想偷取目標對象嘅資料，而又可以做到神不知鬼不覺，原來唔需要好高科技，只要喺對方嘅防火牆、路由器等硬件上加裝一粒晶片就做到。有專家示範只要喺網上買粒價值兩蚊美金嘅晶片，再偷偷地裝入硬件嘅底板上就得，提醒大家係無想像中咁難㗎！ 示範呢個技術嘅係 ICS 安全公司 FoxGuard 嘅專家 Monta Elkins，嚟緊佢將會喺月尾嘅安全大會 CS3sthlm 上詳細公佈佢嘅 PoC 內容。為咗俾大家知道佢嘅研究有料到，所以佢係提前公開部分內容。Elkins 首先喺一塊價值兩蚊美金嘅 Digispark Arduino 底板上搵咗粒 ATtiny85 晶片嚟修改程式，呢塊晶片只係得 5mm 大，睇相就明白喺底板上出現一塊咁細嘅晶片，唔單只好難發現，同時亦係好合理。…

成日話免費軟件唔係免費，原因就係咁，因為你喺用嘅同時，其實係付出緊某啲代價，例如要睇廣告、喺社交平台分享資訊等等，更嚴重嘅代價，就係有可能被黑客入侵，盜取個人私隱，Android免費版本嘅應用軟件 CamScanner 就係最佳例子。 CamScanner 第三方供應商偷藏後門 CamScanner 係一隻可以將影相製作 PDF 嘅應用軟件，由於好方便用嚟製作電子書，所以係一隻大受歡迎嘅 app，單係 Android 版本嘅下載量已破億，雖然免費版會有水印，亦唔支援 OCR，但都唔影響佢嘅受歡迎程式。不過，Kaspersky 網絡安全專家發現 Android 版 CamScanner 內藏後門，可以俾黑客暗中遙距安裝惡意軟件，盜取個人私隱或進行網上購物。 Kaspersky 專家話首先發現…

ASUS、Huawei、Intel、NVIDIA、GIGABYTE、ASRock、MSI、Toshiba……講明先唔係大清算，只係合共廿幾個電腦硬件品牌嘅驅動程式被發現有漏洞，可以俾黑客攞到 Ring 0 最高權限，快啲睇下自己有無份先。 DEFCON 網絡安全大會嘅好玩之處，係過程中有好多黑客會發表獨家調查報告，而且仲會好詳細咁分析保安事故發生嘅原因，有時呢啲錯誤真係低級到難以置信會發生喺一啲大企業身上，所以特別適合花生友睇。 電腦安全公司 Eclypsium 研究員今年就喺 DEFCON 上發表報告，佢哋研究咗各大電腦硬件公司推出嘅硬件驅動程式（drivers），當中發現有廿幾個品牌、40 個驅動程式存在高危級別漏洞，黑客可以通過呢啲漏洞，將登入 Windows 作業系統嘅權限由 Ring 3 一口氣提升至最高嘅 Ring 0，令到黑客可以喺電腦內為所欲為，例如整死部電腦、安裝後門等惡意軟件、盜取資料等等。而最大嘅問題係，呢啲 drivers…

估唔到黑客都咁追得上潮流，連殭屍病毒都吹起韓風。最近有新品種殭屍病毒專攻南韓同埋中國嘅 Torrent 網站，主要針對韓劇種子嚟落毒，用家一唔留神就會中招。韓劇迷 BT 嘅時候要小心！ 網絡安全品牌 ESET 嘅研究員發現新品種殭屍病毒，趁住韓劇、韓國電影甚至韓國遊戲大受歡迎，廣泛喺南韓同埋中國嘅 Torrent 網站落毒。只要網民打開咗有問題嘅 BT 檔，病毒就會喺受害者嘅電腦上打開後門，將電腦變成殭屍大軍嘅其中一員。研究員指出，該病毒其實係 2017 年爆發嘅 GoBot2 變種，由於變種元素主要針對韓國，所以就命名為 GoBotKR。 GoBotKR 通常以韓劇、韓國電影、遊戲嘅種子作包裝，爆開之後，就有幾個檔案，通常包括無毒嘅 MP4…

被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點，要追溯至烏克蘭的首都基輔。 走過佈滿歷史建築地標的 Podil 街區，咖啡店和公園逐漸消失眼前，取而代之是糟糕的工業景觀。走過一條天橋下方，跨過鐵軌上的垃圾及走進一道混凝土門，便是樓高四層的 Linkgos Group 總部，它是一間小型的烏克蘭軟件家族企業。 其中在三樓有一間伺服器室，內裡堆放了一個個盒子般大小的伺服器，它們被一堆電纜連接著，並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護，如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken，總之在該國經營須納稅的生意，幾乎都要用到這個軟件。 不過在 2017…

人生有個豬隊友確係慘仔嘅，最慘如果係自己上司，有時都唔知點幫佢兜，搞到我都好想升高三個 key 同佢講，「你真係蠢唔係扮㗎喎！」唔知係咪開口中，早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品，分析吓有冇後門，其中一項要做 dynamic analysis，睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕，所以成 team 人好快已有共識，就係利用一隻 open source 嘅工具，去 capture 軟件嘅網絡流量做分析，同時用不同嘅 軟件（當然都係快靚正嘅 open…

香港《個人資料（私隱）條例》早於 1996 年生效，是亞洲首個全面保障市民私隱的條例，我們，曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進，不斷修訂，而香港就原地踏步，猶如在用二十年前的電話，很落後。」莫乃光從事資訊科技及電訊業二十多年，見證業界發展，作為立法會議員， 開口埋口都是政策。「政府要改變做事方法，要知道今日的網絡世界如何，要更新政策，拖延下去絕非香港之福。」 香港，未 ready 「香港現在面對的網絡安全問題，基本上與全世界都一樣，其實重點是應對的準備是否足夠，而我覺得香港未足夠。」莫乃光所講的準備，是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例，已經有很多需要改善的地方。現在很混亂，例如政府可以用那條法例檢控網絡入侵呢？《電訊條例》用過一兩次，檢控不法偷用電視機頂盒訊號；《截取通訊及監察條例》呢？只能用於本地執法部門，不適用於其他罪犯。再問下去，『不誠實取用電腦』又範圍太闊，實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出，香港現行法例並沒有一條具針對性。檢控方面未完善，至於阻嚇及預防方面，亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改，原地踏步，尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義，香港的定義仍然沿用二十年前的；GDPR 罰則嚴厲，可達公司全年收入的 4%，具阻嚇作用。另外，香港私隱專員的權力、檢控權都很薄弱，都必須檢討。」可喜的是自從國泰等事故之後，政府承諾會在第一季檢討相關政策，研究修訂條例。「不過，過程亦困難重重，凡是會提高成本的條例，商界很多時就本能地反對。而似乎政府害怕商界的反對聲音，多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前，比其他地方明顯特別落後，是有其原因的。 莫乃光，資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情，是對企業的支援。「政府投放於創科的金額可以過千億，但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵，但資助用於改善系統以增強競爭力，就沒有資源做好網絡保安，所以政府應該開出特定的金額，幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面，對警察的執法能力就相當肯定。 支持警方擴軍，籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案，警方特別擴充部門，成立網絡安全及科技罪案調查科，人手亦每年遞增，我絕對支持。」近年網絡罪案數字不斷上升，加強警力非常合理。「我相信罪犯都明白，今時今日在網上犯案搵錢很容易，風險亦較低。唔通仲揸支槍去打劫？」莫乃光認為唯一的不足，是部門的透明度很低。「其實我沒有足夠資料去討論細節，因為透明度很低。我認為警方可以多與業界及專家交流，讓大眾對警方更有信心。」 網絡安全立法有其利弊…