其實我好怕用 USB 手指,雖然係好方便,隨時拎出嚟就可以抄嘢走,但係啲手指愈出愈細隻,好易跌咗都唔知。咁當然啦,普通人跌隻 USB手指,最多唔見咗啲資料,如果有做 backup 嘅,問題都唔大,但如果係黑客跌咗 USB 手指,就分分鐘監都有得坐! 點解咁講?事關比利時最近發生咗件好有趣嘅事:話說有位 35 歲嘅仁兄俾比利時警察拉咗,因為佢向當地一間叫做 Crelan 嘅銀行辦公室掟汽油彈,佢之所以俾比利時警方拉到,係因為掟汽油彈時唔小心跌咗隻 USB 手指,比利時警方就係憑隻手指入面嘅資料確認到佢身份。 但係呢個唔小心嘅代價就認真大,比利時警方慢慢研究 USB 手指入面嘅資料,再加埋去佢屋企搜證,就發現佢除咗掟汽油彈外,仲曾經向 Crelan 銀行發動…
Search Results: HR (1826)
漠視意見,只會帶來嚴重嘅後果。就好似宿命一樣,但凡有漏洞唔解決,就一定會俾黑客利用。Apple 都冇辦法擺脫呢個 Murphy’s Law,佢嘅 GateKeeper 漏洞冇解決,就出事喇…… 是咁的,今年初研究員 Filippo Cavallarin 發現 MacOS GateKeeper 存有漏洞,允許黑客繞過 Gatekeeper 安全機制,然後喺冇顯示冇通知嘅情況下執行惡意程式。最㷫嘅係,Filippo 通知咗 Apple 之後,Apple竟然漠視意見,一直唔修補呢個漏洞。Well,該研究員惟有將行動升級,喺上個月將呢個漏洞資料公開…… 呢個漏洞主要出自 Gatekeeper…
呢個方法唔得,咪試下另一個方法囉!呢句說話大家都講過唔少,同時間亦係黑客高手嘅處世態度,所以先可以創造咁多攻擊方法出嚟。最近有網絡安全研究員發現,黑客又喺釣魚電郵攻擊手法上加多重掩飾方法,通過 QR Code 將目標人物帶離公司嘅防禦系統,再利用心理盲點令對方輸入公司帳戶登入資料,雖然唔係百分百成功,但都係果句,試下無壞丫。 今次被研究員發現嘅 QRishing 攻擊手法,針對嘅攻擊對象係法國公司 Cofense 嘅僱客。攻擊首先由一般嘅釣魚電郵開始,目標人物會收到一封標題為 Review Important Document 嘅電郵,叫佢哋利用附件嘅 QR Code 去讀取一份重要嘅文件。如果目標人物用手機 scanner 跟住照做,黑客就會引導佢哋去到一個虛假嘅 SharePoint 登入網站,由於呢個網站係企業常用嘅內部管理系統,所以好易有目標上當,跟手輸入埋…
有睇過嘉倩 BB 嘅講解片,應該都了解 DDoS (Distributed Denial of Service, 分散式阻斷服務)攻擊嘅運作原理。呢種以本傷人嘅攻擊方法,旨在癱瘓目標網站或應用服務嘅運作,完全唔需要對方存在安全漏洞,一味控制殭屍電腦要求連線就搞掂,早前通訊應用軟件 Telegram、本地傳媒蘋果日報,就先後指出曾受到 DDoS 攻擊。就算你無一大堆殭屍電腦兵團,都唔緊要,因為網絡上有大量黑客提供 DDos as a Service 服務,只要肯俾錢就有黑客代勞㗎喇。 美國聯邦調查局(FBI)喺上年已出招打擊呢類受僱型黑客攻擊,不過網絡安全公司 Nexusguard 最近發表嘅《2019年第一季威脅報告》就提到,今年年初受僱型 DDoS…
具備 NFC 功能嘅 Android 手機要小心喇,日本早稻田大學研究員成功研發出 Tap’n Ghost 攻擊,瞄準 NFC 漏洞再結合電容干擾技術造成雙重攻擊,奪取手機嘅控制權,咁樣攻擊真係好難防避喎! NFC 無線近場交流技術已經有好多種應用方法,例如用嚟電子付款、交換檔案等等,所以好多人都習慣長期啟動呢個功能。不過,早稻田大學嘅研究員喺 5 月舉辦嘅 2019 IEEE Symposium on Security and…
有網絡安全專家發現,專門中東地區攻擊燃油設施嘅黑客集團,正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份,似乎準備大開殺戒! 工業控制系統(Industrial Control System, ICS)掌管住全個國家嘅命脈,好似發電網、供水系統、水壩、運輸網絡、核電廠等設施,都係經過 ICS 管理,所以如果發生國家之間嘅戰爭,ICS 好自然會成為攻擊目標之一,可以造成斷水斷電斷物流,國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要,黑客集團亦唔會放過攻擊機會,不過由於各工業採用嘅 ICS 系統及技術都有分別,投入嘅成本高,所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過,網絡安全研究組織 Dragos 嘅專家就發現,呢個潛限制已出現變化,其中一個俄羅斯黑客集團 XENOTIME ,開始由專注攻擊燃油區塊,擴闊至供電設施,出現跨區塊攻擊。 ICS 系統安全性癱瘓…
有炒開美國科技股嘅,一定有留意上星期上市嘅 Slack,掛牌第一日就升破招股價,最終收報 38.62 美元,較開市價高 48.5%。雖然第二日股價略為調整,但依然係今年美國上市第二高估值嘅科技公司,僅次於 750 億美元嘅 Uber,但就贏咗另一風頭躉 Lyft,巧威威!而 Slack 仲係第二間直接喺紐約證券交易所掛牌嘅公司,毋須公開集資,創辦人 Stewart Butterfield 話原因係佢哋唔缺錢,真係型到呢…… 正所謂樹大招風,喺 Slack 份上市文件入面都講到明,微軟係佢哋頭號競爭對手,咁微軟梗係唔會坐定定乜都唔做啦!就喺 Slack 上市當日,微軟就向員工發出內部通告,禁止十幾萬名員工使用 Slack…
由四大會計師事務所之一 —— 羅兵咸永道會計師事務所(PricewaterhouseCoopers, PwC)主辦的黑客大賽 HackaDay 2019 已於上星期四完滿結束。今屆賽事共有 12 支大學隊伍參賽,其中澳門大學亦派出一隊學生參加。當日戰況激烈,各隊奇謀盡出,鬥到最後一刻才見真章,最終由香港科技大學的 FireBird 1 隊勝出,打破香港中文大學三連霸的夢想。 PwC 合伙人顏國定說舉辦 HackaDay 的初心,是希望通過賽事吸引更多學生入行。 成績再創新高HackaDay 2019 黑客大賽今年已是第三屆,舉辦這項賽事的 PwC…
由網絡安全解決方案分銷商安領國際(Edvance International) 主辦的 Beacon 2019 安全峰會,已於上星期五於 The Mira 酒店舉行。為應付進化不斷的網絡攻擊,相信已令不少網絡安全從業員疲於奔命,企業管理者亦因擔心可能會導致數據洩露,或影響系統穩定而造成財務損失,同樣承受著巨大的心理壓力。面對如此困境,實在不可繼續一味挨打,正所謂「知識改變命運」,所以今次大會的主題便是「Light up the way to fight evolving cyber threats」,通過邀請安全專家及解決方案供應商到場演講及作產品示範,讓 200 多位入場人士撥開迷霧,看清匿藏於暗處的威脅,掌握可供使用的武器,於網絡安全戰場上有力轉守為攻。 安領國際行政總裁兼執行董事李崇基指出不少企業管理者雖願意投入更新資源在網絡安全之上,但卻因了解不深而無法開展。…
呢個禮拜嘅網絡安全關鍵字,唔使公投都知答案肯定係「漏洞」啦!當大家知道原來醫管局一個機密度咁高嘅系統,係可以唔需要用密碼登入,成個業界即刻嘩聲四起,乜原來咁都得?有老闆講笑咁話早知新入果張標書唔使寫埋 2FA 之類嘅多重驗證安全系統入去咁多餘啦!官方仲有啲更抵死嘅回應,話因為電腦附近 24 小時都有人 on duty,所以就算唔用密碼登入,理論上都係好安全咁話。如果當佢啱,咁銀行入面點解仲要有夾萬?差館夠人多喇啩,出入咪又係要嘟卡? 好嘞唔講呢啲,講返今次重點先。有人話呢個係系統漏洞,將來會修補返,但其實呢個好明顯唔係漏洞而係後門。漏洞(Vulnerability)係指執行系統時出現咗超出預期或無考慮過嘅反應,而結果係可以俾黑客利用嚟攻擊,呢啲先叫做漏洞,例如近來最火熱嘅 Microsoft Windows 系統 BlueKeep 漏洞(CVE-20190708),就可以俾黑客遙距執行惡意程式。 不過,如果喺設計系統時一早預留咗條秘密通道,又或者黑客利用漏洞嚟植入後門,將來可以繞過驗證方法 log in,咁就應該叫暗門(trapdoor) 或後門( backdoor)至啱。其實留定條秘密通道可以有好多原因,正常用途包括為咗方便 programmer 測試或修改系統,又或者作為正常登入系統失靈時嘅後備救援方法;至於暗黑系用途,自然係用嚟監測其他用家嘅私隱,或暗中安裝各種…