美國食物及藥物管理局（FDA）早前發出警告，指出美國醫療科技公司 Medtronic 推出嘅胰島素自動注射器 MiniMed 嘅舊型號有安全漏洞，可以俾黑客無線修改注射劑量，隨時搞出人命。漏洞被揭兩年，但專家發現對方竟然無主動回收，專家於是實實在在寫隻殺人 app 出嚟，警告對方唔係講玩㗎！ 殺人 app 暴力破解連接 糖尿病患者有唔同類型，有啲糖尿病人無法分泌足夠胰島素（Insulin），亦有糖尿病人係因為出現胰島素阻抗（Insulin Resistance），對血液中嘅糖份敏感度下降，最終導致血糖累積。如果病情嚴重，病人就需要口服或注射胰島素藥物，醫生會調校藥劑，維持體內嘅胰島素量，過多或過少都會對人體造成傷害，甚至有性命危險。 QED Security Solutions 研究員 Billy Rios 同埋 Jonathan…

VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上，提出為了加強信用卡客戶的安全保障，計劃讓全港合作商戶參與代碼化（Tokenization），將客戶的信用卡資料變成代碼，即使黑客攔截到這些代碼，也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內，更表明希望年交易宗數達 100 萬宗以上的商戶，可以在明年內採用資料代碼化，2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處？ 加密與代碼化技術 近年網上購物平台大熱，再加上形形式式的電子支付應用程式，令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時，不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出，港澳區的無卡支付欺詐交易比率在去年第三季急升，為了提升信用卡用戶的安全，VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題，大多數人都以為傳輸過程是以加密（Encryption）技術，將信用卡號碼、到期日等數據以金鑰加密，即使黑客中途攔截交易數據，在沒有金鑰下也難以破解。不過，由於這些數據被加密後未必可以維持原始格式，處理時有需要修改資料庫或檔案格式，而且傳輸的資料亦是原始資料，所以一旦金鑰外洩，就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸，舉例原來的信用卡號碼為 16 個位，代碼化後的亂數依然保持 16 個位格式，再加上當中不涉及任何數學演算對應關係，所以即使黑客攔截到這組代碼，亦難以估計這組代碼是原始資料抑或亂數，以信用卡為例，黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本，達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處，在於它可免於受由信用卡組織制定的 PCI-DSS（Payment Card Industry Data Security Standard）金融機構安全認證審查，大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上，為應付全球各國日益提升的個人私隱法例，它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類，到底它與傳統的加密法各有什麼優勢？要引入這項技術，電商或信用卡組織伙伴有什麼需要準備？如何選擇合適的電子支付服務，才能提升公司的營業額？網絡安全應用方案供應商 Edvance X Thales，將於下月舉辦工作坊，詳細講解代碼化技術的應用及解答業內人士的問題。名額有限，如欲了解代碼化技術的詳情及應用範疇，請即點擊報名連結。 Edvance…

NotPetya 原本要攻擊的目標是烏克蘭，但過程中卻將全球最大運輸集團馬士基拖下水，而透過馬士基又再波及其他人，它造成的總損失估計達到 100 億美元。 Oleksii Yasinsky 原先以為，周二那天辦公室應該沒有甚麼特別事會發生。那是烏克蘭法定假日憲法日的前一天，大部分同事不是興高采烈計劃度假，就是已經安心去了度假。不過，Yasinsky 卻沒有這樣的心情。過去一年，他一直是 Information Systems Security Partners（ISSP）的網絡實驗室負責人，這崗位的職責是不允許有死機出現。實際上，自從 2015 年底俄羅斯發動第一波網絡攻擊以來，他休假的時間加起來才只有一個星期。 因此，那天早上當 Yasinsky 接到一通電話後，他並沒有感到特別慌張。電話是由 ISSP 總監打過來的，說烏克蘭第二大銀行 Oschadbank…

如果問未來最矚目嘅流動通訊科技係乜，十居其九都會答5G同埋物聯網（IoT），華為創辦人任正非月初接受英國《金融時報》訪問，都話美國佬搞完佢哋嘅5G後，下一個戰場就係物聯網，就知呢兩樣嘢幾咁受全世界重視。 不過物聯網有個好大嘅問題，就係物聯網嘅概念係將所有本來上唔到網嘅死物，都搞到佢哋可以駁晒上網，以前就算只得電腦同埋手機可以上網，要搞網絡保安已經唔容易，而家仲所有嘢都上晒網，黑客要入侵更加易而反掌。 舉個簡單例子，之前聽行家講過，有個中小企客俾黑客入侵，check晒全公司網絡都搵唔到個漏洞，最後結果發現原來佢門鎖係連住物聯網，但係因為要識別員工資料，所以又連咗上公司個數據庫，就係咁出事……試想像一下如果公司有幾樣嘢都用緊物聯網，情況會幾失控。 歐洲一間認證機構digital.security就諗到條橋，幫出品物聯網設備嘅公司做認証，只要產品出廠前俾佢哋做25至30個測試，確保產品無論連接其他物件、互通訊息嘅協定、連接嘅伺服器，以及產品內置嘅應用程式，都唔會有保安漏洞，而成個過程會聘請獨立資訊保安專家嚟評估，通過測試就會喺產品貼上IQS（IoT Qualified as Secured）嘅標誌，為期兩年，兩年後要再拎返嚟重新測試先可以續牌，過程都好嚴格，以後要添置物聯網產品時，就記得睇下有冇IQS標誌先好買！

具備 NFC 功能嘅 Android 手機要小心喇，日本早稻田大學研究員成功研發出 Tap’n Ghost 攻擊，瞄準 NFC 漏洞再結合電容干擾技術造成雙重攻擊，奪取手機嘅控制權，咁樣攻擊真係好難防避喎！ NFC 無線近場交流技術已經有好多種應用方法，例如用嚟電子付款、交換檔案等等，所以好多人都習慣長期啟動呢個功能。不過，早稻田大學嘅研究員喺 5 月舉辦嘅 2019 IEEE Symposium on Security and…

由網絡安全解決方案分銷商安領國際（Edvance International） 主辦的 Beacon 2019 安全峰會，已於上星期五於 The Mira 酒店舉行。為應付進化不斷的網絡攻擊，相信已令不少網絡安全從業員疲於奔命，企業管理者亦因擔心可能會導致數據洩露，或影響系統穩定而造成財務損失，同樣承受著巨大的心理壓力。面對如此困境，實在不可繼續一味挨打，正所謂「知識改變命運」，所以今次大會的主題便是「Light up the way to fight evolving cyber threats」，通過邀請安全專家及解決方案供應商到場演講及作產品示範，讓 200 多位入場人士撥開迷霧，看清匿藏於暗處的威脅，掌握可供使用的武器，於網絡安全戰場上有力轉守為攻。 安領國際行政總裁兼執行董事李崇基指出不少企業管理者雖願意投入更新資源在網絡安全之上，但卻因了解不深而無法開展。…

關公災難近來接二連三爆出，一班公關認真忙，緊急安排完深夜時分嘅記者會解畫都算，完會後又要再度新聞稿為解畫而解畫，心血少啲都應付唔嚟。不過，又唔係所有關公災難都由老闆或高層引起，有時公司其他團隊都無諗過出於好意會便咗踩地雷，認真難搞。 最新出事嘅係美國 Samsung 支援部，早兩日佢哋喺 Twitter 上開 tweet 提醒智能電視嘅用家，內文話唔單只要定期為電腦掃描惡意軟件及病毒，如果 QLED TV 有連接 Wi-Fi，都一樣要每隔幾個禮拜就要用內置嘅安全應用方案去掃描電視先得，同時仲提供埋手動啟用 QLED TV 安全系統嘅視頻。 成件事嚟到呢度都好正路，點知 Twitter 上嘅 followers 突然爆…

近年 IT 行業人材短缺，Cyber Security 網絡安全就更是重災區，人手極度不足；修讀相關課程的畢業生突然變得搶手，不少準畢業生表示將學歷放上 LinkedIn 等職場社交平台，很快就有人力資源顧問公司找上門。不過，所謂搶手實屬虛火，因為僱主最著重求職者的實際工作能力，要成功受聘，或加入心儀的大公司，還得先展示自己的實力。問題來了，對一個即將畢業的學生來說，如何憑空變出實力證明？參加黑客大賽，就是一個最佳捷徑。 貼地難題取材現實 一畢業就加入全球四大會計師事務所工作，相信是不少準大學畢業生的夢想。三位來自香港中文大學計算機科學與工程學系、信息工程學系和數學系的學生梁成悅（Jason）、湯湛飛（Chris）、陳兆俊 （Erwin），就於去年畢業後獲羅兵咸永道會計師事務所（PricewaterhouseCoopers, PwC）聘用，成為網絡安全部門的職員。能夠有這項令人葡萄不已的待遇，全因他們去年於「HackaDay 2018」黑客大賽勝出，展示了卓越的網絡安全工作能力。PwC 合伙人顏國定說公司在擬定賽事的題目時，內容非常貼地，都是客戶日常都會面對的網絡安全問題，所以能夠勝出賽事，代表優勝隊伍都非常熟悉相關問題，比起一般面試更能掌握求職者的實力，所以公司會向優勝隊伍提供實習或優先面試的機會。換言之拿著這張直通車票，如無意外都可成為 PwC 的一員，毋須再經人事部篩選，過五關斬六將。 Erwin（右二）、Jason（中）及Chris（左二）去完奪得 HackaDay 2018 賽事冠軍，當時也沒想到真的可以加入 PwC。…

上回分析過 HKUSPACE 為期三年半、用 30 萬學費 （18萬加上12萬）就可成為網絡安全碩士的課程。有讀者就問，香港有無學校為中學生提供「升呢」成為網絡保安學士的課程？以前的確沒有，但今年就有喇。 香港科技專上書院（Hong Kong Institute of Technology, HKIT）成立初期叫 College of Info-Tech，於 1997 年創辨，後來於 2003 年 10…

雲端應用大行其道，企業在數碼轉型的大趨勢下，都開始進行各種部署，當中網絡安全就是其中一個考慮重點。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2019 港台加密趨勢研究》的調查報告，內裡指出有 48% 港台企業認為員工疏忽為數據安全的首要威脅，另外有 91% 港台企業表示希望數據加密技術可在企業內部及雲端環境中運作使用，反映管理者均意識到保護數據安全的重點——必須掌握主導權，而 BYOK（Bring Your Own Key）就是最可靠的方法。 獨立硬體演算省電腦資源 nCipher Security 大中華區業務總監戴文忠指出，互聯網上各種活動，簡單如發送及接收電郵或瀏覽網站，以至較複雜的電子支付等，都需要在執行指令前進行身份驗證，「舉例每部智能手機都有一張獨立的電子證書，證明這部手機的身份屬實及沒有被冒認，當核實了溝通雙方的身份後，才能執行之後的動作。」為了防止這張電子證書被冒認，製造商必須以數據加密的方法將它「鎖起」及存放起來，實際上就是通過密碼學（Cryptography）的各種演算法例如…