Microsoft 被稱為 Section 52 的 Azure Defender for IoT 安全研究小組近日發現，物聯網和營運技術（Operational Technology，OT）裝置上，有一系列的記憶體分配漏洞，可用來執行惡意程式。這個目前盛行的漏洞名為 BadAlloc，與不正確驗證的輸入有關，而這個漏洞會導致堆溢出，並最終執行這些代碼。 研究小組在發文指，這些漏洞都源於使用記憶體容易受攻擊的功能，如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。當傳遞外部輸入時，這些函數就會出現問題，因為這些外部輸入可能導致整數溢出或迴繞函數，折回的結果是重新分配記憶體緩衝區。小組又指，儘管折回而分配的記憶體不多，但令與記憶體分配相關的負載，超過了實際緩衝區分配，導致了溢出；缺乏輸入驗證令入侵者開採記憶體分配功能，造成堆積溢位，而令他們可於目標裝置上執行任意程式。 Microsoft 正與美國國土安全部合作，向受影響的供應商發出警報，並修復漏洞。在通報中所示的受影響產品來自 Google Cloud、Arm、Amazon、Red Hat、Texas…

安領科技盃2020 四強正式誕生，晉級隊伍包括主辦方代表 edvance (安領科技）、China Telecom （中國電信）、HKBN （香港寬頻） 及 PCCW Solutions （電訊盈科企業方案）。四強比賽將以淘汰賽形式進行，分別由 A 組首名出線的 China Telecom 對決B組次名出線的 PCCW Solutions，以及B組首名出線的HKBN對決A組次名出線的edvance。 業界對聯賽一致正評 主辦方代表…

數碼轉型已經深入生活的每一個部分，企業與客戶活在以雲端應用，與智能手機為中心的經濟體系內，對於應用與服務開發的速度與效益持續提升。結合開發人員（Development）與IT營運管理（Operations）的「DevOps」流程，近年已成為不少企業，藉此加快服務開發生命周期的新文化，最近更出現融入保安管理的「DevSecOps」框架。 JFrog China 總經理 George Hurn-Maloney 認為，市場目前正經歷轉型時刻，開發服務的速度提升，但當中帶來的網絡安全隱患值得留意。 DevOps或存在安全隱患 擁有多年推動DevOps項目經驗，早於2017年創立當地分公司的JFrog China總經理George Hurn-Maloney認為，市場目前正經歷轉型時刻，開發服務的速度提升，但當中帶來的網絡安全隱患值得留意。他指出就算是JFrog目前大部分屬於傳統銀行的客戶，也要經歷雲端架構與服務轉型的陣痛。 George指目前有90%軟件，以至市場上炙手可熱的Kubernetes（K8s）Containers標準與應用，其實都是建基於開源標準，雖然這是時代的進步，但也有可能造成網絡安全問題。而JFrog China正與包括羅兵咸永道（PwC）與香港代理群柏數碼科技（B & Data Technology）等多個機構合作，除了融入開源社群，推動DevSecOps文化之外，也協助企業客戶檢查當中的源碼，是否存在被入侵與其他網絡風險問題，融入更高規格的安全掃描標準。當中B & Data總經理Billy表示，該公司於去年底開始與JFrog China合作於本地推出DevSecOps相關服務，而目前JFrog推出包括插入軟件（Plugin）的選項，讓開發者能在初期發現潛在風險或問題。 B…

現時有三分之二香港企業有望實施混合工作模式，「零信任保安」( Zero Trust Security ) 成為最近企業網絡保安熱話。Aruba 香港及澳門地區總經理 Fiona Siu 接受 wepro180 獨家專訪，分享 Zero Trust Security 應用的最新市場趨勢，她認為 Zero Trust Security 已成為企業網絡發展核心，企業營運者必須認識及將之應用，長遠方可保護企業網絡。…

令人聞風喪膽的勒索軟件集團 REvil 又有新受害者出現，REvil 聲稱從台灣電子產品代工公司廣達 (Quanta) 電腦手上取得多間公司的產品設計圖，當中包括 Apple 的手提電腦，以及 Lenovo 的 ThinkPad Z60m！不過，後者原來是 2005 年產品，居然夠膽叫 Lenovo 盡早聯絡，講真，「你咁樣係唔會令我驚㗎！」 勒索軟件集團 REvil 犯案纍纍，貨幣兌換公司 Travelex、電子設備製造商…

Coinbase上市以及虛擬資產的市場波動都是最近的城中熱話，相信不少有投資虛擬貨幣的朋友都有聽過Coinbase，它是虛擬資產交易所，總部位於美國，上市後估值近64億美金，其獨壟斷地位令這個美國上市虛擬資產交易所的市值比其他傳統交易所都要高。 金融世界和科技世界都是winner takes all，Coinbase上市後成為一間既合規又具規模的交易所，不少上市公司如香港的美圖、美國的Tesla和MicroStrategy都是Coinbase的客戶，原因十分簡單，Coinbase在眾多的交易所之中最合規，上市公司如要投資虛擬資產，就要選一個市場安心自己放心的平台，一旦監管機構或審計師查起上來，看見這些上市公司選用的是Coinbase，問題也自然少一點。因此Coinbase在虛擬資產交易所市場一早入局，有開荒牛的優勢。 今天虛擬資產市場能發展得成行成市，好多人都會問虛擬資產如比特幣的價值何在，一個看似沒有回報的東西，比特幣價格的頂會在哪裡？這個問題，似乎香港經濟學太祖張五常先生多年前已在研究藝術市場時找到答案了。虛擬資產與藝術品於特性上有點相似，所以張五常先生用於解釋藝術品的道理亦可以解釋於虛擬資產之上。 張五常於藝術品世界提出了倉庫理論，指財富要找尋合適的倉庫去累積，倉庫可以是有回報的資產，或無生產力的物品。有回報的資產其中一個例子就是債券，這些有回報的資產價值都是有上限的，其上限就是預期收入的折現價值，債券的價格視乎幾期利息以及當時利率，債券價格不能升到無限高。 另一方面，無生產力的物品如藝術物都可以是累積財富的倉庫，藝術品的存款是收藏成本，而回報是未來價格的波動。這些倉庫都是沒有如利息般的定期現金回報，未來的回報視乎有生產力的人願意給出的價值，因為沒有折現預期收入，或者說預期收入不好計算，這些東西的價值是沒有上限的。要成為這種無生產力的倉庫有三大因素，第一是有鑑證專家，能分辨無生產力的倉庫真假，第二倉庫數量不能太多，也不能太少，有供有求才有市場，第三是成行成市，有買有賣。 至於今天虛擬資產似乎都符合張老師闡釋生產力倉庫的定義。所以有人問比特幣的頂在那裡，答案是沒有；有如藝術品一樣，只要有人買而這個東西可以保存下來，一幅畫可以賣上天價。虛擬資產雖然是數位化，卻有這些無生產力倉庫的特性。然而，跟藝術品一樣，價格可以大升大跌，沒有上限亦不代表虛擬資產價格可以一直升上天。 獅昂環球資產管理（Axion Global Asset Management）董事陸永頌

雲保安是數碼轉型的一大障礙。除了成本上升，不懂得選擇供應商，以及缺乏網絡保安專才，是企業上雲時要面對的 3 大挑戰。 針對以上痛點，Palo Alto Networks 及 Deloitte 將會聯合舉辦一場 Webinar，以「Secure Cloud First with Zero Trust Mindset」為主題，兩大網絡保安專家會分享不同的企業轉型個案及相應的網絡安全方案。 想了解更多就記得登記報名：https://wepro180.activehosted.com/f/119 主題：Secure Cloud First…

很多人可能覺得勒索軟件攻擊與自己距離很遠，但即使不是被直接攻擊的對象，生活仍可以大受影響。最近荷蘭最大的物流公司遭勒索軟件攻擊，竟連累超市的芝士供應受礙，陷入短缺。千萬別再以為勒索軟件事不關己了！ 荷蘭最大的物流服務提供商之一 Bakker Logistiek，主要業務為荷蘭的超級市場提供空調倉庫和食品運輸服務。 上週 Bakker Logistiek 遭受到勒索軟件攻擊，網絡設備被加密處理，影響食品運輸和配送操作，導致荷蘭超市的芝士短缺。 Bakker 總監 Toon Verhoeven 指，該公司無法收到客戶的訂單，而且在龐大的倉庫中也難以找到產品在哪裡，運送也因而大受影響。這次事故令荷蘭最大的連鎖超市 Albert Heijn 缺少某些食品的供應，其中以芝士供應最受影響。 據報導，芝士交付被推遲了三天，造成訂單積壓和超市短缺。Verhoeven 表示，在過去一周，該公司一直在努力使系統恢復，並且庫存都已經出貨。不過他拒絕透露攻擊者是否已獲得報酬，並聲稱此案已交由警方處理。 Verhoeven 推測，黑客是透過最近公開的…

Google Android 非官方 App Store APKPure 被發現本身就是一個藏有木馬病毒的手機 app，同一時間，又有網絡安全專家發現華為官方手機應用市場 AppGallery 亦有十款手機 app 藏有病毒，我想平平安安玩 app 啫，好奢侈咩？ Android 智能手機作業系統一直讓用家保持一定的自由度，可以選擇安裝 Google Play Store 以外的第三方…

今時今日隨街可見 Quick Response Code (QR code) ，一經掃描便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款，都能見到 QR Code 的蹤影。Palo Alto Networks 香港及澳門總經理馮志剛就提醒，儘管 QR Code 技術本身是安全的，但隨著人們對它愈加依賴，網絡犯罪分子亦會想方設法利用它犯案。 馮志剛表示，QR Code 可能為潛在的網絡攻擊提供入侵機會，因為它們無法提供背後網頁、應用程式等的可視度。他們會自動將用戶重新定向到網站或應用程式商店去下載應用程式、進行付款等，因此為網絡犯罪分子提供了入侵的機會。 疫情期間，Palo Alto Networks 威脅情報團隊 Unit 42，在地下網上論壇觀察網絡犯罪分子討論如何利用 QR code 和針對消費者的方法，並找到了如何使用 QR code 進行攻擊的開放源代碼工具和影片教程。…