藍牙(Bluetooth)通訊技術最近連環被揭發存在漏洞,例如較早前有安全專家指Bluetooth 4.0及5.0版本存在的「BLURtooth」漏洞,可讓黑客竄改兩部裝置配對時所產生的「跨傳輸埠金鑰」(Cross-Transport Key Derivation),強行與目標裝置進行配對,繼而入侵裝置。而最近被公佈的BLESA(Bluetooth Low Energy Spoofing Attack)漏洞的影響就更大,估計全球正有數以億計支援BLE制式的藍牙裝置,曝露於攻擊之中。 相對於傳統藍牙制式,BLE制式的特點在於耗電量低,適用於須長期保持連接的裝置使用,其中一個最常見的使用例子是現時商場安裝的室內定位器,只要顧客開啟商場的手機應用程式,就可即時掌握所在位置或附近店舖提供的購物優惠。由於這些定位器須長期啟動,而且安裝位置又未必有電源,所以BLE制式便最適合這些裝置採用。 這次由美國Purdue University研究團隊發現的BLESA漏洞,便專門針對在BLE制式下,兩部已進行配對的裝置在重新連接(Reconnection)時,有否進行身份驗證;結果發現,當兩部裝置因超出接收距離或訊號不良而斷線後,在重新連接的過程中不會強制進行身份驗證,可能只需符合相關條件(如裝置名稱、MAC address)便可reconnect。從示範影片可見,研究團隊以電腦假扮一個BLE制式指環,成功與已配對的手機進行連接,並向手機發送兩個互相矛盾的訊息。團隊續指無論是Linux、ios、Android的BLE制式均存在上述漏洞。雖然現時部分作業系統已進行修補,但由於這些BLE裝置大多不支援連線,要逐一拆下來安裝修補檔將會非常痛苦! 資料來源:https://zd.net/32LFdrP
Search Results: Https (1982)
勒索軟件(Ransomeware)案件一般只為求財,要求受害人或企業交付贖金以換取資料解鎖,但德國近期發生首宗懷疑因勒索軟件而致死的案件,事源是一間位於德國的醫院遭遇勒索軟件事故,間接令該名女病人在送院期間死亡。這次事件由求財間接變成「害命」,令人不禁擔心醫院這類必須的公營設施,是否有足夠能力抵抗網絡攻擊,造成不必要的傷害。 涉事的德國醫院當時正處理勒索軟件攻擊,事件令30個內部伺服器及醫院網絡受影響,而未能立即接收這名需要緊急救治的女病人,結果該名女病人需要往30公里外的另一所醫院。德國警方正調查該名病人死亡的原因,是否因勒索軟件事故和醫院死機直接造成,如果證明有關連,將會當作謀殺案處理。 德國媒體RTL報道提到,勒索軟件組織在與當地警方接觸後,已放棄勒索要求,而醫院亦收到解密方法,重啟系統。醫院發文將勒索軟件感染事件,歸咎於這個被廣泛使用的商業軟件的漏洞,並指他們已就事件通知德國當局,當中包括負責發布安全警告的德國網絡安全機構BSI。而在悲劇發生前一天,BSI曾突然發出警告,要求當地的公司針對勒索軟件幫派的已知入口點漏洞CVE-2019-19871 ,作出對應措施。 資料來源:https://zd.net/3mydJxy
新冠肺炎爆發至今,全球工作模式轉型, Work From Home 成為新常態,而這個新常態亦加速使用雲端系統工作的進展,不少企業投放更多資金於雲端系統中,以增加工作效率,不受制於辦公空間。 雲端工作雖然帶來方便,但亦隱藏危機!黑客或會覷準機會,入侵系統令企業蒙受損失。來自四間 IT 界企業,包括 Green Radar、Hyperides、Sereno Cloud 及 Veeam Software 的講者,將會各自就雲端應用的層面作分享,涉獵電郵攻擊、雲端安全、數據恢復等題材,助你預先掌握如何把關自己公司的雲端資產。 立即報名參加網上研討會!活動費用全免。參加是次 Webinar,更有機會贏取價值港幣$200 的 HKTV Mall…
DevOps 的技術令應用程式快速更新,在追求速度與時間的同時,由於所經的安全測試次數減少,漏洞亦隨之而然增多,所以揀選合適的容器 (Container) 管理平台由其重要。但由於 Container 為新興技術,很多傳統的網絡安全措施難以應用,例如 Container Image Vulnerability Scanning、Run Time Defense 及 Container Firewall with DPI/DLP 等等。因此,你需要的是 Container Security…
當家長趕潮流幫囝囡報 STEM 和 AI 課程,科技專家已經放風,下一個贏在起跑線的關鍵詞是量子電腦。臺灣大學 IBM 量子電腦中心主任張慶瑞按量子電腦科技發展趨勢,預測擁有處理龐大資料能力的量子電腦,大約會在 15 年後登場,到時對文明的衝擊,可媲美 Smart Phone 問世。張主任表示,現年 50 歲或以上的人,姑且可以不知量子電腦未來,不過 90 後同 Gen Z 就無得避。量子電腦開發方面,IBM 和…
在新冠肺炎疫情下,由於不能離開香港到其他地方出差或開會,除了每天在公司開視像會議開到頭暈之外,還收到不少政府部門、金融機構和商業伙伴的咨詢。他們關心美國政府主動取消《香港關係法》後,美國政府會不會對高科技產品實行禁運,從而不能在香港安裝使用有關產品? 本人從事 IT 行業 30 多年,入口無數高科技產品,近 20 年專注高科技產品的業務, 如 HSM、加密軟件、PKI 軟件硬件、Finger Print 讀卡器等等產品,差不多每個星期都同工業貿易署打交道,或可憑自身經驗爲大家提供些參考。 高科技產品=戰略性產品?? 何謂高科技產品?香港工業貿易署是沒有高科技產品清單的,但通常指來自美國的電子及電訊產品,或稱為戰略性產品 (Strategic Product),當中含有高新科技如集成電路、 加密技術、平行計算的硬件和軟件,包括電子遊戲機如 Sony Play…
CT Scan(電腦掃描)除咗可以用嚟確診癌腫瘤,亦可以用嚟檢查空心器官如心臟、肺嘅健康狀況。由於檢查過程要精準控制輻射照射劑量,減少對人體傷害,如果檢查系統被黑客入侵,分分鐘搞出人命。有研究團體就開發出一種 AI 技術,可以防止黑客喺輻射劑量上做手腳,準確度仲高達八成以上添! 新冠疫情期間,外國唔少醫療機構都受到網絡攻擊,大部分個案都係中咗勒索軟件,俾黑客偷走病人嘅私隱及加密系統檔案,唔算死得人。不過,如果 CT Scan 嘅輻射劑量被竄改就大件事喇,唔單只會誘發癌症,嚴重更有死亡風險。以色列 Ben-Gurion University 研究團隊最新發表報告,公開佢哋用 AI 打假嘅成果。團隊首先搵咗間 CT Scan 儀器供應商合作,輸入 1,991 宗檢查案例俾 AI,等佢分析喺檢查唔同年齡對象、位置及病例嘅情況下所需使用嘅輻射劑量,然後再喺一間醫院入面做測試。分析按兩方面進行,一個專門用嚟分析可疑嘅劑量指令,另一個就比較相同病例嘅使用設定,一旦發現檢查內容有問題,就會即時通報醫護人員,結果發現兩者嘅攔截成功率高達 82%…
對得同一部電腦多,有時都想搞下新意思。唔少人會選擇轉吓 wallpaper、icons、音效,甚至成個 Theme 換咗佢。不過,喺Windows 10 上換 theme 呢個動作原來都有危險,分分鐘將你嘅 Windows 登入名稱同埋 NTLM(NT LAN Manager)密碼雙手奉上! 其實單純換預設咗或你自製嘅 theme 唔係太大問題,最大問題係用咗人哋 share 出嚟嘅 theme。網絡安全專家 Jimmy Bayne早前發現呢個…
為咗唔使上堂,你可以去到幾盡呢?美國佛羅里達州一間社區高校,喺新學年開始無耐,遭受廿幾次網絡攻擊,當中至少有 8 次,竟然出自同校一位學生之手,呢個攻擊名為低軌道離子炮,淨係聽個名都俾佢嚇親啦! 低軌道離子炮 (Low Orbit Ion Cannon, LOIC) 聽落好似好勁,但其實真身只係一款開源網絡測試工具,不過由於可以製造大量隨機網站訪問,所以確實係 DDoS 攻擊好幫手。好似大名鼎鼎嘅黑客集團 Anonymous 就係十幾年前利用 LOIC 攻擊 Visa、Master 及 PayPal 等金融機構。…
2019 年,擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts,主動自首承認由 2014 年至 2018 年間,外洩 500 萬住客資料,當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料(即行蹤)、預約日期等,付款資料其實都有外洩,不過有 AES-128 加密。呢單嘢極度震撼,因為 Starwood 沒有交代外洩原因,好難令人唔懷疑同管理失誤有關。而呢件事入面,最無辜(亦係最 Juicy)可能係…