研究員搵漏洞,除咗想維護網絡安全,亦希望對方可以正視問題,之不過站於對方立場,醜事梗係收埋最好。早前有研究員發現一款路由器有嚴重漏洞,之不過廠方嘅回應就有好大改善空間囉。 Singtel 旗下網絡安全研究團隊 Trustwave 嘅 Spiderlabs 喺年初發現,一款 D-Link ADSL2+ 路由器出現嚴重漏洞,可以唔使認證,直接從網頁上獲取路由器資料,當中更包括密碼。方法就係喺路由器嘅 index.asp 頁內搜尋 username_v 及 password_v 參數,咁就攞到用戶嘅登入資料。此漏洞非常嚴重,意味著黑客可以控制路由器、截取當中嘅數據傳輸。 Trustwave 當然有向 D-Link 通報,不過,對方似乎唔係好理。原本…
Search Results: UST (539)
為免落後太多,不少企業決策者都希望盡快推行數碼轉型,加速雲轉移應用。其實雲轉移有很多問題需要釐清,因為將重要工作放上雲端,便要好好考慮安全及備份問題,這樣企業才能無後顧之憂,讓數碼轉型歷程保持簡單透明,方可專心拓展業務。 【早餐研討會】雲轉型陷阱你一定要知 時間:9 月 12 日(Thu)8 am 至 9:30 am(7:30 am 開始接受登記) 地點:灣仔香港萬麗海景酒店宴會廳 3 至 4 費用:全免(備有美式早餐) 報名:https://bit.ly/2ZyOhMg 超越混合雲的微間隔防禦策略 要安全保護數據或各項應用,傳統做法是依靠網絡安裝防火牆;但隨著 IT…
VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上,提出為了加強信用卡客戶的安全保障,計劃讓全港合作商戶參與代碼化(Tokenization),將客戶的信用卡資料變成代碼,即使黑客攔截到這些代碼,也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內,更表明希望年交易宗數達 100 萬宗以上的商戶,可以在明年內採用資料代碼化,2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處? 加密與代碼化技術 近年網上購物平台大熱,再加上形形式式的電子支付應用程式,令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時,不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出,港澳區的無卡支付欺詐交易比率在去年第三季急升,為了提升信用卡用戶的安全,VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題,大多數人都以為傳輸過程是以加密(Encryption)技術,將信用卡號碼、到期日等數據以金鑰加密,即使黑客中途攔截交易數據,在沒有金鑰下也難以破解。不過,由於這些數據被加密後未必可以維持原始格式,處理時有需要修改資料庫或檔案格式,而且傳輸的資料亦是原始資料,所以一旦金鑰外洩,就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸,舉例原來的信用卡號碼為 16 個位,代碼化後的亂數依然保持 16 個位格式,再加上當中不涉及任何數學演算對應關係,所以即使黑客攔截到這組代碼,亦難以估計這組代碼是原始資料抑或亂數,以信用卡為例,黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本,達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處,在於它可免於受由信用卡組織制定的 PCI-DSS(Payment Card Industry Data Security Standard)金融機構安全認證審查,大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上,為應付全球各國日益提升的個人私隱法例,它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類,到底它與傳統的加密法各有什麼優勢?要引入這項技術,電商或信用卡組織伙伴有什麼需要準備?如何選擇合適的電子支付服務,才能提升公司的營業額?網絡安全應用方案供應商 Edvance X Thales,將於下月舉辦工作坊,詳細講解代碼化技術的應用及解答業內人士的問題。名額有限,如欲了解代碼化技術的詳情及應用範疇,請即點擊報名連結。 Edvance…
雲端科技發展迅速,市場上有著廣泛的雲端服務供選擇,助企業實現數碼轉型以保持競爭力。市場調查公司 Gartner 高級研究主管 Elias Khnaser 曾表示,選擇正確的雲端服務是 IT 領導者所必須掌握的技能,因為它主宰著物聯網、人工智能等新世代應用的成敗。要真正成功實現轉型,首要秘訣是在芸芸眾多的雲端服務商中,揀選值得信賴的供應商,借助合適的雲端科技及專才支持其發展目標。不過,選擇的過程可謂複雜困難,考慮因素多,企業宜就供應商的四個方面先了解清楚: 1. 供應商的技術及服務支援能否滿足企業的需要? 雲轉移並非單單將數據或應用程式由公司伺服器搬上雲端,還須各種技術的配合。因為雲端服務供應商採用的硬件架構、技術框架或管理標準各異,與企業本身採用的不盡相同,如兩者存在的差異過大,便難以將企業內部的私有雲與雲端服務供應商所提供的公共雲接軌;所以在採用合適的解決方案前,必須全面評估供應商所提供的服務,是否能夠理解企業本身需要而作出配合?由雲轉移的資詢、部署到實行的過程中,會否得到相關專才持續向企業提供全面支援及優化建議,加快採用雲端技術和數碼轉型? 2. 供應商的發展藍圖是否符合企業的創新路向? 除了著重當下,企業還需放眼將來。不論是 IaaS (Infrastructure as a Service,基礎設施即服務)還是SaaS (Software…
人生有個豬隊友確係慘仔嘅,最慘如果係自己上司,有時都唔知點幫佢兜,搞到我都好想升高三個 key 同佢講,「你真係蠢唔係扮㗎喎!」唔知係咪開口中,早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品,分析吓有冇後門,其中一項要做 dynamic analysis,睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕,所以成 team 人好快已有共識,就係利用一隻 open source 嘅工具,去 capture 軟件嘅網絡流量做分析,同時用不同嘅 軟件(當然都係快靚正嘅 open…
有網絡安全專家發現,專門中東地區攻擊燃油設施嘅黑客集團,正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份,似乎準備大開殺戒! 工業控制系統(Industrial Control System, ICS)掌管住全個國家嘅命脈,好似發電網、供水系統、水壩、運輸網絡、核電廠等設施,都係經過 ICS 管理,所以如果發生國家之間嘅戰爭,ICS 好自然會成為攻擊目標之一,可以造成斷水斷電斷物流,國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要,黑客集團亦唔會放過攻擊機會,不過由於各工業採用嘅 ICS 系統及技術都有分別,投入嘅成本高,所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過,網絡安全研究組織 Dragos 嘅專家就發現,呢個潛限制已出現變化,其中一個俄羅斯黑客集團 XENOTIME ,開始由專注攻擊燃油區塊,擴闊至供電設施,出現跨區塊攻擊。 ICS 系統安全性癱瘓…
雲端應用大行其道,企業在數碼轉型的大趨勢下,都開始進行各種部署,當中網絡安全就是其中一個考慮重點。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2019 港台加密趨勢研究》的調查報告,內裡指出有 48% 港台企業認為員工疏忽為數據安全的首要威脅,另外有 91% 港台企業表示希望數據加密技術可在企業內部及雲端環境中運作使用,反映管理者均意識到保護數據安全的重點——必須掌握主導權,而 BYOK(Bring Your Own Key)就是最可靠的方法。 獨立硬體演算省電腦資源 nCipher Security 大中華區業務總監戴文忠指出,互聯網上各種活動,簡單如發送及接收電郵或瀏覽網站,以至較複雜的電子支付等,都需要在執行指令前進行身份驗證,「舉例每部智能手機都有一張獨立的電子證書,證明這部手機的身份屬實及沒有被冒認,當核實了溝通雙方的身份後,才能執行之後的動作。」為了防止這張電子證書被冒認,製造商必須以數據加密的方法將它「鎖起」及存放起來,實際上就是通過密碼學(Cryptography)的各種演算法例如…
黑客的攻擊招數多到離譜,簡單如上網睇戲、購物,都有極大可能踩地雷,可讓黑客暗裝惡意軟件,又或偷走信用卡資料。個人娛樂都算,最慘是現時工作已離不開在互聯網上搵資料,為免公司電腦中招,難道要禁絕員工上網?又或要由公司內聯網隔離一些電腦出來,只供員工上網搵料?瀏覽器隔離(Browser isolation) 技術的出現,就可讓人放心上網,同時又可令電腦免受黑客攻擊。這種技術就連美國國防信息系統局(DISA)亦會於明年全面採用,就知有多強勁可靠。 資安少林寺畢業生 瀏覽器隔離技術,可以簡單地理解為在完全隔離的虛擬機器上執行上網活動,就好似拆彈專家遙控機械人拆炸彈一樣,就算爆炸都不怕炸傷自己。Symantec 於兩年前收購的 Fireglass,其創辦人 Dan Amiga 來頭甚勁,他曾經是以色列國防部(IDF) 8200 部隊的成員,8200 部隊可說是資安界少林寺,很多少「畢業生」都曾經是著名科技公司的創辦人,包括 ICQ、Check Point、Wix、Imperva 等等。 Fireglass 創辦人 Dan Amiga(左)及Symantec…
Cisco 1001-X 系列路由器並唔係家用裝置,而係一個(應該要)非常穩陣可靠、專攻企業使用嘅網絡裝置。今次發現嘅問題出喺信用錨(Trust Anchor)驗證基制之上,黑客可透過漏洞喺源頭繞過驗證,非常大鑊! 兩大漏洞攻破不可能 最近有研究員發現 Cisco 1001-X 系列路由器存在極大漏洞,容許黑客遙控攻擊,控制裝置並可以獲取所有經過路由器嘅訊息及指令。資安公司 Red Balloon 研究員解釋,今次總共發現兩個漏洞:第一個為 Cisco 嘅 IOS 執行系統漏洞,相對上簡單,屬小兒科,一般修補方案更新就搞得掂;第二個就麻煩喇,因為關乎信任鍊(Chain of Trust)嘅驗證問題。 Cisco 喺…
唔少香港人都會睇 Netflix 追睇美劇,好似之前嘅神劇《House of Cards》、《Black Mirror》等等,好過睇大台千篇一律嘅電視劇集。原本呢啲劇集或電影係受到數碼版權簽證保護,無咗佢就解唔到密,不過最近有研究員就發現,透過 side-channel attack 竟然可以取得受保護嘅節目內容,而且由於加密方法廣泛被其他網上節目供應商例如 Hulu、 Amazon Prime 所採用,所以絕對有可能用相同手法進行破解! Netflix 解密金鑰迂迴發放 現時要保護數碼娛樂內容例如電視劇集、電影、音樂,都會利用數碼版權保護 (Digital Rights Management)框架去加密內容,通過重重驗證先可以喺播放裝置上進行解密,用家先會睇到或聽到內容。 Netflix…