Microsoft 的 Windows CryptoAPI 系統架構，再次被發現安全漏洞，雖然漏洞早於去年 8 月被堵塞，不過科技公司 Akamai 指，網絡上還有大量設備存在漏洞，而他們更已發布利用該漏洞的概念驗證（PoC），如繼續放任漏洞存在，將可讓黑客透過偽冒證書安裝各種惡意軟件。 CryptoAPI 是 Microsoft 為 Windows 作業系統加入的密碼編譯功能，可以用於加密或解密資料，以及驗證下載軟件的證書與開發者的證書是否一致，杜絕偽冒行為。不過，英國國家安全機構去年便發現 Windows CryptoAPI 存在漏洞（CVE-2022-34689），可讓黑客偽造軟件訊息中的 MD5 值，將惡意軟件成功假扮成其他可信機構推出的軟件，又或以中間人攻擊攔截收發的訊息及進行解密。…

黑客經常利用未修補的軟件漏洞，並經常針對錯誤的安全配置進行攻擊，美國網絡安全和基礎設施安全局 (CISA)、FBI 和國家安全局 (NSA) 以及來自加拿大、新西蘭、荷蘭和英國的網絡安全當局，早前編制了一份清單，列出了防禦者在安全控制薄弱、配置差和安全實踐差的問題，提出建議阻止黑客的初始入侵，下文將有他們的集體建議及緩解措施。 CISA 指出，網絡攻擊者經常透過失當的安全配置，例如配置錯誤或不安全、薄弱的控制，和其他差劣的網絡衛生實踐方式，藉以獲得初始訪問權限或作為其他行動策略的一部分，來破壞受害者的系統。不過在關鍵系統上啟用多因素身份驗證 (MFA)或使用 VPN，在複雜的 IT 環境中實施時，亦間有出現配置錯誤，致使黑客有機可乘。 例如，去年俄羅斯黑客將多個 MFA 解決方案共享的默認策略，與升級漏洞的 Windows 打印機特權結合，藉以禁用帳戶的 MFA 運作，然後建立與 Windows 網域控制器的遠程桌面協議…

Microsoft 檢測和響應團隊 (Microsoft Detection and Response Team, DART) 表示，他們偵測到針對雲端特權帳戶和高級身份帳戶的密碼噴灑攻擊有所增加，呼籲用戶注意。 密碼噴灑攻擊屬於蠻力攻擊的一種，攻擊者試圖使用常用密碼，存取大量帳戶，看看會不會剛好「撞中」密碼。這些攻擊通常在從一個帳戶，切換到另一個帳戶時，兩者都使用相同的密碼，以查找容易被攻破的帳戶，而這個方法能避免觸發密碼錯誤所導致的帳戶鎖定，以及惡意 IP 攔截（如使用殭屍網絡）等防禦措施。簡單來說，這種策略透過每次嘗試登入一個帳戶，並以常用密碼列表，快速嘗試登入不同帳戶。 DART 表示，在過去的一年中，他們與 Microsoft 的威脅情報團隊觀察到，使用密碼噴灑攻擊媒介的情況有所增加，最近，DART 發現，雲端管理員帳戶成為密碼噴灑攻擊目標的數字有所增加。DART 建議用家，盡可能在所有帳戶中啟用和強制執行多因素身份驗證 (MFA)，並採用無密碼技術，藉以大幅降低帳戶受此類攻擊，繼而被盜用的風險。 Microsoft…

疫情期間催化黑客攻擊，其中國家級黑客的威力更不容小覷。Google 公布目前為止，已向其用戶就有國家資助（State-sponsored）的黑客攻擊發出 50,000 次警告，相比 2020 同期增加 33%。Google 提醒用戶啟用多重因素身份驗證功能，以保護帳戶。 Google 安全工程師和威脅分析組織 (Threat Analysis Group, TAG) 團隊成員 Ajax Bash 在博客指，發出多次警告的原因，是因為阻止了一個名為 APT28 或…

《Big Breaches: Cybersecurity Lessons for Everyone》作者 Neil Daswani 呼籲企業正視內鬼。他引述數據，2005 年至 2009 年每年平均少於 25 宗內鬼洩密，2010 年至 2014 年上升至平均每年 100 宗，當中以 2013…

「邊個作業系統最安全」呢個題目，龍頭資安企業與學術界肯定發表意見，民間高手亦在 Reddit、知乎甚至 YouTube 拍片分享高見，但多年爭論依然傾唔到標準答案，說服江湖。再加上推出新版本 OS 或更新、黑客手段演化等變數，令呢個爭論可以無限伸延落去。 Windows 真係咁脆弱？ 研究數據指出，全球電腦中有 77% 使用 Windows 作業平台，能夠上網的話，比例更大幅增加至 88％（呢點好重要，因為主流黑客都係透過網絡發動攻勢）。任何人都希望自己嘅「產品」可以打入最大市場，將利潤最大化，黑客都唔例外。即使一款惡意程式未必能夠侵略所有版本的 Windows，但相比市佔率只有 2％ 的 Linux 家族，主流幾代 Windows…

唔知大家仲記唔記得，舊年10月美國《華盛頓郵報》沙特阿拉伯裔記者卡舒吉（Jamal Khashoggi）入咗沙特駐土耳其伊斯坦布爾領事館後下落不明，最後證實被殺呢單新聞？你可能會話，呢單嘢同資安界好似冇乜關係，不過隨住呢單案進入審訊階段，愈來愈多細節披露出嚟，先發現原來做開資安嘅公司係有另一條財路！ 正常嘅資安機構，最多咪做下防毒軟件，擋擋黑客同埋病毒程式之類，但係有部分嘅業務就複雜好多，好似NSO Group、Gamma Group、Hacking Team（呢間今年四月啱啱同另一間公司合併成為Memento Labs）等等，佢哋係專為各國政府提供軟件，偷取目標人物喺網上嘅所有數據（沙地記者當然係目標人物之一啦），雖然佢哋呢類生意唔多公開，但從唔同渠道獲得嘅資料顯示，呢盤生意查實幾和味！ 先舉NSO Group為例，佢聲稱自己2018年嘅總收入係2.5億美元，但係今年二月，一間英國私募基金Novalpina Capital收購咗佢大部分股權，作價就超過10億美元，可想而知，佢哋生意應該超過佢報出嚟個數啦！要了解佢哋盤生意點解咁大，當然要先知道客人係邊個啦，咁佢哋實唔會自己爆響口嘅，但又好衰唔衰，2015年一次大型數據外洩事件，其中部分數據就咁啱見到Hacking Team嘅客戶名單，當中包括沙地阿拉伯政府、FBI、馬來西亞反貪部門，同埋位於非洲尼日尼亞嘅巴耶爾薩州政府，一睇都知個個係尊貴客人，就解釋到生意額點解會咁大。 呢類生意唔係今時今日先有架喇，自從2013年發生斯諾登事件，全世界知道美國有個咁完善嘅電子監察系統，其他國家當然都想有個咁正嘅系統，於是出得起錢嘅政府，一係就請私人資安機構幫手，一係就索性高薪挖晒西方情報組織嘅前員工，希望洞悉各種加密技術同埋解拆方法，之前《紐約時報》就獲得阿拉伯聯合酋長國一間叫做DarkMatter嘅公司嘅人事部文件，發現佢哋請咗好多前美國國家安全局嘅前員工，就懷疑係後者嘅做法。 你話咁樣偷取個人資料到底合唔合法，條界線就真係好模糊嘅，因為就算上到法庭，都唔知點先可以舉證，就以最近一單為例，有個同埃塞俄比亞有連繫嘅美國人，懷疑埃國政府搵人監聽佢同埋佢嘅家人，但最後法庭都以監聽活動唔係喺美國發生為由，冇受理到單案件，從中可以見到舉證嘅困難。雖然陸陸續續都有人想施加壓力，例如十一月就有美國參議員提出議案，話要調查一下NSO Group，有冇做出危害美國國民嘅事，不過就算真係通過，查得嚟都蚊瞓，照目前情況睇，都應該未有乜嘢事可以威脅到呢類機構繼續賺大錢架喇！

很多朋友問我，做黑客要不要領牌 （專業證書 ）。答案可以是「Yes」或「No」，綜觀全球著名黑客， 他們大多數都是從大量的實踐中煉成黑客技術， 他們專注研究軟件，從一些細微的弱點發掘出漏洞，嘗試發動攻擊入侵系統， 終於成功奪取權限。相反，修讀 CEH （Certified Ethical Hacker）專業認證資格，則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 （EC-Council）提供的網絡安全認證。CEH 是國際的頂級熱門安全證書，符合美國的 ANSI / ISO / IEC…

糾纏 8 年，一單關於視像監視系統漏洞嘅訴訟終於有結果，Cisco 答應付出 860 萬美元進行和解。今次訴訟嘅內容，原來係有承包商前僱員指控 Cisco 明知系統有漏洞但無處理，仲喺兩年半期間繼續賣出去，客戶當中仲有美國國家安全局、空軍海軍添，唔通真係咁大膽？ 今次訴訟事件針對嘅軟件 Video Surveillance Manager（VSM），係由 Cisco 喺 2008 年所開發及推出，用戶可以通過呢套軟件嘅中央伺服器，去控制分散喺唔同地方嘅視像監視畫面。不過，Cisco 其中一個承包商 Net Design 嘅員工…

今年 25 歲嘅網絡安全研究員 Marcus Hutchins，兩年前俾 FBI 拘捕，指控佢曾經開發過兩隻銀行木馬病毒，將偷嚟嘅帳戶資料出售。不過，法官最後裁定 Marcus 唔使坐監，只係輕判佢接受釋後監管一年。原因好簡單，佢對社會嘅貢獻絕對足以將功補過！ 意外阻止 WannaCry Marcus 之所以獲輕判，全因佢兩年前阻止過勒索軟件 WannaCry 嘅爆發。據專家估計，WannaCry 曾經感染 150 個國家嘅 23 萬部電腦，隨時可以令呢啲電腦上鎖。不過，當時…