IoT（Internet of Things, 物聯網）產品嘅漏洞多不勝數，雖然唔少有良心嘅廠商喺發現漏洞後好快會推出更新檔修補，但由於唔係自動更新，好多時都要用家手動處理，如果廠商無通知用家，其實用家好難發現。 最近一款喺 Amazon 及香港電器連鎖店有得賣嘅智能門鐘系統 Ring DoorBell，被 BullGuard at Dojo 研究人員發現漏洞，經 Wi-Fi 無線傳輸嘅數據因採用了較弱嘅加密技術，可以被黑客利用 VideoSnarf 攔截，了解屋主有幾多家庭成員、出門習慣，連以往俗稱現場監視嘅「踩線」都可以慳番，罪犯只須安坐家中，就可策劃爆竊、綁票行動。黑客甚至可以好似電影橋段一樣，插入一段虛假影像扮親友㩒門鐘，並發送到用家嘅專用手機 app 內，誘騙用家遙控開門。 Ring…

DEF CON ’18 邀請了一班小朋友參加比賽：攻進一個複製的選舉結果網站，最後由一位 11 歲小朋友於 10 分鐘內成功攻入。除了顯示今日的網絡安全問題，亦提醒大家，別小看小朋友的能力。曾經有個 List 大數著名的兒童黑客，今日大家重溫一下： Reuben Paul 網絡安全界神童 Reuben Paul 現年 13 歲，是一位白帽黑客，其身份包括網絡保安大使、兒童黑客、最年輕少林功夫黑帶、體操運動員、Video-gamer、網絡忍者及 CyberShaolin 創辦人。Reuben…

美國國家反情報與安全中心（National Counterintelligence and Security Center，NCSC）表示，美國企業一向是國家級黑客的目標，NCSC 日前推出一系列宣傳品教導企業對抗網絡攻擊。 美國企業被黑攻擊頻繁，資料外洩、供應鏈遭滲透、情報遭截取等事故屢見不鮮，代價沈重，甚至危及國家安全。而且不少攻擊模型屬「國家級」的，NCSC 舉例去年 3 月來自伊朗的大規模網絡攻擊，竊取美國企業及超過 144 間美國大學的研究成果、3 月 發現由俄羅斯政府主導，偵測美國的能源部網路，還有 9 月北韓的 WannaCry 2.0 攻擊。因此，NCSC 推出網絡安全宣傳活動，以提高國民及企業意識。最新推廣活動名為「Know…

勒索軟件肆虐全球，著名的有 WannaCry、NotPetya、Locky、LeakerLocker 等，而 PyLocky 主要於歐洲肆虐，重災區為法國，不過 PyLocky 有英、法、韓及意大利版本，顯示此勒索軟件亦針對不同語系受害者。 透過垃圾電郵散播，能避過沙盒偵測 PyLocky 於去年發現，屬變種 Locky 勒索軟件，散播途徑主要透過垃圾電郵及釣魚電郵，誘騙受害者開始連結，觸發惡意程式。PyLocky 會進入睡眠狀態 999.999 秒或 11 日半（如受害系統記憶容量只餘 4GB 以下），以避過沙盒偵測。PyLocky 以…

12 歲的黑客小天才 黑客界鼻祖 Kevin Mitnick，充滿爭議性的傳奇人物，看完他的經歷，會發覺「第一黑客」稱號，當之無愧。有人形容 Kevin 的上半生猶如電影《Catch me if you can》的男主角 Frank Abagnale。Kevin 於 1963 年生於美國加洲的一個猶太家庭，小時候已發揮黑客本色：12 歲時，利用Social Engineering 及 Dumpster…

Splunk 令人著迷之處是其前瞻力，因此，每年的 Splunk Forum 不只是一次 Splunk 的動向或產品報告，更是一次業界未來報告。Splunk 近年收購了不同技術如 VictorOps（DevOps）、Phantom（Security Orchestration）等，加上 Machine Learning、Cloud 等技術，令 Splunk 於各範疇上進一步強化，今年的 Splunk Forum 就展示了這些技術如何完美地融合。 由 Detective…

相信大家都收過欺詐電話，要用電話呃人，要花時間與對方溝通，但現今生活節奏急速，很多人都會 cut 你線，要成功得手，絕對唔容易。欺詐電郵就唔同，騙徒首先會對目標人物的背景有所掌握，也會精心製作電郵內容，並以冒充的身份把電郵發出，一般用戶收到這些電郵，都難以判斷真假。 傳統安全方案束手無策 事實上，電郵仍然是現今最大安全攻擊途徑。原因很簡單，發動攻擊成本不大，因為你是不能拒絕攻擊者發送電郵給你。況且傳統的電郵安全方案也好一段時間沒有技術革新，依然側重於防病毒、防垃圾電郵等功能，把懷疑有問題的 Email 隔離就了當。面對更新型的欺詐電郵攻擊，傳統的電郵安全方案缺乏技術及能力處理，可以說是有點手束手無策。 BEC 個案平均損失近百萬港元 Business Email Compromise（BEC）是近年出現的名詞，指利用欺詐電郵手法（或附有網絡釣魚攻擊）的新型威脅。 BEC攻擊者大多數會冒充公司外國供應商、老闆、公司高層、公司員工、公司律師（會計師）等… 欺詐目標大多數是公司的財務或高級管理人員，最終目的是以不同的藉口要求匯款，令公司蒙受重大金錢損失。據統計，每個案平均損失近百萬港元，這絕對是大茶飯。 期待最新技術杜絕 BEC BEC 之所以難以防止，因為它利用大眾的疏於防範的心理，讓受害者掉入社交工程（Social Engineering）陷阱。在今天高度透明的商業社會，要找出財務部門（或公司高層）的電郵地址並非難事，這也意味著一個一個精心炮製的欺詐，隨時可以用電郵發動。在「道高一尺魔高一丈」的網絡安全環境中，我們總不能單單每日叫員工提高安全意識。新一代的電郵安全系統，終於包含了BEC 防護功能，期待最新技術能把這類超級大殺傷力的欺詐電郵威脅徹底清除。

我參與這個 IT 行業多年，總是有越來越陌生的感覺。當年讀書，讀著 Mathematical Formal Language 去處理 Turing Machines 的運作及了解其本質性的局限，夾著一塊書簽，有一句話，大約是：「當一切都已經塵埃落定，當一切都已經結束，忽然想起，最初最初的陌生。」 一般地說，初步要把握甚麼是 Information Security 資訊安全，可以用一句老生常談的話，資訊安全就是：機密性 （Confidentiality）、完整性 （Integrity）、與可用性 （Availability）。機密性，是讓未被授權的人，讀不到所受保障的資訊；完整性，是不可隨意更改、損毁資訊；可用性，是讓被授權用家，可以用得到那些資訊。倒過來說，資訊安全的問題，也可歸類為機密性問題（例如盜用他人信用卡號）、完整性的問題（例如讓我銀行存款多三個零）、可用性的問題（例如網站被人用 DDoS 攻擊）等。 其中「可用性」這一項，想想亦頗令人頭大。做過…

前日，同個老闆飲完，自己去咗瑞安中心一樓嘆咖啡，之後有 D 急，要搵廁所，望住 D 廁所箭咀一路行，推開道門看看，左邊，係女廁，右邊，係一間食肆嘅廚房入口。在這麼一刻，我感到進入了 Nirvana 的境界。但由於仍然很急，我只得回到我的 Dusty City。 上回講到 Smart City。這個話題可以講幾年。上文講到，透過把 Smart City 作系統架構分析，就可以做個 Mapping，將不同的 IT Security 策略以及技術，配對在 Smart…

香港嘅 startup 唔算多，金融科技範疇嘅，更屬罕見。AdvSTAR 由 Joe Chan 帶領，成功將研究院項目變成實際應用，叫好又叫座，當中嘅成功關鍵、經驗絕對值得借鑑。 防到一次 attack，已經極之好 Cyber Security 嘅有趣之處，就係「做咗好似冇做」，feel like yesterday。而冇事發生，就係最好，尤其係金融銀行業。「因為有一啲消息、資訊、本地情報、特定 APT、盲點、新型 attack 等，係佢地未必睇到，或者有某啲限制做唔到。對佢地來講，只要防到一次 attack 都已經極之好。」AdvSTAR 嘅誕生，正正針對金融、銀行及大企業特性，度身設計，揉合不同技術及程式，進行收集、發放、驗證、分析及配對資訊，同時提出專業建議、技術分享等。甫推出即獲各金融、銀行及大企業樂意採用，究竟成功關鍵係乜呢？…