幾時都話,用短訊或電郵做 2FA 雙重驗證唔係絕對安全。雖然 Google 今年初先加強咗 Android 系統嘅 2FA 驗證漏洞,阻止第三方應用軟件開發公司擅自讀取 SMS 或通訊資料。不過最近已經有研究員發現有 Android 惡意軟件可以繞過此防線,繼續盜取一次性密碼 (OTP, One-Time Password)。 研究員 Stefanko 喺早前發現,一款冒充土耳其加密貨幣交易平台 BtcTurk…
Search Results: 漏洞 (748)
VMware 早前發現伺服器管理工具 vCenter Server 的擴充程式存在漏洞,緊急在 5 月 25 日推出修補檔被呼籲企業客戶更新系統,不過事隔接近 20 日,專家發現依然有接近 5,000 個系統未被更新,當中約 19% 更屬於已停止支援的舊版本,所以話,企業有時出事都唔怪得人。 VMware 是雲端運算及虛擬化技術龍頭供應商,不少企業及開發商也有採用他們的產品。當中一站式伺服器管理工具 vCenter Server 更是必用工具,因為它有助…
全球疫情雖然逐漸放緩,但仍有不少外國企業實施遙距工作措施,然而在家工作存在大量危機,有網絡安全研究人員更發現了數十萬個不安全伺服器、端口和雲端服務,可能導致容易被黑客入侵! 因應疫情爆發,令企業組織和員工對雲端服務的需求增加,而這亦導致企業網絡暴露(exposed)於網絡攻擊之中。企業在疫症開始爆發時,急忙推出在家工作的措施,員工因此依賴雲端服務,包括遠程桌面協定(RDP)、虛擬專用網絡(VPN)和 Microsoft Office 365 或 Google Workspace 等應用程式套件。 雖然這種模式允許員工在傳統公司網絡以外的地方工作,但也讓網絡罪犯的多了潛在攻擊面。黑客能夠利用監控水平下降,而成功偷取用於遙距登入雲端服務的個人憑據,藉以入侵企業。 網絡安全公司 Zscaler 的安全研究人員分析了 1,500 間公司的網絡,並在 392,298 個公開的伺服器、214,230 個暴露端口和 60,572 個暴露的雲端實例發現了數十萬個漏洞,並聲稱最大的企業平均暴露…
數據外洩威脅急劇上升,保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據,複雜性也在不斷發展,例如同態加密(Homomorphic encryption)、混入假數據等等,無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一,是將數據資料分開儲存。研究人員只可以讀取第一個數據庫,具有完整資料的數據庫就會儲存於其他地方,檢查數據時必須利用演算法去還原完整數據,免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案,系統會將敏感資料完全加密,研究人員要調用真實數據時,系統便會進行同態運算,令數據在毋須解密下都可被搜尋。十多年來,IBM 一直在為同態加密技術作出貢獻,例如提供適用於 Linux、iOS 和 MacOS 的工具包,以及安全儲存和處理數據的雲端環境。不過,同態加密還未成熟,因為需要太多運算,拖慢檢索速度,如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法,主要是加密數據庫內的資料,不過並非全面加密,而是平衡保密與共享原則,只向研究人員透露非私密訊息,減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料,只有獲得演算法密鑰的特定人員可以訪問,其他用戶只可讀取未加密的部分。單向函數密鑰(如 SHA256 hash 算法)是最常用的演算技術,如欠缺這條密鑰,攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段,因為隨機噪音(random noise)可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術,用戶可以將噪音混入數據庫,然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內,有可能令資料準確度出現問題,因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱(Differential Privacy)工具包,它可被應用於訓練人工智能或分析營銷活動數據,而不被噪音影響準確度。…
「重賞之下必有勇夫」這句說話可謂世界通行,有黑客組織早前就在俄羅斯一個地下討論區,以 11.5 萬美元獎金,邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法,包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束,不過主辦方現時已收到不少「學術」研究。 集思廣益是其中一個搵出漏洞的最佳方法,白帽黑客界亦有採用這種方式,當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣,旗下擁有約 60 萬會員,成員更來自全球 170 個地區。上年其中一個會員…
除了因疫情而趨化的遙距工作,企業亦開始實施隨處皆可工作(Work Anywhere)或混合辦公(Hybrid Workplace)的模式,令工作變得更加靈活和有彈性。因此,企業加快數碼轉型步伐,因而對軟體即服務 (SaaS)等雲端服務需求大增。企業上雲是近年大趨勢,而科技為工作帶來的良好體驗,亦能讓僱員工作時更得心應手,一個完善、易於管理的雲端服務平台,就顯得更為重要。 實施混合辦工模式,意味著要讓身處不同地方的員工,隨時獲得不中斷的存取權限以完成工作。在這種情況下,數據流量的安全性自然成為隱憂,在混合辦工的常態之下,用戶需要以不同的端點裝置設備(Endpoint devices)進入公司伺服器工作,舊有的堡壘式資安保護(Perimeter-based Security Protection)已不足以應付,甚至因為流量大增令閘口不勝負荷!而連線的安全亦是另一考量,稍一不慎隨時讓駭客有機可乘,企業該如何在網絡安全和工作效率之間取得平衡呢? Gartner預測:2023年將有40% 企業採用混合辦工架構 Gartner 的調查指出, 直到 2023 年將會有 40% 企業採用實體及虛擬架構混合的營運模式,以提升工作效率,同時讓企業員工支援身在任何地方的客戶。 因此提出安全存取服務邊緣 (Secure Access Service Edge,SASE)的新興概念 ,一種將不同的存取與網路安全方法匯聚至一個共同平台的服務,可更彈性地簡化網絡與安全基礎架構,有效減低成本。SASE 主要採取零信任網絡存取(Zero-trust Network Access, ZTNA)策略作身份驗證, 讓用戶無論身處何方,都能簡單快捷地對適當應用程式、網址網絡或公司數據作出安全存取。網絡範圍也可擴展至不同用戶、裝置及應用程式等,毋須再面對太多用戶使用 VPN 連線,致等候時間過長的問題,以降低安全風險。Gartner 亦預測到 2024 年,至少有 40% 的企業會明確採用 SASE 的策略,高於 2018 年底的不到 1%,故企業必須為邁向SASE而鋪路。 檢測所有流量及用戶體驗 一滴不漏抵禦攻擊 …
人工智能(Artificial Intelligence,AI)和機器學習(Machine Learning,ML)的應用愈趨廣泛。以電子商貿起家的亞馬遜,旗下的雲端運算業務 Amazon Web Services(AWS)港台銷售總監翁宇強接受訪問時表示,AI 及機器學習科技革新了零售、金融等傳統行業,集團亦力拓相關業務,單是去年,集團已有超過 250 種 AI 及機器學習相關服務新推出市場。 翁宇強表示,集團提供的 AI 及機器學習服務,主要協助企業預測產品市場反應、精準營銷,以至整理非結構化數據(Unstructured Data)、偵測程式碼漏洞等。針對本身已有 AI 及數據專家的企業,集團亦提供不同機器學習工具,讓企業建立、訓練和部署機器學習模型,或者搜尋所需的演算法,藉以加快 AI 系統開發進度。 他續指,以電商起家的亞馬遜其實早於廿多年前已涉足 AI…
2020 疫情推動遠程工作,無數用戶使用資安漏洞百出的裝置處理公司機密,低成本低技術門檻的 Old School 網絡攻擊成為散戶式黑客 2020 最常用手段,且收穫甚豐。2021 年則由機構型黑客主宰新聞推送,由 Solarwinds 到最近 Colonial Pipeline,關鍵字係 Ransomeware、Infrastructure、天價贖金。資安團隊很忙,所以時間更加要用得其所,洞察黑客的下一步提早佈局。 3 月 Microsoft 揭露中國黑客組織 Hafnium 透過 4…
愈來愈多人投身 YouTuber 行列,但有否想過,YouTuber 也可能成為黑客的網絡攻擊對象?近日本港便有 YouTuber 懷疑被黑客入侵帳戶,黑容除了利用其頻道進行直播,更將受害人數以百計嘔心瀝血製作的影片,一一變成不公開。受害人推斷,事件可能跟黑客盜取其 Session ID(工作階段識別碼)有關,但亦有網絡安全專家不明白,系統雙重驗證(Two-Factor Authentication, 2FA)為何未能發揮帳戶保護功效。 懷疑受到黑客攻擊的 YouTuber「希比」,在 YouTube 平台經營個人頻道「HEBEFACE」,經常製作及上傳影片,介紹港產片經典場景,頻道獲超過 6.3 萬人訂閱。希比接受本網訪問時表示,大約一星期之前,他收到粉絲通知,懷疑 HEBEFACE 頻道被入侵,他查看後發現,有人正利用 HEBEFACE 頻道進行以太坊相關的直播,「我於是馬上更改登入密碼,但之後對方仍然可以控制到我的帳戶,我更眼白白看著他將我的影片變成不公開。」希比表示,當時自己依然可以控制帳戶,包括將影片設定回公開,可見對方只入侵而沒有奪取其帳戶,情況相當特殊。…
勒索軟件 (ransomware) 已成為最受黑客集團喜愛的攻擊手段,因為不少企業為免有損商譽,或盡早恢復正常業務,都傾向選擇交贖金。而為了逼企業就範,勒索軟件集團亦想出不少連鎖攻擊,例如用 DDoS 進一步癱瘓受害者的網上業務、打電話通知受害企業的客戶等,創意盡出。 先來看一看勒索軟件的現況。網絡安全業內人士估計,勒索軟件今年將會造成 200 億美元損失,單是最近美國能源供應商 Colonial Pipeline,已向勒索軟件集團 DarkSide 繳付約 400 萬美元贖金,再加上聘請專家調查、修復系統、堵塞漏洞、添置新的安全工具,以及對業務停頓所造成的賠償,相信將輕易突破千萬美元大關,因此 200 億美元總損失絕非誇大。正因為易賺錢,因此 CrowdStrike 早前發表的安全調查報告,已指出勒索軟件已佔 2020 年網絡攻擊事件的…