物聯網(Internet of Things, IoT)的保安漏洞一直為人詬病,經常傳出黑客借已連結物聯網的智能家電,入侵網絡,甚至在企業未為意間,打開其網絡安全缺口!但也不用太擔心,最近歐盟網絡資訊安全局(The European Union Agency for Cybersecurity, 下簡稱ENISA)推出 IoT 產品開發指引,供大家參考如何確保網絡安全。 由 ENISA 所定的指引 Guidelines for Securing the IoT –…
Search Results: 漏洞 (766)
中國一年一度的黑客破解大賽「天府杯」剛於上星期六、日舉行,15 支參賽隊伍合共破解 13 款知名電腦產品及應用服務,包括 iOS 14、Samsung Galaxy S20、Windows 10、Chrome、VMWare EXSi、TP-Link 及 ASUS router 等等。冠軍由奇虎 360 政企安全漏洞研究院奪得,共取得大賽的 2/3 獎金,即約 74 萬美元,連續三年稱霸賽事!…
疫情期間,人人Work From Home,但是否所有人的家居網絡保安設備,都能夠抵禦黑客入侵?一個漏洞足以洩露公司機密,隨時成為千古罪人!更何況全家人都留在家使用網絡時,其中一人「中伏」就會累全家,自己分身不瑕,又如何睇實阿仔阿囡?!但在短時間內難以提升家中網絡保安級別,有咩法寶可以即刻幫到手呢?香港寬頻(HKBN)與全球網絡資訊保 安方案領導廠商 Trend Micro 聯手打造的 Home Gateway,絕對是你「看門口」之選,一個裝置集封鎖網絡攻擊、攔截危險網站及檔案、限制遠程存取入侵等功能,配合 HKBN HomeGuard 流動應用程式使用,更能管理子女使用網絡時間,一次解決在家工作的網絡保安問題! Home Gateway保障家用網絡 無懼WFH挑戰 黑客攻擊家居網絡是全球各地均有受害案件,HKBN 持股管理人及科技總裁李友忠(Danny Li)表示,一般企業、公司有防火牆阻擋攻擊,但一般家用網絡缺乏保障,變相易受惡意攻擊。在屋企這種不會有專責 IT 部門的工作環境,所需要的是操作簡單、功能齊備、保護力強的多功能防禦系統。Danny 指出,Home Gateway 使用時相當 Layman,全部防護措施自動運作,用家毋須操心,倘遇攻擊便會立即收到警示,而所有連接到 Home Gateway Wi-Fi 或LAN的裝置,立即受保護,如果遇到技術問題,可以隨時聯繫 7 x 24 全天候技術支援熱線,即時獲得HKBN專業團隊解難。另一方面,Home Gateway 亦包含家居電話功能,在家中開電話會議亦無問題。 HomeGuard 流動應用程式 隔絕不良資訊 結合 HomeGuard 流動應用程式使用,能封鎖外來入侵,阻擋到訪釣魚網站,而且具有家長監護功能,可以設定子女上網時段限制,避免他們過度沉迷上網,並能阻擋他們接觸不良資訊,即使工作中也不怕難以控制子女接觸網上資訊。疫情期間,不少公司在2、3月時突然決定實行在家工作措施,Danny 形容有公司因為「夾硬」推行政策而中招,「(公司網絡保安)開道門讓家用用家執行系統就有漏洞,因此要強化基礎架構(enhance infrastructure),不少公司需要購買解決方案(solution)和 產品(product),而遙距方案(remote solution)、設備、軟件的需求亦增加」,他指 HKBN 當時甚至為客戶提供免費的設備臨時使用,「幫助他們先熬過這幾個月」。同時,他們亦鼓勵依賴紙本的行業數碼轉型(digital…
雖說人人都知疫情期間網絡攻擊亦趁機增加,覷準遙距工作的保安漏洞,肆虐橫行,但實際情況有好多嚇人,且看防毒軟件巨頭 McAfee 公布的報告,披露在今年第二季,每分鐘能偵測到平均達419個新的網絡威脅,而新惡意軟件的樣本,在這段時間增長了11.5%,當中以 PowerShell 惡意軟件及以 COVID-19 為主題的攻擊佔大多數。 由於惡意 Donoff Microsoft Office 檔案攻擊激增,而令新的 PowerShell 惡意軟件增加 117%,而因應新冠疫情的全球影響,網絡犯罪分子亦趨向以 COVID-19 為主題,欺騙在家工作的受害者。McAfee 首席科學家 Raj Samani…
踏入 11 月,大家開始籌備年度總結&明年展望,各行各業主題,肯定離不開疫情新常態。資安服務平台 Fortinet 的 Chief of Security Insights and Global Threat Alliance Derek Manky 搶先出閘,以《Back to Basic》為重心,總結疫情下黑客動向與企業 3 個趨吉避凶方法。…
殭屍網絡 (Botnet) 一向令人頭痛,因為黑客可以利用它發動多種攻擊,例如 DDoS 網站或應用服務、發送垃圾電郵、挖礦 (cryptocurrency),黑客更可入侵中招的電子設備偷取資料。不過,擁有人工智能的蜂巢網絡 (Hivenet) 就更令人頭大,除了擁有殭屍網絡功能,其分散式運作更難以被一舉殲滅,甚至懂得自動感染其他電子設備…… 殭屍網絡已在網上橫行多年,但自從 IoT (Internet of Thing, 物聯網) 產品被廣泛採用,就令到黑客可操控的電子設備暴增,根據歐洲網絡安全公司 ENISA 最新研究報告估計,現時平均每日都有 770 萬個 IoT 設備連上互聯網,但當中只得…
疫情下經常在家,不少人都訂閱了 Netflix 之類的串流影片服務消磨時間。最近有黑客亦推出另類影片訂閱服務,150 美元就可終生收睇。至於影片主角?有可能是你或我,因為黑客提供的串流影片,全部來自已入侵的網絡監控鏡頭,總數更有50,000 部之多,當真一個價睇到笑也令你驚。 今次事件由新加坡傳媒 The New Paper 發現,記者 David 指出有大量被入侵的網絡監控鏡頭影像,正被上載至色情網站,當中有不少來自新加坡的家庭,其他如泰國、南韓及加拿大亦榜上有名。記者深入追蹤後,發現在即時通訊平台 Discord 其中一個擁有過千成員的群組內,有黑客開價:只要繳付 150 美元,就可終生收睇容量高達 3TB 的「盜錄」影片,題材非常豐富,例如身穿內衣褲的女學生溫書、伴侶性交、少婦哺乳…… 據知影片長度由少於一分鐘至約20分鐘,部分有裸露鏡頭的主角更是兒童,非常離譜!據說現時已有 70…
今時今日,絕大部分人上網都是用智能手機,但網絡安全公司Rapid 7研究員就發現,Safari、Opera等7款手機版瀏覽器存在極大漏洞,可讓黑客在網址列偽造網頁連結,令用家誤以為自己正在訪問官方網站,實情卻被引導至釣魚網站上,不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站,瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術,例如在網址列加入鎖頭圖標,讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過,Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細,而被部分瀏覽器取消,從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器,最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器,均存有JavaScript詭計漏洞,因本身設計的問題,令黑客可操控網址列上出現的網址,但實際上卻將用家引導了偽造網站,而由於沒有鎖頭安全圖標輔助,用家便無法得知已跌入陷阱,成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例,由於在設計上系統會保留任意port上呼叫的網址在網址列上,只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容,便可透過時間差,在網址列仍顯示原網址的情況下,極速將用家引導至其他偽造網站,以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣,用家便會傾向相信自己正在訪問官方網站一樣,從而輸入自己的帳戶登入資料。 除了Safari,其他6款瀏覽器亦存在類似問題,Rapid7研究員在今年8月發現這漏洞後,已去信通知受影響的瀏覽器供應商,不過,除了Apple已修補了Safari的漏洞,Opera承諾會在11月推出修補檔外,其他4款瀏覽器供應商卻未有回覆,相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器,建議用家最好避免使用。 資料來源:https://bit.ly/2TfyS22
在新冠肺炎肺炎疫情下,僱員在家工作是遙距營商的主要安排,遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分,上班要參加或主持視像會議,而下班後又要教子女用視像會議上課,連老婆上的烹飪班,都話要用視像會議學餸。突然,原是 IT 從業員的你同我,都變成視像會議從業員,好像升了「呢」。 市場上視像會議軟件多不勝數,如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx,新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等,也有其他人用專用的企業級視像會議系統,亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議,五花八門,各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/), 因為其免費版本功能已經非常強大,即使是收費版本也很便宜,只需美元 14.99 一個月,購買一年的費用是美元 149.9,性價比相當高。因為可以月付,很多企業在「遙距營商計劃」中,都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思,將會詳細探討這間在 2019…
對企業來說,阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞,抑或是阻止黑客入侵,稍遲一分鐘,後果也可以很嚴重。即使企業有資源購買網絡防禦工具,在業內人手嚴重短缺的情況下,也難以及時處理鋪天蓋地的安全警報;再加上隨著業務擴充,無可避免需要更多不同類型的防護,警報數量勢將有增無減,累積的警報有如計時炸彈,令企業管理者難以心安。企業要徹底走出網安死胡同?其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告,預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬,較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯(Cat)認同情況相當嚴峻,「企業現時面對很多挑戰,例如多年來採用的各種安全工具無法溝通,必須交由安全專才獨立分析及管理;即使部分客戶有自己的 SIEM(Security Incident…