科技愈發達，帶嚟嘅方便就愈多，好似以前揸車要周圍搵車匙先可以撻車，但自從有咗無車匙 Keyless Go 技術，只要車主袋住車匙喺身就得。不過，呢種無線識別嘅技術，亦令到受攻擊嘅層面加大，黑客利用意想唔到嘅方法，將車匙遙距拎到手，根據 The Association of British Insurers 發表嘅統計數字顯示，單係 2018 年經佢哋處理嘅失車數字就多達 56000 架，比起 2017 年上升咗 12%。雖然唔係全部都因為呢種技術而失車，但 ABI 都警告 Keyless…

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

唔好講咁多，即刻掹咗張 SIM 卡出嚟先，因為最新發現嘅呢個漏洞，正影響緊全球 10 億以上流動網絡用家，黑客只要發出一個含有惡意代碼嘅 SMS，就可以發動 SIMjacker 攻擊，喺你部裝置上面執行惡意程式，暗中控制你部裝置，包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡，甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上，所以無論你用邊款手機，以及各種可以插 SIM 卡上網嘅裝置，例如平板電腦、IoT 裝置，統統走唔甩，而且暫時係完全無修補方案，你話除咗掹 SIM 卡靠 Wi-Fi 上網之外，仲可以點做呢？ 呢個核彈級…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

個人資料外洩事故經常發生，雖然唔少事件係同黑客有關，但更多情況係由員工一手造成，好似 E3 喺網站無緣無故擺放近 2000 個媒體嘅個人資料檔案、IKEA 喺宣傳電郵內同時將 410 個用戶電郵地址發送，就絕對係人手犯嘅錯喇！ 遊戲界大事件 首先講下 E3 （Electronic Entertainment Expo）事件先，E3 係全球最大型嘅遊戲展覽，所有遊戲界大作、新嘅家用遊戲機消息都會喺呢度發佈。今年 E3 已經喺 6 月舉行，有參加咗今次展覽嘅 YouTube…

Google 無痕式視窗（Incognito Mode）絕非「不留痕」，最近有調查發現，就算開咗「privacy mode」，其實瀏覽器依然追蹤緊用戶一舉一動，睇「私人」嘢都唔係咁保險⋯⋯ 根據《New Media & Society》及《New York Times》報導，研究員追查咗 22,484 個色情網站，發現當中有 93％ 藏有追蹤器，會將瀏覽嘅網民資料，向約 7 個第三方域名傳送出去，再次證明「隱私工具」無甚私隱。 見有 Privacy 字眼，好多網民都以為瀏覽器會幫手隱藏身份，但正確嚟講，其實應該將「無痕式」瀏覽視為一個獨立處理嘅 session、短暫嘅選項，目的只係將無痕式上網同一般模式上網嘅紀錄分隔開，同時限制唔將呢啲…

經 NotPetya 一役，馬士基不僅致力改進自身的網絡安全，而且還把它發展成一項「競爭優勢」，它是一次非常切中要害又非常昂貴的喚醒服務。 發生襲擊後兩星期，馬士基的網絡終於恢復至可以重新運作，公司為絕大部分員工下發整理後的個人電腦。哥本哈根總部大樓地庫的自助餐廳，已被挪用為重新安裝電腦的部門，每次都有 20 部電腦被排成一列，系統服務站的員工會按順序插入USB，按照畫面提示不斷點擊執行清洗工作。 從梅登黑德返回哥本哈根後，Henrik Jensen 從按著使用者姓名字母排列的幾百部手提電腦中，找到了屬於自己的一部，硬盤裡面的東西已經被徹底刪除，並且安裝了一個乾淨的 Windows 鏡像。 有危就有機 五個月後，馬士基主席 Jim Hagemann Snabe 於瑞士達沃斯世界經濟論壇大會上，對公司 IT 部門在這次拯救行動中付出的「英雄般的努力」表示稱讚。 他說，從…

上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程，是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子，但又有興趣「中途轉機」、加入資安行業的在職人士，又有哪一個課程是入行踏腳石？答案可在 HKUSPACE 課程找到。 香港大學專業進修學院（HKU School of Professional and Continuing Education, HKUSPACE）已經辦學60年，其前身是香港大學學外課程，而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年，已有282萬人次報讀學院課程，其中有關資訊科技和資訊保安的課程，在這十多年間大受歡迎，每年課程的學額都是供不應求，課程種類繁多，包括資訊保安的深造文憑、理學士、碩士課程，任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程（Postgraduate Diploma in Information Technology），這兼讀課程的部分學費可以申請CEF（持續進修基金），成功達標者可得到基金資助 80% 學費津貼，而從 2019…

早前， (2019.04.04)終審法院在協和小學試題外洩案中裁定律政司敗訴，法庭判了一句：「任何人使用自己的電腦，不涉及取用另一人的電腦，便不干犯『不誠實取用電腦罪』。」這判詞令 Neo 頗生感慨，先此聲明：本人不是藍、黃、紅，亦沒有任何意圖不尊重香港法律界、法官的意思，Neo 亦只是個黃毛小子，未有經過任何法律訓練，以下只是一堆廢話：請不要拉我。 我的感慨在於：甚麽是「自己的」電腦？你付了錢，買了一部有 CPU 有一些 Buttons 的東西回來，就是「自己的」電腦嗎？這個所謂的「自己性」（i.e. ownership） 實在是站在 Asset Ownership 的立場而言，即是說，你大可把這個東西用鐵鎚打爛，因為這是你閣下的財產。私有財產的權利，令你可以對此物有獨佔性的權利，別人不經同意使用、損毁，就是侵權行為，受法律約束。顯而易見，這是站在「客觀財物」的角度看「電腦」。 然而，一部電腦（姑且當它是一個 countable noun）的獨佔性可否成立？在硬體而言，OK。你碰我粒掣、插我個 Port，用它來墊煲，就是侵犯了我的「硬體權」。然而，電腦的「存在感」不在於硬體，更在於軟體，尤其是他的 Operating…

分享FacebookTwitterWhatsAppEmailLinkedinTelegram 2018年資安事故歷歷在目，這邊廂航空公司資料外洩、那邊廂酒店集團被黑客入侵，網絡攻擊無日無之，手法日新月異，要減低被攻擊的風險，網絡威脅情報的收集及分析成為關鍵。處理海量和運用網絡威脅情報去偵測已經是個艱巨的任務，要及時作出回應更是一項挑戰。解決方法其實好簡單：利用HKT「網絡威脅情資平台Cyber Threat Intelligence（CTI）」以及「資訊安全威脅管理服務Threat Management Services（TMS）」。 HKT CTI 可減低遭受新型網絡攻擊的風險 網絡威脅情資平台Cyber Threat Intelligence（CTI）有如大腦，負責收集及分析各種網絡威脅情報，CTI 匯聚網絡安全專家、情報及最新技術，可大幅縮短調查及分析時間，減低企業遭受新型網絡攻擊的風險。 網絡威脅情資平台Cyber Threat Intelligence（CTI）收集及分析各種網絡威脅情報。 過濾環球及本地超過 1,000 億個原始日誌 網絡威脅情報的質量是…