雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰(passkey)功能,但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟(Fast Identity Online Alliance)測試 Chrome 和 Android 中的驗證密鑰支援功能,而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證,以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…
Search Results: macOS (29)
Apple 即將推出 iOS 16,除了早前宣布加入的安全功能,最新又再追加 Lockdown 模式,為高風險用家如人權組織、記者等提供另一重保障。相關安全功能亦可於 iPadOS 16 及 macOS Ventura 上使用,對平權人士提供全方位保護。 為了獲取對現有政權不利的消息,不少政府除了會派員監視人權組織成員、記者外,亦會想盡辦法入侵對方的電子設備,從中攔截所有訊息及聯絡人資訊。以色列科技公司 NSO 便是其中一個專門為各地政府提供監控的服務供應商,公司推出的 Pegasus監控軟件便曾多次被發現潛伏於上述人士的智能手機內,雖然該公司表示只允許授權政府用於罪案調查,但實際上如何使用,NSO 亦未有明確表示會如何監察。 替政權辦事的黑客,過往經常利用硬件或軟件的零日漏洞入侵電子設備,以 Apple 的…
針對企業發動的網絡攻擊日趨激烈,特別是在新冠疫情下,企業倉卒採用各種雲服務及讓員工在家工作,一時之間令安全運維(SecOps)面對更多挑戰。團隊不單要趕在網絡犯罪集團活用安全漏洞前加以堵塞,敏感行業亦要兼顧法規(compliance)要求。如何才能在資安人手短缺的窘境下兼得魚與熊掌?關鍵在於找到合適的管理工具,以及交由專家找出痛點所在。今次就請來企業軟件公司 VMware 及系統整合商 Amidas的專家,分享解難心得。 疫情加重安全管理難度 早前 Google 發表安全調查報告,指 40% 在雲端平台部署的 instances,在 8 小時內便會被黑客發現及入侵,當中最快紀錄更只需 30 分鐘,可見今時今日企業採用雲端服務的嚴竣環境。Amidas 高級售前規劃顧問 Antonio 說:「雖然近年企業願意在維護網絡安全上投入更多資源,但大部分都投放在偵測漏洞方面,維護方面卻不足夠,導致運維團隊即使知道系統有漏洞存在,也未必能即時應對及修補,一旦受到網絡攻擊,企業營運便會被癱瘓,造成無法估計的損失。」 SaltStack可以跨作業系統進行漏洞評估,最適合配置了多種作業系統的企業使用,快速掌握系統的安全風險現況,優先處理緊急問題。 VMware…
假扮網絡公司或政府機構公共 Wi-Fi 熱點 SSID 名稱、等待受害者自動連線的詐騙手法,大家應該都聽唔少,而部分 Wi-Fi 產品供應商如 Apple、Google、Microsoft 都有對應方法,阻止裝置連接虛假 SSID。不過,新的 SSID Stripping 攻擊就利用裝置先睇到的隱形文字,成功繞過攔截機制,聽落都幾匪夷所思。 專門提供無線網絡安全服務供應商 Aireye,早前在以色列科技學院研究員協助下,發現 Windows、macOS、Ubuntu、Android、iOS 等作業系統的電子設備,都有可能受到 SSID Stripping 攻擊。SSID…
數據外洩威脅急劇上升,保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據,複雜性也在不斷發展,例如同態加密(Homomorphic encryption)、混入假數據等等,無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一,是將數據資料分開儲存。研究人員只可以讀取第一個數據庫,具有完整資料的數據庫就會儲存於其他地方,檢查數據時必須利用演算法去還原完整數據,免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案,系統會將敏感資料完全加密,研究人員要調用真實數據時,系統便會進行同態運算,令數據在毋須解密下都可被搜尋。十多年來,IBM 一直在為同態加密技術作出貢獻,例如提供適用於 Linux、iOS 和 MacOS 的工具包,以及安全儲存和處理數據的雲端環境。不過,同態加密還未成熟,因為需要太多運算,拖慢檢索速度,如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法,主要是加密數據庫內的資料,不過並非全面加密,而是平衡保密與共享原則,只向研究人員透露非私密訊息,減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料,只有獲得演算法密鑰的特定人員可以訪問,其他用戶只可讀取未加密的部分。單向函數密鑰(如 SHA256 hash 算法)是最常用的演算技術,如欠缺這條密鑰,攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段,因為隨機噪音(random noise)可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術,用戶可以將噪音混入數據庫,然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內,有可能令資料準確度出現問題,因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱(Differential Privacy)工具包,它可被應用於訓練人工智能或分析營銷活動數據,而不被噪音影響準確度。…
上星期先將 Apple iOS 更新至 14.5 版本的用家注意,請再次更新上 iOS 14.5.1,事關舊版本 iOS 的 Webkit 引擎存在致命漏洞,只要瀏覽有問題網站,即時可被安裝惡意程式,而且 Apple 警告漏洞正被黑客積極利用,請即安裝! Apple 緊急推出的 iOS 14.5.1,主要是為了修補兩個零日漏洞 (Zero-Day vulnerabilities)。編號為…
一個專門攻擊 macOS 電腦設備的木馬病毒 OceanLotus,其變種現正大肆活躍於東南亞,趨勢科技 (Trend Micro) 研究員指出,這款變種透過偽裝檔案格式避過防毒檢偵,而且一經觸發即會於 macOS 內安裝後門,同時更為自動剷除,中毒後便難以被發現。 變種 OceanLotus 的攻擊方式,主要是透過引誘電郵收件者點擊附件,這個附件雖然被標示為 Word 文件檔案,但實際上卻是一個被壓縮的應用程式,如點擊打開,由於並非 doc 屬性,所以作業系統會選擇執行應用程式,令病毒可以自動執行入侵活動。研究員指出壓縮檔內存在兩個檔案,一個是正常的 Word 檔,用途是令收件者誤以為正在打開電郵內的附件;另一個則為 Shell script,它的作用為刪除檔案的隔離屬性,令變種…
近年網絡隱私關注度高,保護用家私隱甚至成為某些瀏覽器製造商的賣點,然而,無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例,透過用戶在性格分析的遊戲答案,收集大量個人資料,令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡,收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target?我們介紹了一些方法去提高您的隱私設置,令您冇跡可尋! 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎,提高隱私。例如 DuckDuckGo 搜索引擎,由於它拒絕對用戶搜索進行追蹤,就算搜索結果未必能及 Google 深入,卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度,可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…
「今時今日駛鬼裝防毒軟件咩?靠電腦/電話系統內置嘅防毒功能都夠做啦!」唔知你身邊係咪總有一兩個朋友係咁諗,不過唔好咁老定,正如香港人喺一個月之間,差唔多人人都要裝 VPN 傍身嘅時候,你就知道,網絡安全係愈謹慎愈好,想知點解明明本身有防毒系統,都要再裝防毒軟件同 VPN ?就等著名 I.T 雜誌 PC Magazine 嘅網絡安全分析師 Neil J. Rubenking 話過你知。 Window 篇——釣魚電郵、虛假網站表現麻麻 Windows 機本身都內置 Microsoft 防毒系統…
Mac 機俾人嘅印象一向都係比 Window 更加安全,而且只要小心咁用,應該都唔會輕易中毒或者被入侵,但係最近就有公司發現,一隻偽裝成 Flash Player 而實際上主攻 macOS 嘅惡意軟體,竟然可以透過 Google 搜尋器搵到,散播速度極高。 「Shlayer」係 Intego(Mac安全軟件開發公司)喺 2018 年 2 月發現嘅惡意程式,而今次發現嘅呢個變種版「Shlayer」,會透過 Google 搜尋結果傳播。佢會「變身」成第二種形式,繼而呃Mac用家「落踏」下載,仲可以繞過 Apple…