相信好多 Startup 都面對住同一問題,就係唔夠錢呀!你叫間公司一開始就投入大量資源嚟買網絡安全工具?梗係睬你都傻啦。不過又唔可以完全乜都唔做㗎喎,最緊要係應使得使,例如花少少錢做好最基本嘅電郵防護同埋落實以下措施,先至唔會咁易俾黑客入侵。 電郵防護服務 好多人會揀商用 Gmail 作為公司電郵,以為 Google 已經有足夠防禦力。不過,Gmail 只係採用統一嘅保護政策,企業有需要深入研究保護政策同改 settings 先可增加攔截成功率同效率,點都唔及幫襯電郵防護服務咁簡單,以 Startup 嚟計,員工人數少,服務收費亦唔會貴得去邊,加上而家九成網絡攻擊都以電郵發動,所以呢啲錢真係唔好慳。 多重驗證 如果用緊嘅服務例如電郵提供多重驗證(Multi-Factor Authentication),就一定要啟動,Google 本身就可以用手機嚟做驗證工具,但如果想更穩陣,可以買實體保安匙,例如 Yubikeys 就有…
Search Results: US (915)
日前,一名匿名黑客在論壇上發布了 900 多個 Pulse Secure VPN 企業服務器的用戶名稱、密碼以及許多其他敏感資料。攻擊者可能利用了去年九月發布的 CVE-2019-11510 安全漏洞,以攻擊具有相關安全漏洞的系統。 以上新聞可能爲大家帶來啟示:儘管許多人認為 VPN 對於所有需要在家辦公的員工來說,是一種安全的解決方案,但我們都必須意識到——VPN 只是保護系統安全和數據隱私的眾多安全層之一。 在沒有其他適當的安全層情況下,將 VPN 部署為唯一的安全控制層,會給許多公司帶來「很有安全感」的錯覺。而事實是,黑客透過 VPN 入侵的實例比比皆是,近期較熱門的事例便有三菱電機 VPN 攻擊和…
Norsk Hydro ASA,全球最大既鋁金屬生產商,市值高於 550 億美元,業務與廠房遍及全球 50 個國家,員工數目超過 35,000。2019 年 3 月 19 日奧斯陸零晨,這家挪威企業被黑客入侵,匈牙利營運中心職員察覺後,馬上按照保安程序將整個企業斷網, 但黑客係短短兩個鐘,已經「綁架」咗 Hydro 500 個 Server 加 2,700…
疫情之下,國際級 Conference 虛擬進行,第 23 屆嘅 Black Hat USA 2020 亦如期舉行。業界預計 2020 全球 Cyber Security 預算將增加 2.4% 至 1.23 千億美元,成為全球經濟重壓之下,少數逆市增長的行業,而增長重點,將圍繞以下 5…
早排令人聞風喪膽嘅 Twitter Hack 黑幕 Kirk,終於喺多日嘅調查同追捕之後被美國佛羅里達洲警員拘捕。估都估唔到,呢一位膽大包天,先前睇落無跡可尋嘅黑客年僅 17 歲。先前有份供佢出嚟嘅 eversoanxious 同另一位 Hacker Rolex 都同時被提告,真係冇一個人逃得出呢座五指山。 Kirk 嘅真名叫 Graham Ivan Clark,唔好睇佢年紀輕輕,其實由 10 歲開始,佢就過住「偷呃拐騙」嘅生活。佢自細已經喺 Minecraft…
俗語有云,野可以亂食,說話唔可以亂講。喺港區國安法成立之後,大家對於網上通訊嘅保障都開始有所要求。始終,網上即時對話實在太方便,現代人冇咗呢 D APPS 嘅話,就連日常生活都會大受影響。之不過,即時通訊軟件款式琳瑯滿目,邊一隻先可以真正保障我地嘅私隱呢? 喺今次嘅對比入面,我地嘅參賽者包括:WhatsApp、Facebook Messenger、Telegram 同近期大熱嘅 Signal。從多個方面比較,等大家可以全面瞭解我地嘅參賽者。對比項目包括:有冇點對點加密呢? 是否 Open-Source code? Server 會唔會 Backup 我地嘅資料? 有冇身份認證? 有冇自動通知金鑰變更嘅機制?總公司係邊間?同埋佢會提供咩資料俾政府等等。 唔講咁多,即刻開始分個高下啦﹗ 1. 點對點加密?…
經電郵發動嘅攻擊與日俱增,黑客透過假冒發信人地址,或修改信件內容,繞過電郵驗證系統嘅攔截。雖然電郵系統設有 DMARC 驗證機制,但由於設定上比較麻煩,所以採用率偏低。Google 為咗吸引電郵用戶採用 DMARC 技術,而家喺 G Suite 新推出先導計劃,經驗證後嘅用戶可以喺電郵上顯示公司嘅標誌,唔知又有幾多公司會參與呢? 為咗解決電郵造假問題,電郵驗證系統一般都設有 SPF(Sender Policy Framework)以及 DKIM(Domain Keys Identified Mail)兩種方法。SPF 主要用喺防止電郵造假,因為系統會先驗證發送者嘅電郵地址,睇下究竟有無喺寄件伺服器上存在,如果來源伺服器根本無呢個電郵,就好大機會證明係假電郵。DKIM 就用喺驗證電郵內容嘅完整性上,以攔截有可能喺發送過程中被修改嘅電郵。雖然有呢兩個系統把關,但由於有啲舊電郵系統唔支援呢兩種技術,所以有時都焗住要收入信箱。 DMARC(Domain-based…
看似一場無中生有嘅鬧劇,一夜之間驚動全球嘅 Twitter Hack,又突然音訊全無。幕後黑手消聲匿跡,暫時仲未有任何機關搵到佢。就好似我地上次所講,呢個 Hacker 嘅實力非常強大。可能在人性嘅驅使之下,昔日嘅同事竟然企出嚟接受訪問,帶大家認識呢場血腥風雨嘅內情。 接受訪問嘅 Hacker 分別自稱 “lol”同“ever so anxious”,並供出佢地「幕後大功臣」嘅名 —— “Kirk”。佢地向記者坦然承認自己有參與初期嘅攻擊,但係就冇份去 hack 好似 Elon Musk 呢啲大人物。lol 又指出,當初接觸 Kirk…
自美國 Black Lives Matter 的種族抗議運動,大眾對關乎「黑」的詞語都頓變敏感,其中一資訊界常用術語「Black Hat」(黑帽)亦成為備受熱議的話題。事關早前 Google 工程副總裁 David Kleidermacher 高調宣佈退出原定 8 月舉辦的 Black Hat USA 2020 安全會議,更喺 Twitter 撰文呼籲…
就喺啱啱,一場大規模網絡騙案震驚全 Twitter。Kanye West﹑Bill Gates﹑Elon Musk﹑ 奧巴馬……一個又一個名人帳號陸續發出「想回饋社會,你畀錢我我雙倍奉還﹗」之類嘅 Post。直到呢一刻,已經有多個帳號以 Bitcoin 方式,將總值十二萬美金以上嘅加密貨幣送畀幕後黑手。 連 Apple 官方 Twitter 帳號都中招 為阻止呢場風波繼續影響更多用家,Twitter 即刻限制大量功能,包括 Direct messaging,用家想改帶有 “Elon”、 “Bill…