勒索軟件肆虐,美國唔少行政機關都飽受困擾,中招者糾纏於是否交付贖金嘅決定之中,正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講,絕對係一件成本低、回報大嘅攻擊,加上暗網有大量勒索軟件發售,只要略懂電腦技術就可以買嚟用,然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上,好似 Windows、Linux 系統等等,不過網絡安全公司 Check Point 研究員就發現,Canon 相機嘅 PTP (Picture Transfer Protocol)數碼圖片傳輸協定存在 6 個漏洞,其中 5 個係關於 Buffer Overflow,最後一個就係暗中升級韌體。通過呢幾個漏洞,黑客可以透過 USB 或…
Search Results: UX (75)
有網絡安全專家發現,專門中東地區攻擊燃油設施嘅黑客集團,正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份,似乎準備大開殺戒! 工業控制系統(Industrial Control System, ICS)掌管住全個國家嘅命脈,好似發電網、供水系統、水壩、運輸網絡、核電廠等設施,都係經過 ICS 管理,所以如果發生國家之間嘅戰爭,ICS 好自然會成為攻擊目標之一,可以造成斷水斷電斷物流,國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要,黑客集團亦唔會放過攻擊機會,不過由於各工業採用嘅 ICS 系統及技術都有分別,投入嘅成本高,所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過,網絡安全研究組織 Dragos 嘅專家就發現,呢個潛限制已出現變化,其中一個俄羅斯黑客集團 XENOTIME ,開始由專注攻擊燃油區塊,擴闊至供電設施,出現跨區塊攻擊。 ICS 系統安全性癱瘓…
從事資訊安全工作多年,曾在不同場合的講座中,被不少中學生和老師問我如何入行?要成為資安顧問,有何學歷要求? 資安顧問是否「黑客」? 應該考取哪些資安課程證書會較實際?甚至打爛沙盆問到篤,追問資安顧問的收入及發展前途。當然除了學生之外,還有其他行業人士有興趣「中途轉機」,可見普羅大眾對資安行業的資訊還是比較陌生,更遑論要成為資安 新人王 。 著重實戰經驗 其實資訊安全行業絕不神秘,跟其他行業一樣,也有很多相關證書可以考取,晉升階梯亦算清晰。接下來筆者將會撰寫一系列資安入行秘笈,分享在業內快人一步上位的正確途徑。 毋容置疑,擁有資安證書會較容易入行,但如果你有使用和安裝網絡安全產品 (如防火墻)的經驗,又或有 PKI 密碼學和電子證書使用和配置的經驗,甚至乎你已考取了相關的國際資安證書,很多公司都會願意聘請成為資安顧問。不過,最穩打穩紮的途徑,還是修讀香港各大教育機構開辦的課程。 VTC 資安 新人王 速成班 香港專業教育學院(VTC)開辦的資訊及網絡安全兩年制高級文憑 (Diploma)全日制課程,可算是本地課程的表表者。課程旨在訓練學生學習及應用資安知識,去分析、設計及實現安全的網絡及電腦系統。課程的內容緊貼市場,還著重通識教育、語文訓練、全人發展,亦為學生提供實習機會,有助加强學生的解難能力和熟習職場運作,往往一畢業就能快速受聘並跟職場環境磨合,屬於實戰型課程。本港不少公營機構及私營企業,包括跨國公司等,都樂意提供實習機會給這課程的學生。 入學門檻並不算高,只要於香港中學文憑考試 (Hong Kong Diploma of Secondary Education Examination, DSE)其中五科成績考獲第二級或以上(包括英國語文及中國語文);或擁有 VTC 基礎(級別三)/基礎課程文憑、中專教育文憑/職專文憑、毅進文憑或同等學歷,即可申請。不過,這課程屬 VTC 的熱門學科,每年招收約 90 個學生,但入學申請卻多達數百,競爭頗為激烈。…
今早港鐵測試新訊號系統,導致兩架地鐵相撞,荃灣線金鐘至中環路段全線封閉搶修,港鐵方面全面叫停系統測試,指必須調查清楚訊號系統出事原因,方可繼續測試計劃。常用於訊號系統管理的 SCADA/ICS 系統,被廣泛應用於基建設施或工業運作的監控介面上。南韓網絡保安專家表示,原來 SCADA/ICS 亦是黑客喜愛攻擊的目標之一,試想像電力、供水、核電設施的控制系統可以被隨意玩弄,引發的災難,就絕不止列車「輕微」碰䃥那麼簡單。 今晨港鐵測試系統訊號卻發生意外,導致兩列地鐵發生碰撞,車廂嚴重變形,同時令兩名車長受傷。(互聯網圖片) 今晨港鐵測試系統訊號卻發生意外,導致兩列地鐵發生碰撞,車廂嚴重變形,同時令兩名車長受傷。(互聯網圖片) 黑客攻擊 SCADA/ICS 製造大停電 今次港鐵意外是訊號系統故障所致,並非黑客所為,但其實最近就有一次黑客攻擊 SCADA(Supervisory Control and Data Acquisition, 資料採集與監控)/ ICS (Industrial Control…
FIDO 聯盟與 Google 剛於世界通訊大會(MWC)上宣佈 Android 取得 FIDO2 認證,用戶不再需要輸入密碼,就可以用手機及流動裝置登入 app 或網站。任何 Android 7.0 Nougat 或以上版本,更新 Google Play Services 就可以透過手機內建的指紋辨識感測器,或是 FIDO 標準的實體金鑰,登入支援…