研究員搵漏洞，除咗想維護網絡安全，亦希望對方可以正視問題，之不過站於對方立場，醜事梗係收埋最好。早前有研究員發現一款路由器有嚴重漏洞，之不過廠方嘅回應就有好大改善空間囉。 Singtel 旗下網絡安全研究團隊 Trustwave 嘅 Spiderlabs 喺年初發現，一款 D-Link ADSL2+ 路由器出現嚴重漏洞，可以唔使認證，直接從網頁上獲取路由器資料，當中更包括密碼。方法就係喺路由器嘅 index.asp 頁內搜尋 username_v 及 password_v 參數，咁就攞到用戶嘅登入資料。此漏洞非常嚴重，意味著黑客可以控制路由器、截取當中嘅數據傳輸。 Trustwave 當然有向 D-Link 通報，不過，對方似乎唔係好理。原本…

做咗資安專家咁多年，經驗話俾我知，一間公司無論做咗幾多網絡保安措施同買咗幾多防毒軟硬件，最尾都有可能係衰喺員工手上！最近 Proofpoint 出咗份報告就係最佳例證，喺過去 18 個月入面，專家發現超過 99% 含間諜軟件嘅電郵，都係全靠員工打開先會成功㗎咋！ Proofpoint 專家 Chris Dawson 指出，而家黑客嘅入侵已經唔係以前漁翁撤網咁，而係針對性有目標咁做，例如見到近年好多公司都轉晒用雲端服務，所以黑客就順勢用電郵「分享」Office 365 同埋 Dropbox 嘅連結。Chris 雖然好多人都留意到寄件人好生面口，但係因為成日開慣呢類雲端網站連結，潛意識都係會撳落去先，於是就係咁中招。 公司咁大，邊類員工先係最易中招目標呢？Chris 就話好多人以為管理層先係黑客目標，因為佢哋掌管公司咁多資料，被入侵嘅價值自然高啲；但研究發現只得 7% 入侵個案係針對佢哋，反而有 36%…

大部分人用社交網站，都係不停 post 相 post 片，你睇 Apple iPhone 11 系列嘅賣點集中晒喺影相功能上面，就知影相同分享相、片係幾咁重要。而作為社交平台龍頭大佬嘅 Facebook，每日用戶上傳嘅相閒閒地都超過一億，但原來早前喺 Facebook 自家開發嘅 HHVM（HipHop Virtual Machine）開源虛擬機器上，就存在住兩個上傳相片嘅漏洞，黑客可以透過上傳一張帶有惡意內容嘅 JPEG 相，令系統出現記憶區溢位（memory overflow），從而達成越位讀取記憶區數據，又或發生阻斷服務情況。 Facebook 自家開發嘅…

雖然由細個開始，阿爸阿媽已經成日教你便宜莫貪，但而家諗返轉頭，咁耐以嚟你因為貪心而中過幾多次伏？肯定唔會少啦，所以用現金回贈或折扣優惠嚟做魚餌嘅手法，先至可以長做長有。 冒牌都要專業 最近網絡安全研究員 nao_sec 就發現，勒索軟件 Nemty 嘅變種最近開始活躍，透過 RIG EK 漏洞利用工具包，喺下載者嘅電腦上安裝惡意軟件，誘導佢哋去到虛假 PayPal 網站，然後再話只要下載及使用專用軟件，每次交易就會回贈返 3 至 5% 金額。研究員嘗試打開下載嘅 cashback.exe 執行檔，結果發現佢會將受害者電腦內嘅檔案上鎖，並要求交出約 7,800 港元贖款作為解鎖費。雖然另一位研究員…

驚住仔女、年長父母、寵物走失，所以買個 GPS 追蹤器俾佢哋，原意係好，但如果罪犯都睇到佢哋嘅位置，係咪仲唔安樂？ 網絡安全軟件公司 Avast 研究員 Martin Hron 發現，估計喺 Amazon 上發售、價錢介乎港幣 200 至 400 蚊嘅 GPS 追蹤器材當中，有大約 60 萬部存在安全漏洞，可以俾罪犯掌握佩戴者嘅即時位置、暗中啟動收音咪，甚至篡改衛星定位位置，令用家誤以為佩戴者喺「安全」地方活動。 Martin 特別指出一系列由 Shenzhen…

研究員剛於 DEF Con 發表報告，指出大量 4G 路由器存在漏洞，黑客可輕鬆遠程突破。其實 5G 都嚟緊，做乜仲集中火力去調查 4G 路由器呢？原因好簡單，研究員話根據過往經驗，好多製造商喺開發新產品時，核心程式碼其實都會同舊產品差唔多，所以如果唔正視問題，呢啲漏洞將會喺 5G 產品上繼續出現，所以唔好以為產品過時就唔使理。 Pen Test Partners 於 DEF Con 發表報告中，指出唔少知名牌子嘅路由器均存有多重漏洞，包括命令注入及遠程代碼執行漏洞，黑客只須編寫含惡意代碼嘅網站，之後就可以靜候有漏洞嘅路由器登入中招。研究員更指出，部分漏洞更容許黑客盜取登入密碼及其他資料，之後就可以盡情截取數據或將連接路由器嘅用戶導向其他虛假網站，非常大鑊。Pen Test…

Robotic Process Automation（RPA）將會係大勢所趨，坊間好多文章嘗試以學術性手法去探討，但唔係人人都睇得明，或者未想像到 RPA 點落地。今日用個 layman 小小嘅方式解釋一下，希望大家了解流程機械人係幾咁重要，可以慳到幾多時間同減少幾多失誤。 今日講嘅 RPA ，唔好覺得佢係 Buzzword 或 Rocket Science，其實佢無機械臂，亦只係一個存在於 desktop 入面嘅 UI (User Interface)，主要係處理 UI…

Google Project Zero 近排喺 Apple iOS 推出版本更新後，多次公佈由佢哋舉報嘅漏洞，而且有 14 個之多，當中更有兩個嚴重漏洞存在超過兩年，iOS 裝備用家只要睇過某啲網站就中招，可以睇埋 WhatsApp、Telegram 等用 end to end Encryption 技術加密嘅訊息。如果有裝置仲行緊 12.1.4 版本或以下，就要快啲更新喇。 Project…

喺上個月，獨立研究員 Laxman Muthiyah 發現 Instagram 嘅 2FA（Two Factor Authentication） 驗證漏洞，只需 10 分鐘時間就可以將一個 Instagram 帳戶搶到手，舉報後 Facebook 俾咗 3 萬美元獎金答謝佢嘅貢獻。事隔一個月，Laxman 又再發現 Instagram…

如果大家好記性，都記得舊年香港爆過單遺失選民登記冊嘅新聞，最精采 係上個月選委會開記招提返呢件事，竟然話調查完都判斷唔到點解會遺失……any肥，我只係想講，香港地方咁細，唔見咗選民登記冊都牽連甚廣，換轉係美國，當然就更大件事，而且分分鐘影響埋選舉結果！ 路透社最近就出咗篇獨家文章，話原來美國政府內部已經做緊嘢，一個月前推出咗新計劃，希望可以喺 2020 年總統大選前，提升選舉系統嘅防禦能力。上屆選舉時，已經有俄羅斯黑客入侵選民驗證系統，從中偷走資料，但大家擔心嘅係上次只係試驗，今次大選行動會升級，黑客唔滿足於拎資料咁簡單，而係透過操控及竄改資料嚟決定選舉結果，咁就更加大件事！ 華府網絡安全和基礎設施安全局（CISA）局長 Christopher Krebs 接受訪問時就話，近幾個月各州縣政府部門先後被勒索軟件攻陷，部分檔案被鎖住唔能夠打開，要用虛擬貨幣交贖金先開得返，而好有可能下年大選都有機會中招，俾黑客用同樣招數鎖住選民資料。 目前 CISA 已經同所有州政府聯繫，一方面提供教材，等佢哋知點樣應對呢類攻擊，另一方面就落手落腳幫佢哋做齊晒各方面嘅測試，睇下有冇乜嘢漏洞，及早作出修補。雖然目前仲未有指引，如果州政府中招後應唔應該俾贖金，但 CISA 就強調做好預防及備份措施，就係希望唔會出現要俾贖金嘅呢一日。 當然啦，唔想俾黑客勒索，最有效方法就係定時備份，有州政府選舉工作人員就話，自從 2016 年開始，已明顯加強咗網絡保安，而且不時都會備份選民資料以防萬一，但係到底要幾耐備份一次先妥當？暫時都未有清晰指引喇！ 資料來源：https://reut.rs/2ZwpYxK