很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

Deepfake 換臉技術嘅專家估計，距離完美造假換臉影片出現嘅時間只得返半年至一年，點解？因為佢睇完內地開發嘅 ZAO app 之後，覺得有修正嘅空間囉。 南加州大學 Computer Science 系副教授 Hao Li 一向係 deepfake 技術嘅專家，最近就為 MIT 科技會議炮製咗示範片段，俾 MIT Technology Review 總編 Gideon Lichfield，喺台上展示即時換臉技術嘅發展去到邊個階段。Lichfield…

從事網絡安全行業，都知道世界上沒有百分百安全的偵測工具，可以完全阻截黑客的攻擊。如果有，就不會出現零時差攻擊（Zero Day Attack）。 RESEC 網絡安全公司的 Executive Chairman Tal Yatsiv 亦明言，網絡安全只是一場攻防戰，防守方往往處於被動，大部分時間只能見招拆招；相反攻擊者由於了解守方的防禦手法，自然更易鑽探漏洞，想出新鮮的攻擊方法，「所以我們認為最佳的防禦策略，並不是偵測而是預防。」他說傳統防禦概念是以不同的工具去偵測哪些檔案藏有病毒，建立白名單，但前設是病毒特徵資料庫必須先有記錄，否則偵測工具便會放行，換言之都有出錯風險，「因此 RESEC 創辦人及 CTO Oren Shnitzer 當年設立 RESEC 時，其宗旨並非為了攔截有問題的檔案，而是視一切檔案都有問題，並提供安全方法讓用家去開啟檔案。」 安全防禦 拒設白名單…

有上過 WeWork 呢類 co-working space 共享工作空間，或實際上已經租咗嚟用，係咪都會覺得喺嗰度做嘢又 chic 又 chill，自己返工都要開始注重下衣著品味同打扮咁呢？但如果話你知喺呢類共享工作空間做嘢，佢哋嘅 Wi-Fi 網絡原來唔多安全，好易俾其他人攔截到傳輸嘅機密檔案，咁你仲會唔會咁安心做嘢呢？ 提供共享工作空間服務嘅 WeWork， 今年想透過 IPO 公開集資上市，不過因為經營模式嘅賺錢能力受到公眾質疑，所以 WeWork 已宣布延遲上市。另一方面，WeWork 入面嘅 Wi-Fi…

除咗 Wi-Fi，我諗日常用得最多嘅無線科技，一定係藍牙！揸車嘅一日到黑都用藍牙免提唔在話下，就算好似我呢啲無車一族，都好鍾意用支藍牙遙控自拍棍影下相，或者駁部手機去藍牙喇叭聽下歌，但係藍牙有樣好衰嘅嘢，就係每次配對都好鬼蹝時間，所以一旦配對好，大部分人都會keep住由佢繼續用，咁就好易出事！ 點解咁講？你睇下近期嘅新聞就知原因，首先係上個月喺拉斯維加斯舉行嘅黑客大會 DEF CON，就有參加會議嘅黑客示範點樣可以入侵唔同款式嘅藍牙喇叭，然後遙控佢播放高頻音效，邊個唔好彩身處喇叭附近就有機會聽覺受損，所以大會俾所有與會人士嘅建議只得一個：熄咗藍牙佢！ 另一單就再嚴重啲，有研究員發現藍牙原來存有漏洞，傳送嘅數據可以俾黑客截取同埋改動藍牙傳送緊嘅內容，即使係一啲早已成功配對嘅產品，都可以喺配對後入侵，都係嗰句，你唯一可以做嘅，就係熄咗藍牙佢！ 夠驚嚇未？未算！幾星期前，有研究員示範點樣利用 Bluetooth Low Energy 嘅運作方式，透過 AirDrop 拎到你個電話號碼；另外《紐約時報》亦揭發好多店舖裝咗藍牙接收器，只要你部手機開著藍牙，喺顧客唔知嘅情況下追蹤佢哋嘅行蹤，仲將呢啲數據賣俾廣告商……林林總總多不勝數，如果你唔想成為以上事件嘅受害者，都係一句，熄咗藍牙就最穩陣啦！ 資料來源：https://bit.ly/2HfZQkI

變臉詐騙攻擊（Business Email Compromise，BEC）持續肆虐，最近又有大企業中招。今次苦主係豐田生產汽車椅套及門內飾件嘅子公司豐田紡織（Toyota Boshoku）。上個月，其歐洲子公司受到假冒商業郵件嘅變臉攻擊，導致公司財務損失約 40 億日圓。 豐田紡織剛剛公佈，於 8 月 14 日中招，已經立即成立應變小組並報警協助調查，力求儘可能追回被騙金額，不過潑出去嘅水絕對冇咁容易收得返，所以，出年 Q1 嘅營收報告真係凍過水。豐田都可謂多災多難，早於今年初，Toyota 日本總公司與越南分公司 5 周內兩度受襲，其網路及伺服器遭到未經授權存取，外洩資料涉及 310 萬客戶。連番出事，就唔可以話唔好彩，公司上下軟件硬件嘅安全都必須全面檢討。 變臉詐騙攻擊一直都係公司嘅惡夢，因為手法簡單、得手率高，所以一直猖獗，為公司安全最大威脅之一。因此，一間公司必須要添購電郵保護服務，7×24全天候攔截各種電郵攻擊，如攔截 SPAM…

Robotic Process Automation（RPA）將會係大勢所趨，坊間好多文章嘗試以學術性手法去探討，但唔係人人都睇得明，或者未想像到 RPA 點落地。今日用個 layman 小小嘅方式解釋一下，希望大家了解流程機械人係幾咁重要，可以慳到幾多時間同減少幾多失誤。 今日講嘅 RPA ，唔好覺得佢係 Buzzword 或 Rocket Science，其實佢無機械臂，亦只係一個存在於 desktop 入面嘅 UI (User Interface)，主要係處理 UI…

單係電話騙案已經好難防備，如果再加埋人工智能嚟扮聲扮口音，中招風險肯肯定大增。以為好難攞到你把聲？少年，你太年輕了。 而家最多人討論嘅欺詐科技，一定係 Deepfake 技術，透過 AI 模擬技術，就可以令浸浸、朱克伯格等名人，喺影片中講出你想佢講嘅說話，要製造災難性假新聞真係一啲都唔難，跟車太貼嘅個案亦只會愈嚟愈多。不過，現階段模擬像真度都仲有啲瑕疵，小心留意絕對可以發現唔自然嘅地方。 語音分析提升像真度 如果唔睇畫面，淨係聽聲又如何？相信會仲多人中招。好似今年三月英國一間能源公司嘅 CEO，就因為收到德國母公司上司一通電話，就將 200 萬港幣轉咗去匈牙利供應商嘅戶口。呢個 CEO 事後話騙徒唔單只把聲同佢上司一模一樣，而且仲連語氣、口音都無分別，所以就咁上當，如果唔係對方幾分鐘內又再要求過數令佢起疑，隨時會二次中招添。 欺詐案調查專家 Rudiger Kirsch 喺收到承保嘅保險公司委托，經調查後發現今次唔單只係一般電話騙案，仲係加入咗人工智能元素。由於保險公司從未處理過同 AI 有關嘅個案，所以先搵佢幫手。佢話自己都測試過一啲黑客用嚟模擬語音嘅軟件，像真度極高，而且唔難買到，所以預期呢類騙案會大幅增加。 其實上年網絡安全公司…

仲記得以前家居寬頻無咁快嘅年代，如果有片有音樂想 Download，而公司嘅網速又比較快嘅話，自自然然會借用公司部腦嚟做嘢啦。所以喺核電廠返工，而身邊又有無限電力，點解唔拎嚟挖礦咁大嘥先！ 無論你有無挖過礦，都應該聽過用嚟挖礦嘅電腦，硬件設備一定要好勁，同時要耗費大量電力。事關挖礦其實係鬥快計數，為咗快人一步計出答案，機能就唔可以慢，又或者學似黑客咁，利用病毒控制網絡上嘅電腦一齊計，咁呢門生意幾乎可以做到零成本。 密室偷電 烏克蘭一個核電廠工人就非常大膽，為咗減低挖礦成本，於是就喺核電廠嘅儲物室內擺放自己嘅電腦，借用電力挖礦。由於廠房內出現不尋常嘅電力消耗，所以驚動咗烏克蘭政府嘅Ukrainian Secret Service（SBU）嚟調查，搜勻成個核電廠後，先至揭穿呢個計劃。起初調查員同核電廠方面好緊張，因為核電廠涉及國家安全，如果俾黑客入侵就會好麻煩，特別係烏克蘭曾因為俄羅斯黑客攻擊而發生大斷電添。好在今次事件只係純粹偷電，犯案員工並無將自己部電腦連接核電廠網絡，所以大家先可以安心收隊。 其實喺核電廠挖礦事件已經唔係第一次發生，上年俄羅斯一個工程師仲狼死，偷用埋核電廠內嘅超級電腦嚟挖礦，連硬件費用都唔出。至於今次烏克蘭核電廠員工由於只係偷電，所以預計刑罰會較輕，而核電廠方面就計劃要追討佢偷咗嘅電費，叫做有人情味喇。 資料來源：https://bit.ly/2zlSwQ0

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…