ThriveDXSaaS 已正式宣布與 ACW Distribution Hong Kong 和 ACW Distribution Phils., Inc. 建立代理合作夥伴關係，為各企業員工提供最新的網絡安全培訓，從而減輕與惡意攻擊相關的種種風險。 （資料及圖片來自 ACW）

ACW Distribution Hong Kong 與 CheckPoint、Nutanix 和 Ricoh合辦一場 CloudGuard Network Security Integration 聚會。當日有幸邀請到 ACW Product & BD Director, Norris Hung、Check…

勒索集團 LAPSUS$ 在今年初開始，多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung，並於網上公開受害企業的領先科技，雖然部分集團成員被捕，但在這一系列事件中，的確曝露出大企業在網絡安全上意想不到的脆弱性，到底有什麼反面教材可成為參考？ LAPSUS$ 雖然同樣以勒索受害企業謀利，但集團與其他勒索軟件有明顯分別，因為它專注於竊取科技企業的機密資料，並不熱衷於加密對方的電腦設備或數據，只會要求對方交付贖金，換取機密資料不被公開。由今年初開始，多間科技企業相繼被 LAPSUS$ 攻陷，當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate （LHR）及 DLSS 技術、Samsung…

繼之前連環公開 Nvidia、Samsung 等公司部分技術的源始碼，Lapsus$ 的最新受害者是 IT 龍頭公司 Microsoft。據知相關應用服務包括搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana。Microsoft 快速回應被入侵事件，更反過來公開對方的入侵手段及技術，希望能避免再出現受害者。 隨著勒索軟件 REvil、Darkside 被執法機構高調打擊，其他勒索集團的行動都趨向低調，以避免成為下一個打擊目標。唯獨 Lapsus$ 例外，由二月至今已不停高調公開入侵個案，特別是對方如沒有在限期前交贖款，Lapsus$ 便會毫不客氣直接披露部分敏感資料，例如 Nvidia 用於監測顯示卡挖礦活動的…

不認不認還須認，上週末網絡犯罪集團 Lapsus$ 聲稱已盜取 Samsung 約 190GB 機密數據，當中包括 Samsung 自家用於 Android 裝置上的 Trusted Applet 原始碼、生物特徵解鎖演算法、驗證 Samsung 用家帳戶的原始碼及 API。Samsung 沉默多日，終於承認這次外洩事故，但就強調當中不涉員工及客戶的個人私隱資料，似乎想淡化事故的嚴重性。 Lapsus$ 網絡犯罪集團專門從事數據盜竊，而在宣布成功入侵…

以 Linux 系統運作的物件無處不在，更是互聯網基礎設施的核心部分，但低功率的物聯網 (IoT) 設備，原來也稍稍地成為 Linux 惡意軟件的主要目標。隨著數十億聯網設備，如汽車、雪櫃、網絡連線裝置連上互聯網，這些物聯網設備已成為某些惡意軟件活動的主要目標，並以 DDoS 模式作攻擊，以垃圾流量強行令目標離線。 安全服務供應商 CrowdStrike 在一份新報告中表示，2021 年最常見針對 Linux 的惡意軟件系列分別是 XorDDoS、Mirai 和 Mozi，三者加起來佔該年所有針對 Linux 物聯網的惡意軟件共…

數據外洩威脅急劇上升，保護數據庫變得日漸重要。現時網絡安全界已使用多種技術來保護數據，複雜性也在不斷發展，例如同態加密（Homomorphic encryption）、混入假數據等等，無非都是為了阻止黑客入侵。 最簡單的保護數據庫方法之一，是將數據資料分開儲存。研究人員只可以讀取第一個數據庫，具有完整資料的數據庫就會儲存於其他地方，檢查數據時必須利用演算法去還原完整數據，免除研究人員遺失數據的責任。同態加密是比較複雜的保護數據方案，系統會將敏感資料完全加密，研究人員要調用真實數據時，系統便會進行同態運算，令數據在毋須解密下都可被搜尋。十多年來，IBM 一直在為同態加密技術作出貢獻，例如提供適用於 Linux、iOS 和 MacOS 的工具包，以及安全儲存和處理數據的雲端環境。不過，同態加密還未成熟，因為需要太多運算，拖慢檢索速度，如要在大型數據庫使用便難以負荷。 現時數據保護服務供應商採用的加密方法，主要是加密數據庫內的資料，不過並非全面加密，而是平衡保密與共享原則，只向研究人員透露非私密訊息，減低運算負荷。一般的做法是加密姓名、地址等個人敏感資料，只有獲得演算法密鑰的特定人員可以訪問，其他用戶只可讀取未加密的部分。單向函數密鑰（如 SHA256 hash 算法）是最常用的演算技術，如欠缺這條密鑰，攻擊者便無法逆轉計算出原來的數據。 將假數據混入數據庫也是另一種常用手段，因為隨機噪音（random noise）可令識別個人記錄變得困難。Google最近便將名為 Privacy-on-Beam 的內部工具變成開源技術，用戶可以將噪音混入數據庫，然後才儲存到 Google Cloud 數據庫。不過當噪音資料被混合在數據庫內，有可能令資料準確度出現問題，因此最近微軟亦提供了一個與哈佛大學科學家合作開發的差異私隱（Differential Privacy）工具包，它可被應用於訓練人工智能或分析營銷活動數據，而不被噪音影響準確度。…

「重賞之下必有勇夫」這句說話可謂世界通行，有黑客組織早前就在俄羅斯一個地下討論區，以 11.5 萬美元獎金，邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法，包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束，不過主辦方現時已收到不少「學術」研究。 集思廣益是其中一個搵出漏洞的最佳方法，白帽黑客界亦有採用這種方式，當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣，旗下擁有約 60 萬會員，成員更來自全球 170 個地區。上年其中一個會員…

NFT（Non-fungible Tokens，中文為不可代替代幣，或非同質化代幣）是近期創科界，以至是藝術界熱門話題之一，接連有藝術家及音樂人將作品化為 NFT 數碼資產，並以天價成交。藝術品以外，數碼娛樂其實亦可滲入 NFT 元素，像港產遊戲開發商 Animoca Brands，近年亦將遊戲內的裝備、道具等化成 NFT 數碼資產，為玩家提供數碼產權（Digital Property Rights）。公司昨日更宣布，成功籌集 88,888,888 美元融資，現時公司估值已達 10 億美元。 Animoca Brands 本輪融資由 Kingsway…

後疫情年代，科技轉型的需求又急又快，例如 E-Commerce 的冒起，令數據分析，顧客體驗的應用變得愈來愈重要。當「網絡化你的生意」不再只是 #hashtag，而是確確實實的新常態，如何透過提升「Tech Power」搭上這趟科技順風車，令公司加速復蘇，以保持市場競爭優勢，就是 2021 年的最大挑戰。 一年一度的SAP TechEd 2020，正好為具備前瞻視野的你，提供一個最佳升級機會。400多場線上演講，由各領域的專家剖析 2020 年科技大趨勢，其中更包括SAP 的長期合作夥伴 Intel，分享如何協助智慧企業發展，提升企業決策品質和速度。 由香港時間 12 月 9 日 1pm…