用家無乜選擇。而最新發現,原來要解指紋鎖係唔使咁麻煩嘅,只係一個廉價矽膠保護套,就可以令指紋鎖無效化,如果唔見咗部手機而又有設定到電子付款,今次真係可以俾人盜用嚟購物! 發現呢個大漏洞嘅人並唔係乜嘢安全專家,只係英國一個尋常女用家 Lisa。話說佢最近收到老公送嘅 Samsung S10 後,就諗住買個保護套嚟保護個曲芒。點知 Lisa用3蚊英磅買咗個矽膠保護套返嚟之後,就發現指紋鎖竟然廢咗武功,佢本身只係登記咗一隻指紋用嚟解鎖,但戴咗套後就變成十隻手指就開得到;唔單只咁,就連佢老公嘅指紋一樣得。由於 Lisa 嘅妹妹都係用 Samsung S10,經測試後發現個套一樣可以令指紋鎖無效化!相信事件嘅元兇就係個矽膠保護套喇。 Lisa 即刻打去 Samsung 客戶服務部舉報呢件事,不過 Samsung…