還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…

再講多次，對付勒索軟件，除咗要安裝防毒軟件，做好 endpoint protection，備份真係好重要！一旦有事，都唔需要下下俾贖金！ 近呢一兩年，美國超過 40 個州縣嘅政府部分先後成為勒索軟件（Ransomware）嘅苦主，德州更佔咗大多數。唔好以為多中住嘅地方損失會最慘重，好似佛羅里達州嘅 Lake City，雖然只得 1.2 萬人口，但由於系統無備份，為咗解鎖攞返啲資料，唯有將 46 萬美元贖款轉入黑客戶口，認真無奈。 最新受害者係 Massachusetts 州嘅 New Bedford 市政府，佢哋喺 7 月…

一日到黑都聽到政府資料外洩，雖然都已經見慣，但就絕對唔可以習慣。最新一單係最近厄瓜多爾被揭發前所未有咁大規模嘅資料外洩，可以話係破盡所有國家嘅記錄。你估下到底有幾多人民嘅私隱洩漏咗？五成？七成？定係八成？錯！係100%，全國人民資料都外洩晒！ 話說厄瓜多爾全國人口有 1650 萬人，今次洩漏出去嘅個人資料總共有 2000 萬人，點解會咁離奇？原來連之前已經離世嘅國民資料都洩漏埋，換句話講，舉國上下無人倖免，包括埋厄瓜多爾總統 Lenín Moreno，同埋 2012 年曾經受厄瓜多爾政治庇護、維基解密創辦人阿桑奇，都喺洩密名單入面，真係夠晒災難級！ 事件係由一間叫做 vpnMentor 嘅網絡安全公司發現，漏洞源自美國邁阿密一個唔安全嘅伺服器，相信由厄瓜多爾公司 Novaestrat 所持有。調查發現，伺服器入面 18GB 個人資料唔係得人名咁簡單，仲有埋出生日期、出世地點、住址、電郵、身份證號碼、職業、銀行賬戶狀態、結餘，同埋信用類別。 咁大件事，梗要搵人問責，當地警方已經率先拉咗 Novaestrat 嘅經理…

Deepfake 換臉技術嘅專家估計，距離完美造假換臉影片出現嘅時間只得返半年至一年，點解？因為佢睇完內地開發嘅 ZAO app 之後，覺得有修正嘅空間囉。 南加州大學 Computer Science 系副教授 Hao Li 一向係 deepfake 技術嘅專家，最近就為 MIT 科技會議炮製咗示範片段，俾 MIT Technology Review 總編 Gideon Lichfield，喺台上展示即時換臉技術嘅發展去到邊個階段。Lichfield…

Robocall，即係自動語音通話，真係諗起都𤷪！有調查顯示，美國境內每日都有兩億個電話係由機械人打出，足足佔總電話量嘅三成。Robocall 已經成功登上聯邦通訊委員會被投訴對象嘅第一名，問你怕未？ 發生喺美國嘅 Robocall 目的有好多，包括促銷、政治宣傳、詐騙、騙取用戶資料等。美國 Transaction Network Services（TNS）利用機器學習、大數據分析，幫助用戶及電信業界對抗垃圾來電。日前 TNS 發表咗一份報告，公佈有關美國滋擾電話嘅調查。 喺報告內，TNS 為美國電信業者億億聲嘅電話進行分類：「高危類」指詐騙電話，目標係盜取個人資料或金錢；「滋擾類」係純粹嘅煩，唔包含惡意攻擊。雖然好似冇害，但單係「煩」就夠死。TNS 更發現，「滋擾類」電話嘅增長比其他高危詐騙電話多 38％，即係越來越多，越來越煩。 另外，TNS 指出自動語音電話「騎劫」個案有兩倍升幅，所謂騎劫，即係 illegal spoofing，來電時會顯示假冒嘅電話號碼，繞過垃圾電話過濾器。TNS 指每 1700…

根據華盛頓郵報報導，加州州長 Gavin Newsom 將會簽署法案，限制執法人員喺隨身拍攝鏡頭內加入人臉辨識技術，有份動議呢項法案嘅成員話，原本裝備呢啲鏡頭有助改善警民關係，但如果人臉辨識技術會破壞信任關係，令人憂慮會變成監控工具，咁就寧願唔好有呢項功能住，所以法案會強制禁止執法機關喺 2023 年或之前安裝人臉辨識，真係令人拍爛手掌。其實唔好話有無人臉辨識，要市民信得過呢啲鏡頭，除咗儲存影片嘅方法具透明度，唔可以隨便攞嚟用或銷毁之外，仲要小心存放，否則就好易洩露市民私隱。 好似 Miami 嘅執法機關就唔係好靠得住，早排 Black Alchemy Solutions Group 行政總裁 Jasun Tate 就喺自己個 Twitter 度報料，話網上搵到條公開連結，係人撳入去都可以睇到晒警方隨身鏡頭嘅影片，數量仲有成 1TB…

Pentest 滲透測試係發掘網絡系統漏洞嘅好方法，所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時，懷疑殺得性起，做多咗嘗試強行爆入法院大樓，再攻埋其他系統，結果搞到官非纏身！ 上星期三，美國愛荷華州（Iowa）達拉斯縣（Dallas）法院發現有不明人士闖入法院大樓，觸動警報系統，結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio，被捕時二人即刻話係受到達拉斯縣政府所僱用，目的係測試法院嘅安全系統。起初當局回應話無咁嘅事，但經查明係，證實 State Court Administration（SCA）的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試，而 Justin 同 Gary 就係 Coalfire 嘅員工。 雖然證實咗真係派出社員，但…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

我好鍾意睇 John McAfee 嘅花邊新聞，呢一秒話俾仇家落毒搞到要留院兩日，下一秒就話要參選下屆美國總統，跟住仲話自己偷咗中美洲國家 Belize 嘅機密文件，所以成日俾人追殺。如果真係俾佢當選美國總統，我諗真係同侵侵有得 fight！ 佢創辦嘅網絡安全公司 McAfee 就正路好多，雖然前年賣咗俾 Intel，但一直以嚟 John McAfee 都經營得有聲有色，作為資安界一份子，每季梗係要讀過佢哋嘅研究報告先安樂，話晒分析晒網絡保安趨勢，唔睇分分鐘俾人話 out！ 2019 年第一季報告啱啱出爐，睇完真係冷汗都標埋，McAfee 研究員指出，平均每分鐘就出現 504 種新嘅網絡威脅，而全季差唔多有成…

網絡安全公司 Arkose Labs 剛推出 2019 年第三季 《Fraud and Abuse Report》 ，調查結果顯示，有超過一半（53％）社交媒體嘅登入都係機械人製造出嚟；而所有新開嘅帳戶中，亦有 25% 係假嘅，情況愈來愈嚴重。Arkose Labs 指出愈來愈多社交媒體攻擊，如帳戶盜用、假帳戶、垃圾訊息等，唔單只由黑客或騙徒操作，仲有 75% 會靠機械人執行，真係非常誇張。 Arkose Lab 指帳戶盜用問題之所以特別猖獗，皆因門檻不高，而且唔少人會以社交媒體帳戶登入其他服務，奪取到帳戶就可以攞到好多個人資料，成本效益更高。Arkose…