今朝一早老編打來催稿,仲鬧 Neo 寫 D 嘢,一岩一忽,九唔答八,點同讀者交代;我話,趕住搵食,一個鐘要出稿,你期望 D 乜呢?老編話,我唔理,總之今次要寫 D 嘢出黎。我話,吓? 好啦,要寫 D 嘢,所以去左個「香港內地網絡安全論壇」,冇報名惟有靜雞雞捐入去聽。一聽,水平又幾高,因為唔係賣藥,而係討論未來 Smart City 的問題,講困難多過講答案,好。Neo 從中吸左唔少,頗有 insight。 Related Posts 【專家主場】略評…
Search Results: 形外佳興 (17)
中文字譯西文,經常令人捧腹。我細細個睇新聞,話檢查有毒物質呈現陽性反應好有問題。我心諗,乜陽性係唔好嘅咩?後來才知係 “Positive” 的翻譯之「誤」。唉,咁樣阿石里克哥哥嘅理論,不如譯做邏輯陽性論,仲勁啦。 上次 Neo 講魚事,旋收讀者來函,又幾好笑。一家人食飯之際,收到阿仔喺大陸的求救 WhatsApp。佢話:「我的銀行存款用完,是否可以存款入我戶口?如果可以,請先轉一千,稍後我再存入你戶口還款。」成家人一睇,文法正確,標點符號完備,語句邏輯通順。所以:必然係假的!而且,眾說紛芸: 阿仔係唔會用完存款嘅!大陸點會有 WhatsApp?佢返咗大陸,會唔會跌咗電話,電話中毒?點會要求轉一千咁多?用辭好似騙案!我地唔好回應佢! 結果 Call 咗佢,原來係真!據聞成家人鬧到佢飛起,話佢點解寫 WhatApp 用晒正確文法,完備標點符號,通順語句邏輯,阿仔深感慚愧云云。想想,這也不失為一則人肉 False Positive 新聞。 果 D Security…
早前, (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴,法庭判了一句:「任何人使用自己的電腦,不涉及取用另一人的電腦,便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨,先此聲明:本人不是藍、黃、紅,亦沒有任何意圖不尊重香港法律界、法官的意思,Neo 亦只是個黃毛小子,未有經過任何法律訓練,以下只是一堆廢話:請不要拉我。 我的感慨在於:甚麽是「自己的」電腦?你付了錢,買了一部有 CPU 有一些 Buttons 的東西回來,就是「自己的」電腦嗎?這個所謂的「自己性」(i.e. ownership) 實在是站在 Asset Ownership 的立場而言,即是說,你大可把這個東西用鐵鎚打爛,因為這是你閣下的財產。私有財產的權利,令你可以對此物有獨佔性的權利,別人不經同意使用、損毁,就是侵權行為,受法律約束。顯而易見,這是站在「客觀財物」的角度看「電腦」。 然而,一部電腦(姑且當它是一個 countable noun)的獨佔性可否成立?在硬體而言,OK。你碰我粒掣、插我個 Port,用它來墊煲,就是侵犯了我的「硬體權」。然而,電腦的「存在感」不在於硬體,更在於軟體,尤其是他的 Operating…
顧問行業,原本是人類智慧結晶。由於 Big Data 及 A.I. 的出現,就算是顧問行業,都出現一種存在的焦慮。有一短文,講顧問行業的五宗罪:過份依賴人、以時間計價、貴、顧問報告追不上變化及顧問知識不夠。現今的 Disruptive Technologies 開始讓一眾食呢行飯的顧問出現危機。好簡單:如果我可以自己 GOOGLE 答案,我點解要畀錢請顧問? 不過,自己 GOOGLE 出來的答案,未必達到所要求的涵蓋性、深度、準確性,而且,只是一堆資料,未必能夠化為有用的策略。人始終有不可代替之處。所以 Wall Street 現時都出現 “Straders”,半人半機器,一邊做 Trade,一邊自己寫程式去有效利用資料。 (Neo…
不好意思,近日 Neo 有喜,潛了水。致歉! 如果眼睛稱為靈魂之窗,臉就是…玻璃幕牆?你的臉本身是一堆物質,但同時反映你的心靈活動。此外,你的臉亦是你的社會存在(Social Identity),所謂認人,其實是認臉,返工亦要睇老闆面色做人。可見,一張臉,是物理世界、心靈世界及人倫世界的交滙點。 我們的臉,可被掃描於政府數據庫之中:不難,現今技術已做到,外遊過關時一定試過。這帶來更好的保安,及加快過關速率。當然會有誤認,但基本上已越來越準。商用也有,刷臉支付、刷臉提款、刷臉進站都有了,所以也出現了「刷臉概念股」:臉與股真的貼在一起了。 但在「一臉通行」的時代,誰真正擁有我的臉呢?明星所關心的肖像權,現在也應該是大家的關心。按理,肖像被他人使用,應該得到肖像權擁有人的同意。坦白講,我日日周街去,咁多攝錄機,我點知我的尊容有沒有被人盜用?Neo曾試過上網搜臉(當然唔用我自己果塊),找到一堆網上照片,有男有女,都幾好笑。與打指摸不同,刷臉可以發生於不知不覺間,當然私隱是一大問題。另外,在我的肖像視頻上,現已可用 AI 改編,製造 Fake Speech,恐怖到笑。我又諗起,如果我塊臉有肖像權,咁我可唔可以放售權利?如果可以,咁我塊面不再屬於我,我早上唔剃鬚,影響肖像,係咪會畀人拉? (Neo按:基本上,我們現代人已經不能 Opt out 刷臉這個「權利」了,除非你用了 Burqa。果然是先知!)
之前寫過一些魚事,其實我亦成日賣魚俾人,幫一 D 企業發放各種魚類 (Phishing Email),搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣,你有沒有見過一種「野獸派」數銀紙方式?一整堆十蚊紙,幾百張成座山咁,當中又濕水又混亂,但係個大佬氣定神閒,一口氣數出來,都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊,有不同吸引力,有 D 係假扮 Invoice,有 D 係假扮香港 Salary Guide,有 D 係假扮你個帳號快要取消,等等。最攞命果條 FIT 殊,仍然係訴諸恐怖,話你個帳號畀人入侵咗,URGENT,快 D…
權限(Access Rights)是一件很好玩的東西,在電腦系統中,處處可見其身影。例如,你登入你的網上銀行,你只能見到你的資料,見唔到我的資料,這就是你的「權」的「限」。理論上,系統中的一切活動,都需要夠權。不夠權,就睇唔到、改唔到、用唔到(此即上文的 C/I/A)。所以,世上所有黑客,都想抵達一個超高權限的境界,有如系統 Administrator 所有的特權咁高。如此,佢就乜都睇到、乜都改到、乜都用到(理論上)。 對於 Administrator 呢一類特權帳號(Privileged Accounts),係要好好管理的。但係……點管呢?因為佢係特權帳號,佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去,反過來,佢可以更改所有其他帳號,叫其他人奈佢唔何。咁又問,可唔可以取消呢 D 特權帳號,人人平等呢?咁又好危險,因為電腦成日壞,在緊急關頭要救機,唔通仲要圍十條友用十個帳號做十樣嘢咩?一定要用特權帳號,bypass everything,救到個系統再算。 (如果你再問我,點解系統會故障、點解要救機,你可以打去消費者委員會問。) 以前,管理這些特權,唯有由政策入手,再加信封。政策上講清講楚,冇人可以有特權帳號嘅密碼,要用的話,拆信封讀密碼,兩個人一齊做嘢,然後再改個新密碼入信封,再將信封鎖入夾萬。幾十年過去,好多機構仍係咁做。 以上這些,行家好清楚,煩親大家唔好意思。 現在係講真話時間。在塵世上,多數會出現以下情況: 特權帳號一地都係。有 D 秘密特權帳號,唔係叫 root…
今早好天氣,一望出街,成群人在低頭捉怪獸。Neo 諗,乜個遊戲仲未死咩?我家對出的地方,平時少外人,但也算係 Public Areas – 公眾地方,原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies,寫到差不多,忽然問我:喂,你有沒有考慮 Public Areas – 公共區域嘅 Security 呀?我反問,Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩?佢話,大佬,我係講緊企業入面果幾十萬呎地方,平日 D…
上文提到,權要有限。那麼職責呢?要分。權要限、職要分,夠鐘要放工,得閒要睇 wepro180。 在系統中,有一條重要保安原則:職責分離。在系統及流程中,要把重要功能、職責拆開。在流程中,申請新帳號或者IT服務者,與批准者,須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截,一人管一截(有 D 似古代果 D 虎符)。又如寫程式的人,不可以把程式直接安裝入系統,要透過另一個團隊。以上這些職責分離,目的是要減少差錯及舞弊。文藝一些講:避免監守自盜。 (再文藝一些…在歷史中,這些職責分離比比皆是,例如中國的皇權與相權的分離、唐代的三省制,以至謀與斷的分工、三權分立等,都有古仔可以講。) 講到呢度,就可以明白,保安系統設計要嚴密,須要包括:有各系統權限的人,他們的職責是否有合理的分離。所以,大機構的 SIEM / Log Management 要求完備,因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…
我參與這個 IT 行業多年,總是有越來越陌生的感覺。當年讀書,讀著 Mathematical Formal Language 去處理 Turing Machines 的運作及了解其本質性的局限,夾著一塊書簽,有一句話,大約是:「當一切都已經塵埃落定,當一切都已經結束,忽然想起,最初最初的陌生。」 一般地說,初步要把握甚麼是 Information Security 資訊安全,可以用一句老生常談的話,資訊安全就是:機密性 (Confidentiality)、完整性 (Integrity)、與可用性 (Availability)。機密性,是讓未被授權的人,讀不到所受保障的資訊;完整性,是不可隨意更改、損毁資訊;可用性,是讓被授權用家,可以用得到那些資訊。倒過來說,資訊安全的問題,也可歸類為機密性問題(例如盜用他人信用卡號)、完整性的問題(例如讓我銀行存款多三個零)、可用性的問題(例如網站被人用 DDoS 攻擊)等。 其中「可用性」這一項,想想亦頗令人頭大。做過…