踏入六月,各地疫情開始漸見好轉,以為係好開頭?不過對 Cisco(思科)嚟講就唔係咁順喇,除咗因為美國示威持續,令到本來六月頭舉行嘅線上年度大會「Cisco Live」要延期再搞。啱啱上個禮拜佢哋又發出一則安全公告,內容係話佢哋旗下一款產品Nexus switches (一款用嚟建立資料中心架構,為企業提供網絡資料同步、API 自動化同簡化運作等服務嘅產品),喺 NX-OS 軟件發現漏洞(CVE-2020-10136),遠端攻擊者可以利用呢個漏洞,繞過目標系統嘅保安限制,甚至導致服務中斷。 Cisco 發現呢個漏洞係因為部分裝置喺未有隧道設定(tunnel configuration)嘅情況下,會將機器配置嘅 IP 地址收到嘅 IP-in-IP 數據包(Patch),意外地解封同處理,所以未通過認證嘅攻擊者,就可以傳送特製嘅 IP-in-IP 數據包去受影響裝置,導致網絡排程崩潰甚至要重啟,繼而俾佢哋有機會乘虛而入。IP-in-IP 隧道協議存在呢個嚴重漏洞,令到黑客可以繞過 Access Control…
Search Results: 美國 (486)
會計部初級職員錯信釣魚郵件,令世界最大嘅飛機零件製造商 FACC 損失約 5 千萬美元,時任 CEO 同 CFO 雙雙被炒,更被企業以「沒有盡責防止事件發生」 為由告上法院。法庭最終沒有受理案件,但足以反映呢個低成本行騙模式嘅利潤與破壞力,隨時令 CEO 躺著也中槍。 釣魚攻擊嘅相關個案不斷上演,而且觸及各行業同層面,唔係科網業嘅安全意識就特別高,你睇 Facebook 同 Google 不單喺受害者名單上,損失更係史上 Top 3 之列,所以大企業都唔敢輕視呢種攻擊手法,將防禦術編入入職培訓課程。搞係搞咗,但到底有幾多人留心聽書?…
成功制止 WannaCry 勒索軟件嘅傳奇黑客,何以會創造銀行木馬 Kronos?講起真係有段古。 有人用折翼天使嚟形容年僅 27 歲嘅天才黑客 Marcus Hutchins,其「天使」部分可以參考舊文,呢篇主要講返佢點「折翼」。已經喺美國接受一年監管嘅 Hutchins,臨被遣返英國前幾日,接受咗《Wired》雜誌訪問,回帶講述 9 至 27 歲經歷,剖白「反叛」嘅青春期。 Mix 喺亞洲好受歡迎,但係純種至上嘅英國社會,天生牛高馬大、一頭天然鬈髮嘅蘇格蘭牙買加混血兒,似乎就格格不入嘞;再加上佢對足球無感呢個原罪,Marcus Hutchins 過住被孤立嘅童年。以為黑客一定好宅?相反運動細胞超卓嘅佢,其實相當好動,細細個已跟住務農嘅業主起樹屋、劈柴、坐拖拉機;成長期愛上沖浪,開始接觸競技性拯溺運動 Surf Livesaving,贏過一大堆國內賽事獎牌。…
如果大家有睇過《上流寄生族》,相信都會記得其中一段最精彩嘅情節,就係家境貧窮嘅主角同佢嘅一家人,點樣一步步將老闆間屋當成自己間屋嚟住。同樣嘅劇情喺網絡世界一樣會發生,歐洲包括英國、瑞士、德國、西班牙等多個國家,上個禮拜開始先後傳出有超級電腦俾駭客植入挖礦程式病毒,黑客就好似《上流寄生族》主角一家咁,利用人哋嘅資源從中得益,只係今次由豪宅變成超級電腦,令相關機構要暫停受影響裝置嘅運作及切斷對外連線,當中更加涉及幾間大學同研究機構嘅資料。 今次事件首先由英國超級電腦服務供應商 ARCHER 喺 5 月 11 日公布,佢哋因為偵測到安全入侵事故而需要暫停運作;ARCHER亦喺兩日後要求用戶重設所有密碼同埋 SSH 金鑰,避免入侵繼續蔓延。 而同一日位於德國巴登符騰堡邦嘅一間超級電腦管理商 bwHPC,亦都宣布有高效能運算系統(HPC)出現類似嘅安全問題,搞到有5間大學用唔到超級電腦。其中一間受影響嘅學院亦都宣布,為咗防止進一步感染,要切斷3部超級電腦同外界嘅連線。 正所謂有一就有二,有二就有三,瑞士科學計算中心(CSCS)、西班牙巴塞隆納嘅超級電腦,仲有慕尼黑大學物理學院嘅數據分析超級電腦,都先後發現有惡意程式嘅攻擊。雖然牽涉嘅研究機構仲未公布調查結果,但係歐洲一個電腦安全事件回應小組(CSIRT),就指出攻擊者係利用外洩嘅 SSH 憑證,由一間研究機構跳到另一間,操控受感染嘅超級電腦執行虛擬貨幣 Monero(XMR) 嘅挖礦程式,美國資訊安全公司 Cado Security 就分析,呢啲…
愈嚟愈多 CCTV 引入智能辨識技術,而且辨識率高,速度又快,令唔少人都擔心自己嘅個人私隱存在風險。的而且確,生物特徵唔係話改就改,如果採集嘅機構外洩咗你嘅私隱,一旦落入罪犯手上,就有可能用嚟進入一啲你用生物特徵做驗證嘅帳戶,包括你部手機、銀行戶口等等,最慘係除非你整容、更換指紋,否則你係改唔到外洩咗嘅生物特徵,所以千祈唔好以為唔關你事。 既然有人唔想俾 CCTV 認出,自然有人諗辦法破解。來自美國東北大學、麻省理工同埋 IBM 嘅研究員,就合作研究咗一款專門用嚟對付智能辨識技術嘅 T 恤出嚟,呢件 T 恤嘅特別之處,唔係有連身面罩俾你遮樣,而係透過衫上嘅萬花筒 pattern,干擾辨識系統嘅神經網絡(Neural Network),令到系統將你判斷為「非人」或其他物件,咁就唔會被記錄在案,難以被事後搜索返出嚟。 今次團隊用嚟研究嘅神經網絡,主要係專門用嚟做智能辨識訓練嘅 YOLOv2 及 Faster R-CNN,而團隊就要搵出有乜嘢「圖案」可以用嚟干擾辨識。相比起干擾靜態圖像辨識技術,團隊話今次難度高好多,因為 CCTV…
疫情引爆導致全球航運停延、企業停工停產,即使一眾石油生產國同意大幅減產,其產量與現實原油需求依然有極大距離,導致期油價格跌到難以理解嘅負 40.32 美元一桶。負油價,可解讀為庫存爆滿,無人接貨,期貨持有人寧願貼錢將原油轉讓有能力嘅持貨者。而本來喘緊氣嘅股市,立即隨油價暴跌,可見油價指標性與影響力。 咁有影響力,駭客當然唔會放過。 網絡保安平台 Bitdefender 最近發現兩宗針對美國能源企業嘅魚叉式網絡釣魚,黑客透過安裝惡意木馬程式,企圖盜取能源企業絕密情報與數據。魚叉式釣魚電郵具針對性,特點係有別漁翁撒網式釣魚嘅低質電郵,整個電郵設計極具心思,無錯字、文法完美、完全合符正統商業電郵規格,發件人仲要係有名有姓嘅埃及國營石油公司 Engineering for Petroleum and Process Industries,無人諗過釣魚電郵可以咁高質。 呢封 3 月 31 日發送到約 150 間石油與天然氣公司嘅電郵,企業集中於馬來西亞、美國、伊朗、南非與阿曼…
因為疫情嘅關係,視像會議程式突然變到人人都要識用咁滯,南非外交部長馬沙巴內夫人亦唔例外,早排佢本來要就新冠病毒嘅影響,用Zoom主持一個部門嘅視像會議,不過事與願違,呢個會議最終俾黑客入侵,仲要播埋色情內容,場面令人尷尬。 最慘會議上除咗有部門員工同傳媒之外,為咗提升參與度,會議直情開放俾公眾加入,有意參加嘅人超過400個,相信黑客扮成參與者混入會議,喺眾目睽睽之下播放裸露圖片同色情畫面。 隨住視像會議程式嘅需求愈嚟愈大,相關嘅網絡安全問題亦都成為熱話,美國聯邦調查局(FBI)都點名話,Zoom程式有明顯嘅安全漏洞,已經成為黑客目標,更加指出兩宗黑客成功入侵嘅例子:馬薩諸塞州一間高中用Zoom上堂期間,就俾不明來歷嘅入侵者大聲講粗言穢語,同埋公然講出負責老師嘅住址;州內另一間學校就有入侵者喺鏡頭面前,向與會者展示納粹德軍標誌紋身。FBI提醒市民用Zoom或者同類軟件嘅時候,要確保軟件已經更新到最新版本,亦唔好隨便公布同透露進入網路會議室或網路教室嘅連結。 除此之外,加拿大多倫多大學有份參與嘅研究機構Citizen Lab,早前就揭發Zoom有時會用中國伺服器(servers)供應商發出嘅密鑰(keys),就算係北美客戶嘅 Zoom 會議,都可能用咗嚟自中國嘅密鑰。報告質疑Zoom喺中國有三間公司,有可能令 Zoom面對官方壓力嘅時候,有法律責任要披露加密資料。而Zoom亦喺4月3日承認,因為2月用戶流量急升,誤將幾千個用戶嘅會議流量,分流咗去中國兩個數據中心處理,Zoom無透露受影響用戶有幾多,雖然強調已經盡快修補漏洞,不過事件已經令大眾對Zoom嘅安全性存有戒心。 唔少用戶亦都開始尋求Zoom程式以外嘅選擇,包括:Google Hangouts Meet、Microsoft Teams、Cisco WebEx 、又或者係Skype嘅會議功能,經常有需要開視像會議嘅朋友,不妨了解多啲。 資料來源:https://bit.ly/34KXc0R、https://bit.ly/2ymH9Kz、https://bit.ly/3eutbH7 相關文章:【緊急自救】修改群組政策設定 煞停Zoom 派送Windows登入密碼
疫境下全球失業率急升,但有幾個行業不受影響,如常運作,其中一個就係協助堵塞網絡保安漏洞嘅白帽黑客。 講到黑客,好似一定犯法,其實不然。有道德嘅一班高手,選擇向網絡保安服務商舉報漏洞,以前可能當響朵贏得一官半職,隨著網絡安全得到重視,賞金平台 HackerOne 開張大吉,一班白帽黑客就可以靠賞金過活。係咪好想知點樣入行?賞金行情?由曾黑入美國政府嘅 Tommy DeVoss、由程式員轉職嘅 Cosmin、HackerOne 首位累計過百萬美元賞金嘅 Santiago Lopez,三位全職賞金獵人向大家披露入行心得。小編將之總結成以下 5 大重點。 實質工作流程係點先? 要睇大量文件、熟用 Burp、Sublist3r、dnscan,亦要開發個人工具、不斷吸收最新網絡保安資訊、寫報告、搵出自己擅長嘅保安範疇與策略等。技巧方面,唔可以只參考一個黑客嘅工作方式,要喺唔同人身上偷師,融會貫通,建立個人風格。呢份工好花時間,有時埋門一腳會被人截糊,第 2 名係一蚊都分唔到,所以唔好以為真係篤吓電腦就有錢袋咁 naive,真係要有興趣「捉蟲」,保持好奇心,享受破解嘅快感,唔好下下用錢衡量付出。 收入有幾多? 一個有料嘅白帽,每星期做…
有研究員開發咗一隻叫 InputScope 嘅工具,結果喺測試嘅 15 萬隻熱門 Android 應用軟件中,搵到 12,706 隻存有「後門」!只要黑客接觸到中招手機,就可憑密碼或指令解鎖,提升使用權限或開啟其他特別功能,密碼仲包括大家好熟悉嘅添! 主持今次大型研究嘅係美國及歐洲組成嘅學者團,研究嘅目的係想試吓熱門 Android app 內到底有無存在一啲擬似後門嘅行為,例如有無秘密密碼、指令,可以啟用隱藏功能,甚至提升 app 嘅存取權限,可以繞過 Android 登入防護,解鎖手機。於是佢哋就揀選咗頭 10 萬隻喺 Google…
「Best Buy 感謝閣下多年支持!現在附上本公司50 美元儲值禮物卡,可選購指定商品,商品清單可於 USB 手指內查看。」當你收到附有 Best Buy 禮物卡嘅感謝信,你會唔會想八吓有乜嘢換?除非你無幫襯過 Best Buy,戒心可能會大啲,但如果你又係 Best Buy 常客,真係好易中招㗎喎! 美國 FBI 最近發現,國內正流行一種復古欺詐手法。犯罪集團 FIN7 Gang 利用購物卡,利誘對象將裝有惡意程式嘅…