被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點，要追溯至烏克蘭的首都基輔。 走過佈滿歷史建築地標的 Podil 街區，咖啡店和公園逐漸消失眼前，取而代之是糟糕的工業景觀。走過一條天橋下方，跨過鐵軌上的垃圾及走進一道混凝土門，便是樓高四層的 Linkgos Group 總部，它是一間小型的烏克蘭軟件家族企業。 其中在三樓有一間伺服器室，內裡堆放了一個個盒子般大小的伺服器，它們被一堆電纜連接著，並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護，如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken，總之在該國經營須納稅的生意，幾乎都要用到這個軟件。 不過在 2017…

倒賣之王，長老拜服 在近年互聯網的世界市場，以一個概念、想法、產品，用科技去顛覆舊行業，什麼共享經濟，足以令一間小小公司成為獨角獸，屢見不鮮。我對本故事主人翁，可以將同一個概念類似的產品可以賣完一次又一次，不得寫個服字。他是 DNS 倒賣之王 David Ulevitch。 大學的一年級的 DNS 小型項目終被收購 2001年，David作為華盛頓大學的一年級學生，創建了 EveryDNS。EveryDNS 是一個典型的大學科研小型項目，這項目以滿足 David 對於 Web 的 DNS 管理軟件的需求。雄心勃勃的 David 當時想成為域名系統提供商，讓用戶可免費將域名映射到網站，系統的所有運作經費完全靠捐贈資助。EveryDNS…

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…