供應鏈(supply chain)攻擊,可以話係最易令人中招嘅攻擊手法,因為一般人對放喺官網嘅嘢都比較有信心,好少會懷疑提供下載嘅檔案會唔安全,當然如果所謂官網係細公司製作又或做得流流哋,咁又另當別論啦。今次出事嘅係加密貨幣門羅(Monero)幣,有用家話喺檢查由 GetMonero 下載落嚟嘅電子錢包時,發現同官網列出嘅雜湊值(hash)唔一致,懷疑電子錢包俾人做咗手腳。經調查後,發現呢個並唔係錯誤,而係針對 GetMonero 用家嘅惡意攻擊,目的係偷走佢哋嘅門羅幣。 事件發生後,GetMonero 即刻對自己網站上嘅各種版本電子錢包進行分析,發現 Linux 版本俾黑客加入咗幾項特別功能,其中一項係當用家開啟或創建一個電子錢包時,就會自動將用嚟進入錢包嘅 key,傳送去黑客嘅伺服器,黑客就可以用呢條 key 入受害者帳戶轉帳。GetMonero 證實喺 11 月 18 日凌晨兩點半至同日下午四點半期間,下載嘅電子錢包都可能存在問題,建議用家檢查清楚 hash 值,如發現唔同就要即刻刪除。…
Search Results: hain (55)
想偷取目標對象嘅資料,而又可以做到神不知鬼不覺,原來唔需要好高科技,只要喺對方嘅防火牆、路由器等硬件上加裝一粒晶片就做到。有專家示範只要喺網上買粒價值兩蚊美金嘅晶片,再偷偷地裝入硬件嘅底板上就得,提醒大家係無想像中咁難㗎! 示範呢個技術嘅係 ICS 安全公司 FoxGuard 嘅專家 Monta Elkins,嚟緊佢將會喺月尾嘅安全大會 CS3sthlm 上詳細公佈佢嘅 PoC 內容。為咗俾大家知道佢嘅研究有料到,所以佢係提前公開部分內容。Elkins 首先喺一塊價值兩蚊美金嘅 Digispark Arduino 底板上搵咗粒 ATtiny85 晶片嚟修改程式,呢塊晶片只係得 5mm 大,睇相就明白喺底板上出現一塊咁細嘅晶片,唔單只好難發現,同時亦係好合理。…
PDF 係大家常用嘅文件檔,如果內容包含機密或敏感資訊,都會 set password 保護。但黑客而家有方法修改呢啲檔案,令到擁有解鎖密碼嘅人喺打開檔案嘅同時,傳送多一份解鎖內容俾黑客,做咗解鎖佬都唔知! 用嚟加密 PDF 檔案嘅密碼演算法,本身其實好安全,不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員,指出 PDF 檔案其中一個漏洞係檔案只會半加密,字串內容係受到保護,但檔案嘅結構就無加密可以讀取,所以黑客可以篡改結構內容,將惡意程式注入其中,當檔案被合法打開,就會暗中將內容傳送俾黑客;另一漏洞就係 CBC(Cipher Block Chaining)加密模式,由於本身缺乏一致性嘅驗證,令到黑客可以修改特定區塊內容而唔影響解鎖程序,於是黑客就可以加入惡意程式,暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼,一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞,經研究員測試後,發現喺…
之前都報導過唔少關於 Google Play Store 內嘅 app 藏有惡意程式嘅消息,呢種由源頭落毒嘅手法,令到好多人都唔為意中咗毒。理解嘅,因為大家傾向相信 Play Store 內嘅應用軟件係安全,Google 一定會檢查清楚先俾佢上架,再加上自己已經無安裝來源不明嘅 app,但黑客正正就係利用呢種天真嘅諗法,所以供應鏈攻擊(supply chain attack)先會咁多人中招。 不過,將惡意軟件放上 Play Store,除咗要瞞過 Google 監察,仲要等人自己下載嚟用,好似唔多夠效率,慢慢黑客就發現仲有進步空間,呢個方法就係令到手機製造商睇中惡意軟件嘅表面功能,自動將 app…
https://www.youtube.com/embed/nlS5lBNm9Us?wmode=transparent&rel=0&feature=oembed 上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門(Backdoor)好難分辨有心定無意,同埋簡單介紹咗後門的種類。今次就用三個實例,分析三種常見嘅後門攻擊手法係點執行,同埋根據呢三個個案嘅攻擊手法,從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。 寫死密碼 講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件,呢個後門屬於 hard-coded password,只要經 SSH 或 Telnet…
https://www.youtube.com/embed/LylBbr_IK74?wmode=transparent&rel=0&feature=oembed 後門(Backdoor)係近期非常熱門嘅話題,成日有人爭拗後門係有心擺入去,漏洞(Vulnerability)就係無心之失。不過,網絡安全組織 VXRL 成員 Boris So 就話其實有心定無意並唔重要,因為出嚟嘅結果就係可以俾黑客偷入嚟做嘢。今次佢就同大家分析下究竟常見嘅後門有幾多種先。 「近嚟國際關係緊張,所以 backdoor 就成為咗爭拗問題。以前大家都覺得後門係特登整出嚟,將一啲唔需要、唔應該存在嘅功能放喺系統入面,例如無緣無故 send 走啲檔案,又或者俾人隱密進入系統等等。」Boris 指出至於工程師、開發者為咗方便維修而設置嘅「後門」,就被叫做 Trapdoor。「如果純綷從技術角度分析,其實係睇唔到有心定無意,因為大家做到嘅嘢都係一樣;舉個例,原本你部手機係 unlock 唔到,但透過一啲方法可以解鎖或 root 機,咁就好難拗呢啲方法係咪後門。」 Boris 以之前被大規模封殺嘅公司所推出嘅電腦為例,「之前俾人搵到佢嘅…
有網絡安全專家發現,專門中東地區攻擊燃油設施嘅黑客集團,正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份,似乎準備大開殺戒! 工業控制系統(Industrial Control System, ICS)掌管住全個國家嘅命脈,好似發電網、供水系統、水壩、運輸網絡、核電廠等設施,都係經過 ICS 管理,所以如果發生國家之間嘅戰爭,ICS 好自然會成為攻擊目標之一,可以造成斷水斷電斷物流,國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要,黑客集團亦唔會放過攻擊機會,不過由於各工業採用嘅 ICS 系統及技術都有分別,投入嘅成本高,所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過,網絡安全研究組織 Dragos 嘅專家就發現,呢個潛限制已出現變化,其中一個俄羅斯黑客集團 XENOTIME ,開始由專注攻擊燃油區塊,擴闊至供電設施,出現跨區塊攻擊。 ICS 系統安全性癱瘓…
由四大會計師事務所之一 —— 羅兵咸永道會計師事務所(PricewaterhouseCoopers, PwC)主辦的黑客大賽 HackaDay 2019 已於上星期四完滿結束。今屆賽事共有 12 支大學隊伍參賽,其中澳門大學亦派出一隊學生參加。當日戰況激烈,各隊奇謀盡出,鬥到最後一刻才見真章,最終由香港科技大學的 FireBird 1 隊勝出,打破香港中文大學三連霸的夢想。 PwC 合伙人顏國定說舉辦 HackaDay 的初心,是希望通過賽事吸引更多學生入行。 成績再創新高HackaDay 2019 黑客大賽今年已是第三屆,舉辦這項賽事的 PwC…
在科技上持續創新的 IBM,於全球共設有 12 間 IBM 實驗室,專門負責研發不同科技的專利技術;根據 IFI 專利服務公司的統計,截至 2018 年,IBM 在美國已取得 9100 項專利,連續 26 年排名第一,遙遙領先第二位的 Samsung 及第三位的 Canon。IBM 實驗室可說是最高層次的專利生產機,而在這 12…
近年 IT 行業人材短缺,Cyber Security 網絡安全就更是重災區,人手極度不足;修讀相關課程的畢業生突然變得搶手,不少準畢業生表示將學歷放上 LinkedIn 等職場社交平台,很快就有人力資源顧問公司找上門。不過,所謂搶手實屬虛火,因為僱主最著重求職者的實際工作能力,要成功受聘,或加入心儀的大公司,還得先展示自己的實力。問題來了,對一個即將畢業的學生來說,如何憑空變出實力證明?參加黑客大賽,就是一個最佳捷徑。 貼地難題取材現實 一畢業就加入全球四大會計師事務所工作,相信是不少準大學畢業生的夢想。三位來自香港中文大學計算機科學與工程學系、信息工程學系和數學系的學生梁成悅(Jason)、湯湛飛(Chris)、陳兆俊 (Erwin),就於去年畢業後獲羅兵咸永道會計師事務所(PricewaterhouseCoopers, PwC)聘用,成為網絡安全部門的職員。能夠有這項令人葡萄不已的待遇,全因他們去年於「HackaDay 2018」黑客大賽勝出,展示了卓越的網絡安全工作能力。PwC 合伙人顏國定說公司在擬定賽事的題目時,內容非常貼地,都是客戶日常都會面對的網絡安全問題,所以能夠勝出賽事,代表優勝隊伍都非常熟悉相關問題,比起一般面試更能掌握求職者的實力,所以公司會向優勝隊伍提供實習或優先面試的機會。換言之拿著這張直通車票,如無意外都可成為 PwC 的一員,毋須再經人事部篩選,過五關斬六將。 Erwin(右二)、Jason(中)及Chris(左二)去完奪得 HackaDay 2018 賽事冠軍,當時也沒想到真的可以加入 PwC。…