第五代（5G）流動通訊技術備受關注，早前有香港電訊商利用 5G 頻譜，僅以 14 秒完成下載 2GB 影片，高速上網表現，令企業管理者相當憧憬技術可以盡快投入市場，取代現時企業內部的 Wi-Fi 網絡基建。而香港的頻譜使用權已在 10 月中由本地四大電訊營辦商投得，如無意外，為期 15 年的頻譜使用權將於明年 4 月 1 日生效。不過，5G 技術其實有一定的使用限制，而且網絡安全性亦較 Wi-Fi 無線傳輸技術不足，站在「安全第一」的前提下，管理者應認真考慮升級部署。…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

無論是大中小企業，今天同樣面對數碼轉型的各種問題，其中數據移雲就出現不少網絡安全問題。網絡安全企業 Palo Alto Networks 剛發表一份香港及亞太區大型機構雲端安全狀況的調查報告，結果令人震驚，多方面顯示香港大型機構並未理解雲轉移的安全問題，76% 受訪者仍誤以為雲端供應商可保客戶平安，同時亦有超過 3/4 大型機構從沒或未有每年為網絡安全進行審計！ 負責這次調查報告的 Ovum Research，一共訪問了 500 個來自各行業的大型企業員工，受訪對象分別來自澳洲、中國、香港、印度及新加坡等地，每個地區各有 100 個受訪者。儘管今次調查共有 83% 受訪者同意網絡安全及私隱是雲端應用的最大挑戰，不過，Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca…

科技愈發達，帶嚟嘅方便就愈多，好似以前揸車要周圍搵車匙先可以撻車，但自從有咗無車匙 Keyless Go 技術，只要車主袋住車匙喺身就得。不過，呢種無線識別嘅技術，亦令到受攻擊嘅層面加大，黑客利用意想唔到嘅方法，將車匙遙距拎到手，根據 The Association of British Insurers 發表嘅統計數字顯示，單係 2018 年經佢哋處理嘅失車數字就多達 56000 架，比起 2017 年上升咗 12%。雖然唔係全部都因為呢種技術而失車，但 ABI 都警告 Keyless…

網絡安全好重視認證，不過，正如有安裝防毒軟件都唔係百分百安全，有認證其實都只係安全嘅第一步，因為黑客都識得以正常途徑攞認證，以 Apple Developer Certificate 為例，呢個就係黑客慣常使用嘅手段，用嚟瞞過 Mac OS 嘅 Gatekeeper、XProtect 防禦系統，等惡意軟件可以成功安裝。 最近上述嘅攻擊手段，又再次出現喺 Mac OS 之上。發現今次呢個 TARMAC 安全漏洞嘅係數碼媒體安全公司 Confiant，其實佢哋嘅專家早喺今年初，已發現 TARMAC 嘅前奏攻擊 Shlayer。當時專家指出 Shlayer…

雖然好多調查報告話，企業網絡安全事故多數由打工仔助攻，但街訪時打工人就完全唔同意，話有問題檔案可 del 就 del，但如果因工焗開而中毒，責任應該喺公司身上。 有邊啲檔案真係唔開唔得？舉兩個例子就明。 個案一：來歷不明電郵 但凡公司請人，人事部都會收到大量來自陌生人發出嘅CV。如果唔開電郵附件，點樣篩選適合人選嚟面試？ 個案二：日常往來伙伴 採購部日常工作就係收客戶訂單同邀請廠方報價，全部靠收發文件檔案去確認交易內容。即使係合作開嘅伙伴發出嘅電郵，點樣確認對方電腦系統仲係安全？ 有乜方法可以令員工安心打開檔案做嘢？答案就係 Content Disarm & Reconstruction（CDR）技術，即刻參加 ReSec 實戰工作坊，即可了解重建檔案技術點樣快速摘除隱藏陷阱，一次過提升公司網絡安全同埋員工嘅工作效率。 日期：10 月 15 日（星期二）時間：2:30pm…

PDF 係大家常用嘅文件檔，如果內容包含機密或敏感資訊，都會 set password 保護。但黑客而家有方法修改呢啲檔案，令到擁有解鎖密碼嘅人喺打開檔案嘅同時，傳送多一份解鎖內容俾黑客，做咗解鎖佬都唔知！ 用嚟加密 PDF 檔案嘅密碼演算法，本身其實好安全，不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員，指出 PDF 檔案其中一個漏洞係檔案只會半加密，字串內容係受到保護，但檔案嘅結構就無加密可以讀取，所以黑客可以篡改結構內容，將惡意程式注入其中，當檔案被合法打開，就會暗中將內容傳送俾黑客；另一漏洞就係 CBC（Cipher Block Chaining）加密模式，由於本身缺乏一致性嘅驗證，令到黑客可以修改特定區塊內容而唔影響解鎖程序，於是黑客就可以加入惡意程式，暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼，一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞，經研究員測試後，發現喺…

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…