物聯網(IoT)產品又出事喇,不過今次無特別講明係邊個品牌嘅產品,而係有黑客喺一個知名嘅黑客討論區上,一次過將呢 51.5 萬個 IoT 裝置,包括伺服器、router 及其他 IoT 產品嘅登入名稱、密碼,連同獨立嘅 IP 位址,全部公開益街坊,點解嘅點解嘅? 今次唔使估估吓,因為黑客本身都講咗佢點搵到呢啲資料同埋公開原因。原來搵呢啲資料並唔困難,佢只係用軟件去掃描成個互聯網上有公開到 Telnet port 位嘅連線產品,之後再用原出廠設定名稱及密碼,同埋弱密碼組合呢兩個方法,嘗試破解呢啲產品,結果就搵到呢 51.5 萬個有齊全資料嘅裝置,可以用嚟發動大規模嘅 DDoS 攻擊嘅 bot list。…
Search Results: 密碼 (417)
勒索軟件(Ransomware)係現時其中一種最多罪犯使用嘅網絡攻擊手法,因為佢嘅使用方法簡單,只要幾十蚊就可以喺暗網買到,有黑客集團更以 Ransomware-as-a-Service 形式經營,好似上年開發 GandCrab 嘅黑客集團就高調話兩年間賺咗 3 億美元服務費,好搵過 Bounty Hunter 多多聲。再加上加密貨幣(Cryptocurrency)大大減少罪犯收贖金嘅風險,所以愈嚟愈多勒索軟件出現,而且真係任何人或公司都有可能中招。 搶救失敗無後路 對一般用家嚟講,中咗招大不了重裝電腦,最多係無晒啲相、片同檔案啫;但對於企業嚟講,如果重要檔案或寫緊嘅project、程式被鎖死,而平時又無做好備份工作嘅話,真係有可能執笠㗎!好似美國一間電話推銷公司 The Heritage Company,上年 10 月受到勒索軟件襲擊,因為無做好備份工作,事後又救唔番啲檔案同俾唔起贖金,結果一踏入 2020 年,集團 CEO…
APT(Advanced Persistent Threat, 進階持續性威脅)相信係最令企業頭痛嘅問題,事關呢類攻擊會運用多種精密手法嚟入侵企業嘅網絡,然後再長期靜雞雞收集有用嘅情報,真係中咗招都未必發現到,而等到發現問題,可能已過咗幾個月甚至幾年。咁作為企業嘅網絡安全把關員,應該點先去搵出內部網絡有無被入侵?又有乜嘢手法可以減少被攻擊嘅風險? 根據 Accenture 嘅調查顯示,APT 攻擊通常會由小組發動,而且呢啲小組亦會相互之間作技術交流,提升成功率,而且由於唔同嘅 APT 小組針對性盜取嘅機密類型都唔一樣,所以可以話任何企業或機構都有可能成為攻擊目標。如果企業網絡已被入侵,應該會有三個特徵出現。 入侵徵兆 首先就係異常帳戶登入活動,好多時黑客都會透過奪取登入權限進入內部網絡,所以如果發現有員工嘅登入習慣變得異常,或有帳戶試圖提升權限或讀取自己原本攞唔到嘅檔案,就有可能係黑客所為。其次就係突然發現大量惡意軟件,一旦 APT 小組攞到漏洞,就會嘗試安裝惡意程式方便未來持續偷嘢,如發現防毒軟件突然偵測到惡意軟件入侵,而且清除完後轉頭又有其他發現,咁就有可能正遭受黑客入侵。最後就係留意系統資源,因為黑客會利用企業嘅網絡資源嚟進行攻擊行為或暫存即將上載去 C&C 伺服器嘅檔案,所以如發現系統嘅電量、記憶體用量突然飆升,亦可以話係 APT 攻擊嘅徵兆。既然明白咗 APT 攻擊嘅特徵,咁防禦方法就要針對呢幾方面嚟進行。…
一講起美國頭號通緝犯,大家都會以為係拉登呢類恐怖分子……我估直到上個月都可能係,但由今個月開始就有變喇! 事關美國司法部十二月初出咗個新嘅通緝令,通緝俄羅斯一個叫 Maksim V. Yakubets 嘅人,懸紅高達 500 萬美元,500 萬美元算唔算多,我唔敢講,但係今年司法部喺拉登死後通緝佢個仔,都只係出 100 萬美元啫,咁呢位 Yakubets 先生睇嚟份量都有返咁上下! 佢到底做過乜嘢事,要搞到美國政府咁高調通緝呢?原來Yakubets早年成立咗一個叫 Evil Corp 嘅組織,一聽個名就知唔係好嘢,呢個組織由2011年開始,用自家研發軟件Bugat(又叫做 Dridex 同埋 Cridex)入侵目標電腦,取得對方嘅個人資料同埋密碼後,成功盜取佢嘅銀行存款,咁多年嚟大大話話偷咗過億美金(其中7000萬美金嚟自美國),但最令人頭痛嘅唔只係佢哋偷咗幾多錢,而係美國司法當局同…
睇得《賭神》電影多,都知道玩show hand 時乜嘢係偷雞,只要有信心扮鎮定,用堅定語氣同埋眼神講到對家相信自己拎住大牌就得……當然呢個只係電影中嘅情節,現實中要真係偷雞,就唔係咁易嘅,特別係要識揀對手添。 講緊係呢位22歲 Kerem Albayrak,佢自稱係Turkish Crime Family 黑客組織嘅成員,2017 年 3 月寫咗封信俾 Apple,話自己成功盜取咗3億個 iCloud 戶口,恫嚇 Apple 喺 4 月 7…
曾幾何時,OnePlus 手機喺香港都有唔少人玩,貪佢性價比高,Android 系統接近原生,運作速度同流暢度都夠高。不過,後來新機價錢愈賣愈貴,而且亦俾人舉報系統有後門,搞到好多人即時卻步。最近 OnePlus 又再出事,有用家收到佢哋寄嚟嘅電郵,話公司發現內部系統有匿名登入,而且仲接觸過客戶嘅資料添,收到信就代表係受影響人士,作為用家或曾經係用家嘅你,又收唔收到通知呢?記得檢查埋垃圾郵件信箱呀! 就喺上星期,有 OnePlus 用家收到官方發出嘅電郵,表示佢哋最近偵測到有匿名人士闖入佢哋嘅內部系統,而且仲嘗試讀取用家嘅購買紀錄資料。不過,OnePlus 方面已第一時間話俾受影響嘅用家知,洩露嘅資料包括姓名、聯絡電話、電郵同郵寄地址,其他好似信用卡、登入密碼就安全。OnePlus 方面雖然無清楚講明匿名人士利用乜嘢方法進入內部系統,但就話已經堵塞咗呢個漏洞,同時亦檢查埋系統仲有無相同漏洞存在,保證會持續提高網絡安全強度。 單係咁講,真係可以挽回用家信心咩?尤其係年初先俾人入侵網上購買平台喎,答案當然唔得啦,所以 OnePlus 亦公布喺嚟緊 12 月,將會委托一個知名嘅網絡安全平台,推出賞金獵人計劃,邀請全球黑客去發掘 OnePlus 嘅漏洞,去提升品牌嘅安全性。雖然暫時未知會同邊個平台合作,但相信都可以令粉絲比較安全嘅,至於其他未用過又想試用嘅客戶,最後會唔會都係「不了」呢?講到尾,都係抵下部機夠唔夠抵買啫,好多人都好善忘嘅! 資料來源:https://bit.ly/2KTSfKl
寫關於網絡安全事故嘅新聞,每日都要面對一個心理關口:想篇文多人like多人share,當然要單料夠爆先得,但見到發生嘅災難規模以幾何級數咁膨脹,又真係唔想佢發生,好矛盾! 點解突然間咁感觸?係因為今次呢單事故真係好恐怖,有成 12 億人嘅資料外洩,其實而家全世界人口都只係得 70 幾億,即係話差唔多每 6 個人就有 1 個人嘅資料,喺今次事件中外洩,聽落都幾得人驚!咁到底洩漏咗乜嘢呢?原來總共外洩咗 4TB 嘅資料,有齊晒受害人嘅電郵地址、Facebook、Twitter 同埋 LinkedIn 戶口,不幸中之大幸,係入面完全冇密碼同埋信用卡等敏感資料,否則就更加冇眼睇! 發現呢件事嘅,係網絡安全專家 Bob Diachenko 同埋 Vinny…
根據財經網站 Forbes 嘅估計,2021 年全球因勒索軟件(Ransomware)造成嘅損失將會高達 200 億美元,平均每 11 秒就會有一間公司成為勒索軟件受害者。中招嘅人預計會愈嚟愈多,但到底最多人第一時間會點處理呢?美國一班網絡安全專家就做咗一次調查,發現原來有三成人會即刻 reboot 部電腦,專家警告,咁樣做絕對係大錯特錯。 今次四個專家發表嘅研究報告,係委託咗一間網絡市場調查公司 YouGov 去做。YouGov 喺 2017 年 6 月至 9月期間,成功訪問咗美國 1,180…
我想買 Google Home 好耐,你諗下喺屋企嗌聲「OK Google」,佢就自動幫你做嘢,幾咁智能幾咁型!可惜佢一直冇喺香港出行貨,後來有朋友買咗水貨,先發現原來好多功能香港都用唔到,聽完之後就打消咗買佢嘅念頭,跟手睇埋呢單新聞,就更加唔敢買住! 話說日本電氣通訊大學同美國密芝根大學嘅幾位教授,最近公布咗新嘅研究結果,發現好似 Google Home 同埋 Amazon Alexa 呢類用語音操控嘅智能家居裝置,竟然存在極大保安漏洞,就係如果透過儀器將激光光束轉為電子訊號,然後射向呢類裝置嘅收音咪,就可以令支咪以為接收緊聲音;只要不停改變激光嘅強度,就會變到好似打緊摩斯密碼咁,發出語音指令,成功遙距控制部裝置執行指令。https://www.youtube.com/embed/EtzP-mCwNAs?wmode=transparent&rel=0&feature=oembed 大家最關心嘅,就梗係要隔幾遠先有效啦。研究團隊試過將 Google Home 裝置放喺窗邊,然後喺相隔約 230 呎外嘅大廈內,用激光發出「OK Google, open the garage door」指令,結果真係令 Google…
聽到 Fancy Bear 呢個咁可愛嘅名,唔知仲會以為係迪迪尼之類嘅卡通角色。查實佢係一班來自俄羅斯嘅 APT 黑客組織,而且仲有證據顯示同俄羅斯軍方有千絲萬縷嘅關係,可以話係惡名遠播。 呢排有關佢哋嘅新聞特別多,首先係 Microsoft 揭發佢哋喺 10 月初向全球各地嘅運動組織及反禁藥組織,發動咗多項攻擊,手法包括 spear phishing、利用 IoT 已存漏洞、盜取密碼等等,目的係為咗恐嚇大家唔好禁止俄羅斯運動員出席 2020 東京奧運會。 同時間,又有一班自稱係 Fancy Bear…