作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

ASUS、Huawei、Intel、NVIDIA、GIGABYTE、ASRock、MSI、Toshiba……講明先唔係大清算，只係合共廿幾個電腦硬件品牌嘅驅動程式被發現有漏洞，可以俾黑客攞到 Ring 0 最高權限，快啲睇下自己有無份先。 DEFCON 網絡安全大會嘅好玩之處，係過程中有好多黑客會發表獨家調查報告，而且仲會好詳細咁分析保安事故發生嘅原因，有時呢啲錯誤真係低級到難以置信會發生喺一啲大企業身上，所以特別適合花生友睇。 電腦安全公司 Eclypsium 研究員今年就喺 DEFCON 上發表報告，佢哋研究咗各大電腦硬件公司推出嘅硬件驅動程式（drivers），當中發現有廿幾個品牌、40 個驅動程式存在高危級別漏洞，黑客可以通過呢啲漏洞，將登入 Windows 作業系統嘅權限由 Ring 3 一口氣提升至最高嘅 Ring 0，令到黑客可以喺電腦內為所欲為，例如整死部電腦、安裝後門等惡意軟件、盜取資料等等。而最大嘅問題係，呢啲 drivers…

唔單只牙線唔可以交換用，就連手機充電線都唔得，因為都有可能引發病毒感染㗎！ 近排搭車成日碌手機睇新聞睇片，搞到部 iPhone 好快無電，相信唔少 iPhone 用家都會喺公司擺多條 Lightning 線駁電腦充電。但你有無諗過，插住果條線好可能係鬼線，只要你開著電腦做嘢，隨時可以俾黑客偷走資料？ 手機充電線內藏病毒 其實好多手機用家對充電線都無乜戒心，基本上有需要時就會四圍問人借線充電。理解嘅，因為咁細條充電線，可以惡得去邊丫？有黑客為咗提高公眾對充電線嘅安全意識，特別整咗條像真度高達 100 % 嘅 Lightning 線出嚟，但就內置 Wi-Fi 接收器同惡意軟件，只要目標人物將呢條線插入電腦，黑客就可以透過 Wi-Fi 訊號發出指令，指示惡意軟件執行特別任務，例如引導瀏覽器去釣魚網站，又或將電腦進入鎖定模式，強制要用家輸入登入資料，從而盜取登入系統權限。當然，職位愈高，帳戶可接觸嘅公司資料都愈機密。 製作呢條古惑…

勒索軟件肆虐，美國唔少行政機關都飽受困擾，中招者糾纏於是否交付贖金嘅決定之中，正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講，絕對係一件成本低、回報大嘅攻擊，加上暗網有大量勒索軟件發售，只要略懂電腦技術就可以買嚟用，然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上，好似 Windows、Linux 系統等等，不過網絡安全公司 Check Point 研究員就發現，Canon 相機嘅 PTP （Picture Transfer Protocol）數碼圖片傳輸協定存在 6 個漏洞，其中 5 個係關於 Buffer Overflow，最後一個就係暗中升級韌體。通過呢幾個漏洞，黑客可以透過 USB 或…

以為响手機裝防毒軟件就冇問題？點知原來個防毒本身就有問題…… 網絡安全公司 Comparitech 最近為 21 款 Android 免費防毒軟件進行分析，結果真係嚇死人，發現當中竟然有 3 款存有嚴重安全漏洞、7 款根本無能力偵測樣本病毒；整體上，47％ 產品未能成功達標，真係唔裝好過裝喇。 Comparitech 從安全性、私隱度及廣告推送三方面進行測試，發現大多數 App 都貨不對辦：首先有三分之一嘅 app 根本無能力準確偵測病毒，而且幾乎所有 app 都响度監察緊你嘅行為。咁都未算，研究員仲發現有…

物聯網（Internet of Things, IoT）的應用已談論多年，近年 IoT 產品的功能愈來愈完善，特別是在商業應用方面，例如酒店等服務行業，不單可提升客戶體驗，更有助企業收集大數據進行分析，改善營運效率。市場調查公司估計，2020 年全球將有 500 億部 IoT 產品接通互聯網，而在 Wi-Fi 6、5G 等高速網絡傳輸制式的助攻下，都為大規模裝設 IoT 產品提供了理想的環境。不過，企業要成功引入 IoT 應用，還欠缺了一塊重要的拼圖。 Wi-Fi 6…

為免落後太多，不少企業決策者都希望盡快推行數碼轉型，加速雲轉移應用。其實雲轉移有很多問題需要釐清，因為將重要工作放上雲端，便要好好考慮安全及備份問題，這樣企業才能無後顧之憂，讓數碼轉型歷程保持簡單透明，方可專心拓展業務。 【早餐研討會】雲轉型陷阱你一定要知 時間：9 月 12 日（Thu）8 am 至 9:30 am（7:30 am 開始接受登記） 地點：灣仔香港萬麗海景酒店宴會廳 3 至 4 費用：全免（備有美式早餐） 報名：https://bit.ly/2ZyOhMg 超越混合雲的微間隔防禦策略 要安全保護數據或各項應用，傳統做法是依靠網絡安裝防火牆；但隨著 IT…

https://www.youtube.com/embed/nlS5lBNm9Us?wmode=transparent&rel=0&feature=oembed 上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門（Backdoor）好難分辨有心定無意，同埋簡單介紹咗後門的種類。今次就用三個實例，分析三種常見嘅後門攻擊手法係點執行，同埋根據呢三個個案嘅攻擊手法，從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。 寫死密碼 講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件，呢個後門屬於 hard-coded password，只要經 SSH 或 Telnet…