事隔接近十年,Sony 又再被黑客入侵?一個新成立的勒索集團 RansomedVC 聲稱成功入侵 Sony 內部系統,並將部分機密資料放上自家爆料網站,不過,同一時間有另一黑客集團聲稱自己才是入侵主謀,更放出包括部分 Sony 員工帳戶登入資料的 3.14GB 數據,到底哪個才是真兇? 想知最新科技新聞?立即免費訂閱 ! 新成立勒索集團 索價 250 萬美元 事件的開端,是一個在今年 9 月才成立的勒索集團 RansomedVC 在自家爆料網站聲稱成功入侵…
Search Results: interview (13)
持續幾年的疫情,令全港市民紛紛走向「科技化」,過往在現實世界進行的活動,例如會議、購物、銀行戶口的開立等,都已轉移至網上世界。即使以往不熟悉智能手機操作的長者,現時亦已得心應手。正好這幾年,數碼銀行興起,據環球科技和管理顧問公司發表的亞太區「未來銀行」系列調查報告,顯示過去兩年,香港用戶對數碼銀行信心大增,6 成人願意提供私隱數據,以獲得個人化產品及服務。 誠然,科技發展徹底改變市民的生活,但同時引發私隱保護的疑慮,當中一不留神,便會衍生出種種個人資料洩漏或被盜用問題。筆者在軟件系統的應用開發方面,經常會涉及用戶私隱資料及位置分享與追蹤功能,故在數據私隱保護問題上一直遇到不少挑戰。 綜合多年開發經驗及實際客戶方案後,已掌握保護數據私隱的開發思維及技術準則。要防止數據外洩 ,作為開發商應考慮:1. 數據不應離開數據源頭 2. 要把數據資料上傳或發送,只抽取有限度的重要資料並予以加密,同時開發商要確保資料離開數據源後,即使外洩至第三方,對方亦無法解密或從資料推斷到源頭的所有私隱數據。 何謂數據不離開源頭?舉個最簡明的例子,筆者曾處理過澳門賭場的大型項目,賭場的出入人次、會員、客戶個人資料、兌換籌票金額等資料數據,只存於賭場內的伺服器,並不會傳輸或上載到任何地方。 至於如何只抽取有限度的重要資料並予以加密?又一例子說明。 筆者亦有參與開發「居安抗疫」App,當中的數據私隱保護問題亦引起不少關注。當中「Network Signal」最能體現。要知道用戶的實時位置,最直接方法就是安裝軟件,直接從其手機取得用戶的資料。但要保障用戶私隱,在開發過程中,我們花了大量時間,棄用直接方法,研發出「Network Signal」功能。 「Network Signal」,當「居安抗疫」App 需要監測某人的所在位置,App 系統後台並不會取得該人的姓名、性別、身份證號碼、電話號碼或住址;換言之,系統後台人員不會知道該人士的身份,只知道一個編號,而透過 Network Signal(Wifi Pattern)知悉其有沒離開所在範圍。這是一項間接而又能取得所需資訊的方法,令使用者的個人資料只會存於其手機中,App…
社會對視障人士有很多標籤,僅有一成視力的黃宇彤(Augustine)用行動打破大眾固有想像,年輕時抵受親友反對、同學恥笑,他決意忠於興趣,要做程式設計師(Programmer)。幾經努力後如願,他認為,視障令他思考更多,活用程式幫助自己工作,並希望日後設計程式幫助其他視障人士編程,「我想世界或者社會知道,視力不應是你揀職業的一種限制」。 在辦公室內,Augustin 與其他同事一樣,手指頭噼嚦啪啦的敲着鍵盤,只是他的電腦屏幕顯示的字體比較大。32 歲的他先天眼部神經線退化,9 歲時有視力五成,20 多歲時已退至一成,維持至今,「簡單而言,(視力)就如同 400、500 度近視但無戴眼鏡」。 「每朝每晚都有人叫我放棄」 一直在主流學校升學,Augustine 中學畢業後對語言學有興趣,升讀城市大學語言學及語言科技系,課程提倡用程式協助語言研究。他最初對學電腦頗為抗拒,因為課堂上的電腦簡報,他統統看不清,要留堂向老師請教,但漸漸他發現學得比其他同學快,而且有關科目全部奪 A。 其他同學打算畢業後做老師、做翻譯,Augustine 卻有志於編程,「大學時話想做 Programmer,話去讀書,我已被同學笑,笑我妙想天開」。但他堅持修讀理工大學的資訊科技理學碩士課程,同時做網頁開發工作,惟職場的前輩亦指他因為視障未必適合,不如轉做銷售工程師,他父母及親友則異口同聲叫他放棄。 「我幾乎每日每朝每晚都有人叫我放棄,他們是好心的,尤其我媽覺得我不應揀這條路,叫我揀政府工、文職,有保障。」Augustine 歸納親友的擔心,一是長期對電腦或加速眼睛退化,二來是憂他無法應付編程工作。他續指,很多人認為健視編程亦非易事,何況視障,於是他求職時,付上自家製的短片講解何謂一成視力,而且他牢記各種快速鍵,打字毋需看鍵盤。 Augustine 日常編寫程式時需要放大字體。 「我覺得我同部電腦傾到偈」…
「有外國人面孔都幾好,去外國、歐遊亦不怕,又有點像吉卜賽人,(別人)不敢偷我的東西。」頂着一頭長曲髮、貌似外國人的梁栢謙(Issac)用「安全」形容自己外貌,他在大學實習時視察工地卻「險死」,該段經歷推動他研究工地安全,設計出全新人工智能系統,當偵測到工地人員有潛在危險就發警報,配合數碼工程監督系統作大數據安全分析和風險評估,目標將學界研究結果帶入業界。 24 歲的 Issac 在中學時代,未有機會接觸 STEM 課程,但他打機時,喜歡「開外掛」、改遊戲參數,「例如(打 GTA)改個數值令架車行快啲,咁就玩得易啲」,這是他最初接觸編碼的體驗,直至升讀科技大學土木工程系學士課程時,終有機會接觸相關課程,課餘亦自學編程。 險被挖泥機倒車撞倒 升讀大學四年級前的暑假,Issac 到一間工程顧問公司實習,某次到建築工地視察,他前方的挖泥機突然倒車,在場 4 名工友大聲喝止,挖泥機手卻聽不到,Issac 後方就是斜坡,走投無路險被撞倒之際,幸好挖泥機壓到他前面一台小型運貨手推車後停下。這次驚險遭遇,令他更關注工地安全,畢業論文亦以此為題。 大部分土木工程學系畢業生,以考工程師牌為目標,但 Issac 在 2019 年大學畢業短暫加入大型承建商公司後,即重返校園修讀土木工程哲學碩士至今。他解釋,因為發現部分工作流程缺乏效率,掣肘多、不夠新穎,公司投放很多時間和人手視察地盤、拍攝工地環境、 寫報告,而他認為流程應可適度自動化,望將新技術帶入建築業。…
企業要避免業務資料外洩,特別是高機密性的知識產權、電子交易、財務數據、客戶私隱資料等,採用數據加密技術是其中一個最安全的方法。早前硬體安全模組供應商 nCipher Security 與 Ponemon Institute 聯合發佈了一項名為《2020香港加密趨勢研究》調查報告顯示,原來港企在採用加密技術的比例上,遠高於全球平均水平,出發點更並非為了滿足合規要求,而是要保護客戶個人資料及知識產權! 今次研究一共訪問了來自17 個市場或地區、於不同行業工作的6,457 名資訊科技專業人員,而關於香港的調查報告,則訪問了267名本地資訊科技專業人員。在全球眾多受訪地區中,香港為企業使用加密技術比例最高的地區之一。六成受訪港企表示已制定統一的加密計劃或策略,遠高於全球近五成的平均水平。 採用數據加密技術的原因,有72%受訪者回應是為了「保護客戶個人資料」,令有70%為「保護知識產權」,兩者均比全球平均水平高18%。相反,港企為滿足「合規要求」而採用加密技術的比率,卻比全球平均水平低17%。同時間,報告亦顯示港企在數據加密技術方面所遇到的問題,分別有57%及24%受訪者在「技術部署」及「人才培訓」上遇到挑戰。 報告內其他主要調查結果包括: 「員工疏忽」為洩露機敏資料的最大威脅(50%),其次為「黑客入侵」(34%),以及「系統或處理過程故障」(30%)。港企最有可能加密的數據包括「知識產權」(68%)、「醫療保健資料」(66%)及「員工 / 人力資源記錄」(57%),其比例均高於全球平均水平。「非金融業務資料」(27%)為最不常被加密的數據。儘管78%的受訪者知道HSM,但僅有34%的企業使用HSM,比全球的平均水平低14%。最常見的HSM用例為SSL / TLS(46%)及公共雲端加密(37%),包括自帶金鑰(BYOK),兩者均與全球的平均水平相若。76%的受訪企業計劃於未來12個月為SSL / TLS部署使用HSM,比全球的平均水平高出約三成,為全球最高。 報告下載:https://bit.ly/2ZL2FEi…
為咗避過 Google Play Store 嘅審查,黑客喺設計 Android app 時都要避免將一啲可疑嘅程式碼或功能隱藏起嚟,甚至乎完全唔放喺入面,等日後獲准上架後先透過軟件更新嚟加料。最近防毒軟件公司 ESET 就發表報告,指出一隻名叫 Updates for Android 嘅應用軟件,就透過呢個方法感染約 5 萬部 Android phone,再借用嚟向目標網站發動 DDoS 攻擊。點解佢哋咁清楚呢?因為…
呢隻橫空出現,堪稱空前但未必絕後嘅殭屍網絡叫做 Dark Nexus,普遍認為係由一個以開發殭屍網絡而出名嘅「greek.Helios」出品,佢由 2017 年開始,已經兜售緊分散式阻斷服務(DDos)同殭屍網絡編碼嘅人。 呢隻惡意程式沿用咗另外兩隻都好常見嘅殭屍網絡 Qbot 同 Mirai 部分原始碼, 再加上自家製嘅核心功能,包括可以針對 12 種唔同CPU架構而特製嘅 payloads 。根據名單顯示,Dark Nexus 攻擊到嘅路由器型號相當廣泛,港人常用嘅 Dlink、ASUS,以及Dasan、Zhone都榜上有名,而且由攝影機到熱像探測儀,都係攻擊目標。 Dark Nexus 已經出現咗三個幾月,期間發布過三個版本,根據防毒軟件商…
今年 4 月初,中國國內出現一隻勒索軟件 WannaRen,中招者不單自己部電腦出事,就連同一內聯網嘅電腦都會受感染。由於個名同著名勒索軟件 WannaCry 相似,所以就有人懷疑係咪同一黑客所為?不過,經過內地網絡安全公司調查後,發現隻勒索軟件係用「易語言」嚟寫,所以相信絕對有可能係中國人所為。奇就奇在,製造呢隻惡意軟件嘅黑客喺幾日後,自動上載解密器俾人解密,完全唔使俾之前話要收嘅贖金,到底搞邊科?點解又同北韓金仔有關呢? 其實今次金仔都好無辜,因為同佢又無直接關係,只係黑客將金仔嘅漫畫黑客造型放咗喺 WannaRen 勒索軟件嘅主介面咋。對於 WannaRen 事件,國內安全服務公司火絨安全有詳細來源去脈報導。簡單嚟講,就係 WannaRen 喺知乎、貼吧、微博上突然成為熱門討論話題,以及出現好多受害者後,火絨就開始對呢隻勒索軟件進行源頭追蹤。發現原來黑客係利用 Windows 系統嘅 EternalBlue 漏洞嚟發動攻擊,只要中咗毒,WannaRen 就會由 C&C 伺服器下載及安裝挖礦軟件同勒索軟件,同時感染其他電腦。而且編寫代碼係用中文嘅易語言,所以否定咗同…
加密貨幣(Cryptocurrency)採用區塊鏈(Blockchain)技術,分散式帳本大大提升造假帳嘅難度,安全程度甚至被譽為牢不可破。不過,其中一隻加密貨幣 bitcoin gold(BTG) 最近又被黑客成功造假數,呃咗約 7.2萬美元,仲要係兩年內再度出事,乜嘢叫做不可竄改?Are they a joke to you? 除咗 BTG,其實已有唔少加密貨幣出過事,好似 Verge、Monacoin、Ethereum Classic 等等。又話區塊鏈技術不可竄改,咁到底發生乜嘢事?原來要篡改加密貨幣並唔係完全無可能,只要黑客控制到呢隻加密貨幣喺整個網絡上嘅51%運算能力(Hash rate,哈希率),就可以將新挖出嘅貨幣隱藏唔廣播,然後迅速將貨幣喺市場上出售及提取資金,跟住先將挖出嘅貨幣廣播等其他節點驗證,咁黑客就可以成功擁有呢個貨幣之餘,之前嘅交易亦會被視為無效但錢已攞,達成Double Spending雙重支出攻擊。由於黑客要攞到 51% 嘅演算能力去控制「賽果」,所以除咗叫做 51%攻擊,亦可以叫做多數派攻擊(majority…
Nick sir強調Cyber Range不同於workshop,因為除了會教參加者如何使用網絡安全工具,最重要的部分是要參加者思考在不同情況下應如何使用,非常用腦。 分享FacebookTwitterEmail 近年網絡安全界經常舉辦 Capture The Flag(CTF)奪旗賽,一方面希望能夠提升業界的技術水平,另一方面亦希望從參賽者中找出有能之士,彌補業界專才不足的窘境。不過,正所謂遠水救不了近火,企業在嚴重「缺人」的情況下,應該如何提升現職員工的網絡安全水平?Cyber Range 網絡攻防訓練營,正好可以讓員工進行密集式特訓,Fortinet香港、澳門及蒙古區網絡安全方案經理吳維穎(Nick sir)說相比起奪旗賽的技術較量,Cyber Range 則更重視分析及改善安全觀念,而且更可以增加非 IT 部門員工的網絡安全思維。他更透露,有香港紀律部隊參加過後,表示有興趣買起 Fortinet 整套 Cyber Range 系統作日常訓練,只是因為「武器庫」內藏有真的病毒,殺傷力太大,所以…