《Big Breaches: Cybersecurity Lessons for Everyone》作者 Neil Daswani 呼籲企業正視內鬼。他引述數據,2005 年至 2009 年每年平均少於 25 宗內鬼洩密,2010 年至 2014 年上升至平均每年 100 宗,當中以 2013…
Search Results: NSA (20)
一方面,遠程工作、IoTs、網民秒秒遞增;各路黑客的交流平台由 Dark Web 擴展到 Clubhouse 等不同社交平台;裝置網速工具急速演化;雲端、Hybrid Cloud、Edge Platforms 將數據進一步集中,唯獨法規與執法效率追不上時代步伐,國家隊黑客卻諷刺地例外。事實上,企業在資安上一向都靠自己,但在 COVID-19 後擔子史無前例重,2020 年末 Solarwinds 中伏,向其近 2 萬客戶無料放送 Sunburst Malware,幾多人受影響未知,但美國國務院、國防部、軍火供應商、重要電訊商與大學院校均在名單之上,美國政府矛頭指向俄羅斯,是否開打網戰大家不妨買花生,但我們先談談企業資安部署困境。如果這宗事件仍未夠警世,Cybersecutiry Ventures 報告指…
黑客愛用 Ransomware,因為只要得手,中招對象大部分願意息事寧人,交贖金快快手手回復營業狀態,減少損失。黑客可以短時間收錢,故屢試不爽。近日,越來越多黑客透過 Ransomware 封鎖企業網絡,相對以往封鎖檔案或硬盤,封鎖網絡能夠完全癱瘓企業運作,個別黑客還會威脅洩漏客戶私隱,「唔交錢、黑市見」,對企業而言威嚇力十足。所以即使開價上百萬美元等值的 Bitcoin,企業都不敢依從執法機構呼籲報案。「對賺錢至上的黑客而言,Ransomware 的回報率絕對係眾多攻擊之中最高,與目標企業營收掛勾。2020 年底,我們見到黑客借 COVID-19 增加攻擊頻率賺到盡。」Palo Alto Networks Unit 42 的資安風險研究分析員 Anna Chung 回應這個現象。 「我們預期 2021 年…
現代人出街一定帶手機,因為呢部多年嘅科技結晶實在太方便。而出街最常用嘅功能一定係開 map 搵路,着重私隱嘅人每次搵完路可能識得熄咗「定位服務」,但咁做真係夠? National Security Agency (NSA) 近日發佈了一份指南,指出智能手機、平板電腦、運動手機中的位置資訊對黑客嚟講其實非常有價值,可以揭露用家嘅生活方式﹑習慣同個人關係,從而推演出一個人嘅生活漏洞。更指出一大誤區,定位服務唔等於 GPS,單單熄手機上面嘅定位服務其實係唔夠㗎。手機被定位嘅來源嚟自好幾樣電波訊號,如果完全熄曬佢地,用家就比較難被追蹤。所以一定要做多幾樣野,多重保護,先至夠放心。 講左咁多,一齊睇下實質有咩可以做啦﹗ 關閉手機定位關閉 WiFi 同藍牙將 Apps 權限限制到最少將廣告權限限制到最少減少出街時上網,關閉本地數據使用 VPN 上網關閉 Find My Phone…
以為雙重驗證碼(Two Factor Authentication, 2FA)好安全?魔高一丈嘅黑客已經成功破解,所有 Andriod 用戶嘅帳戶都有極大被盜用風險! TrickBot 自 2016 年被發現至今,一直係最活躍嘅銀行木馬病毒。IBM X-Force 研究團隊最近公布 TrickBot 正利用一款 Andriod 惡意軟件 Trickmo,順利竊取多間銀行發出嘅雙重認證碼,竊取用家交易認證碼。 專攻德國銀行用戶 根據 IBM…
很多朋友問我,做黑客要不要領牌 (專業證書 )。答案可以是「Yes」或「No」,綜觀全球著名黑客, 他們大多數都是從大量的實踐中煉成黑客技術, 他們專注研究軟件,從一些細微的弱點發掘出漏洞,嘗試發動攻擊入侵系統, 終於成功奪取權限。相反,修讀 CEH (Certified Ethical Hacker)專業認證資格,則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 (EC-Council)提供的網絡安全認證。CEH 是國際的頂級熱門安全證書,符合美國的 ANSI / ISO / IEC…
Robocall,即係自動語音通話,真係諗起都𤷪!有調查顯示,美國境內每日都有兩億個電話係由機械人打出,足足佔總電話量嘅三成。Robocall 已經成功登上聯邦通訊委員會被投訴對象嘅第一名,問你怕未? 發生喺美國嘅 Robocall 目的有好多,包括促銷、政治宣傳、詐騙、騙取用戶資料等。美國 Transaction Network Services(TNS)利用機器學習、大數據分析,幫助用戶及電信業界對抗垃圾來電。日前 TNS 發表咗一份報告,公佈有關美國滋擾電話嘅調查。 喺報告內,TNS 為美國電信業者億億聲嘅電話進行分類:「高危類」指詐騙電話,目標係盜取個人資料或金錢;「滋擾類」係純粹嘅煩,唔包含惡意攻擊。雖然好似冇害,但單係「煩」就夠死。TNS 更發現,「滋擾類」電話嘅增長比其他高危詐騙電話多 38%,即係越來越多,越來越煩。 另外,TNS 指出自動語音電話「騎劫」個案有兩倍升幅,所謂騎劫,即係 illegal spoofing,來電時會顯示假冒嘅電話號碼,繞過垃圾電話過濾器。TNS 指每 1700…
被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點,要追溯至烏克蘭的首都基輔。 走過佈滿歷史建築地標的 Podil 街區,咖啡店和公園逐漸消失眼前,取而代之是糟糕的工業景觀。走過一條天橋下方,跨過鐵軌上的垃圾及走進一道混凝土門,便是樓高四層的 Linkgos Group 總部,它是一間小型的烏克蘭軟件家族企業。 其中在三樓有一間伺服器室,內裡堆放了一個個盒子般大小的伺服器,它們被一堆電纜連接著,並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護,如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken,總之在該國經營須納稅的生意,幾乎都要用到這個軟件。 不過在 2017…
倒賣之王,長老拜服 在近年互聯網的世界市場,以一個概念、想法、產品,用科技去顛覆舊行業,什麼共享經濟,足以令一間小小公司成為獨角獸,屢見不鮮。我對本故事主人翁,可以將同一個概念類似的產品可以賣完一次又一次,不得寫個服字。他是 DNS 倒賣之王 David Ulevitch。 大學的一年級的 DNS 小型項目終被收購 2001年,David作為華盛頓大學的一年級學生,創建了 EveryDNS。EveryDNS 是一個典型的大學科研小型項目,這項目以滿足 David 對於 Web 的 DNS 管理軟件的需求。雄心勃勃的 David 當時想成為域名系統提供商,讓用戶可免費將域名映射到網站,系統的所有運作經費完全靠捐贈資助。EveryDNS…
上文提到,權要有限。那麼職責呢?要分。權要限、職要分,夠鐘要放工,得閒要睇 wepro180。 在系統中,有一條重要保安原則:職責分離。在系統及流程中,要把重要功能、職責拆開。在流程中,申請新帳號或者IT服務者,與批准者,須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截,一人管一截(有 D 似古代果 D 虎符)。又如寫程式的人,不可以把程式直接安裝入系統,要透過另一個團隊。以上這些職責分離,目的是要減少差錯及舞弊。文藝一些講:避免監守自盜。 (再文藝一些…在歷史中,這些職責分離比比皆是,例如中國的皇權與相權的分離、唐代的三省制,以至謀與斷的分工、三權分立等,都有古仔可以講。) 講到呢度,就可以明白,保安系統設計要嚴密,須要包括:有各系統權限的人,他們的職責是否有合理的分離。所以,大機構的 SIEM / Log Management 要求完備,因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…