Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

Neo 今天讀到一份不錯的訪談，Michael Coates（曾任Twitter 的CISO）分享了心得，針對兩個頗為吸引的問題：一、如何建立強健的資安團隊？二、如何開展自己在 Cybersecurity 的事業？其立論一針見血，所以略為記下，並加評論，以饗讀者。 Michael 指出一個殘酷的事實：網絡邊界（The perimeter）永遠在改動。上一個世代講要守護network choke points，在今天可能不切實際。為了分秒必爭的業務競爭及發展，愈來愈多的雲運算及外判模式，正在消解（dissolve）網絡邊界。在今天，速度無比重要，所以資安服務要非常貼身。然而，面對眾多業務部門及他們各自獨特的系統結構，ＩＴ／資安團隊如何處理快速的變更要求及服務要求？難道要每個部門配置資安技師嗎？這當然是不可能的。 Michael 走了一條路，叫 Empowerment及Paved path approach。這個思維是去 empower（提升能力、給予信任；「授權」二字太狹窄了）一些 Security Champions去協助公司的資安。中央ＩＴ做的工作，近乎鋪路，提供一系列不同的工具，並列出權限界綫，定出不應逾越的底綫。有了這些準備，Security Champions…

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…

喺《Matrix》電影入面，Agent Smith 原本嘅職責係消除系統唔穩定嘅因素，以及清理漏洞 Neo，可以話係維穩工具。不過，最近網絡安全研究員就發現咗一種新嘅手機惡意軟件變種，已經感染咗約 2500 萬部 Android 裝置，而佢嘅名就係「Agent Smith」！ Agent Smith 係一種識得透過偽裝手法，令到其他手機應用軟件變成同黨，齊齊顯示指定廣告以增加廣告收入嘅惡意軟件。Check Point 研究員發現，Agent Smith 攻擊主要針對印度、巴基斯坦、尼泊爾等亞洲地區，但美國、澳洲、英國亦有唔少用家中招。Agent Smith 會分三階段嚟達成攻擊，首先需要引誘用家下載及安裝含有 dropper 嘅軟件，例如係免費遊戲、應用軟件或成人娛樂等，進入手機系統後就會自動解碼，並利用數個已知嘅…

早前， (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴，法庭判了一句：「任何人使用自己的電腦，不涉及取用另一人的電腦，便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨，先此聲明：本人不是藍、黃、紅，亦沒有任何意圖不尊重香港法律界、法官的意思，Neo 亦只是個黃毛小子，未有經過任何法律訓練，以下只是一堆廢話：請不要拉我。 我的感慨在於：甚麽是「自己的」電腦？你付了錢，買了一部有 CPU 有一些 Buttons 的東西回來，就是「自己的」電腦嗎？這個所謂的「自己性」（i.e. ownership） 實在是站在 Asset Ownership 的立場而言，即是說，你大可把這個東西用鐵鎚打爛，因為這是你閣下的財產。私有財產的權利，令你可以對此物有獨佔性的權利，別人不經同意使用、損毁，就是侵權行為，受法律約束。顯而易見，這是站在「客觀財物」的角度看「電腦」。 然而，一部電腦（姑且當它是一個 countable noun）的獨佔性可否成立？在硬體而言，OK。你碰我粒掣、插我個 Port，用它來墊煲，就是侵犯了我的「硬體權」。然而，電腦的「存在感」不在於硬體，更在於軟體，尤其是他的 Operating…

顧問行業，原本是人類智慧結晶。由於 Big Data 及 A.I. 的出現，就算是顧問行業，都出現一種存在的焦慮。有一短文，講顧問行業的五宗罪：過份依賴人、以時間計價、貴、顧問報告追不上變化及顧問知識不夠。現今的 Disruptive Technologies 開始讓一眾食呢行飯的顧問出現危機。好簡單：如果我可以自己 GOOGLE 答案，我點解要畀錢請顧問？ 不過，自己 GOOGLE 出來的答案，未必達到所要求的涵蓋性、深度、準確性，而且，只是一堆資料，未必能夠化為有用的策略。人始終有不可代替之處。所以 Wall Street 現時都出現 “Straders”，半人半機器，一邊做 Trade，一邊自己寫程式去有效利用資料。 （Neo…

不好意思，近日 Neo 有喜，潛了水。致歉！ 如果眼睛稱為靈魂之窗，臉就是…玻璃幕牆？你的臉本身是一堆物質，但同時反映你的心靈活動。此外，你的臉亦是你的社會存在（Social Identity），所謂認人，其實是認臉，返工亦要睇老闆面色做人。可見，一張臉，是物理世界、心靈世界及人倫世界的交滙點。 我們的臉，可被掃描於政府數據庫之中：不難，現今技術已做到，外遊過關時一定試過。這帶來更好的保安，及加快過關速率。當然會有誤認，但基本上已越來越準。商用也有，刷臉支付、刷臉提款、刷臉進站都有了，所以也出現了「刷臉概念股」：臉與股真的貼在一起了。 但在「一臉通行」的時代，誰真正擁有我的臉呢？明星所關心的肖像權，現在也應該是大家的關心。按理，肖像被他人使用，應該得到肖像權擁有人的同意。坦白講，我日日周街去，咁多攝錄機，我點知我的尊容有沒有被人盜用？Neo曾試過上網搜臉（當然唔用我自己果塊），找到一堆網上照片，有男有女，都幾好笑。與打指摸不同，刷臉可以發生於不知不覺間，當然私隱是一大問題。另外，在我的肖像視頻上，現已可用 AI 改編，製造 Fake Speech，恐怖到笑。我又諗起，如果我塊臉有肖像權，咁我可唔可以放售權利？如果可以，咁我塊面不再屬於我，我早上唔剃鬚，影響肖像，係咪會畀人拉？ （Neo按：基本上，我們現代人已經不能 Opt out 刷臉這個「權利」了，除非你用了 Burqa。果然是先知！）

之前寫過一些魚事，其實我亦成日賣魚俾人，幫一 D 企業發放各種魚類 (Phishing Email)，搞到我返工好似去咗長沙灣魚類批發巿場咁樣。講開長沙灣，你有沒有見過一種「野獸派」數銀紙方式？一整堆十蚊紙，幾百張成座山咁，當中又濕水又混亂，但係個大佬氣定神閒，一口氣數出來，都費事分開一疊疊。當年搵食就係咁樣。 今次我發果批 FIT 殊，有不同吸引力，有 D 係假扮 Invoice，有 D 係假扮香港 Salary Guide，有 D 係假扮你個帳號快要取消，等等。最攞命果條 FIT 殊，仍然係訴諸恐怖，話你個帳號畀人入侵咗，URGENT，快 D…

權限（Access Rights）是一件很好玩的東西，在電腦系統中，處處可見其身影。例如，你登入你的網上銀行，你只能見到你的資料，見唔到我的資料，這就是你的「權」的「限」。理論上，系統中的一切活動，都需要夠權。不夠權，就睇唔到、改唔到、用唔到（此即上文的 C/I/A）。所以，世上所有黑客，都想抵達一個超高權限的境界，有如系統 Administrator 所有的特權咁高。如此，佢就乜都睇到、乜都改到、乜都用到（理論上）。 對於 Administrator 呢一類特權帳號（Privileged Accounts），係要好好管理的。但係……點管呢？因為佢係特權帳號，佢所有活動紀錄都可抹去、一切對佢設限嘅手段都可以被他撤去，反過來，佢可以更改所有其他帳號，叫其他人奈佢唔何。咁又問，可唔可以取消呢 D 特權帳號，人人平等呢？咁又好危險，因為電腦成日壞，在緊急關頭要救機，唔通仲要圍十條友用十個帳號做十樣嘢咩？一定要用特權帳號，bypass everything，救到個系統再算。 （如果你再問我，點解系統會故障、點解要救機，你可以打去消費者委員會問。） 以前，管理這些特權，唯有由政策入手，再加信封。政策上講清講楚，冇人可以有特權帳號嘅密碼，要用的話，拆信封讀密碼，兩個人一齊做嘢，然後再改個新密碼入信封，再將信封鎖入夾萬。幾十年過去，好多機構仍係咁做。 以上這些，行家好清楚，煩親大家唔好意思。 現在係講真話時間。在塵世上，多數會出現以下情況： 特權帳號一地都係。有 D 秘密特權帳號，唔係叫 root…

今早好天氣，一望出街，成群人在低頭捉怪獸。Neo 諗，乜個遊戲仲未死咩？我家對出的地方，平時少外人，但也算係 Public Areas – 公眾地方，原則上屋邨沒有理由趕人走。 前一陣子幫個客寫 Security Policies，寫到差不多，忽然問我：喂，你有沒有考慮 Public Areas – 公共區域嘅 Security 呀？我反問，Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩？佢話，大佬，我係講緊企業入面果幾十萬呎地方，平日 D…