當屋企內存在愈來愈多智能裝備，被不法份子暗中監測的風險就愈來愈高。早前已有很多潛在風險案例，包括智能喇叭、Webcam、智能電視等等。最近研究又發現，不少港人愛用的小米吸塵機械人RoboRock一樣可以變身偷聽器，關鍵竟然是機身的光學雷射(Lidar)裝置！ 小米吸塵機械人身上的光學雷射裝置，原本應用於測量空間的大小及偵測前方有否障礙物，實際上應該跟聲音無關？不過，它卻可以透過接收反射光束，進而分析與物件之間的距離、物料，以及物件表面的振動變化，所以只要光學雷射裝置能持續向同一點收集數據，便能計算出令物件振動的音頻，再還原成為聲音。以為好高科技？原來在20世紀中期的冷戰(Cold War)期間，以被情報部門應用於偷聽技術，而當時光學雷射裝置是靠著記錄房間內玻璃窗戶的振動而偷聽。 光學雷射科技發展急速，過往達軍用級別的識別技術，近年已大量應用於不同民用產品，而由University of Maryland及National University of Singapore學者組成的研究團隊，就嘗試利用附有光學電射裝置的小米吸塵機械人，還原上述的竊聽技術。團隊今次不只分析玻璃面反射，更收集了紙、塑膠袋、衣料等家居經常出現物品的反射數據，結果顯示還原準確度高達90%。研究團隊更指透過分析聲音，可描繪出發聲人的性別、政治取態等個人圖譜，那就可以進行更有指向性的竊聽行動。 不過，研究團隊澄清今次測試純屬學術研究，叫小米吸塵機械人用家不用恐慌，因為要達成竊聽必須滿足多項條件。首先是要成功入侵並安裝惡意軟件控制機械人，因為如機械人不停轉動，便無法讓雷射集中投放在同一位置，收集回來的數據便無法還原為有意義的聲音。要阻止這種竊聽行動，研究團隊建議生產商除了要做好網絡安全工作，亦可考慮當機械人停止轉動時，可將光學雷射組件關上，這樣就能防止相關竊聽行動發生。 資料來源：https://zd.net/3pNUul2

企業推動數碼轉型的進程，在疫情下步伐更見加速。透過雲端科技及各項人工智能，在企業推行遙距工作期間，仍能快速獲取數據，並提升工作效率；但與此同時對網絡安全的需求也相應增加，以保障資料機密並確保運作不受網絡威脅影響，令終端用戶在操控平台及儲取企業數據時更得心應手。科技巨頭 Microsoft 舉辦網絡安全峰會，夥同其他業界知名品牌：PwC Hong Kong、EY Hong Kong 及 Amidas，分享前瞻遠見。 今次網上峰會為第二年舉辦，去年吸引超過 200 來自不同界別的參加者。而今年的峰會冀讓來自不同行業的企業組織，在數小時內快速掌握後疫情時代下，如何做好有關資安的預備，了解如何應對安全威脅，同時了解最新的科技及趨勢，為2021年的來臨做好準備。有別於一般的網絡研討會，參加者更能獲得與網絡安全專家 1 對 1 的商談環節，雙向交流探討最新的資安趨勢和新興技術，交流創新意念及實踐方法，聯手阻止網絡攻擊，在 New Normal 下一起迎難而上。 活動分上下午兩節進行，並有來自 Microsoft 總部網絡安全部門的專家分享主講，包括 Ann Johnson (Corporate Vice President, Business Development – Security, Compliance & Identity, Microsoft) 分享後疫症時期世界網絡安全和合規性；Minoru…

物聯網（Internet of Things, IoT）的保安漏洞一直為人詬病，經常傳出黑客借已連結物聯網的智能家電，入侵網絡，甚至在企業未為意間，打開其網絡安全缺口！但也不用太擔心，最近歐盟網絡資訊安全局（The European Union Agency for Cybersecurity, 下簡稱ENISA）推出 IoT 產品開發指引，供大家參考如何確保網絡安全。 由 ENISA 所定的指引 Guidelines for Securing the IoT –…

企業擷取和儲存資料量隨需求持續增加，傳統的 IT 儲存架構，已經無法滿足企業服務資料存取速度的要求，新興儲存技術全快閃儲存陣列(AFA，All Flash Array)，適用於大量虛擬化環境、桌面虛擬化(VDI)與數據庫等應用，具備低延遲、高 IOPS 效能、價錢親民等特性，是近年大熱的儲存技術。全球網絡儲存伺服器領導品牌 Synology 能助你實現全快閃儲存架構，達致效能及預算的平衡，解決在虛擬化應用效能所面對的瓶頸。 各種虛擬應用 I/O 效能需求大不相同，例如 ERP 資料庫所需效能約 1500 – 2500 IOPS、一般 Windows 虛擬機 I/O 需求則落在…

釣魚電郵大家都有收過，而最近網絡安全公司 Sophos 收到的一封垃圾電郵就頗有趣，因為黑客試圖令收件人相信自己管理的社交平台違反版權守則，並恫嚇會在時限後停止帳戶，迫使帳戶管理人於虛假社交平台登入帳戶。安全專家指黑客在電郵及虛假網站上做足功夫，一心急就會上當。 Sophos 安全專家在博客上提到間中會收到來自社交平台的電郵，指有用戶投訴其專頁使用了違反版權的素材，須管理人親自解釋。專家相信投訴事件非常普遍，所以就令黑客有機可乘，發出偽造電郵令帳戶管理人信以為真，心急點擊電郵內的連結登入帳戶了解詳情及解釋。文章中提及，Sophos 在最近真的收到這類恫嚇信，不過作為網絡安全專家又怎會如此容易受騙？專家指由於他檢查了發信人的電郵地址並非來自 Facebook server，而且英文文法差，即時已確認是釣魚電郵。不過，專家再深入研究電郵內容，發現黑客也在多方面下苦功，提升電郵的可信度。 首先電郵內有一個「Continue」字眼的超連結，如以滑鼠浮標移至上面，的確會顯示連結是指向Facebook網站；原來黑客只是登記了一個專頁，並將版面偽裝成 Facebook 的申訴版權頁面，令社交平台帳戶人信以為真，於是點擊頁面上的https://facebook.com/copyright/xxxxx超連結。造假第二步是這條超連結卻使用了常用的 HTML 編碼欺詐手法，顯示出來的超連結卻與實際指向的網站不符。造假第三招是雖然該版面都有取得 HTTPS 認證，但專家指出該認證只是早幾天前才發出，可合理懷疑其造假成份。一旦管理人被以假亂真，便會直接輸入帳戶登入資料，甚至進一步輸入 2FA 雙重因素驗證碼，最終便會被黑客奪去帳戶。 由於黑客造假都夠專業，所以專家勸籲大家在收到電郵時，一定要多方面確認信件真偽，例如要詳細檢查發信人地址、將浮標指向電郵內的超連結，預覽與目標網址是否一致。另外，他警告即時導向網址屬於官方網址，從上例也可見未必一定為官方所開設，所以如果要登入帳戶，最穩陣還是親手於網址列輸入官網，再登入個人版面查看有否相關內容或訊息，就可減少被騙風險。 資料來源：https://bit.ly/2HKQjF6

美國總統大選在即，Trump 雖然經常抨擊對手 Biden 低智商，但今次 Biden 終於可以盡情恥笑 Trump，事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘，更有安全專家在5次機會內猜出他的帳戶登入密碼，發圖證明自己成功進入侵侵帳戶，認真無面。 成日用 Twitter 發表自己政見的侵侵，帳戶有八千幾萬人關注，影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者，等大家以為他及 Twitter 在保護帳戶上做好功夫，不過，四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…

對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident…

資安需求日益增加，企業資源分配越見重要，尤其疫情之下，Budget 緊絀。剛過去的 Gartner Security ＆ Risk Management Summit 2020 上，其 Senior Director Analyst Brian Reed 指出，很多企業都用過多時間追求不存在的徹底方案，因此忽略基礎工作。綜合與會專家意見，得出以下 10 個重點 Projects，供各資安主管參考，編入 2021…

C-RAF（網絡防衛評估架構 Cyber Resilience Assessment Framework）是所有香港金融業者必須嚴格遵守的評估框架，以訂出適當的網絡攻擊防禦措施，提升企業安全水平。近日有傳，升級版 C-RAF 2.0 即將來臨，評估或會更加嚴謹！ 是次講座邀請 PwC 專家預估 C-RAF 2.0 的最新規例，同時示範利用 Intelligence-led cyber attack simulation testing（iCAST）以提升安全水平；另外亦請來 Edvance…

曾經盛極一時嘅挖礦劫持攻擊（Cryptojacking），由於賺錢效率極低，喺上年中開始已無乜黑客使用。不過，Symantec 指出喺今年第二季，偵測到嘅 Cryptojacking 竟然比上季勁升163%！唔通有新方法搵錢？ 隨住加密貨幣（Cryptocurrency）嘅興起，唔少人都添置咗強勁電腦喺屋企挖礦賺錢。不過，有黑客就唔想買電腦同俾電費，於是就透過 Cryptojacking，偷偷喺人哋嘅電腦或網站上置入挖礦程式，用人哋嘅資源嚟搵錢，手法可謂極度卑劣。當中一間德國公司 Coinhive 就專門提供門羅幣（Monero）挖礦程式服務，只要喺網站程式碼內嵌入佢哋嘅程式，當有網民瀏覽呢個網站，電腦運算資源就會被利用嚟挖礦，網站所得收入就會同 Coinhive 分成。另一方面，亦有黑客偷偷哋入侵人哋嘅網站，再嵌入 Coinhive 程式碼，借人哋嘅網站賺錢。據調查統計，高峰時期至少有 4200 間英美網站被植入挖礦程式碼。 不過，自從各大瀏覽器開發商開始攔截呢啲植入挖礦程式碼嘅網站，再加上門羅幣價值暴瀉八成，Coinhive 亦再搵唔到錢，結果喺上年 3 月宣布停止服務，順帶令到 Cryptojacking 步向衰落。而最大嘅原因係，利用網站嚟挖礦所得費用，居然仲低過正正經經刊登廣告，所以點解喺今季又突然多咗人用呢？…