被稱為全球現時最嚴厲的私隱保障及安全法規，歐盟《一般資料保護規則 》（GDPR） 已實施超過一年。此規則旨在為歐盟公民個人資料的儲存和處理，提供更好的保障，但仍然有許多公司未有對此嚴格遵守，當中包括歐洲以外的知名公司。 例如，美國酒店連鎖巨頭萬豪國際集團 （Marriott International）因駭客盜取了 3.83 億條客人訂房記錄，結果要面對 1.25 億美元巨額罰款；谷歌亦因其用戶意見征求政策，以及未對使用用戶信息進行足夠監管，而被罰款 5,680 萬美元。 儘管以上案件備受矚目，全球任何機構在針對或收集與歐盟成員國家人民有關的資料的行為上，亦必須嚴格遵守 GDPR，只要有任何一個客戶屬於歐盟公民，都要遵守該新法，但香港一些公司仍然以為這法規與其業務運作無關。事實上，歐盟是香港的第二大的貿易夥伴，排名僅次於中國內地；在香港，市面上更有逾 2,200 家來自歐盟國家的公司正在進行業務。 為幫助本地企業遵守 GDPR，香港電腦保安事故協調中心（HKCERT）已經找出可造成資料外洩的四種主要網絡攻擊，若採取適當的保安措施，便可以減低其影響。這些攻擊包括： 網絡釣魚攻擊：網絡釣魚是最常見的攻擊手法之一，有很高的騙取用戶憑證成功率。因此，應定期進行用戶意識培訓，以保持工作人員對可疑網站和電子郵件的高度警惕。利用系統漏洞攻擊：實施計劃周全的修補程式更新管理，包括修補程式更新週期，例如在推出到生產環境之前在預備環境進行「用戶接受度測試」（UAT），以及訂立針對終止支援的系統的適當退出計劃，對防止攻擊者通過舊版或未進行修補程式更新的系統損害公司網絡，尤關重要。若企業因一些實際的理由而無法替代舊版系統，便需要一層額外的保護（即防火牆）來控制和監視對它的訪問。來自不可信的網路的攻擊：一旦員工試圖通過公開的網絡（例如互聯網或公共 Wi-Fi）進入公司網絡，資料外洩的風險就會大大增加，例如設備丟失、會話劫持等，所以必須應用嚴格的身份驗證，例如雙重驗證、使用 VPN…

PDF 係大家常用嘅文件檔，如果內容包含機密或敏感資訊，都會 set password 保護。但黑客而家有方法修改呢啲檔案，令到擁有解鎖密碼嘅人喺打開檔案嘅同時，傳送多一份解鎖內容俾黑客，做咗解鎖佬都唔知！ 用嚟加密 PDF 檔案嘅密碼演算法，本身其實好安全，不過喺整個 PDF 檔案嘅設計上就有破綻出現。一班歐洲網絡安全研究員，指出 PDF 檔案其中一個漏洞係檔案只會半加密，字串內容係受到保護，但檔案嘅結構就無加密可以讀取，所以黑客可以篡改結構內容，將惡意程式注入其中，當檔案被合法打開，就會暗中將內容傳送俾黑客；另一漏洞就係 CBC（Cipher Block Chaining）加密模式，由於本身缺乏一致性嘅驗證，令到黑客可以修改特定區塊內容而唔影響解鎖程序，於是黑客就可以加入惡意程式，暗中盜取檔案內容。兩個漏洞都可達到唔使知密碼，一樣睇到加密 PDF 嘅目的。 呢個被稱為 PDFex 嘅漏洞，經研究員測試後，發現喺…

平常一聽到同銀行有關嘅運作程序，一定覺得會安全到不得了㗎啦，但接二連三嘅事實話俾大家知，無論間公司有幾大，規管有幾嚴謹，都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank（加拿大豐業銀行）近日被揭發出低級網絡安全錯誤，低級嘅程度更直逼「布偶級」（muppet-grade），大家明啦！ 日前網絡安全研究員 Jason Coulls 揭發，加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案，當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼，後台服務及數據庫實例嘅登錄憑證、原始編碼等，簡直係黑客金庫。 Scotiabank 嘅回應當然都估到，首先話呢啲資料並不會危及客戶、員工或合作夥伴，又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定，銀行出事就要即刻通報，加拿大金融機構監管辦公室方面就已接獲通知，正密切監察事態發展。 GitHub 於去年被 Microsoft 收購，成一時佳話。除咗極多開發者會用，亦有唔少企業機構都會用，因此，保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入，會喺開發階段將…

無可否認，企業嘅網絡安全措施做得好，的確可以有效阻截黑客攻擊，不過，黑客亦唔會咁傻仔咁固執，攻你唔入，咪向你嘅第三方供應商落手囉！ 講緊嘅係飛機製造商 Airbus，法新社（AFP）最新報導，兩間有份參與調查嘅網絡安全公司，透露 Airbus 喺最近一年內曾遭受四次大型攻擊，其中兩次係針對佢哋嘅引擎供應商 Rolls-Royce 及 Assystem 嘅子公司 Expleo。法新社引述專家嘅意見，佢哋話雖然 Airbus 有使用 VPN 嚟分隔內部網絡，但佢哋有時亦會允許第三方供應商入嚟做嘢，所以黑客只要能成功攻擊第三方供應商，就可以作為跳板攻入 Airbus。而根據專家嘅調查顯示，黑客進入 Airbus 網絡嘅目的，主要係針對佢哋嘅引擎科技，包括軍用機 A400M 、A350 客機，以及用嚟控制飛機各感應器嘅系統，盜取技術多過想偷個人私隱。…

其實人臉識別技術仍未成熟，但世界各地執法機關已經一致看好，中國就係其中一個？究竟人臉識別技術會令世界更加美好，抑或變得縛手縛腳？背後有何隱憂？最近科技網站 ZDNet 發表咗一篇關於澳洲政府看待人臉識別嘅文章，睇下有乜嘢啟示同借鑑？ 反恐為由，硬推人臉識別 唔少政權都喜歡以「反恐」為由去提升國防、安檢權限同技術。昆士蘭州警察局（QPS）於去年黃金海岸嘅英聯邦運動會（Gold Coast Commonwealth Games）推出人臉識別系統，作為防範恐怖襲擊之用。點知轉個頭，已經被警方用來進行一般警務調查；雖然被權限所約束，只能接觸有限資料，但已夠引起大眾關注及不安。 如果話套架生未發展成熟，又未諗到全個配套，貿然上馬絕對不智。昆士蘭大學資訊科技及電機工程學系 Brian Lovell 直斥當局呢個決定 complete failure，徹底失敗。Brian Lovell 指，昆士蘭州警察局完全無喺 deployment 下工夫，完全無認真咁為鏡頭擺位、部署考慮過，而且背後亦無做好基建 support，反而會製造出私隱危機。Brian Lovell…

iOS 13 版本更新再更新，不過，獨立安全研究人員就發現一個關乎歷代 iOS 裝置嘅硬件漏洞，就算裝咗最新嘅 iOS 13.1.1 ，都可以輕易玩 jailbreak，之後就可以唔再受 Apple 限制，裝乜 app 嚟用都得喇。 發現呢個漏洞嘅安全研究員 @axi0mX 表示，呢個取名為 checkm8 嘅漏洞，其實對用家嘅安全問題無大影響，因為要破解部機，必須要用實體線連接電腦，啟動 DFU 模式先可以做到，唔可以遙距發生，所以基本上係安全嘅。但問題係…

黑客攻擊每日都在進化，導致原來「先進的」偵察及分析服務如 NTA、UEBA、SOAR、EDR，統統成為「過去式」，難以讓企業避過攻擊。SOC（Security Operation Centre）是現時最炙手可熱的網絡安全代管服務，不過，缺乏有效的後台支援，SOC 亦有權走漏眼！Palo Alto Networks 即將舉辦網絡安全工作坊，深入介紹為何 SOC 必須在大數據分析、雲端計算、人工智能及機械學習的武裝下，防禦力才能達到滴水不漏。Cortex XDR 的專家亦會示範如何以自動化偵測及攔截技術，制止黑客的自動化攻擊，將網絡、端點及雲端應用的盲點全部掃除。 工作坊現已開始接受報名，名額有限，請立即行動。 Break the Security Silos 時間：10 月 25…

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

香港人壓力咁大，男士們少不免會去睇下鹹網減壓，不過防毒軟件商 ESET 最近就發現咗有隻叫 Varenyky 嘅新病毒，會偷偷錄起你去鹹網嘅畫面，隨時有可能用嚟勒索你，減壓不成反而仲大壓力，認真慘慘豬！ 其實呢隻病毒都出現咗一段時間，今年五月左右開始喺法國境內活躣，暫時未見佢出現喺其他國家或者地區。最初佢嘅「毒性」好溫和，主要都係針對法國當地用緊 Orange 呢間電訊商嘅客，不外乎用有筍價手機嘅宣傳單張嚟引你注意，冇睇清楚唔小心撳咗入條 link 就中招，手法唔算特別。 ESET 一直監察呢隻病毒，發現佢無時無刻都喺度變種，密密不停加入新功能，而且七月開始亦唔再出手機推廣電郵，而係出性勒索電郵。經過 ESET 專家深入調查，發現佢加咗段程式碼，只要瀏覽器出現 sexe（sex 法語）字眼，就會啟動 FFmpeg 程式，將用家睇緊嘅畫面錄起，然後將段片傳去病毒嘅原伺服器。 雖然仲未知道黑客錄呢段片想點，但好大可能係想拎嚟勒索對方，因為專家發現 Varenyk…

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…