為了確保帳戶不被盜用,啟動雙重因素 (two factor) 或多重因素安全驗證 (multi-factor authentication) 機制一向被視為較安全的做法,特別是硬體安全鑰 (hardware security keys) 就更保險。不過,Google Titan 及 YubiKey 系列產品卻被發現可被黑客複製,雖然手續比較麻煩…… 雙重或多重因素安全驗證,一般來說指的是除密碼以外,登入帳戶還須配合其他因素如生物特徵、額外安全編碼等。現時最多人採用的方法以後者居多,而額外安全編碼也可分為透過電郵或短訊接收,或硬體安全鑰認證兩種。早前已有網絡安全專家指出,以電郵或短訊接收安全驗證碼會有危險,因為只要上網裝置如電腦、手機已被黑客入侵,他們就可偷偷安裝惡意軟件,盜取帳戶登入資料並截取安全驗證碼。相反硬體安全鑰則必須在登入帳戶時,插入裝置或以藍牙技術近距離連結,所以安全性會較高。 不過,法國網絡安全研究員 Victor Lomne 及…
Search Results: Neo (31)
香港電腦保安事故協調中心(HKCERT)和香港生產力促進局(生產力局)合辦首屆 「香港網絡保安新生代奪旗挑戰賽2020」,比賽將於今日下午六時開始至 11 月 8 日下午六時,比賽旨在提升大專及中學生對網絡保安的興趣,鼓勵他們透過團隊合作,以創意思維及網絡保安技巧來解決問題。 網上比賽系統會 48 小時運作,參賽者可於任何比賽時段登入作賽;比賽共有 81 隊中學組隊伍,以及 75 隊大專組隊伍、當中包括 16 隊跨院校隊伍,參與人數共 538 人。題目環繞 Binary Exploitation、Cryptography、Forensics、Reverse Engineering、Web…
Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
Neo 今天讀到一份不錯的訪談,Michael Coates(曾任Twitter 的CISO)分享了心得,針對兩個頗為吸引的問題:一、如何建立強健的資安團隊?二、如何開展自己在 Cybersecurity 的事業?其立論一針見血,所以略為記下,並加評論,以饗讀者。 Michael 指出一個殘酷的事實:網絡邊界(The perimeter)永遠在改動。上一個世代講要守護network choke points,在今天可能不切實際。為了分秒必爭的業務競爭及發展,愈來愈多的雲運算及外判模式,正在消解(dissolve)網絡邊界。在今天,速度無比重要,所以資安服務要非常貼身。然而,面對眾多業務部門及他們各自獨特的系統結構,IT/資安團隊如何處理快速的變更要求及服務要求?難道要每個部門配置資安技師嗎?這當然是不可能的。 Michael 走了一條路,叫 Empowerment及Paved path approach。這個思維是去 empower(提升能力、給予信任;「授權」二字太狹窄了)一些 Security Champions去協助公司的資安。中央IT做的工作,近乎鋪路,提供一系列不同的工具,並列出權限界綫,定出不應逾越的底綫。有了這些準備,Security Champions…
還有不足一個月,香港首個全公開的 Capture The Flag(CTF)奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽,與過往在香港舉辦的 CTF 賽事有很大分別,該會的 COO 梁國基(Frankie)表示,他們今次將會同時舉辦學生組及公開組,而不再各有各玩,「雖然賽事定位會影響部分贊助商的決定,例如賽事有學生組會減低商業性;但我們認為不應這麼極端,既然要推廣 CTF,就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事,就由綽號「資安長老」的 Frankie,拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽,牽涉到很多不同類型的賽事,例如戶外運動、wall game 等等,但在網絡安全界別,就是一種讓黑客比併電腦技術的活動。Frankie…
喺《Matrix》電影入面,Agent Smith 原本嘅職責係消除系統唔穩定嘅因素,以及清理漏洞 Neo,可以話係維穩工具。不過,最近網絡安全研究員就發現咗一種新嘅手機惡意軟件變種,已經感染咗約 2500 萬部 Android 裝置,而佢嘅名就係「Agent Smith」! Agent Smith 係一種識得透過偽裝手法,令到其他手機應用軟件變成同黨,齊齊顯示指定廣告以增加廣告收入嘅惡意軟件。Check Point 研究員發現,Agent Smith 攻擊主要針對印度、巴基斯坦、尼泊爾等亞洲地區,但美國、澳洲、英國亦有唔少用家中招。Agent Smith 會分三階段嚟達成攻擊,首先需要引誘用家下載及安裝含有 dropper 嘅軟件,例如係免費遊戲、應用軟件或成人娛樂等,進入手機系統後就會自動解碼,並利用數個已知嘅…
早前, (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴,法庭判了一句:「任何人使用自己的電腦,不涉及取用另一人的電腦,便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨,先此聲明:本人不是藍、黃、紅,亦沒有任何意圖不尊重香港法律界、法官的意思,Neo 亦只是個黃毛小子,未有經過任何法律訓練,以下只是一堆廢話:請不要拉我。 我的感慨在於:甚麽是「自己的」電腦?你付了錢,買了一部有 CPU 有一些 Buttons 的東西回來,就是「自己的」電腦嗎?這個所謂的「自己性」(i.e. ownership) 實在是站在 Asset Ownership 的立場而言,即是說,你大可把這個東西用鐵鎚打爛,因為這是你閣下的財產。私有財產的權利,令你可以對此物有獨佔性的權利,別人不經同意使用、損毁,就是侵權行為,受法律約束。顯而易見,這是站在「客觀財物」的角度看「電腦」。 然而,一部電腦(姑且當它是一個 countable noun)的獨佔性可否成立?在硬體而言,OK。你碰我粒掣、插我個 Port,用它來墊煲,就是侵犯了我的「硬體權」。然而,電腦的「存在感」不在於硬體,更在於軟體,尤其是他的 Operating…
顧問行業,原本是人類智慧結晶。由於 Big Data 及 A.I. 的出現,就算是顧問行業,都出現一種存在的焦慮。有一短文,講顧問行業的五宗罪:過份依賴人、以時間計價、貴、顧問報告追不上變化及顧問知識不夠。現今的 Disruptive Technologies 開始讓一眾食呢行飯的顧問出現危機。好簡單:如果我可以自己 GOOGLE 答案,我點解要畀錢請顧問? 不過,自己 GOOGLE 出來的答案,未必達到所要求的涵蓋性、深度、準確性,而且,只是一堆資料,未必能夠化為有用的策略。人始終有不可代替之處。所以 Wall Street 現時都出現 “Straders”,半人半機器,一邊做 Trade,一邊自己寫程式去有效利用資料。 (Neo…
不好意思,近日 Neo 有喜,潛了水。致歉! 如果眼睛稱為靈魂之窗,臉就是…玻璃幕牆?你的臉本身是一堆物質,但同時反映你的心靈活動。此外,你的臉亦是你的社會存在(Social Identity),所謂認人,其實是認臉,返工亦要睇老闆面色做人。可見,一張臉,是物理世界、心靈世界及人倫世界的交滙點。 我們的臉,可被掃描於政府數據庫之中:不難,現今技術已做到,外遊過關時一定試過。這帶來更好的保安,及加快過關速率。當然會有誤認,但基本上已越來越準。商用也有,刷臉支付、刷臉提款、刷臉進站都有了,所以也出現了「刷臉概念股」:臉與股真的貼在一起了。 但在「一臉通行」的時代,誰真正擁有我的臉呢?明星所關心的肖像權,現在也應該是大家的關心。按理,肖像被他人使用,應該得到肖像權擁有人的同意。坦白講,我日日周街去,咁多攝錄機,我點知我的尊容有沒有被人盜用?Neo曾試過上網搜臉(當然唔用我自己果塊),找到一堆網上照片,有男有女,都幾好笑。與打指摸不同,刷臉可以發生於不知不覺間,當然私隱是一大問題。另外,在我的肖像視頻上,現已可用 AI 改編,製造 Fake Speech,恐怖到笑。我又諗起,如果我塊臉有肖像權,咁我可唔可以放售權利?如果可以,咁我塊面不再屬於我,我早上唔剃鬚,影響肖像,係咪會畀人拉? (Neo按:基本上,我們現代人已經不能 Opt out 刷臉這個「權利」了,除非你用了 Burqa。果然是先知!)
之前寫過一些魚事,其實我亦成日賣魚俾人,幫一 D 企業發放各種魚類 (Phishing Email),搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣,你有沒有見過一種「野獸派」數銀紙方式?一整堆十蚊紙,幾百張成座山咁,當中又濕水又混亂,但係個大佬氣定神閒,一口氣數出來,都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊,有不同吸引力,有 D 係假扮 Invoice,有 D 係假扮香港 Salary Guide,有 D 係假扮你個帳號快要取消,等等。最攞命果條 FIT 殊,仍然係訴諸恐怖,話你個帳號畀人入侵咗,URGENT,快 D…