朋友在通訊 App 分享連結時,若果有 Preview,感覺比一條普通連結實在,可以衡量登陸網頁的必要。不過看似窩心的 Feature,原來潛藏資安漏洞,隨時出賣用戶 IP,甚至破壞 End-to-End Encryption(E2EE)加密原則以及用戶對平台的信任。 網頁預覽顯示的初心,絕對方便用家,故大部分通訊 App 都備有此功能,像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數,向用戶提供預覽選擇的 Signal 與 Wire…
Search Results: 美國 (470)
企業擷取和儲存資料量隨需求持續增加,傳統的 IT 儲存架構,已經無法滿足企業服務資料存取速度的要求,新興儲存技術全快閃儲存陣列(AFA,All Flash Array),適用於大量虛擬化環境、桌面虛擬化(VDI)與數據庫等應用,具備低延遲、高 IOPS 效能、價錢親民等特性,是近年大熱的儲存技術。全球網絡儲存伺服器領導品牌 Synology 能助你實現全快閃儲存架構,達致效能及預算的平衡,解決在虛擬化應用效能所面對的瓶頸。 各種虛擬應用 I/O 效能需求大不相同,例如 ERP 資料庫所需效能約 1500 – 2500 IOPS、一般 Windows 虛擬機 I/O 需求則落在…
資安權威 Gartner 在 10 月 19 至 22 日舉行年度 Gartner IT Symposium/Xpo 2020,當中最注目的是其年度趨勢報告發表會,疫情下發佈會改為網上進行,主題當然圍繞著疫情怎樣影響企業營運模式,轉變又會帶來甚麼趨勢。這份報告一向獲業界高度重視,主流媒體都廣泛引用,到底動盪的 2021 年,各大企業的 IT 頭目需要注意甚麼? Internet of Behaviours…
近日有傳中國受水災影響,部分地區出現糧食危機,政府亦帶頭呼籲民眾不要浪費食物。除了天災之外,人禍也會引發糧食短缺,例如以色列安全專家就發現,由Motorola設計的智能灌溉系統在設計上缺乏安全考慮,竟容許用戶以出廠登入資料長期使用系統,只要黑客有心,隨時可摧毁大量農作物,製造糧食危機! 為減少人力需求、降低成本,不少農場也會裝設智能灌溉系統,交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知,如未能及早發現系統損壞或運作異常,農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor,就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶,竟然未有為系統設定密碼,黑客只要使用Motorola預設的帳戶登入名稱如admin,即可遙距登入帳戶,修改智能灌溉系統的設定及執行異常灌溉指令,而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護,但由於未有強制用戶在安裝後更改帳戶登入資料,全靠客戶自律,結果情況就如許多IoT物聯網產品的用戶一樣,放任繼續使用原廠設定。 Naor說要找出這些系統並不困難,只要使用IoT裝置掃描器,就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola,讓對方通知用戶盡快修改密碼,而Naor發現仍未修改密碼的用戶已減少至78個,不過由於研究已經公開,肯定會有黑客嘗試入侵這些用戶。 事實上,各國政府均意識到IoT產品的安全問題,並開始陸續規管生產商,例如美國於2020年1月1日生效的SB-327 Information Privacy:Connected Devices 條文,就限制生產商必須為每部產品設定獨一的出廠登入密碼,即使用戶未有更改,也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引,但距離立法還有一段長時間,用戶現階段必須靠自己,例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等,雖然未必百分百安全,但也可減少大部分危機。 資料來源:https://zd.net/3kDpb9V
資安權威 Gartner 在 10 月 19 至 22 日舉行年度 Gartner IT Symposium/Xpo 2020,當中最注目的是其年度趨勢報告發表會,疫情下發佈會改為網上進行,主題當然圍繞著疫情怎樣影響企業營運模式,轉變又會帶來甚麼趨勢。這份報告一向獲業界高度重視,主流媒體都廣泛引用,到底動盪的 2021 年,各大企業的 IT 頭目需要注意甚麼? 1.Internet of Behaviours…
在新冠肺炎肺炎疫情下,僱員在家工作是遙距營商的主要安排,遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分,上班要參加或主持視像會議,而下班後又要教子女用視像會議上課,連老婆上的烹飪班,都話要用視像會議學餸。突然,原是 IT 從業員的你同我,都變成視像會議從業員,好像升了「呢」。 市場上視像會議軟件多不勝數,如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx,新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等,也有其他人用專用的企業級視像會議系統,亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議,五花八門,各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/), 因為其免費版本功能已經非常強大,即使是收費版本也很便宜,只需美元 14.99 一個月,購買一年的費用是美元 149.9,性價比相當高。因為可以月付,很多企業在「遙距營商計劃」中,都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思,將會詳細探討這間在 2019…
美國總統大選在即,Trump 雖然經常抨擊對手 Biden 低智商,但今次 Biden 終於可以盡情恥笑 Trump,事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘,更有安全專家在5次機會內猜出他的帳戶登入密碼,發圖證明自己成功進入侵侵帳戶,認真無面。 成日用 Twitter 發表自己政見的侵侵,帳戶有八千幾萬人關注,影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者,等大家以為他及 Twitter 在保護帳戶上做好功夫,不過,四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…
多得網絡安全研究人員的努力,經常對網站及應用服務的潛在漏洞保持好奇心,才可減少用家的損失,好像智能運動產品Fitbit的應用程式市場Fitbit Gallery,竟可讓有心人將惡意app上載,在未獲審批前以官方連結分享出來,用家好易中招。 上年Google宣布收購 Fitbit 大計,令品牌大受市場關注,不過礙於反壟斷法關係,交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美,上班運動兩相宜,所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen,就對 Fitbit Gallery 的運作感到興趣,深入調查有關第三方 app 開發者在上載新…
再親密的人,也不要將自己的社交平台帳戶、訂閱帳戶等等的密碼,全數向身邊的人分享,難保有天分手之後,對方會透過這些途徑,翻出你的私隱,後果可大可小,小則貪圖便宜,繼續享用你的影片或音樂串流平台服務,大則追尋你的行蹤再伏擊你……美國就有一項調查,揭露當地人每四個人便有一人,會透過密碼追蹤前度的實時地點,有三成人更指自己曾在未經對方同意下,至少一次登入對方的帳戶。看到這裏,還不快快換掉密碼,保障自己? 該項調查由 ExpressVPN 負責,訪問了 1,506 名處於非婚姻的固定交往關係中的成年美國人,以了解他們分享個人社交平台密碼的習慣。當中情侶間最常分享的密碼是影片串流平台帳戶(78%),以 Netflix 的 86% 佔最多;64% 人有分享電子設備的密碼;而 58% 人則有分享音樂串流平台帳戶密碼,更有接近一半人有分享自己的社交平台帳戶密碼,甚至有 38% 人將電郵密碼告知另一半。 調查又披露,70% 人認為分享密碼能展現信任,而千禧一輩及 Z 世代的青少年又比上一輩更願意共享密碼。至於沒有向其他人分享密碼的人,最主要是因為在多個平台上,都採用同一帳戶名稱和密碼。而受訪者最關注的登入資訊隱私分別是電子錢包(72%)、個人電子郵件(68%)和社交媒體帳戶(68%)。 超過三分之二(36%)的受訪者表示,在與他人分享密碼後或分手後,也為曾經共享密碼的舉動感到後悔。儘管當初情到濃時,甚麼都願意向對方分享,但分手後不免會後悔,還不如在冷靜過後,把帳戶密碼順勢更改。定期改密碼除了防範黑客入侵,也防範前度的滋擾,窺探你的隱私。…
網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…