今年 4 月初，中國國內出現一隻勒索軟件 WannaRen，中招者不單自己部電腦出事，就連同一內聯網嘅電腦都會受感染。由於個名同著名勒索軟件 WannaCry 相似，所以就有人懷疑係咪同一黑客所為？不過，經過內地網絡安全公司調查後，發現隻勒索軟件係用「易語言」嚟寫，所以相信絕對有可能係中國人所為。奇就奇在，製造呢隻惡意軟件嘅黑客喺幾日後，自動上載解密器俾人解密，完全唔使俾之前話要收嘅贖金，到底搞邊科？點解又同北韓金仔有關呢？ 其實今次金仔都好無辜，因為同佢又無直接關係，只係黑客將金仔嘅漫畫黑客造型放咗喺 WannaRen 勒索軟件嘅主介面咋。對於 WannaRen 事件，國內安全服務公司火絨安全有詳細來源去脈報導。簡單嚟講，就係 WannaRen 喺知乎、貼吧、微博上突然成為熱門討論話題，以及出現好多受害者後，火絨就開始對呢隻勒索軟件進行源頭追蹤。發現原來黑客係利用 Windows 系統嘅 EternalBlue 漏洞嚟發動攻擊，只要中咗毒，WannaRen 就會由 C&C 伺服器下載及安裝挖礦軟件同勒索軟件，同時感染其他電腦。而且編寫代碼係用中文嘅易語言，所以否定咗同…

外判服務已經係大趨勢，例如公司要寫個網站或手機應用軟件，好多時都唔會係自己員工寫，一來呢啲project 通常都係一次性，寫完就唔會長期養住呢個人；二來有啲外判商收取嘅費用真心平，老闆當然樂於採用。唔係話全部廉價服務都唔好，但中伏風險實在大得多，例如售後服務唔見影、網絡防禦方案原來唔安全等等，做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢？最近由一班電腦專家進行嘅調查報告，應該會俾到啟示大家。 抄得就抄 由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊，早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證，佢哋發現喺呢個程式碼討論區平台上嘅…

從事網絡安全行業，都知道世界上沒有百分百安全的偵測工具，可以完全阻截黑客的攻擊。如果有，就不會出現零時差攻擊（Zero Day Attack）。 RESEC 網絡安全公司的 Executive Chairman Tal Yatsiv 亦明言，網絡安全只是一場攻防戰，防守方往往處於被動，大部分時間只能見招拆招；相反攻擊者由於了解守方的防禦手法，自然更易鑽探漏洞，想出新鮮的攻擊方法，「所以我們認為最佳的防禦策略，並不是偵測而是預防。」他說傳統防禦概念是以不同的工具去偵測哪些檔案藏有病毒，建立白名單，但前設是病毒特徵資料庫必須先有記錄，否則偵測工具便會放行，換言之都有出錯風險，「因此 RESEC 創辦人及 CTO Oren Shnitzer 當年設立 RESEC 時，其宗旨並非為了攔截有問題的檔案，而是視一切檔案都有問題，並提供安全方法讓用家去開啟檔案。」 安全防禦 拒設白名單…

大部分人用社交網站，都係不停 post 相 post 片，你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面，就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook，每日用戶上傳嘅相閒閒地都超過一億，但原來早前喺 Facebook 自家開發嘅 HHVM（HipHop Virtual Machine）開源虛擬機器上，就存在住兩個上傳相片嘅漏洞，黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相，令系統出現記憶區溢位（memory overflow），從而達成越位讀取記憶區數據，又或發生阻斷服務情況。 Facebook 自家開發嘅…

有睇開新聞嘅，都知呢排大家比較關心香港機場發生嘅事，但原來除咗「因航」出事之外，英航亦榜上有名，不過發生問題嘅係電子機票系統。 點解我講「又係」？咁就要回一回帶先，上個月中我哋先講過，英航因為舊年 8 月 21 日至 9 月 5 日期間，被黑客偷走約 38 萬客戶嘅名字、電郵地址、信用卡等資料，結果被英國資訊專員辦公室（ICO）罰款 1.8 億英鎊，破晒所有罰款記錄，以為佢會汲取教訓，點知又出事！ 今次出事嘅係佢哋嘅電子機票，外國網站 Threatpost 嘅研究員今年 7 月發現，所有英航透過電郵發俾顧客網上 check-in…

Visa 信用卡嘅非接觸式感應付款技術，早於上年已被研究人員警告，因為其付款金額限制功能唔夠穩陣，只要有辦法繞過認證機制，限制交易金額嘅保護機制就會形同虛設，黑客就可以實現「真‧無限簽帳」喇！ 網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試，成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制，而且試埋用英國 5 間主要銀行所發出嘅信用卡，全部都可以做到，理論上，其他英國銀行應該都無一倖免。 研究人員嘅攻撃方法，係利用一部裝置攔截信用卡同終端機之間嘅訊號，即係中間人攻擊（man in the middle…

具備 NFC 功能嘅 Android 手機要小心喇，日本早稻田大學研究員成功研發出 Tap’n Ghost 攻擊，瞄準 NFC 漏洞再結合電容干擾技術造成雙重攻擊，奪取手機嘅控制權，咁樣攻擊真係好難防避喎！ NFC 無線近場交流技術已經有好多種應用方法，例如用嚟電子付款、交換檔案等等，所以好多人都習慣長期啟動呢個功能。不過，早稻田大學嘅研究員喺 5 月舉辦嘅 2019 IEEE Symposium on Security and…

睇得多警訊都知，騙徒手法層出不窮，要避免中招，當然要認清今期流行嘅攻擊手法。網絡安全公司 Kaspersky 剛啱出咗今年第一季度報告，總結電郵騙案嘅手法。結果發現，以下 5 大手法雖然唔算新招，但真係萬試萬靈！ 騙徒手法一：情人節裡出陰招 第一季度最大節日非情人節莫屬，關於送禮嘅騙案特別多，騙徒扮交友或者花店網站 send 訊息俾你，唔單只會提你買禮物送俾另一半，亦有騙徒會溫馨提示男士買定偉哥為佳節做足準備，誓要引到人點擊訊息入面嘅虛假網站連結，再輸入埋信用卡資料就大功告成！ 騙徒手法二：賣有毒蘋果 唔係白雪公主入面嘅女巫先識得用毒蘋果，其實每次蘋果有新產品發佈，都係騙徒搵食時機！Kaspersky 發現三月底蘋果出新產品時，每日中招人數由平時幾千個急升至幾萬個，最高峰嗰日甚至接近八萬人，佢哋大部分都係收到電郵通知，點擊連結後去到假蘋果網站，無防備下輸入 Apple ID 驗證，就咁就俾人呃咗個帳戶資料。如已經綁住信用卡，真係可以瘋狂用嚟購買 iTunes 點數卡㗎。 騙徒手法三：我係嚟幫你整機嘅 而家電腦出問題，十居其九會上網搵技術支援啦。報告指出近來社交媒體同埋討論區出現大量貼文，聲稱可以幫你一次過搞掂幾樣電腦產品問題，而且騙徒仲寫明會收取合理價錢提升可信性，等你唔會以為免費冇好嘢而唔幫襯。最諷刺嘅係，騙徒連 Kaspersky…

上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程，是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子，但又有興趣「中途轉機」、加入資安行業的在職人士，又有哪一個課程是入行踏腳石？答案可在 HKUSPACE 課程找到。 香港大學專業進修學院（HKU School of Professional and Continuing Education, HKUSPACE）已經辦學60年，其前身是香港大學學外課程，而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年，已有282萬人次報讀學院課程，其中有關資訊科技和資訊保安的課程，在這十多年間大受歡迎，每年課程的學額都是供不應求，課程種類繁多，包括資訊保安的深造文憑、理學士、碩士課程，任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程（Postgraduate Diploma in Information Technology），這兼讀課程的部分學費可以申請CEF（持續進修基金），成功達標者可得到基金資助 80% 學費津貼，而從 2019…

零售業是中小企業之中流抵柱，以現今科技，將小店轉化成智慧小店絕不困難，而且是必須的。實情是，大家的確正在運用各種科技改善店舖營運，簡單的如各種支付技術、POS 就是利用科技的例子。其實毋須想得太複雜，大家只要再走多一小步，就可以輕鬆參加智慧小店這個數碼轉型遊戲了。以下是今日一間「正常」小店的基本步，各位小東主，未做嘅，就要立即做。 前台基本做法 1）好好利用網絡資訊平台，就是今日小店營運的基本日常。客戶用手機搵店舖、地址、產品已是常態，未搞社交平台的小店要追落後了；2）升級收款技術，年輕消費群大多傾向使用移動支付，尤其強國顧客，所以收款方法要適當地拓展；3）店主不妨為小店加入適當的數碼流動裝置，一部平板電腦已經可以改善用戶體驗，亦可以收集數據；4）會員計劃數碼化，有數據顯示 81% 顧客會因為會員優惠再光顧，以往的會員卡、蓋印仔其實好麻煩，而最重要的是數碼化可以收集顧客的資料，一來可以了解客戶行為，二來方便日後做 promotion，各位東主請立即轉用數碼會員計劃。 要注意的是，科技發達促使越來越多人選擇網購，因此，實體店的購物體驗就變得非常關鍵。 後台基本做法 1）利用 Inventory Management Technology，即是不再依賴人手埋數，今時今日這些工作可以自動化，更可以做準確推算，如此你就可以準確掌握銷售及倉庫數據，入貨、推廣、計劃未來方向就容易得多；2）善用 POS 系統數據，不單可以知道日常的交易狀況，其實從 POS 系統可以睇到比想像中更多的啟示，將不同數據作 correlation，可以將時間、人力、店舖資源更好分配。 破除迷思：一定要搞網上商店？ 自己努力經營實體小店之際，身邊就個個都話要搞網上商店，當然倍感困惑：究竟有無需要開間網上商店？是否要同淘寶、天貓鬥平呢？大家滿腦疑問，不妨好好反思。…