香港金融管理局 (HKMA) 於去年 11 月推出的加強版網路防衛評估架構「C-RAF 2.0」，特別在產品開發周期上提升了合規要求。全球第七大軟件公司 Micro Focus 夥拍香港系統整合商 Resolve Technology，推出 Fortify 解決方案，可確保金融業將安全性在開發流程中的位置「左移」(shift left)，貫通整個流程，金融業就可放心推出新服務，提升競爭力。 新服務成金融業致勝關鍵 作為亞洲金融中心，香港的金融業均積極引入各種金融科技，同時致力縮短產品開發周期回應市場的需求。不過，企業安全產品代理商 B & Data 總經理…

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

在數碼轉型之下，企業採用雲端服務已成主流，雲端服務為各大企業提供更具敏捷性和速度的存取架構，有效推進創新發展，以更大的可擴展性，增強生產力和降低運作成本。全球頂尖互連（interconnection）及數據中心公司 Equinix 推出混合雲策略方案（Hybrid Cloud Strategy Solution），方案可連同科技公司翹楚 Oracle（甲骨文公司）的 Database 使用：透過將 Oracle Exadata 數據庫放在與雲端服務提供商彼鄰，即 Cloud Adjacency，以與雲端相鄰的體系結構，為企業提供結合安全性及高可控性的服務，讓客戶靈活地存取 on-premises 及雲端數據。 Equinix 早前與 Oracle 舉辦 Rethink…

SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生，但既然愈來愈多港人準備移民，當然要了解一下如何避免成為這種攻擊方法的受害者，特別是去年因 SIM-swapping 導致的損失高達過億美元，當中更有著名 KOL、體壇明星、名人，千萬不能掉以輕心。 所謂 SIM-swapping 攻擊，是一種透過非法手段，從電訊商員工手中騙取其客戶電話號碼使用權的攻擊，例如假扮其客戶訛稱遺失手機，要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼，或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作，不過由於被查出的風險較高，所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響，這類騙案較少在亞洲發生，而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼，可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後，如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶)，而又需要額外 SMS…

由 2 月 18 日起，政府有條件開放食肆晚市堂食、健身室、美容院等處所，要求進出以上處所人士，強制使用「安心出行」應用程式或登記個人資料作出入紀錄，否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮，同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇（Mike），探討安心出行權限注意位及其他應用程式的安全問題，以及使用時的自保方法。 「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要，根據該應用程式 Andriod 1.1.6 版本所列出的權限所需，包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調，程式沒有追蹤功能，政府亦不會刻意查看市民出行記錄，所有資料會存放在用戶手機，不會存在中央資料庫，但政府的說法仍未釋除市民疑慮，不少人仍對「安心出行」抱有戒心。 擷取執行中的應用程式成爭議點 「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式（Retrieve running apps）」，意即「安心出行」可知道用家的電話同時在運行中的應用程式，由於政府沒有作出相關解說，因此難以推斷需要此權限的真正原因，網上亦引起不少猜測。Mike 估計，此權限或因程式開發人員編寫時用上第三方程式庫，例如需要配合其他應用程式使用，如掃描 QR code 時要用上第三方程式，便需要用到此權限；不過 Mike…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

後疫情催生無限危與機，資安界都有無數「不容錯過」Buzzword，當中 Secure Access Service Edge（SASE）獲 Gartner 等資安權威平台加持，原因同企業雲端化熱潮息息相關。科技資訊分析機構 Canalys 統計，雲端化企業數目在 2019 年增長 30％，資安平台 IDG 則大膽預測相關增幅在 2021 超過達 50％。 雲端化優點相信大家相當清楚，但於企業與雲服務平台間、資安責任誰屬上，暫時難以統一區分，黑客間接有機可趁，尤其企業發展猛迅的情況下，情況越兇險。幸而，在客戶資料外洩、非授權登入、介面漏洞等問題上，SASE 能夠靈活應對，有 SASE…

如無意外，Android 12 的開發者預覽版本將會在今個月推出，到底新作業系統在保障網絡安全及功能上會有哪些改良？今次就根據現有傳聞來一個賽前預測。 加速手機廠更新 Google 的 Android 12 最大更新之一，預計會以 Project Mainline 模式去更新 Android Runtime，後者的主要功用是將系統編碼轉換成處理器可以理解的編碼，以往在更新韌體時必須整個更換，但 Project Mainline 則可獨立升級系統內的核心元件，這樣就可以加速 Google 更新系統漏洞的週期，可獨立為重要的漏洞進行緊急更新；同時第三方手機開發商亦可受惠，Android 手機用家的網絡安全性便更有保障。…

疫情影響，企業加速 Digitization，AI 在當中有著重要角色。如果你有資源但不知應如何分配，可留意以下 3 個範疇。 (1)AI 實踐 AI 發展成熟，任何行業都可透過它大幅增值，加上 COVID-19 推波助瀾，Boston Consulting Group 報告指出，超過 80% 企業打算加快 Digitization，但只有 30% 能夠達到成效指標。首先，McKinsey 2020…