疫情影響，企業加速 Digitization，AI 在當中有著重要角色。如果你有資源但不知應如何分配，可留意以下 3 個範疇。 (1)AI 實踐 AI 發展成熟，任何行業都可透過它大幅增值，加上 COVID-19 推波助瀾，Boston Consulting Group 報告指出，超過 80% 企業打算加快 Digitization，但只有 30% 能夠達到成效指標。首先，McKinsey 2020…

在新冠炎肺疫情反反復復的情況下，新經濟常常受到衝擊，各地股市市場指數大上大落，疫情受控或疫苗開發有望，舊經濟抬頭，而疫情不受控或疫苗開發，又阻礙新經濟開動。Zoom Video Communications Inc. 作為新冠炎肺疫情必須的「網上會議工具」，又有「在家工作受益股」的綽號，有人認為她是比騰訊更騰訊，比 Tesla 更 Tesla 的新經濟公司。Zoom 在 2019 年 4 月在美國 NASDAQ 股票市場上市，IPO 以每股 36 美元上市，疫情下最高價位每股達 588…

黑客肆虐，令「疫情、新常態、黑客機遇」概念突破資安圈，各行各業漸漸覺悟，明白後疫情年代適應資安生態劇變的逼切性，又以醫療產業感受至深。 自疫情籠罩美國，紐約皇后區 Elmhurst Hospital 每日湧現數以百計病人，其中一名向《The New York Times》訴苦，以「災難」形容醫護周旋於 PPE、呼吸機、照顧病人、培訓臨危受命的新手間。而事實上，醫院 IT 部門狀況亦不遑多讓，隨著病人數目增加，遠程問診系統、收費系統、醫療器材聯網、視像會議平台等使用壓力幾何級暴增，黑客亦趁亂打劫，同期對醫療體系發動的黑客攻擊增幅達 150％，有黑客搶奪病人資料在黑市倒賣或後續進行詐騙，亦有黑客透過 Ransomware 以垂危病人為人質，要脅醫療機構就範。跟小型醫院與 NGO 醫療機構合作超過 10 年的資安與創新專家 Beau Woods 分析，前線醫護在疫情間盡忠職守，大眾視為抗疫英雄，但如果斷網，病人接受的醫療服務質素一定受到影響，甚至超出負荷。而眼下黑客正利用疫情，蜂湧攻擊醫療機構。 疫情前資安專家早已預警，胰島素注射泵或自動體外心臟去顫器等醫療器材長年欠更新、或使用 Window XP 等有漏洞的傳統系統，均構成極大資安風險。美國 FDA 去年發出警告，Medtronic MiniMed 胰島素注射泵有漏洞，黑客可無線更改注射劑量，構成性命威脅，廠方暫時透過軟件更新堵塞漏洞。 總括而言，醫療機構本已深受不可逆轉的病歷數據化與在線醫療器材所衍生的資安漏洞困擾，後疫情下推行遙距問診，個人電子裝置收集的個人健康資訊，未來勢必成為一大資安問題。而即使醫療機構理解資安風險，卻未必可以投放相關資源。疫情下，醫院首要增加人手、採購呼吸機、PPE、COVID-19 試劑，但同時間，醫院要暫停主要收入來源的非緊急手術與門診，University of California at Davis 的醫生指，疫情下最艱巨的是資源分配決定。Reuters 報導紐約長老會教友決定順延所有非緊急手術，決定影響 10 間紐約區醫院。在緊絀資源下，前線比 IT 部門有資源優先權。 資安平台 SecurityScorecard 與 DarkOwl 聯合研調發現，疫情間黑客攻擊醫療機構的 Web Application、End Point 與 IP Address 分別有 16%、56% 與 117％ 增幅，而圍繞 COVID-19 的攻擊極具效率。攻擊形式中，Ransomeware 大行其道，疫情期間於美國錄得 109％ 增幅，亦有針對 COVID-19 疫苗策動的國家級黑客侵略。攻擊醫療機構的著名案例，要數 2019 年專門追討病患欠債的 American Medical…

當屋企內存在愈來愈多智能裝備，被不法份子暗中監測的風險就愈來愈高。早前已有很多潛在風險案例，包括智能喇叭、Webcam、智能電視等等。最近研究又發現，不少港人愛用的小米吸塵機械人RoboRock一樣可以變身偷聽器，關鍵竟然是機身的光學雷射(Lidar)裝置！ 小米吸塵機械人身上的光學雷射裝置，原本應用於測量空間的大小及偵測前方有否障礙物，實際上應該跟聲音無關？不過，它卻可以透過接收反射光束，進而分析與物件之間的距離、物料，以及物件表面的振動變化，所以只要光學雷射裝置能持續向同一點收集數據，便能計算出令物件振動的音頻，再還原成為聲音。以為好高科技？原來在20世紀中期的冷戰(Cold War)期間，以被情報部門應用於偷聽技術，而當時光學雷射裝置是靠著記錄房間內玻璃窗戶的振動而偷聽。 光學雷射科技發展急速，過往達軍用級別的識別技術，近年已大量應用於不同民用產品，而由University of Maryland及National University of Singapore學者組成的研究團隊，就嘗試利用附有光學電射裝置的小米吸塵機械人，還原上述的竊聽技術。團隊今次不只分析玻璃面反射，更收集了紙、塑膠袋、衣料等家居經常出現物品的反射數據，結果顯示還原準確度高達90%。研究團隊更指透過分析聲音，可描繪出發聲人的性別、政治取態等個人圖譜，那就可以進行更有指向性的竊聽行動。 不過，研究團隊澄清今次測試純屬學術研究，叫小米吸塵機械人用家不用恐慌，因為要達成竊聽必須滿足多項條件。首先是要成功入侵並安裝惡意軟件控制機械人，因為如機械人不停轉動，便無法讓雷射集中投放在同一位置，收集回來的數據便無法還原為有意義的聲音。要阻止這種竊聽行動，研究團隊建議生產商除了要做好網絡安全工作，亦可考慮當機械人停止轉動時，可將光學雷射組件關上，這樣就能防止相關竊聽行動發生。 資料來源：https://zd.net/3pNUul2

University of Texas 與 University of Oklahoma 最近聯合發表論文 “Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks.”，團隊運用自行研發程式，可以透過 Zoom…

偽造問題一直難以解決，簡單如買個 8,424 西瓜，坊間也有一大堆似模似樣的標籤，就算出動鐳射標籤，也只是稍微增加偽造成本。不過，科學家正研究一款具備自毁功能的標籤技術，只要曝露在陽光下標籤上的內容就會消失。如果將標籤貼在產品或文件內，除了可以防止仿冒產品，亦可保證產品未有被非法改裝或文件偽造等問題。 新標籤技術由 University of Michigan 的學術團隊研發，主要是借助兩種物料結合時產生的化學反應，形成標籤上的內容，以及在紫外線下自我毁滅。首先標籤上層的半導體由鍺烯 (Beyond Graphene) 所製，它的特性在於當粒子以特定率震動時會產生自然光，而且隨著不同的頻率會有不同反應。當它與底層的偶氮苯 (azobenzene) 結合，偶氮苯就會刺激鍺烯震動，團體通過控制震動頻率，便可在標籤上顯示文字或圖案。偶氮苯除了可刺激震動反應，它只要曝露在紫外線等下便會慢慢收縮，從而令標籤上的文字或圖案消失。所以如果將標籤貼在密封的箱內或文件中間，只要打開時標籤上的文字或圖案仍清晰可見，某程度上就可確認從未被人打開，產品內裏的零件未有被替換，或文件未曾被翻閱。 不過，暫時這款標籤仍有不足之處，就是它的生命週期只有7天，如要作商業應用，研究團隊首先便要延長兩種物料之間的化學反應，否則相信只可用在快遞機密文件的服務上。 資料來源：https://bit.ly/2IhXfKc

藍牙(Bluetooth)通訊技術最近連環被揭發存在漏洞，例如較早前有安全專家指Bluetooth 4.0及5.0版本存在的「BLURtooth」漏洞，可讓黑客竄改兩部裝置配對時所產生的「跨傳輸埠金鑰」(Cross-Transport Key Derivation)，強行與目標裝置進行配對，繼而入侵裝置。而最近被公佈的BLESA(Bluetooth Low Energy Spoofing Attack)漏洞的影響就更大，估計全球正有數以億計支援BLE制式的藍牙裝置，曝露於攻擊之中。 相對於傳統藍牙制式，BLE制式的特點在於耗電量低，適用於須長期保持連接的裝置使用，其中一個最常見的使用例子是現時商場安裝的室內定位器，只要顧客開啟商場的手機應用程式，就可即時掌握所在位置或附近店舖提供的購物優惠。由於這些定位器須長期啟動，而且安裝位置又未必有電源，所以BLE制式便最適合這些裝置採用。 這次由美國Purdue University研究團隊發現的BLESA漏洞，便專門針對在BLE制式下，兩部已進行配對的裝置在重新連接(Reconnection)時，有否進行身份驗證；結果發現，當兩部裝置因超出接收距離或訊號不良而斷線後，在重新連接的過程中不會強制進行身份驗證，可能只需符合相關條件(如裝置名稱、MAC address)便可reconnect。從示範影片可見，研究團隊以電腦假扮一個BLE制式指環，成功與已配對的手機進行連接，並向手機發送兩個互相矛盾的訊息。團隊續指無論是Linux、ios、Android的BLE制式均存在上述漏洞。雖然現時部分作業系統已進行修補，但由於這些BLE裝置大多不支援連線，要逐一拆下來安裝修補檔將會非常痛苦！ 資料來源：https://zd.net/32LFdrP

CT Scan（電腦掃描）除咗可以用嚟確診癌腫瘤，亦可以用嚟檢查空心器官如心臟、肺嘅健康狀況。由於檢查過程要精準控制輻射照射劑量，減少對人體傷害，如果檢查系統被黑客入侵，分分鐘搞出人命。有研究團體就開發出一種 AI 技術，可以防止黑客喺輻射劑量上做手腳，準確度仲高達八成以上添！ 新冠疫情期間，外國唔少醫療機構都受到網絡攻擊，大部分個案都係中咗勒索軟件，俾黑客偷走病人嘅私隱及加密系統檔案，唔算死得人。不過，如果 CT Scan 嘅輻射劑量被竄改就大件事喇，唔單只會誘發癌症，嚴重更有死亡風險。以色列 Ben-Gurion University 研究團隊最新發表報告，公開佢哋用 AI 打假嘅成果。團隊首先搵咗間 CT Scan 儀器供應商合作，輸入 1,991 宗檢查案例俾 AI，等佢分析喺檢查唔同年齡對象、位置及病例嘅情況下所需使用嘅輻射劑量，然後再喺一間醫院入面做測試。分析按兩方面進行，一個專門用嚟分析可疑嘅劑量指令，另一個就比較相同病例嘅使用設定，一旦發現檢查內容有問題，就會即時通報醫護人員，結果發現兩者嘅攔截成功率高達 82%…

每逢發生社會大事，就係黑客嘅黃金機會，當世人畀新冠疫情折磨緊，黑客卻能從中獲利。美國波士頓著名醫院 Mount Auburn Hospital（亦即 Harvard Medical School）在 7 月 4 日國慶前的周末，其 IT 部門發現網絡突然不穩定，當局快速應變，立即切斷電腦系統的網絡連接，一切改以手動模式操作，反應快最終力保不失。但並非所有美國醫院都如 Mount Auburn Hospital 幸運。 美國國家研調訪問國內 1,300 間醫療機構，83%指曾受到黑客攻擊，超過一半擔心長此下去終會失守，20％更曾因黑客襲擊妨礙運作，平均需要約…

開呢個題，係因為美國最近熱爆討論黑客社群 Anonymous 喺警暴事件上嘅參與，佢哋兩度攻陷州警網站，有網友就延申到正邪黑客之分。我哋之前都曾淺談過 6 種黑客：紅、藍、綠、灰、黑、白，當中以灰帽黑客最具話題性，而 Anonymous 就係表表者。想知紅藍綠嘅定義，請回顧舊文，呢篇深入少少講灰黑白。 早喺 1960 年代，MIT 已經 Hackers 輩出，當其時字義等如電腦神童，同一部電腦，Hackers 可以逼出系統絕對領域，能人所不能。不過當時連電腦概念都未普及，Hacker 只屬小圈子詞匯。到咗八九十年代，黑客傳說開始流入民間，但相關報導大部分同犯罪有關，諸如非法闖入政府系統、轉售個人資料等行為，令大眾對黑客留下壞印像，直至最近資訊保安受到重視，大家開始嘗試全面理解黑客嘅種類。 白帽 白帽黑客透過自身技能，同企業、國家、資訊保安等機構合作，施展混身解數監測堵塞網絡保安漏洞。白帽黑客講求原則，擁有高尚情操，絕不會犯法或惡意攻擊競爭對手，總之道德先決，HackerOne 社群同資安企業 In House…