早前, (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴,法庭判了一句:「任何人使用自己的電腦,不涉及取用另一人的電腦,便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨,先此聲明:本人不是藍、黃、紅,亦沒有任何意圖不尊重香港法律界、法官的意思,Neo 亦只是個黃毛小子,未有經過任何法律訓練,以下只是一堆廢話:請不要拉我。 我的感慨在於:甚麽是「自己的」電腦?你付了錢,買了一部有 CPU 有一些 Buttons 的東西回來,就是「自己的」電腦嗎?這個所謂的「自己性」(i.e. ownership) 實在是站在 Asset Ownership 的立場而言,即是說,你大可把這個東西用鐵鎚打爛,因為這是你閣下的財產。私有財產的權利,令你可以對此物有獨佔性的權利,別人不經同意使用、損毁,就是侵權行為,受法律約束。顯而易見,這是站在「客觀財物」的角度看「電腦」。 然而,一部電腦(姑且當它是一個 countable noun)的獨佔性可否成立?在硬體而言,OK。你碰我粒掣、插我個 Port,用它來墊煲,就是侵犯了我的「硬體權」。然而,電腦的「存在感」不在於硬體,更在於軟體,尤其是他的 Operating…
Search Results: CES (308)
Cisco 1001-X 系列路由器並唔係家用裝置,而係一個(應該要)非常穩陣可靠、專攻企業使用嘅網絡裝置。今次發現嘅問題出喺信用錨(Trust Anchor)驗證基制之上,黑客可透過漏洞喺源頭繞過驗證,非常大鑊! 兩大漏洞攻破不可能 最近有研究員發現 Cisco 1001-X 系列路由器存在極大漏洞,容許黑客遙控攻擊,控制裝置並可以獲取所有經過路由器嘅訊息及指令。資安公司 Red Balloon 研究員解釋,今次總共發現兩個漏洞:第一個為 Cisco 嘅 IOS 執行系統漏洞,相對上簡單,屬小兒科,一般修補方案更新就搞得掂;第二個就麻煩喇,因為關乎信任鍊(Chain of Trust)嘅驗證問題。 Cisco 喺…
分享FacebookTwitterWhatsAppEmailLinkedinTelegram 2018年資安事故歷歷在目,這邊廂航空公司資料外洩、那邊廂酒店集團被黑客入侵,網絡攻擊無日無之,手法日新月異,要減低被攻擊的風險,網絡威脅情報的收集及分析成為關鍵。處理海量和運用網絡威脅情報去偵測已經是個艱巨的任務,要及時作出回應更是一項挑戰。解決方法其實好簡單:利用HKT「網絡威脅情資平台Cyber Threat Intelligence(CTI)」以及「資訊安全威脅管理服務Threat Management Services(TMS)」。 HKT CTI 可減低遭受新型網絡攻擊的風險 網絡威脅情資平台Cyber Threat Intelligence(CTI)有如大腦,負責收集及分析各種網絡威脅情報,CTI 匯聚網絡安全專家、情報及最新技術,可大幅縮短調查及分析時間,減低企業遭受新型網絡攻擊的風險。 網絡威脅情資平台Cyber Threat Intelligence(CTI)收集及分析各種網絡威脅情報。 過濾環球及本地超過 1,000 億個原始日誌 網絡威脅情報的質量是…
特權帳號管理方案領域上,CyberArk 絕對是龍頭,去年就繼續被 Gartner 欽點評為 Leader 了。最近,CyberArk 特別舉辦了 CyberArk Refresh,從 Endpoint、Cloud、DevOps 等不同角度介紹 CyberArk 強大功能,幫助用戶更好地發揮手中利器。 CyberArk 活動由 Jack Poon 揭開序幕,Jack 指出 Gartner…
FIDO 聯盟與 Google 剛於世界通訊大會(MWC)上宣佈 Android 取得 FIDO2 認證,用戶不再需要輸入密碼,就可以用手機及流動裝置登入 app 或網站。任何 Android 7.0 Nougat 或以上版本,更新 Google Play Services 就可以透過手機內建的指紋辨識感測器,或是 FIDO 標準的實體金鑰,登入支援…
無檔案惡意程式日益嚴重,多少因為現今的防毒工具偵測能力越來越強,相對而言無檔案惡意程式較難被偵測,而且可長期匿藏兼無限復活,非常難纏。根據報導,針對企業的攻擊得逞案例當中,有 77% 是無檔案惡意程式攻擊,大家要認識這種攻擊方法,加倍提防。 甚麼是無檔案惡意程式 無檔案惡意程式(Fileless Malware)是一種利用既有軟件、被認可的應用程式如 Microsoft Word、Flash、Adobe PDF Reader、JavaScript 甚或系統工具如 Microsoft Windows Management Instrumentation (WMI) 、PowerShell 之類去執行惡意行動的網絡攻擊。它不似傳統的惡意程式那樣帶有明顯特徵,亦不以電腦硬盤為目標,尤其針對記憶體進行攻擊,其隱蔽性極高、匿藏期長,一般 whitelisting、signature detection、hardware…
駭客攻擊固然可惡,但人為的低級錯誤也本應可以避免,預防爆發一些顯而易見的危機。面對外憂內患,企業又應該如何做好資料保護措施,保障用戶個資免受駭客盜取,同時保全公司免觸犯 GDPR 而被開罰? 一、定期更新軟體 最基本的就是定期更新軟體。駭客技術雖然日新月異,但 antivirus(防護軟體)或其他軟體同樣與時並進。每次韌體更新除了一般除錯外,也有很多是為了填補已存在的資安漏洞或防禦新型病毒而進行的。 二、加入多重身份認證或生物認證 Broken authentication 是網路資安問題的第二大主因,而要做好身份認證這一步驟,除了傳統輸入密碼以外,現時已經有很多加強保安的驗證方式,比如雙重認證 (Two-factor Authentication, 2FA) 讓用戶輸入密碼後需要加上第二重認證步驟,常見的工具有: TOTP (Time-Based One Time Password):透過時間因素產生不一樣的一次性密碼,像是 Google…
DEF CON ’18 邀請了一班小朋友參加比賽:攻進一個複製的選舉結果網站,最後由一位 11 歲小朋友於 10 分鐘內成功攻入。除了顯示今日的網絡安全問題,亦提醒大家,別小看小朋友的能力。曾經有個 List 大數著名的兒童黑客,今日大家重溫一下: Reuben Paul 網絡安全界神童 Reuben Paul 現年 13 歲,是一位白帽黑客,其身份包括網絡保安大使、兒童黑客、最年輕少林功夫黑帶、體操運動員、Video-gamer、網絡忍者及 CyberShaolin 創辦人。Reuben…
成日聽人講 IT Security 行業前景不錯,並且非常缺人手,Salary Package 也吸引,令到很多 IT 人都想加入這個領域。但在那邊廂,我有位在大企業負責 IT Security 的朋友,卻用了一個有趣的比喻說:在公司做 IT Security,有如負責清洗廁所。當中的辛酸,不為人知,真是不好受。 Security Team 壓力大 點解?他說:因為 IT Security 即使做得再好,也不容易被察覺,亦好似是份內事,俾公司讚的機會較少;但萬一爆咗鑊(就好似爆咗渠一樣,周身都喺…
如果只看文章標題,會以為我想講講 IT 從業員需要大量 OT(overtime),俗稱 IT 狗,有幾辛苦等等……當然不是啦。只是最近碰到一較新的名詞,叫 Operational Technology,簡稱 OT。 IT 與 OT 的分別 在電腦系統未有大量普及前,企業一般都會投放資源去成立 IT 部門,把業務營運轉化為數據(以前更有人會稱為 EDP 部門,即 Electronic Data…