台灣真人改編電影《陣頭》入面，代表住台灣傳統陣頭習俗嘅震天團長武正曾經話，「電視不就那些殺人放火的才能夠上，出名又怎樣？」的確，有時公司名頻頻出現喺傳媒報導上，真係唔係好事，好似早前俾 Microsoft 排除喺自動更新 Windows 10 名單上嘅 Avast、AVG 防毒軟件，由於同系統相撞，必須先將防毒軟件更新至最新版本，先可以升級 Windows 10，呢種「特殊」待遇真係令到好多用家感覺洩氣。早幾日，Avast、AVG 嘅大名又再喺新聞亮相，今次就輪到佢哋嘅 Chrome、Firefox 瀏覽器擴充程式出事，被安全研究人員 Wladimir Palant 踢爆暗中採集過多瀏覽行為，多到足以鎖定用家身份添！ 今次被發現有問題嘅瀏覽器擴充程式，分別係Avast Online Security、AVG Online…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

好多人都會用打機嚟減壓或 kill time，雖然只係娛樂嚟，但大家都唔好忽視佢嘅安全性。Cyware 網絡安全分析師就近發表一篇文章就指出，無論係玩家抑或遊戲開發商，都要改變一下大家嘅想法，否則好易造成個人私隱外洩，後果可以好嚴重咁話。 其實大家間唔中都會聽到玩家帳戶被搶嘅消息，除咗因為廠方管理玩家嘅私隱不善導致外洩，例如上個月手機遊戲開發商 Zynga就洩露咗兩億玩家帳戶資料，另外亦可能同玩家設定嘅密碼太過簡單有關。專家 Ryan Stewart 解釋，唔少玩家覺得打機只係娛樂，認為無乜特別風險，為咗快速登入帳戶，所以傾向選擇簡單嘅密碼組合，就算廠方提供雙重認證登入方法，都唔會特別選用。Ryan 亦指出加上大部分玩家都係青少年，佢哋亦唔認為個人私隱有幾重要，所以對守護帳戶疏於防範。 Ryan 話如提升打機嘅安全性，無論玩家或開發商都要有所提升。首先係玩家方面，其實資深玩家嘅帳戶係地下市場有市有價，而且有時帳戶入面仲會有玩家嘅信用卡資料，所以絕對會成為黑客攻擊嘅目標，所以玩家一定要設定複雜嘅密碼，同時唔好同其他帳戶共用密碼，絕對唔好貪方便直接用Facebook 或 Google 帳戶嚟登入，萬一私隱外洩就有可能令呢啲帳戶同時失守。如果打機嘅裝置有防毒軟件，玩家亦應該考慮安裝。 至於遊戲開發商方面，Ryan 話應該主動提醒玩家安全事項同提供實際做法俾玩家參考，自己亦要做好防禦工作，以免將玩家資料外洩。仲有一點較為特別，就係開發商應引入行為分析工具，當發現玩家嘅行為出現異常，例如短時間內登入位置過遠、登入時間大幅度改變，都有可能係帳戶被黑客攻擊嘅徵兆，咁就可以為玩家提供多一重保障。簡單哋講句，即係玩都要玩得專業啦。 資料來源：https://bit.ly/2OPkoF1

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

從事網絡安全行業，都知道世界上沒有百分百安全的偵測工具，可以完全阻截黑客的攻擊。如果有，就不會出現零時差攻擊（Zero Day Attack）。 RESEC 網絡安全公司的 Executive Chairman Tal Yatsiv 亦明言，網絡安全只是一場攻防戰，防守方往往處於被動，大部分時間只能見招拆招；相反攻擊者由於了解守方的防禦手法，自然更易鑽探漏洞，想出新鮮的攻擊方法，「所以我們認為最佳的防禦策略，並不是偵測而是預防。」他說傳統防禦概念是以不同的工具去偵測哪些檔案藏有病毒，建立白名單，但前設是病毒特徵資料庫必須先有記錄，否則偵測工具便會放行，換言之都有出錯風險，「因此 RESEC 創辦人及 CTO Oren Shnitzer 當年設立 RESEC 時，其宗旨並非為了攔截有問題的檔案，而是視一切檔案都有問題，並提供安全方法讓用家去開啟檔案。」 安全防禦 拒設白名單…

除咗 Wi-Fi，我諗日常用得最多嘅無線科技，一定係藍牙！揸車嘅一日到黑都用藍牙免提唔在話下，就算好似我呢啲無車一族，都好鍾意用支藍牙遙控自拍棍影下相，或者駁部手機去藍牙喇叭聽下歌，但係藍牙有樣好衰嘅嘢，就係每次配對都好鬼蹝時間，所以一旦配對好，大部分人都會keep住由佢繼續用，咁就好易出事！ 點解咁講？你睇下近期嘅新聞就知原因，首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON，就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭，然後遙控佢播放高頻音效，邊個唔好彩身處喇叭附近就有機會聽覺受損，所以大會俾所有與會人士嘅建議只得一個：熄咗藍牙佢！ 另一單就再嚴重啲，有研究員發現藍牙原來存有漏洞，傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容，即使係一啲早已成功配對嘅產品，都可以喺配對後入侵，都係嗰句，你唯一可以做嘅，就係熄咗藍牙佢！ 夠驚嚇未？未算！幾星期前，有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式，透過 AirDrop 拎到你個電話號碼；另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器，只要你部手機開著藍牙，喺顧客唔知嘅情況下追蹤佢哋嘅行蹤，仲將呢啲數據賣俾廣告商……林林總總多不勝數，如果你唔想成為以上事件嘅受害者，都係一句，熄咗藍牙就最穩陣啦！ 資料來源：https://bit.ly/2HfZQkI

今年資安界最「老貓燒鬚」事件，一定要數 McAfee 單官司，佢狀告三位前員工偷走公司機密，拎埋去敵對公司返工。 正所謂日防夜防，家賊難防，由古至今內鬼永遠係最令人頭痛同最難處理嘅問題，麥肯鍚就曾經發表過報告，話 2012 至 2017 年期間，有五成違反協議嘅個案都係同內鬼有關，都咪話唔得人驚！雖然好多企業都有一套守則，防範公司資料外洩，當中包括培訓員工提高安全處理資料嘅意識，甚至一系列保安措施，但最後都避免唔到出事，原因係真正要提防嘅係公司數據。 細水長偷 好多公司會錯判形勢，以為內鬼多數會將所有資料拎走，只要留意有冇人一次過抄走好大size嘅檔案就得；但係員工跳槽唔係尋日先決定嘅事，亦唔會臨走嗰幾日先走嚟抄檔案，尤其係根本處心積累要轉工嘅，真係三個月前逐少逐少抄定都得啦！而且老實講，好多時候員工都會外出開會或者返屋企工作，根本有啲檔案一早已抄走咗，係絕對唔需要一次過抄走 10TB 檔案咁顯眼囉！ 仲有就係，其實一間公司值錢嘅檔案，size 未必需要好大，以軟件公司為例，短短幾行只係 10KB 嘅程式碼已經可以係最重要嘅機密，而食品公司記載產品秘密配方嘅文件檔都好可能只得幾 KB，所以資安專家 Rob Juncker 提議企業判斷數據價值，唔應該用…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

美國食物及藥物管理局（FDA）早前發出警告，指出美國醫療科技公司 Medtronic 推出嘅胰島素自動注射器 MiniMed 嘅舊型號有安全漏洞，可以俾黑客無線修改注射劑量，隨時搞出人命。漏洞被揭兩年，但專家發現對方竟然無主動回收，專家於是實實在在寫隻殺人 app 出嚟，警告對方唔係講玩㗎！ 殺人 app 暴力破解連接 糖尿病患者有唔同類型，有啲糖尿病人無法分泌足夠胰島素（Insulin），亦有糖尿病人係因為出現胰島素阻抗（Insulin Resistance），對血液中嘅糖份敏感度下降，最終導致血糖累積。如果病情嚴重，病人就需要口服或注射胰島素藥物，醫生會調校藥劑，維持體內嘅胰島素量，過多或過少都會對人體造成傷害，甚至有性命危險。 QED Security Solutions 研究員 Billy Rios 同埋 Jonathan…