寫關於網絡安全事故嘅新聞，每日都要面對一個心理關口：想篇文多人like多人share，當然要單料夠爆先得，但見到發生嘅災難規模以幾何級數咁膨脹，又真係唔想佢發生，好矛盾！ 點解突然間咁感觸？係因為今次呢單事故真係好恐怖，有成 12 億人嘅資料外洩，其實而家全世界人口都只係得 70 幾億，即係話差唔多每 6 個人就有 1 個人嘅資料，喺今次事件中外洩，聽落都幾得人驚！咁到底洩漏咗乜嘢呢？原來總共外洩咗 4TB 嘅資料，有齊晒受害人嘅電郵地址、Facebook、Twitter 同埋 LinkedIn 戶口，不幸中之大幸，係入面完全冇密碼同埋信用卡等敏感資料，否則就更加冇眼睇！ 發現呢件事嘅，係網絡安全專家 Bob Diachenko 同埋 Vinny…

網絡安全公司同審計公司，喺幫客戶做風險評估嗰陣，都有需要做滲透測試，睇吓員工嘅安全意識夠唔夠高，有無員工要做出嚟重點培訓。由於要試員工嘅安全意識，所以負責測試嘅人有時會特登做啲踩界嘢，例如扮維修員要求插 USB 手指入公司內部電腦系統，又或借用電腦收發電郵，如果員工覺得唔對路，就會拒絕要求或暗中報告上級跟進。不過，唔少調查報告都會話俾大家知，員工本身就係最大嘅安全漏洞，所以未必會意識到咁做可以好大件事，包括紐約警察學校嘅員工在內。 話說上年 10 月，紐約市皇后區一間警察學校因為要裝一個數碼顯示屏，於是就搵咗外判商嚟搞。唔知係咪學校入面嘅人無諗過件事咁嚴重，當外判商要接入內部聯絡做設定時，竟然無人出手阻止對方直接將電腦接駁，結果呢部中咗毒嘅電腦，就透過網絡將病毒感染 23 部指紋追蹤系統。紐約警方喺幾個鐘後就發現有可能出現私隱外洩，即時漏夜熄咗 LiveScan 呢個指紋追蹤系統，同時將受影響嘅 200 部電腦重新安裝，避免病毒透過網絡擴散，最終都成功控制到病毒嘅影響。 外判商喺呢次事件，梗係要負大部分責任，不過，紐約警方經調查後，相信對方都係無心之失，所以未有公布對方嘅公司名及控告對方。據講呢個 LiveScan 系統連接住藏有 700 萬筆資料嘅數據庫，當中更包括較早前被證實非法保存嘅未成年罪犯嘅資料。至於有幾多人受影響？ 發言人就回應話受影響嘅只得 0.1%，信唔信就由你決定喇。不過，外來 USB…

Google 早兩日宣布，公司旗下針對發掘 Android 作業系統嘅賞金計劃即時加碼，最高賞金額由 100 萬美元勁升至 150 萬美元。不過，要攞到呢筆賞金，專家估計至少要利用連串漏洞，達成遙距攻擊 Pixel 手機 Titan M 嘅安全系統，仲要係已推出嘅 Android 版本以及重置系統後都移除唔到，先至有可能攞足，但已可見 Google 的確有決心去提升自家系統嘅安全性。都啱嘅，因為系統唔安全，真係趕客㗎，好似 Android 最近一個漏洞，竟然只係需要攞到大部分人都會俾嘅記憶卡存取權限，就可以控制系統咁滯，你話大家仲點會敢用？ 意料之外缺口…

供應鏈（supply chain）攻擊，可以話係最易令人中招嘅攻擊手法，因為一般人對放喺官網嘅嘢都比較有信心，好少會懷疑提供下載嘅檔案會唔安全，當然如果所謂官網係細公司製作又或做得流流哋，咁又另當別論啦。今次出事嘅係加密貨幣門羅（Monero）幣，有用家話喺檢查由 GetMonero 下載落嚟嘅電子錢包時，發現同官網列出嘅雜湊值（hash）唔一致，懷疑電子錢包俾人做咗手腳。經調查後，發現呢個並唔係錯誤，而係針對 GetMonero 用家嘅惡意攻擊，目的係偷走佢哋嘅門羅幣。 事件發生後，GetMonero 即刻對自己網站上嘅各種版本電子錢包進行分析，發現 Linux 版本俾黑客加入咗幾項特別功能，其中一項係當用家開啟或創建一個電子錢包時，就會自動將用嚟進入錢包嘅 key，傳送去黑客嘅伺服器，黑客就可以用呢條 key 入受害者帳戶轉帳。GetMonero 證實喺 11 月 18 日凌晨兩點半至同日下午四點半期間，下載嘅電子錢包都可能存在問題，建議用家檢查清楚 hash 值，如發現唔同就要即刻刪除。…

大中小企業被勒索軟件攻擊的新聞無日無之，加上全球各地社會動盪，企業內部儲存的數據被破壞，將造成難以評估的損失，商譽更會毀於一旦。最穩妥的做法，自然是將數據及工作負載備份雲端，同時更可提升復原備份的靈活性。不過，雲端數據備份絕不可以單純理解為多做一個副本，最重要是備份內容是否齊全？要復原時，真的可以百分百復原？ 雲端備份內容復原隱憂 企業或 IT 管理者計劃將數據移雲備份，大多會先向其他行家請教，不過獲得的回覆總是負面，例如雲端數據中心與內部儲存的基建及系統難以接軌、備份設定困難、透明度低、難以確認數據是否已全部備份。特別是現時不少企業已將部分工作負載移上雲端，要橫跨實體伺服器、虛擬平台及雲端應用進行備份，已非傳統 IT 專才及設備可以應付。 當然，成本、速度及管理便捷性，的確是管理者選擇備份方案時的重點，但請謹記備份的最終目的是復原！如不幸被勒索軟件襲擊、內部儲存設備被破壞而需要緊急復原時，卻發現無法將資料重新取出或回復，投入的資源將會白費。 數分鐘開展雲端備份旅程 雲端數據管理備份解決方案供應商 Veeam，已三度獲市場調查公司 Gartner評選為業內領導者，更是少數提供百分百復原數據服務保證的供應商。相較傳統備份服務供應商，成立僅 13 年的 Veeam 於一開始已將技術集中於 VMware vSphere 等虛擬平台的保護上，同時支援 AWS、Azure、Google Cloud、阿里雲等雲端供應商，在協助企業將數據整合移雲及備份方面，擁有極大的優勢。…

喺九月尾，獨立安全研究人員 @axi0mX 表示，發現一個存在於 bootroom 嘅漏洞，呢個取名為 checkm8 嘅漏洞，由於係寫死咗喺 ROM 入面，所以除非更換硬件，否則係修復唔到嘅。受影響嘅 iPhone 包括 iPhone 4S（ARM A5 chip）至 iPhone X（ARM A11 chip），基本上除咗最新出嘅 iPhone…

數碼轉型（Digital Transformation）是近年業界最熱門的話題，能否成功轉型，幾乎已跟企業存亡畫上等號。企業解決方案供應商 ACW Distribution 早前舉辦的「Solutions Day 2019」大會，便以「Sustaining Business Transformation with Cloud」為主題，邀請不同專家詳細講解企業將會在數碼轉型中遇到哪些問題，釋除企業管理者的疑問。 ACW group 行政總裁 Andy Lau 認為，如管理者能夠全面掌握轉型的歷程，預先確認未來每一步挑戰，自然便能釐清如何開展及持續營運等問題。 對於數碼轉型，企業管理者各有不同看法，部分認為純粹只是將數據移雲及以虛擬設備取代購買硬件；亦有管理者憂慮數據外移會削弱安全性，以至遲遲未敢踏出第一步。ACW group 行政總裁劉國威在大會上致辭時說，ACW一直與時並進，因應市場和客戶的需求，作出轉變，除了ACWD以外，現已衍生出專業服務的 ACW Services、企業營運解決方案的 ACW Solutions、提供整合式雲端解決方案的 CloudHUB Asia，以及一站式企業項目顧問服務的 ASF Consultancy 等子公司。他表示，雲業務在這幾年已經作出迅速發展，市場人士應該及早了解市場需要，早著先機，他相信混合雲和相關的雲解決方案，將會在未來的5-10年持續增長；ACW定會與各客戶合作，以迎接IT市場的種種轉變和所帶來的挑戰。 快速付運迎雲端需求 針對企業轉型時普遍會遇到的問題，記者邀請了專門協助企業移雲的服務供應商 CloudHUB…

而家唔好話係商場，就連好多交通工具，好似飛機、巴士、地鐵，喺部分乘客位都會設有 USB 插座，俾大家幫手機補補電。如果大家有充電線喺身，相信都會毫不猶豫咁隊入去叉電。不過，其實咁樣做真係好危險，因為黑客可以透過改裝充電位，入侵連接嘅手機或平板電腦，美國洛杉磯檢察官喺最近更發出呼籲，叫大家唔好亂插公共 USB 充電插位，事態好似好嚴重喎！ 通過改裝嘅 USB 充電插位或充電線，入侵或鎖死使用者嘅手機或平板電腦嘅個案，其實都唔係新鮮事，而且仲有埋名叫「juice-jacking」添！雖然呢種攻擊手法已被唔少專家證實咗佢嘅可行性，但有網絡安全研究員就話，無證據顯示被廣泛使用。 事實上，之前我哋都報導過市面上有唔少內置惡意程式嘅 USB 充電線，只要你連接部手機，黑客就可以無線啟動線入面嘅程式，入侵你部手機或攔截你輸入嘅內容，所以即使唔係廣泛被使用，大家都係小心啲好。 美國洛杉磯檢察官 Jackie Lacey 就俾咗少少建議大家，首先係要自備火牛，有需要充電時就搵電源插嚟充電，唔好插 USB 插位；其次就係最好帶備尿袋喺身，要叉電都搵佢嚟叉。除咗以上兩個建議，大家仲可以去購買純充電線材，或另外買一個俗稱 USB Condom 嘅插頭，只要喺自己條充電線上嘅…

Facebook 早兩星期先向以色列公司 NSO Group 提出起訴，指佢哋非法利用 WhatsApp 漏洞去竊取用家私隱。話口未完，早幾日 Facebook 公布叫用家更新 WhatsApp，用嚟修復另一個漏洞，只要用家開啟咗一個惡意 MP4 檔案，就有可能俾黑客入侵，發動阻斷式服務或遙距執行程式碼等攻擊。唔知你呢排有無收同開過可疑嘅 MP4 檔案呢？ 今次 WhatsApp 被利用嘅漏洞，屬於堆疊緩衝區溢位（stack-based buffer overflow），當 WhatsApp…

Google 管有大量網絡用家嘅個人私隱，所以大家都會對佢嘅安全措施感到憂慮，擔心佢會好似上年咁洩漏 50 萬 Google+ 用戶資料之餘，又驚佢會好似處理 Google Home 語音助理一樣，允許承包商聽取用家嘅談話內容。所以當收到消息，指 Google 已同美國第二大醫健機構 Ascension 簽約，可以利用對方旗下 150 間醫院及超過 50 間長者宿舍嘅病人資料，作為供給人工智能及機器學習嘅數據，以提升醫療中心嘅運作效率及病人嘅安全性。 消息一傳出，唔少美國網民都好擔心自己嘅病歷都會成為研究對象，因為呢個號稱為夜鶯計劃嘅合作，可利用嘅私隱相當廣泛，包括化驗室資料、醫生診斷報告、醫療記錄以至病人嘅個人資料及病歷，一旦外洩，後果將會相當嚴重。不過，Ascension 方面就回應話今次合作絕對符合美國嘅 HIPAA…