中國的大型科技公司：百度、阿里巴巴和騰訊（統稱為 BAT）這三巨頭正努力把自己定位成為 Smart City 解決方案領導者，並希望打造自身為──自動駕駛、語音對話式 AI、面部識別技術、預測性醫療保健方面等的全球領導者。 BAT 的優勢 BAT 有資金和資源，除了積極擴展到亞洲其他國家，正努力招募外國人才，並投資外國的 AI 創業公司，形成全球合作夥伴關係。再加上中國市場有得天獨厚的 AI 應用的條件，包括人口龐大、數據量大、科技人才湧現、廣泛電子商貿應用，更有大量物聯網設備也在中國生產。綜合起來，會給予 BAT…

如果只看文章標題，會以為我想講講 IT 從業員需要大量 OT（overtime），俗稱 IT 狗，有幾辛苦等等……當然不是啦。只是最近碰到一較新的名詞，叫 Operational Technology，簡稱 OT。 IT 與 OT 的分別 在電腦系統未有大量普及前，企業一般都會投放資源去成立 IT…

在周星馳電影《功夫》有一句話說道：「天下武功，無堅不摧，唯快不破！」我就利用這句說話，跟大家分享「唯快不破」的創業心得。 行業變化要快 首先，行業很重要。那些行業變化比較快（當然要對該行業有相當的認識），你的成功機會就比較高。因為這些行業，對大公司來說是沒有太大優勢。畢竟大公司決策需時，在行業環境變化快的局面，人力、財力也不是關鍵。相對來說，一家靈活的初創企業，就可能擁有不少的優勢。行業變化愈快，就對細公司愈有利。10 多年前，我們公司選擇在 IT Security 起步的原因，也是因為 IT Security 在整個IT領域變化得比較快。 行咗先算，怕輸就唔好搞 Start Up 每家 Start…

世界盃對球迷來說，可說是四年一度的大喜日子，在俄羅斯的開波時間對本地球迷來說時差比較好，至少冇咁夜開波。對於足球的陣式，有傳統的 4-4-2、4-3-3、到較新陣式如 4-2-3-1、3-5-2、 3-4-2-1 等。如何擺陣和變陣，也視乎整體戰術、球員特質及比賽情況而定。 我喜歡 4-2-3-1 在公司內，高層管理人員基本上就是扮演足球「領隊」的角色，帶領員工為業務爭取好成績。在一次內部會議中，喜歡足球的我（已掛靴N年，現只睇波而已），就用了我比較喜歡的 4-2-3-1 陣式（攻守較容易作出變化）去形容對公司不同部門在球場的位置，及應該如何配合。 後防骨幹：Technical 讓我先從 4-2-3-1 的後面 4…

自「防火牆」面世至今的過去二十幾年裡，為了面對不同的網絡安全挑戰，市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣，企業不停地修補漏洞，亦不斷地添置安全設備去加強防禦和監控。就算是大型企業，要投放大量資源去做好網絡安全，都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商，對於一些企業來說，也是一個選擇，但如何挑選合適的服務供應商仍是一個難題。首先，市場充斥著很多安全服務供應商（MSSP，Managed Security Service Provider），有本地 MSSP，也有外地 MSSP，其服務內容也林林總總，更有不同的 Service Level，價格也有很大差異。要認識清楚服務內容，實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段，其質量和穩定性還需要時間來印證。 買車轉為 Call 車…

之前寫過一些魚事，其實我亦成日賣魚俾人，幫一 D 企業發放各種魚類 (Phishing Email)，搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣，你有沒有見過一種「野獸派」數銀紙方式？一整堆十蚊紙，幾百張成座山咁，當中又濕水又混亂，但係個大佬氣定神閒，一口氣數出來，都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊，有不同吸引力，有 D 係假扮 Invoice，有 D 係假扮香港 Salary Guide，有…

權限（Access Rights）是一件很好玩的東西，在電腦系統中，處處可見其身影。例如，你登入你的網上銀行，你只能見到你的資料，見唔到我的資料，這就是你的「權」的「限」。理論上，系統中的一切活動，都需要夠權。不夠權，就睇唔到、改唔到、用唔到（此即上文的 C/I/A）。所以，世上所有黑客，都想抵達一個超高權限的境界，有如系統 Administrator 所有的特權咁高。如此，佢就乜都睇到、乜都改到、乜都用到（理論上）。 對於 Administrator 呢一類特權帳號（Privileged Accounts），係要好好管理的。但係……點管呢？因為佢係特權帳號，佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去，反過來，佢可以更改所有其他帳號，叫其他人奈佢唔何。咁又問，可唔可以取消呢 D 特權帳號，人人平等呢？咁又好危險，因為電腦成日壞，在緊急關頭要救機，唔通仲要圍十條友用十個帳號做十樣嘢咩？一定要用特權帳號，bypass everything，救到個系統再算。 （如果你再問我，點解系統會故障、點解要救機，你可以打去消費者委員會問。） 以前，管理這些特權，唯有由政策入手，再加信封。政策上講清講楚，冇人可以有特權帳號嘅密碼，要用的話，拆信封讀密碼，兩個人一齊做嘢，然後再改個新密碼入信封，再將信封鎖入夾萬。幾十年過去，好多機構仍係咁做。 以上這些，行家好清楚，煩親大家唔好意思。…

上兩期都是環繞着「白帽黑客」（White Hat）這個題目，心想如果在港可以舉辦一個較大型的黑客 CTF 大賽，讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流，那倒是一個不錯的做法。 發現樂趣，創造奇蹟 過去十年，黑客的意義有所改變，但是精神是一樣的。黑客們的共通點，是想知道和理解事物如何運作，在深層次研究後，他們可以創造超乎想像的奇蹟，並在其中發現樂趣。然而黑客並沒有想像中的恐怖，如果黑客發現某軟件存在漏洞並報告給相關企業，那麼企業對其進行快速修補，便會避免此漏洞帶來的危害。 「我們的」黑客大賽，培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽，被譽為黑客界的「奧斯卡」，堪稱是殿堂級的安全盛會，黑客和安全專家都會慕名從世界各地趕來參加，去年參加人數更超過兩萬。我們也決定試一試，暫定於今年 10 月，在港舉行由我們公司主辦的首屆黑客大賽，希望培養業界人士對發掘網絡安全漏洞的興趣，從而提升本地的網絡安全水平。 高手相助，同場切磋 舉辦黑客大賽，我們還缺乏經驗。所以近月我也忙於跟參與過黑客…