原本由美國海軍研究實驗室喺上世紀 90 年代開發嘅 TOR（The Onion Router）洋蔥路由器，早前公布自家瀏覽器 Tor Browser Bundle 存在重大漏洞，有可能俾有心人追蹤到用家嘅真實 IP 位址，令到 TOR 嘅隱身功能失效！ 用得 TOR 瀏覽器嘅人，應該都係睇中佢嘅隱身能力。TOR 嘅運作原理係當用家由上網裝置發出上網指令，到真正去到目標網站嘅過程中， TOR 會將你嘅…

如果你係 Toyota Auris、Camry、Corolla、Hi-ace、Hilux、Land Cruiser、Yaris 嘅車主，又或係 Hyundai IX20 、I40，Kia Rio、Soul、Optima等型號嘅車主，咁就唔好彩喇，你架車嘅原廠防盜有漏洞，隨時有可能俾人偷走部車，快啲買返個軚鎖啦！ 之前我哋都報導過採用 Keyless Go 汽車系統嘅弱點，就係罪犯可以透過放大車匙嘅訊號，甚至以接力形式拉長訊號傳送距離，令佢哋唔需要偷或複製車匙，就可以遙距解鎖車門及偷車。咁係咪傳統電子式車匙就穩陣啲呢？最近比利時及英國嘅研究員就發現，Toyota、Hyundai、Kia 旗下部分車款，原來可以好容易俾罪犯破解電子式車匙內嘅解鎖碼，解除車身防盜系統運作。受影響嘅車款有好多，可以參考下面嘅附表。 呢一批車原來都有一個共通點，就係防盜系統採用咗 Texas Instruments 嘅加密系統 DST80。不過，又唔好以為係呢套系統有漏洞喎，只不過係上述三間車廠喺應用呢套系統嘅設定上各自存在漏洞。Toyota 喺產生密鑰時，係基於電子式車匙嘅…

今次微軟認真叻叻豬！佢哋啱啱宣佈，成功同多國警方以及來自 35 個國家嘅私營機構，夾手夾腳消滅咗全球最大殭屍網路 Necurs。Necurs 呢隻嘢近年好紅，佢厲害嘅地方係一旦電腦被感染，就會不停傳送垃圾電郵俾人，2017 年就試過以每小時 500 萬封電郵嘅速度，係咁將 Dridex 同埋 Locky 兩隻勒索程式傳送出去，一炮而紅！ 多年嚟資安界對 Necurs 可以話係冇晒符，由2016 到 2019 年期間，9 成由電郵傳送嘅病毒程式都係透過 Necurs…

新型冠狀病毒疫情擴散全球，除咗南韓、意大利、伊朗、日本告急，美國亦有急升跡象。唔少外國企業都好似香港一樣，開始允許員工在家工作。為咗幫企業度過難關，各大IT公司都將原本收費嘅協作應用服務，免費開放使用。無論係企業工作，抑或學校教師用嚟遙距授課都啱用。 Microsoft Teams 本身已經有收費版同免費版，當中嘅功能當然有好大分別。不過，而家微軟就開放咗部分收費功能，例如規劃排程、管理工作等等，為期六個月，至於錄影或錄音功能都仲係要俾錢至用得。另外，電話會議排程功能亦會喺3月10日開放免費使用。 網址：https://bit.ly/2VMUTb8 Google Hangouts Meet Google就選擇開放Hangouts Meet嘅視像會議功能，只要係 G Suite、G Suite for Education用戶，就可以喺7月1日前免費使用。免費功能包括支援最多250人大型視像會議、支援10萬觀眾串流直播，以及可以將會議內容儲存去 Google Drive。 網址：https://bit.ly/3cxfENN Cisco Webex…

新型冠狀病毒疫情嚴重，加上病徵又唔明顯，唔做過病毒測試，都好難話自己無中招。企業嘅電郵系統亦一樣，雖然每日都攔截到好多有問題嘅郵件，但實際上有無走漏？收得最多嘅惡意電郵係邊類型？有邊個員工嘅中招風險最大？電郵設定有無漏洞？真係唔驗過都唔知對病毒嘅反應係陰性定陽性。 雲端安全解決方案供應商 Barracuda，現時正為企業免費提供電郵威脅檢測服務，只要經 Barracuda Email Threat Scanner 一掃，各種病徵速速現形。簡單嚟講，會分幾方面俾企業客戶了解問題嚴重性。 1.電郵逐個捉：準確揪出有問題電郵，詳細分析發信人嘅地址到底係真定假，又或有無偽裝企業員工。同時間亦會指出電郵內有風險嘅地方，例如附有惡意連結、不尋常嘅後續要求，令IT管理者全面掌握各員工嘅風險所在。 掃描完畢，就會自動揪出郵箱內有可疑的郵件及提供分析。 2.域名風險：企業採用嘅電子郵箱設定有無漏洞？是否存在被冒認或其他風險？系統掃完電郵信箱後，就會搵出問題所在，同時提供修補建議。 如發現Domain有問題，系統會提供修改建議。 3.高風險員工：掃完企業整個電郵信箱，系統就會根據各項要素，例如職位、接收有問題郵件次數、有無被冒認等，分析出邊個員工面臨最大危機，IT管理者就可以根據風險評級，優先處理呢啲有問題嘅帳戶，減低受攻擊嘅風險。 哪個員工的電郵帳戶已被入侵，或接收到最多電郵攻擊，一望即知，IT管理者便可優先處理問題。 免費檢測服務名額有限，先到先得，請即登記使用。 登記：https://bit.ly/2R0EwEP

唔少人去餐廳或 cafe 嗰陣，都習慣將手機放喺枱面，方便隨時檢查下有無短訊或接聽來電。而為咗私隱問題，通常都會將屏幕朝下，咁就唔怕其他人（特別係另一半）睇到自己同邊個傳緊短訊，甚至係訊息內容啦！不過，有網絡安全專家指出如果手機啟動咗語音助手功能，放喺枱面呢個行為已足夠俾有心人奪取你部手機嘅控制權，暗中讀取你嘅私隱，最驚係可以用你部電話打俾其他人傾偈，而你係完全唔會發現㗎！ 發現呢個漏洞嘅研究員，係來自華盛頓大學電腦科學及工程嘅 Ning Zhang，佢稱為 Surfing Attack 所利用嘅方法，其實只係人耳聽唔到，但手機收音咪就接收到嘅高頻音效，於是就可以暗中向手機嘅語音助手發出指令，例如讀取剛收到內有雙重因素認證（2FA）碼嘅訊息、甚至係用你部手機打電話同人傾偈添。研究員試用過市面上 17 部智能電話，包括 iOS 陣營嘅 iPhone，以及 Android 陣營嘅 Samsung Galaxy 等等，佢話只要將手機放喺枱面，無論將枱用金屬、玻璃、木作為材料，甚至喺 30呎外，都一樣可以通過枱作為媒介，將高頻音效傳送過去，而且正面或反面咁擺，都完全無問題，不過屏幕朝下就更難察覺手機運作緊咁解。…

一聽到生物特徵辨識（Biometrics）技術，大家應該好快諗到係乜嘢嚟，而且仲應該成日用到添。事關而家好多智能手機、平板電腦、notebook 都已經支援指紋、人臉辨識，的確方便過入密碼多多聲，所以生物特徵辨識已經唔係乜嘢新鮮事。之不過，Behavioural biometrics 又係乜嘢嚟？應用起上嚟又有乜嘢限制呢？ 所謂 Behavioural biometrics，可以理解為一啲同行為有關嘅個人習慣，例如講嘢嘅節奏、左右手各自嘅打字嘅速度、㩒掣嘅力度、鍵盤使用習慣等等，如果唔係刻意打算去模倣指定目標，都未必會咁細心去留意呢啲個人習慣。可能有人會問，既然有可能模倣，咁點解唔索性用返生物特徵辨識就算呢？ 其實咁諗都無錯，不過，應用喺安全認證方面，個人習慣就比較難模倣啲。首先生物辨識技術一般都擺到明要對比邊啲資料，例如係指紋、虹膜、人臉、聲紋等等，只要知道需要邊種生物辨識數據，黑客都有可能偷同複雜得到。行為習慣生物辨識就難得多，因為應用機構未必會公開到底採集邊種個人習慣，正如上面舉嘅例子，如果唔講明用邊種或邊幾種，就算想模倣都無從入手，倒不如直接威迫當事人簡單。現時呢種技術已有應用程式商店、銀行試用緊，據講成效都唔錯，幫佢哋識別到好多帳戶盜用情況。 雖然 Behavioural biometrics 聽落好似幾安全，不過，實際運用起嚟都有一定限制，因為個人行為習慣好受身體狀況影響，例如原本靠分析左右手各自輸入文字速度嘅方法，喺其中一隻手受傷時會唔會被誤判？又例如客戶中風後，手指嘅靈活程度亦一定受影響，咁樣又係咪會登入唔到帳戶呢？所以 Behavioural biometrics 要普及，相信都仲有好多問題要解決。 資料來源：https://bit.ly/2PBEdQ0 相關文章：【極度恐慌】人臉、指紋特徵要死守 一遇外洩無得翻身

Microsoft Windows 用家唔多唔少都曾經遇到呢個情況，就係打開嘅檔案格式，同你原先預期嘅唔一樣，特別係以前會去討論區下載 BT 檔案或各類海盜版資源嘅人，就更加容易中招。點解呢？因為 Windows 系統設計者本身可能為咗簡化顯示資訊，方便用家睇檔案名，所以系統係預設咗將檔案延伸（file extension）名隱藏。不過，專家話咁做就令用家有可能開錯惡意程式，所以都係建議大家開返顯示好啲。 Microsoft Windows 系統喺顯示檔案時，預設嘅做法隱藏咗佢嘅檔案格式，例如 invoice.pdf，顯示出嚟就只會得 invoice，另外就用預設開啟呢種檔案格式嘅程式，例如 Adobe Acrobat，作為檔案嘅 icon。雖然睇落都好似幾 user-friendly，但諗深一層又確係有漏洞可以利用。網絡安全網站 BleepingComputer 創辦人 Lawrence…

唔少人都有用過語音助手，例如 iOS 嘅 Siri，又或唔同品牌嘅智能喇叭，而相信絕大部分人都有相信經歷，就係語音助手會失驚無神跳出嚟，有時仲會自動解答一啲你無問過嘅問題，認真令人費解。有美國大學就做咗一個為期半年嘅測試，了解一下呢啲智能語音助理嘅聽力障礙到底有幾嚴重，同埋會偷錄幾耐用家嘅對話，發現有語音助理一日可以誤啟 19 次，最長仲會偷錄 43 秒音效添！ 今次呢個測試係由美國東北大學學者主導，首先佢哋搵嚟五部智能喇叭，包括 Google Home Mini、Apple HomePod、Harman Kardon Invoke by Microsoft、第二同三代 2 Amazon Echo…

除咗銀行，賭場都稱得上係另一個收埋好多錢嘅地方，如果話你知有黑客成功入侵賭場，第一個反應通常都以為係為咗偷錢。不過，竟然有黑客係為咗偷賭客資料而入侵，唔通嫌錢腥？ 根據網絡安全公司 Talent-Jump 及 Trend Micro 剛啱公布嘅調查報告，指出由上年夏季開始，已發現有一班由中國政府支援嘅黑客組織，開始向一啲網上賭博或投注網站發動攻擊，佢哋嘅目標主要係針對東南亞賭博公司；而入侵目標係瞄準資料庫及程式源碼。專家指出，呢班黑客入侵嘅手法並唔特別，只係透過魚叉式釣魚電郵（spear-phishing），引誘賭場員工開啟電郵內嘅附件，喺網站上植入後門，之後就陸續安裝各種惡意軟件，包括暴力破解工具、掃瞄 NETBIOS 伺服器工具、提升權限工具、盜取密碼或 Clipboard 資料工具等等，令佢哋可以喺內部網絡搵到想要嘅嘢。由於呢班黑客係利用 Dropbox 嚟儲存惡意軟件及 C&C 工具，所以安全專家將佢哋稱之為 DRBControl（DRopBox Control）。 以往國家支援嘅黑客組織，主要係為咗政府服務，例如有專門針對竊取高端技術嘅黑客，亦有以癱瘓目標網絡活動嘅黑客軍團，不過，專家指出今次入侵賭博網站嘅行為似乎同國家無關，好可能只係黑客嘅個人行為。事實上，網絡安全公司 FireEye 喺上年亦指出有中國支援嘅黑客組織喺工餘時間，為興趣或個人利益去發動私人攻擊。至於入侵賭博網站係咪真係同政府無關呢？我個人就有好多聯想嘞，例如係咪搜集緊某啲「賭客」嘅投注記錄，作為洗黑錢或收受利益嘅證據？無論係為國家或個人利益，攞住呢啲痛腳，回報同風險隨時好過直接偷錢多多聲㗎。…