原本由美國海軍研究實驗室喺上世紀 90 年代開發嘅 TOR（The Onion Router）洋蔥路由器，早前公布自家瀏覽器 Tor Browser Bundle 存在重大漏洞，有可能俾有心人追蹤到用家嘅真實 IP 位址，令到 TOR 嘅隱身功能失效！ 用得 TOR 瀏覽器嘅人，應該都係睇中佢嘅隱身能力。TOR 嘅運作原理係當用家由上網裝置發出上網指令，到真正去到目標網站嘅過程中， TOR 會將你嘅…

最近金價高到得人驚，日日係咁升，好似 2019 年全年金價就升咗19%，跑贏恒指，再次證明黃金依然係避險之王。大家唔好誤會，以為去錯咗財經版，只係近年好多人都話「data is gold」，喺呢個年代，數據價值唔會差得過黃金，但係數據會唔會好似黃金咁樣，有完善嘅機制監管佢嘅買賣同埋升跌呢？睇完以下三篇報導，你或者會有答案。 第一篇係《華盛頓郵報》上月初嘅報導，內容係講微定向（micro-targeting）呢家嘢，近年被政黨廣泛應用，用佢嚟追蹤特定選民，收集並建立數據庫，再靠數據分析嚟設計競選活動。2016年美國大選時，侵侵俾錢請嘅「劍橋分析」（Cambridge Analytica）就係玩微定向嘅高手，因而俾唔少人質疑微定向改寫咗選舉結果。Google 同埋 Twitter 早前已公布，佢哋唔再俾微定向用喺政治用途，唯獨係 Facebook 企硬唔肯咁做，《華盛頓郵報》仲訪問咗 Facebook 前資訊保安總監 Alex Stamos，佢話微定向唔係追蹤一、兩個美國人，而係成千上萬人，咁樣做其實係扼殺緊真正嘅民主。 另一篇報導嚟自《Politico》，又係追住 Facebook 而嚟，佢哋嘅記者調查之後發現，有 265…

想偷取目標對象嘅資料，而又可以做到神不知鬼不覺，原來唔需要好高科技，只要喺對方嘅防火牆、路由器等硬件上加裝一粒晶片就做到。有專家示範只要喺網上買粒價值兩蚊美金嘅晶片，再偷偷地裝入硬件嘅底板上就得，提醒大家係無想像中咁難㗎！ 示範呢個技術嘅係 ICS 安全公司 FoxGuard 嘅專家 Monta Elkins，嚟緊佢將會喺月尾嘅安全大會 CS3sthlm 上詳細公佈佢嘅 PoC 內容。為咗俾大家知道佢嘅研究有料到，所以佢係提前公開部分內容。Elkins 首先喺一塊價值兩蚊美金嘅 Digispark Arduino 底板上搵咗粒 ATtiny85 晶片嚟修改程式，呢塊晶片只係得 5mm 大，睇相就明白喺底板上出現一塊咁細嘅晶片，唔單只好難發現，同時亦係好合理。…

網絡安全好重視認證，不過，正如有安裝防毒軟件都唔係百分百安全，有認證其實都只係安全嘅第一步，因為黑客都識得以正常途徑攞認證，以 Apple Developer Certificate 為例，呢個就係黑客慣常使用嘅手段，用嚟瞞過 Mac OS 嘅 Gatekeeper、XProtect 防禦系統，等惡意軟件可以成功安裝。 最近上述嘅攻擊手段，又再次出現喺 Mac OS 之上。發現今次呢個 TARMAC 安全漏洞嘅係數碼媒體安全公司 Confiant，其實佢哋嘅專家早喺今年初，已發現 TARMAC 嘅前奏攻擊 Shlayer。當時專家指出 Shlayer…

雖然好多調查報告話，企業網絡安全事故多數由打工仔助攻，但街訪時打工人就完全唔同意，話有問題檔案可 del 就 del，但如果因工焗開而中毒，責任應該喺公司身上。 有邊啲檔案真係唔開唔得？舉兩個例子就明。 個案一：來歷不明電郵 但凡公司請人，人事部都會收到大量來自陌生人發出嘅CV。如果唔開電郵附件，點樣篩選適合人選嚟面試？ 個案二：日常往來伙伴 採購部日常工作就係收客戶訂單同邀請廠方報價，全部靠收發文件檔案去確認交易內容。即使係合作開嘅伙伴發出嘅電郵，點樣確認對方電腦系統仲係安全？ 有乜方法可以令員工安心打開檔案做嘢？答案就係 Content Disarm & Reconstruction（CDR）技術，即刻參加 ReSec 實戰工作坊，即可了解重建檔案技術點樣快速摘除隱藏陷阱，一次過提升公司網絡安全同埋員工嘅工作效率。 日期：10 月 15 日（星期二）時間：2:30pm…

以為响手機裝防毒軟件就冇問題？點知原來個防毒本身就有問題…… 網絡安全公司 Comparitech 最近為 21 款 Android 免費防毒軟件進行分析，結果真係嚇死人，發現當中竟然有 3 款存有嚴重安全漏洞、7 款根本無能力偵測樣本病毒；整體上，47％ 產品未能成功達標，真係唔裝好過裝喇。 Comparitech 從安全性、私隱度及廣告推送三方面進行測試，發現大多數 App 都貨不對辦：首先有三分之一嘅 app 根本無能力準確偵測病毒，而且幾乎所有 app 都响度監察緊你嘅行為。咁都未算，研究員仲發現有…

好消息，Instagram 識聽民意推出新安全措施，即使用家嘅帳戶被黑客所奪，用家都可以靠新方法奪回，唔使再驚辛苦經營嘅帳戶俾人搶走！ 名人明星多受害者 每隔一段時間，就聽到名人或者 KOL 嘅 Instagram 帳戶被黑客盜用，受害人包括萬人迷碧咸、樂壇天后 Lady Gaga、韓國暖男李鍾碩等等，就連老佛爺愛貓 Choupette 嘅 IG 帳戶都俾黑客入侵過。舊年我哋曾經報導過幾百個 IG 帳戶被 hack 事件（https://bit.ly/2zhZHsO），受害者就算喺 IG 設定咗雙重認證，都未必可以攞返個帳戶。你知啦，一般人無咗個帳戶，都可以重新開個新…

睇得多警訊都知，騙徒手法層出不窮，要避免中招，當然要認清今期流行嘅攻擊手法。網絡安全公司 Kaspersky 剛啱出咗今年第一季度報告，總結電郵騙案嘅手法。結果發現，以下 5 大手法雖然唔算新招，但真係萬試萬靈！ 騙徒手法一：情人節裡出陰招 第一季度最大節日非情人節莫屬，關於送禮嘅騙案特別多，騙徒扮交友或者花店網站 send 訊息俾你，唔單只會提你買禮物送俾另一半，亦有騙徒會溫馨提示男士買定偉哥為佳節做足準備，誓要引到人點擊訊息入面嘅虛假網站連結，再輸入埋信用卡資料就大功告成！ 騙徒手法二：賣有毒蘋果 唔係白雪公主入面嘅女巫先識得用毒蘋果，其實每次蘋果有新產品發佈，都係騙徒搵食時機！Kaspersky 發現三月底蘋果出新產品時，每日中招人數由平時幾千個急升至幾萬個，最高峰嗰日甚至接近八萬人，佢哋大部分都係收到電郵通知，點擊連結後去到假蘋果網站，無防備下輸入 Apple ID 驗證，就咁就俾人呃咗個帳戶資料。如已經綁住信用卡，真係可以瘋狂用嚟購買 iTunes 點數卡㗎。 騙徒手法三：我係嚟幫你整機嘅 而家電腦出問題，十居其九會上網搵技術支援啦。報告指出近來社交媒體同埋討論區出現大量貼文，聲稱可以幫你一次過搞掂幾樣電腦產品問題，而且騙徒仲寫明會收取合理價錢提升可信性，等你唔會以為免費冇好嘢而唔幫襯。最諷刺嘅係，騙徒連 Kaspersky…

FIDO 聯盟與 Google 剛於世界通訊大會（MWC）上宣佈 Android 取得 FIDO2 認證，用戶不再需要輸入密碼，就可以用手機及流動裝置登入 app 或網站。任何 Android 7.0 Nougat 或以上版本，更新 Google Play Services 就可以透過手機內建的指紋辨識感測器，或是 FIDO 標準的實體金鑰，登入支援…

在 2019 年消費性展覽 CES 上，實體安全金鑰開發商 Yubico 首度推出支援 iPhone 的新款金鑰 YubiKey，iPhone 用戶密碼安全保護從此多一種選擇。 其實實體金鑰的原理就同普通屋企鎖匙一樣，只不過將網上帳戶密碼轉換成物理鎖匙。用戶使用時，要先在支援該功能的網站註冊一個「瑣頭」，從此登入該網站，就只需將安全金鑰插入電腦或手機設備便可「開鎖」，無需再輸入密碼。因為需要用到物理鎖匙，安全度便可大大增加，對於堅持使用弱雞密碼「123456」的懶人嚟講，可話一大恩物。 Yubico 為目前市面上較多人使用的金鑰品牌，好長一段時間，該公司僅面向 PC、Mac 及其它移動設備。如今推出 YubiKey for lightning，已獲得 Apple…