上一期講過「以太坊」(Ethereum)的智能合約是如何運作,在區塊鏈技術上確是一個重大突破。憑藉區塊鏈 2.0 技術擁有的「智能合約」功能(這一點是比特幣做不到的),以太坊像是個大規模分散式電腦,可以執行程序。所以有時也被稱為以太坊虛擬機(Ethereum Virtual Machine或稱 EVM)。 以太坊的特點 無論是簡單的合約,或是衍生工具般的複雜合約,技術上來說都可以在以太坊區塊鏈平台上執行。當要運行分散式應用程序(decentralized applications 或稱 dapps)時,區塊鏈用戶必須支付以太幣(貨幣符號:ETH)。應用程序愈是複雜,運算處理就需要愈長的時間,成本也會是愈昂貴。 以太坊是一大突破 為甚麼說以太坊在區塊鏈技術上是一大突破呢?(一)以太坊是分散式的,跟比特幣一樣,沒有中心點的攻擊;(二)可以去除中間人(如果說:比特幣可以幫助用戶避開銀行,以太坊就可以繞過像 Facebook、亞馬遜或其他的中間人平台);(三)以太坊提供了一個區塊鏈基礎平台,programmer 可以使用 EVM 來專注開發自身的 dapps,而不需要從頭開始構建自身的區塊鏈,省卻大量功夫,並加快了推出市場的時間。 前景仍是樂觀 目前以太坊仍像是一台非常緩慢的分散式電腦。每個節點處理每單交易需要一段時間:以太坊每秒處理約…
Search Results: CA (798)
在周星馳電影《功夫》有一句話說道:「天下武功,無堅不摧,唯快不破!」我就利用這句說話,跟大家分享「唯快不破」的創業心得。 行業變化要快 首先,行業很重要。那些行業變化比較快(當然要對該行業有相當的認識),你的成功機會就比較高。因為這些行業,對大公司來說是沒有太大優勢。畢竟大公司決策需時,在行業環境變化快的局面,人力、財力也不是關鍵。相對來說,一家靈活的初創企業,就可能擁有不少的優勢。行業變化愈快,就對細公司愈有利。10 多年前,我們公司選擇在 IT Security 起步的原因,也是因為 IT Security 在整個IT領域變化得比較快。 行咗先算,怕輸就唔好搞 Start Up 每家 Start Up,都要經歷過前期最艱辛的階段。做出來的 Plan 不是重要(反正到 Execution 時,都跟原來的…
自「防火牆」面世至今的過去二十幾年裡,為了面對不同的網絡安全挑戰,市場也湧現很多不同的安全產品。有點像兵捉賊遊戲一樣,企業不停地修補漏洞,亦不斷地添置安全設備去加強防禦和監控。就算是大型企業,要投放大量資源去做好網絡安全,都會有點吃力。 安全服務供應商差異大 所以近年市場也興起把安全工作委託或外判給安全服務供應商,對於一些企業來說,也是一個選擇,但如何挑選合適的服務供應商仍是一個難題。首先,市場充斥著很多安全服務供應商(MSSP,Managed Security Service Provider),有本地 MSSP,也有外地 MSSP,其服務內容也林林總總,更有不同的 Service Level,價格也有很大差異。要認識清楚服務內容,實在不容易。再加上大部份 MSSP 所提供的服務範圍也處於前期階段,其質量和穩定性還需要時間來印證。 買車轉為 Call 車 由「產品」轉為「服務」是一個過程,也可以說是開闢了另外一個新市場。就如我們買車一樣:汽車是產品,汽車購買屬於一個市場,但需要接送服務的人,可以選擇 Call 車(像的士或 Uber)。用 Uber…
世界盃對球迷來說,可說是四年一度的大喜日子,在俄羅斯的開波時間對本地球迷來說時差比較好,至少冇咁夜開波。對於足球的陣式,有傳統的 4-4-2、4-3-3、到較新陣式如 4-2-3-1、3-5-2、 3-4-2-1 等。如何擺陣和變陣,也視乎整體戰術、球員特質及比賽情況而定。 我喜歡 4-2-3-1 在公司內,高層管理人員基本上就是扮演足球「領隊」的角色,帶領員工為業務爭取好成績。在一次內部會議中,喜歡足球的我(已掛靴N年,現只睇波而已),就用了我比較喜歡的 4-2-3-1 陣式(攻守較容易作出變化)去形容對公司不同部門在球場的位置,及應該如何配合。 後防骨幹:Technical 讓我先從 4-2-3-1 的後面 4 位球員說起,Technical 部門是我們的後防骨幹,也是在 IT 公司裡最核心的(很多有經驗的領隊要重建球隊,都是從後防開始入手)。在整個後防,分「中堅」(Technical Implementation…
今早好天氣,一望出街,成群人在低頭捉怪獸。Neo 諗,乜個遊戲仲未死咩?我家對出的地方,平時少外人,但也算係 Public Areas – 公眾地方,原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies,寫到差不多,忽然問我:喂,你有沒有考慮 Public Areas – 公共區域嘅 Security 呀?我反問,Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩?佢話,大佬,我係講緊企業入面果幾十萬呎地方,平日 D…
講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…
上文提到,權要有限。那麼職責呢?要分。權要限、職要分,夠鐘要放工,得閒要睇 wepro180。 在系統中,有一條重要保安原則:職責分離。在系統及流程中,要把重要功能、職責拆開。在流程中,申請新帳號或者IT服務者,與批准者,須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截,一人管一截(有 D 似古代果 D 虎符)。又如寫程式的人,不可以把程式直接安裝入系統,要透過另一個團隊。以上這些職責分離,目的是要減少差錯及舞弊。文藝一些講:避免監守自盜。 (再文藝一些…在歷史中,這些職責分離比比皆是,例如中國的皇權與相權的分離、唐代的三省制,以至謀與斷的分工、三權分立等,都有古仔可以講。) 講到呢度,就可以明白,保安系統設計要嚴密,須要包括:有各系統權限的人,他們的職責是否有合理的分離。所以,大機構的 SIEM / Log Management 要求完備,因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…
能夠連續多年獲 Microsoft 欽點為 Best Cloud Partner,KBQuest 絕對是行內數一數二的雲端專家。原來 Cloud 崛起背後的故事源自一場大風暴,且看 Eric Moy 講講如何風雲驟變。 「縮數」變「異數」 要講雲,先講風。08、09 年打了一場風,叫金融風暴、金融危機。「08、09 年金融危機,大企業削減開支,Data Center 冇生意做。不過巨頭如 Microsoft、Amazon 等有大量資源,於是想到一個辦法:分期付款,推出按量、按月收費。這就是…
一般人聽見「黑客」兩個字就立即標籤佢係壞人。其實「黑客」,Hacker,泛指以任何手法入侵他人電腦嘅人。黑客有正有邪,更亦正亦邪。 入侵動機各不同,有為錢、為興趣、為學習、為國家、為理想,甚至為啖氣都有。Hacker 分好多顏色「帽子」,以下簡介 hacker 帽子顏色分類,以後唔好再「色盲」亂咁「扣帽子」。 (第一部份) (大題)黑客六種顏色 黑帽 Black Hat 「黑心仔」黑帽亦稱 Cracker。通常「利慾」為目標,在非法的情況下攻擊系統,透過破解、入侵去獲取不法利益。黑帽係網絡罪犯,會hack 入某個系統盜竊數據,從而進行金錢勒索或賣畀黑市。黑帽嘅存在,令網絡世界好危險。 白帽 White Hat 「好心仔」白帽同黑帽完全相反,白帽又叫 Ethical Hacker(道德黑客)。不少白帽受聘於網絡安全公司或大企業,在完全合法的情況下攻擊系統、進行安全測試、找出安全漏洞,以「改善」為目標,令網絡世界更安全。白帽中亦有 Bug…
我參與這個 IT 行業多年,總是有越來越陌生的感覺。當年讀書,讀著 Mathematical Formal Language 去處理 Turing Machines 的運作及了解其本質性的局限,夾著一塊書簽,有一句話,大約是:「當一切都已經塵埃落定,當一切都已經結束,忽然想起,最初最初的陌生。」 一般地說,初步要把握甚麼是 Information Security 資訊安全,可以用一句老生常談的話,資訊安全就是:機密性 (Confidentiality)、完整性 (Integrity)、與可用性 (Availability)。機密性,是讓未被授權的人,讀不到所受保障的資訊;完整性,是不可隨意更改、損毁資訊;可用性,是讓被授權用家,可以用得到那些資訊。倒過來說,資訊安全的問題,也可歸類為機密性問題(例如盜用他人信用卡號)、完整性的問題(例如讓我銀行存款多三個零)、可用性的問題(例如網站被人用 DDoS 攻擊)等。 其中「可用性」這一項,想想亦頗令人頭大。做過…