Clickjacking 攻擊技術，以往大多用喺呃廣告點擊方面，黑客會喺受害者嘅電腦或手機上安裝惡意軟件，暗中點擊網站上嘅廣告嚟賺取廣告費。不過，而家呃人已經唔似以前咁容易，因為互聯網廣告供應商都開發咗一啲偵測系統嚟捉鬼，只要點擊廣告嘅行為有可疑，例如重複點擊同一個廣告，又或瀏覽網頁時唔轉頁淨係 click 廣告等等，都會被視為無效點擊，令到黑客無咁易呃到廣告費及點擊率。 不過，正所謂「路不轉人轉」，呢個方法唔可行，黑客咪研究新方法囉，最新技術就係騎劫網民嘅點擊，即係明明你點呢個位，實際上就點咗其他地方，又或者係你開啟嘅連結同字面表述不符等。 Microsoft Research 最近就聯同香港中文大學、首爾國立大學等學術機構發表研究報告，透過開發出一款名為「Observer」嘅工具，去檢查 Alexa 頭 25 萬最多人瀏覽嘅網站，睇下當中有幾多個被黑客植入惡意騎劫程式碼。最後發現，當中有 613 個網站中招，每日總瀏覽量高達 4300 萬。研究人員又指出，喺被發現中招嘅網站中，有接近 36% 嘅點擊騎劫係用嚟賺取廣告費，其餘騎劫就用喺將網民轉去一啲詐騙網站。而為咗避免令網民起疑，黑客仲識得限制騎劫頻率添。 問題就搵咗出嚟，但點樣防範呢？答案係都要靠網站或瀏覽器製造商時刻偵測網站有無俾黑客植入惡意程式碼，同時間，亦可以喺網民真正點擊連結前，提供多啲連結資料俾網民，等佢哋更容易知道條 link…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

ASUS、Huawei、Intel、NVIDIA、GIGABYTE、ASRock、MSI、Toshiba……講明先唔係大清算，只係合共廿幾個電腦硬件品牌嘅驅動程式被發現有漏洞，可以俾黑客攞到 Ring 0 最高權限，快啲睇下自己有無份先。 DEFCON 網絡安全大會嘅好玩之處，係過程中有好多黑客會發表獨家調查報告，而且仲會好詳細咁分析保安事故發生嘅原因，有時呢啲錯誤真係低級到難以置信會發生喺一啲大企業身上，所以特別適合花生友睇。 電腦安全公司 Eclypsium 研究員今年就喺 DEFCON 上發表報告，佢哋研究咗各大電腦硬件公司推出嘅硬件驅動程式（drivers），當中發現有廿幾個品牌、40 個驅動程式存在高危級別漏洞，黑客可以通過呢啲漏洞，將登入 Windows 作業系統嘅權限由 Ring 3 一口氣提升至最高嘅 Ring 0，令到黑客可以喺電腦內為所欲為，例如整死部電腦、安裝後門等惡意軟件、盜取資料等等。而最大嘅問題係，呢啲 drivers…

常說數碼轉型是大勢所趨，企業如不想業績落後，便要盡早開展轉型計劃。不過，對仍未轉型的企業決策者來說，聽上去總有點強加於人、不可不做的感覺，難免抗拒。事實上，根據市場調查公司 IDC 最新發表的報告顯示，現時全球已有 66% 企業採用混合雲策略，預計明年更會高達 95%。企業之所以如此踴躍參與其中，全因數碼轉型並非洪水猛獸，而是看中其存取便捷、部署快速、應用服務豐富、付費靈活等優勢。 移雲提升營運彈性 以經營網購為例，一年中總有旺淡季之分，但為了應付高峰期的訂單，傳統企業便需採購相應的基礎硬件設施、收費系統、數據流量等設備，不單只浪費了淡季時的維運成本，遇著代理的產品突然大賣，設備也未必能應付暴增的網站訪問要求，錯過良好的商機。通過數碼轉型，就可藉著各大雲供應商提供的服務，短暫提升設備效能及流量，既可解決問題，控制成本的效率亦大增，大大提升企業的競爭力。 不過，要達到以上的成效，穩定、快速、安全的網絡連接，以及透明度高的管理系統，便成為多雲策略的焦點，只有在可靠的連線及涇渭分明的管理系統下，企業才能放心將重要業務轉移雲端。因此，不少企業都樂於重整基礎設施，以軟體定義網絡（Software Defined Networks, SDN）架構，發揮多雲策略的優勢。 輕鬆管理基礎設備及雲端應用 軟件定義網絡指的是一種通過軟件介面，直接管理網絡中所有服務及控制流量，而毋須理會硬件接駁的技術。它不單可讓管理者清楚掌握各方面的應用狀況，並透過控制介面因應實際情況，即時調整硬件及流量資源，達到最佳的營運效率。 Singtel 的 SD-Connect 軟件定義網絡服務，便是專為減輕企業雲轉移的負擔而設，讓管理員輕鬆接通跨雲應用，令整個轉型歷程簡單化。有別於其他軟件定義網絡服務，Singtel 在深入了解每間企業的轉型要求及所面對的環境後，才會為客戶度身打造合適的軟件定義網絡架構，無論是單雲或多雲策略，高透明度的 SD-Connect…

雲端科技發展迅速，市場上有著廣泛的雲端服務供選擇，助企業實現數碼轉型以保持競爭力。市場調查公司 Gartner 高級研究主管 Elias Khnaser 曾表示，選擇正確的雲端服務是 IT 領導者所必須掌握的技能，因為它主宰著物聯網、人工智能等新世代應用的成敗。要真正成功實現轉型，首要秘訣是在芸芸眾多的雲端服務商中，揀選值得信賴的供應商，借助合適的雲端科技及專才支持其發展目標。不過，選擇的過程可謂複雜困難，考慮因素多，企業宜就供應商的四個方面先了解清楚： 1. 供應商的技術及服務支援能否滿足企業的需要？ 雲轉移並非單單將數據或應用程式由公司伺服器搬上雲端，還須各種技術的配合。因為雲端服務供應商採用的硬件架構、技術框架或管理標準各異，與企業本身採用的不盡相同，如兩者存在的差異過大，便難以將企業內部的私有雲與雲端服務供應商所提供的公共雲接軌；所以在採用合適的解決方案前，必須全面評估供應商所提供的服務，是否能夠理解企業本身需要而作出配合？由雲轉移的資詢、部署到實行的過程中，會否得到相關專才持續向企業提供全面支援及優化建議，加快採用雲端技術和數碼轉型？ 2. 供應商的發展藍圖是否符合企業的創新路向？ 除了著重當下，企業還需放眼將來。不論是 IaaS （Infrastructure as a Service,基礎設施即服務）還是SaaS （Software…

獨角獸 Slack 經營嘅企業向通訊協作軟件，喺 6 月尾上市後股價曾一度颷升 6 成，而最近雖然跌返啲，但依然高過建議招股價差唔多十蚊美元，可見大家都仲係睇好佢嘅發展，認為佢有力同 Microsoft、Google 競爭。不過，Slack 股價有一個非常大嘅威脅，一日唔處理，企業客戶一日都唔會用得安心，呢個威脅就係傳輸嘅數據無做 end-to-end encryption。 喺 Slack 嘅招股書入面，都承認咗自己有可能唔足以應付有組織罪犯或國家級黑客嘅複雜攻擊，令到內部系統有可能受到入侵，同時強調理論上唔可能完全阻截呢啲攻擊。咁點解黑客可以攻入系統，就有可能盜取到用家嘅個人私隱，而呢個情況唔會係 WhatsApp、Telegram 上發生？因為 WhatsApp、Telegram 採用咗 end-to-end…

呢個方法唔得，咪試下另一個方法囉！呢句說話大家都講過唔少，同時間亦係黑客高手嘅處世態度，所以先可以創造咁多攻擊方法出嚟。最近有網絡安全研究員發現，黑客又喺釣魚電郵攻擊手法上加多重掩飾方法，通過 QR Code 將目標人物帶離公司嘅防禦系統，再利用心理盲點令對方輸入公司帳戶登入資料，雖然唔係百分百成功，但都係果句，試下無壞丫。 今次被研究員發現嘅 QRishing 攻擊手法，針對嘅攻擊對象係法國公司 Cofense 嘅僱客。攻擊首先由一般嘅釣魚電郵開始，目標人物會收到一封標題為 Review Important Document 嘅電郵，叫佢哋利用附件嘅 QR Code 去讀取一份重要嘅文件。如果目標人物用手機 scanner 跟住照做，黑客就會引導佢哋去到一個虛假嘅 SharePoint 登入網站，由於呢個網站係企業常用嘅內部管理系統，所以好易有目標上當，跟手輸入埋…

有炒開美國科技股嘅，一定有留意上星期上市嘅 Slack，掛牌第一日就升破招股價，最終收報 38.62 美元，較開市價高 48.5%。雖然第二日股價略為調整，但依然係今年美國上市第二高估值嘅科技公司，僅次於 750 億美元嘅 Uber，但就贏咗另一風頭躉 Lyft，巧威威！而 Slack 仲係第二間直接喺紐約證券交易所掛牌嘅公司，毋須公開集資，創辦人 Stewart Butterfield 話原因係佢哋唔缺錢，真係型到呢…… 正所謂樹大招風，喺 Slack 份上市文件入面都講到明，微軟係佢哋頭號競爭對手，咁微軟梗係唔會坐定定乜都唔做啦！就喺 Slack 上市當日，微軟就向員工發出內部通告，禁止十幾萬名員工使用 Slack…

呢個禮拜嘅網絡安全關鍵字，唔使公投都知答案肯定係「漏洞」啦！當大家知道原來醫管局一個機密度咁高嘅系統，係可以唔需要用密碼登入，成個業界即刻嘩聲四起，乜原來咁都得？有老闆講笑咁話早知新入果張標書唔使寫埋 2FA 之類嘅多重驗證安全系統入去咁多餘啦！官方仲有啲更抵死嘅回應，話因為電腦附近 24 小時都有人 on duty，所以就算唔用密碼登入，理論上都係好安全咁話。如果當佢啱，咁銀行入面點解仲要有夾萬？差館夠人多喇啩，出入咪又係要嘟卡？ 好嘞唔講呢啲，講返今次重點先。有人話呢個係系統漏洞，將來會修補返，但其實呢個好明顯唔係漏洞而係後門。漏洞（Vulnerability）係指執行系統時出現咗超出預期或無考慮過嘅反應，而結果係可以俾黑客利用嚟攻擊，呢啲先叫做漏洞，例如近來最火熱嘅 Microsoft Windows 系統 BlueKeep 漏洞（CVE-20190708），就可以俾黑客遙距執行惡意程式。 不過，如果喺設計系統時一早預留咗條秘密通道，又或者黑客利用漏洞嚟植入後門，將來可以繞過驗證方法 log in，咁就應該叫暗門（trapdoor） 或後門（ backdoor）至啱。其實留定條秘密通道可以有好多原因，正常用途包括為咗方便 programmer 測試或修改系統，又或者作為正常登入系統失靈時嘅後備救援方法；至於暗黑系用途，自然係用嚟監測其他用家嘅私隱，或暗中安裝各種…

想俾人 head hunt，大家而家都識得主動出擊，利用 LinkedIn 呢類職場社交平台嚟增加曝光率及被搜尋機會，唔會再只係靠 agent 咁傻仔。而作為電腦程式高手，可能仲會多一個途徑，好似澳洲一個 13 歲嘅小朋友，以虛假帳戶登入 Apple 公司伺服器，偷走 90 GB 機密資料，目的就係搏 Apple 會請自己！ 另類求職方法 2015 年犯案時，呢個小朋友只係得 13…