Nick sir強調Cyber Range不同於workshop，因為除了會教參加者如何使用網絡安全工具，最重要的部分是要參加者思考在不同情況下應如何使用，非常用腦。 分享FacebookTwitterEmail 近年網絡安全界經常舉辦 Capture The Flag（CTF）奪旗賽，一方面希望能夠提升業界的技術水平，另一方面亦希望從參賽者中找出有能之士，彌補業界專才不足的窘境。不過，正所謂遠水救不了近火，企業在嚴重「缺人」的情況下，應該如何提升現職員工的網絡安全水平？Cyber Range 網絡攻防訓練營，正好可以讓員工進行密集式特訓，Fortinet香港、澳門及蒙古區網絡安全方案經理吳維穎（Nick sir）說相比起奪旗賽的技術較量，Cyber Range 則更重視分析及改善安全觀念，而且更可以增加非 IT 部門員工的網絡安全思維。他更透露，有香港紀律部隊參加過後，表示有興趣買起 Fortinet 整套 Cyber Range 系統作日常訓練，只是因為「武器庫」內藏有真的病毒，殺傷力太大，所以…

最近唔少人都開始戴口罩或注射流感疫苗，除咗擔心自己中招，其實亦可以提升社區防護效果，減少自己出事而傳染他人嘅風險。就好似最近 Android 手機上一隻木馬程式，中招後唔單只自己嘅私隱會外洩，惡意軟件仲會假冒你嘅身份，喺 Play Store 上幫某啲軟件寫評價，無形中做埋散播病毒嘅幫兇。所以話，網絡安全絕對唔係個人嘅事！ 防毒軟件供應商 Kaspersky Lab 最近發表研究報告，指出一隻木馬程式 Trojan-Dropper.AndroidOS.Shopper.a 正式網絡上肆虐，佢會以官方系統圖標及 ConfigAPK 嘅名假扮 Android 合法服務，引誘用家點擊，一旦成功安裝，真係後患無窮。首先呢隻木馬會狂偷用家嘅個人資料，包括手機型號、網絡供應商、使用位置、IMEI 及 IMSI 等獨一無二嘅資料；其次係會以用家嘅身份，喺 Play…

勒索軟件（Ransomware）有幾猖獗，相信好多人都知，例如全球最大外幣兌換公司 Travelex，就不幸成為 2019 年最後一間受害機構，喺除夕當日中招，被開發 Sodinokibi 嘅黑客組織勒索 300 萬美元（現已增加至 600 萬美元）。最重要係，黑客組織講到明唔俾錢就會公開由 Travelex 偷返嚟嘅客戶私隱資料，唔再係鎖死晒啲檔案就算。為咗增加可信性，黑客組織已率先將另一受害機構 Artech Information Systems 嘅 337MB 檔案，喺俄羅斯討論區公開「些牙」⋯⋯ 勒索軟件最令人頭痛嘅地方，係佢會鎖死電腦入面嘅檔案，仲會透過內部網絡感染其他儲存設備，不過以往嘅勒索軟件只會鎖死檔案，如果受害者平時有做好備份，最多重新還原資料，損失有限。不過，開發 Sodinokibi…

作為網絡安全從業員，茶餘飯後其中一個談得最多的話題，肯定是老闆又要安全，但又不肯俾錢買工具。不過，假設今年 budget 大增，你又是否懂得購買合適的工具，預算用得其所？上星期四，網絡安全產品分銷商安領科技(香港)有限公司再度舉辦「Edvance Beacon Game Day II」，邀請各行業的網絡安全部門主管參加，通過玩法新奇的小組遊戲，讓參加者齊齊接受「腦震盪」療法，震散固有的安全概念，重建網絡安全意識。 到底哪種網絡安全工具最有效？實情必須針對各行各業的高危風險因素才能決定。 有限資源砌出最強防禦組合 現時網絡攻擊的種類多不勝數，而且各行業面對的風險因素亦不盡相同，所以天底下絕沒有百戰百勝的安全工具組合可以抄襲。作為決策者，最重要是了解公司的業務內容，認清行業最常面對的網絡風險，才能在有限的預算中砌出最強防禦組合。事實上，即使有錢也不能任性，因為亂買工具除了嘥錢，更有可能降低管理透明度。以上論點可能大家都聽過，但真正應用，表現又如何？在今次 Game Day 上，主辦單位就將參加者分成三組，並安排多個遊戲，一試誰是精明消費者。 無錢買網絡安全工具好頭痕？但原來有錢到手仲頭痕。 其中一個遊戲的玩法，是每組獲發多張代表不同網絡安全工具的卡牌，參加者要根據主辦單位提供的資料及預算，挑選出最有用的安全工具組合。如選取的工具可有效抵擋該攻擊，即可得分，分數愈高就可勝出。現場所見，各小組的成員都熱烈參與討論，思考哪款工具可派上用場。有部分參加者仍以平常的思路來挑選安全工具，經隊友提點現時所扮演的行業，才發現該工具用途有限；亦有參加者堅持要購買某種防禦工具，卻發現「硬著陸」後 budget 爆煲，最終又要重新「洗牌」。 換個形式推銷網絡安全 主辦單位除了讓參加者扮演防守一方，另一遊戲又讓大家扮演黑客去攻擊其他小組，猶如上演紅藍對戰。不少參加者均表示以遊戲方式去提升安全意識，較平常參加的網絡安全研討會更易入腦，因為不再是由演講者單向發表講話，而是所有參加者都要用腦參與，其中一位教育界參加者更表明會偷師，回校後會以類似的遊戲方式，提升員工的安全意識。另外，角色扮演亦可以讓他們跳出行業框框，以不同身份重新認識網絡攻擊的真面目。 雖然參加者平日面對網絡攻擊時，不會好像…

Facebook 上年首先開放俾愛爾蘭、西班牙及南韓用家測試嘅 Off-Facebook Activity 私隱自決功能，而家已經開放俾全部用家使用喇，唔想自己嘅網上行為俾 Facebook 過度收集，即刻去設定搞搞佢啦！ 作為全球其中一大廣告平台，Facebook 一直以各種手法嚟收集網民嘅行為習慣，就算你無用 Facebook、Instagram 都好，都會有網站、手機應用程式將你嘅一舉一動同 Facebook 分享；除咗 Facebook 之外，Google 亦做緊相同嘅事，所以只要你有上網，就一定會發現睇到嘅廣告、活動宣傳都係度身訂造。 終斷行為分享 既然靠呢樣嘢賺錢，所以當 Facebook 話俾用家自決將唔將自己嘅網上行為有限度封閉，聽起上嚟真係好唔現實。不過，Facebook…

好多人用電腦，都唔鍾意記啲hotkey，又係嘅，好多嘢都可以用隻滑鼠左右掣做晒，又真係無乜理由記埋啲 Ctrl+C 同埋 Ctrl+V 嘅複雜組合嘅，不過千祈唔好睇少呢啲組合，有時就係靠佢哋救命！ 點解咁講？話說最近防毒軟件商 Malwarebytes 喺 twitter 出咗篇貼文，話喺卡塔爾、阿聯酋、安曼、科威特同埋法國等國家發現同一類騙案，中招嘅電腦會打開一張相，張相就會「顯示」一個 Windows 10 嘅畫面，扮係用緊全屏幕模式嘅 Chrome 瀏覽器，去咗一個當地嘅警方網站，由於呢個瀏覽器畫面只係一幅圖嚟，所以無論你點撳畫面上嘅嘢都唔會有反應，令你以為部機 lock 死咗。 而喺呢個假網站畫面上列出嘅訊息，大致上就係話你去過唔知乜嘢非法網站，睇過唔知乜嘢咸相，而家警方查到，所以會即時lock死你部電腦唔俾用，除非你即刻喺唯一入到嘢嘅欄位輸入信用卡資料交罰款，否則就唔使旨意用得返部機……如果你一時唔為意真係照做，咁你嘅信用卡資料就會俾黑客收集咗，用嚟直接買嘢又得，賣俾其他人又得，總之就損失慘重啦！ 聽落好似好低能，靠一張相就呃到人？但你都唔好睇少佢，當你拉隻滑鼠去邊都 click…

唔少人都鍾意玩「抖音」（TikTok），特別係後生仔女，時不時都會拍片上傳。不過，早排多個美軍部隊就指出抖音存在嚴重保安漏洞，禁止士兵喺軍用手機上安裝使用。到底有乜咁嚴重呢？謎題終於開估喇。 以色列網絡安全服務供應商Check Point 嘅專家，早兩日就發表研究報告，指出佢哋原來喺上年 11 月，已經就抖音嘅安全漏洞，去信佢哋嘅母公司 ByteDance。專家發現只要通過假扮抖音向用家發送內含惡意連結嘅短訊，一旦用家唔小心開啟，黑客就可以通過漏洞嚟控制用家嘅帳戶，代用家發布及刪除短片、公開用家嘅私人短片，甚至攞到用家登記嘅電郵地址等等。唔單只手機 app 有漏洞，就連抖音嘅網站亦唔安全，其中一個搜尋欄位可以俾黑客插入惡意程式碼，發動 Cross-site Scripting 攻擊，從而去盜取其他用戶嘅登入資料。 Check Point 專家將漏洞報告交咗俾抖音後，抖音嘅網絡安全部門即刻修補，並喺 12 月中推出嘅更新版中，將漏洞全部堵塞。佢哋嘅安全部門主管 Luke Deshotels 事後就多謝…

勒索軟件（Ransomware）係現時其中一種最多罪犯使用嘅網絡攻擊手法，因為佢嘅使用方法簡單，只要幾十蚊就可以喺暗網買到，有黑客集團更以 Ransomware-as-a-Service 形式經營，好似上年開發 GandCrab 嘅黑客集團就高調話兩年間賺咗 3 億美元服務費，好搵過 Bounty Hunter 多多聲。再加上加密貨幣（Cryptocurrency）大大減少罪犯收贖金嘅風險，所以愈嚟愈多勒索軟件出現，而且真係任何人或公司都有可能中招。 搶救失敗無後路 對一般用家嚟講，中咗招大不了重裝電腦，最多係無晒啲相、片同檔案啫；但對於企業嚟講，如果重要檔案或寫緊嘅project、程式被鎖死，而平時又無做好備份工作嘅話，真係有可能執笠㗎！好似美國一間電話推銷公司 The Heritage Company，上年 10 月受到勒索軟件襲擊，因為無做好備份工作，事後又救唔番啲檔案同俾唔起贖金，結果一踏入 2020 年，集團 CEO…

最近金價高到得人驚，日日係咁升，好似 2019 年全年金價就升咗19%，跑贏恒指，再次證明黃金依然係避險之王。大家唔好誤會，以為去錯咗財經版，只係近年好多人都話「data is gold」，喺呢個年代，數據價值唔會差得過黃金，但係數據會唔會好似黃金咁樣，有完善嘅機制監管佢嘅買賣同埋升跌呢？睇完以下三篇報導，你或者會有答案。 第一篇係《華盛頓郵報》上月初嘅報導，內容係講微定向（micro-targeting）呢家嘢，近年被政黨廣泛應用，用佢嚟追蹤特定選民，收集並建立數據庫，再靠數據分析嚟設計競選活動。2016年美國大選時，侵侵俾錢請嘅「劍橋分析」（Cambridge Analytica）就係玩微定向嘅高手，因而俾唔少人質疑微定向改寫咗選舉結果。Google 同埋 Twitter 早前已公布，佢哋唔再俾微定向用喺政治用途，唯獨係 Facebook 企硬唔肯咁做，《華盛頓郵報》仲訪問咗 Facebook 前資訊保安總監 Alex Stamos，佢話微定向唔係追蹤一、兩個美國人，而係成千上萬人，咁樣做其實係扼殺緊真正嘅民主。 另一篇報導嚟自《Politico》，又係追住 Facebook 而嚟，佢哋嘅記者調查之後發現，有 265…

又到新年購物意欲旺盛的時候，在報復性消費前，不少消費者都習慣利用搜尋引擎，查找一下有否更便宜的選擇。CyberNews 最近便在 Google 做了一個調查，看看搜尋結果中有沒有「伏」；眾所周知，Google 搜尋前列數項結果都是廣告效果，店家只要付費給 Google 便能在特定搜尋字句中，便能讓自己的網頁得到好位置。不過付費下廣告的，並不一定是合法的賣家，受害人一旦誤入這些網頁，或會被導向至惡意網絡釣魚網站，誘使他們購買假冒或不安全的產品，甚至被欺騙個人資料。 CyberNews 的調查小組為了測試 Google Ads 所展示的網頁是否安全，進入了 692 個有「Black Friday」或「Cyber Monday」宣傳優惠的網站，分析它們的 Domain，並以網域年齡（Domain age）、黑名單狀態（Blacklist Status）及網頁信任分數（Website Trust…