Videos
Ransomware
Duration: 1:01
Duration: 1:19
Duration: 1:46
Duration: 2:34
Duration: 3:49
Duration: 3:53
Duration: 3:58
(Scene 3)
Duration: 0:15
(TV API)
Duration: 0:30
(Scene 1)
Duration: 0:15
(Scene 2)
Duration: 0:15
Duration: 1:54
Duration: 2:25
Duration: 3:17
Duration: 3:14
Duration: 2:06
Duration: 3:07
Duration: 4:17
Duration: 4:10
Duration: 3:29
Duration: 3:11
Duration: 3:06
Stay vigilant against suspicious websites
Safeguard Your Mobile Phone (Chinese Version Only)
Protecting against DDoS attacks
How to response to DDoS attacks
Seek Assistance from Related Organisations in case of DDoS blackmail
Beware of social networking traps
Stay vigilant against malicious content
Do not browse suspicious website
Pay attention to the latest security information
Stop using software without support by manufacturer
Disable the unused wireless connection
高強度密碼 從日常句子着手 (Chinese only)
社交網站、網上購物、網上銀行、流動支付等越來越流行,加上公司內聯網和個人家居網絡,大家每天都需要登入不同的平台進入網絡世界,所靠的就是「密碼」。
密碼就如一條「鑰匙」,手上只要有這條「鑰匙」就可登入不同的網上平台。大家每日使用的密碼多不勝數,不少人為方便而使用較易記的密碼。不過,如果密碼強度不足,就形同一條「百合匙」,讓不法之徒有機可乘。
美國網絡保安方案供應商SplashData,從2018年個人資料外洩的個案中,收集了500萬個密碼,發現當中最常用的密碼是「123456」和「password」,連續 5 年蟬聯「最差密碼」,而前者佔約3%。其他較常用的密碼還有「12345678」、「1234567」、「12345」、「qwerty」、「iloveyou」、「admin」、「welcome」、「abc123」、「123123」等。SplashData估計,大約10%用戶正使用首25個「最差密碼」,而且接近3%更曾經使用「123456」作密碼。
香港電腦保安事故協調中心建議大家使用較安全的密碼,保護個人賬戶,減低被駭客破解和入侵的風險。一般原則是採用八個字元或以上,包括大小寫英文字母、數字和符號。
大家可能會認為,這樣的密碼較難記。協調中心介紹一個設定高強度密碼(Complex Password)的方法,供大家參考。首先構想一句和日常生活有關的英文句子,例如「I love my dog Zipper every day」,然後把句子中每個字的第一個字母組合,再把「every day」變成「@365」,便組成一個高強度而方便記憶的密碼「IlmdZ@365」。
除了設定高強度密碼,用戶亦可以在高風險的賬戶使用雙重認證,設定方法可參考協調中心的指引,https://www.hkcert.org/my_url/zh/guideline/16022401。
如欲了解更多電腦保安資訊,請參閱香港電腦保安事故協調中心網址:www.hkcert.org。
加強網絡保安 迎接新年挑戰 (Chinese only)
2018年香港企業網絡和個人資料安全飽受挑戰,網絡安全事故接二連三發生,當中38萬本地互聯網服務供應商客戶、超過500萬人的借貸資料、約940萬位航空公司乘客、接近5,000萬個社交網站賬戶,存在個人資料和私隱外洩的風險。
另外,近年新興的電子錢包和快速支付系統亦傳出安全問題。有電子錢包用戶懷疑因電子郵件資料外洩,被不法份子用作更改電子錢包的交易密碼,取得賬戶的控制權,繼而進行未經授權的轉賬交易,盜取電子錢包的存款,損失達港幣 10 萬元。而新推出的本地快速支付系統,亦懷疑因流程設計上的漏洞,導致銀行客戶被冒充身份,連結到電子錢包的直接扣賬服務,涉及金額約港幣 50 萬元。
以上網絡安全事故的起因五花八門,但大致可歸納為兩類。
第一,系統設計和管理問題。企業在設計系統時,沒有充份考慮網絡安全,或系統運作上出現缺失,導致被黑客入侵,洩露個人資料,引發對公眾的攻擊。企業應投放更多資源保障網絡安全,加強技術人員在網絡安全的基礎培訓。
第二,風險管理問題。企業在設計業務流程時,對網絡安全的風險評估不足,因業務上的「方便」犧牲了「安全」。企業管理層須提高網絡安全風險意識,推動公司上下做好網絡安全風險管理。
新一年即將來臨,預計網絡安全風險有增無減,企業應從去年引來全城關注的網絡安全事故中汲取經驗,積極加強保安工作,應對日新月異的網絡安全威脅。
如欲了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。
身份監察服務 無助防洩私隱 (Chinese only)
近期多間企業先後發生資訊保安事故,導致消費者或用戶個人資料外洩,不少市民對事故感到無助。有涉事公司於事故發生後,為受害人提供免費第三方身份監察服務,但用戶對這類服務的作用及風險存在不少疑問。
身份監察服務供應商眾多,有免費的,也有收費的,所提供的監察資料對象各有不同。這類監察服務主要透過專門的搜尋技術,監察用戶資料有否於暗網或其他非法網站中被公開或出售。若發現用戶資料被公開,監察系統會即時通知用戶,用戶可根據情報採取適當的應對措施,以減低資料外洩的損失。例如:當發現信用卡資料被放售時,用戶應立即通知發卡銀行註銷該信用卡;或當發現帳戶密碼被外洩時,用戶應立即更改密碼,同時提防相關的勒索電郵。
然而,身份監察服務只能發揮警示作用,不能預防或避免個人資料和數據外洩。即使個人資料在暗網等非法網站出現,身份監察服務供應商也不能要求網站刪除當中的外洩個人資料。
另一方面,用戶將個人資料交予身份監察服務供應商保管,也有機會增加資料二次外洩的風險,衍生其他問題。由於這類公司擁有大量且齊全的用戶個人資料,所以往往成為黑客的攻擊目標。去年七月,美國最大信用報告調查機構受到駭客攻擊,導致大量客戶資料外洩,建議用戶在選擇這類服務時,應考慮機構本身的信譽及安全,避免資料遭到二次外洩。
無論市民是否選用這類服務,也應加強保護個人資料意識。香港電腦保安事協調中心重申,身份監察服務只能減低資料外洩後的損失,而不能預防或避免資料外洩。養成良好的電腦和互聯網使用習慣,時常警惕網絡詐騙,才是保障個人資料、免招損失的上策。
如欲了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。
網絡安全7攻略 助中小企評估 (Chinese only)
香港電腦保安事協調中心(協調中心)經常建議企業應定期進行資訊安全評估(Information Security Assessment),大企業一般設有專責的審計部門或外聘顧問,由持有專業資格的審計人員,為企業進行資訊安全的審計評估,但中小企的資源相對較少,是否代表他們只能坐以待斃?
資訊安全評估需要一套完善的評估準則,分析企業的資訊安全水平孰好孰壞。在協調中心所編製的《中小企網絡安全七大攻略》中,特別設計了一份簡單的資訊保安風險自我評估清單,讓中小企先進行初步的自我評估,再制定相應的改善方案。
自我評估清單因應七大攻略的各個範疇,包括:安全政策和安全管理、端點安全、網絡安全、系統安全、安全監控、事件處理及用戶意識,列出一些良好操作清單,資訊保安人員只要逐一檢視企業內部的操作,是否已實踐清單上的指引,然後計算得分,評估企業的資訊安全水平和風險。
做好清單上各項良好操作可得一分,分數越高代表企業的保安措施越完善。不過,高分數並不代表企業可以排除所有資訊安全風險。協調中心強調,資訊安全評估的主要目的並非要評核企業的保安程度高低,而是協助尋找企業資訊安全工作的改善空間,儘快堵塞漏洞,以應付層出不窮的網絡攻擊。
如欲下載《中小企網絡安全七大攻略》或了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。
網上漏洞多 慎防外洩個人資料 (Chinese only)
「我『中』了八項, 你呢? 」
「我十項」。
航空公司,社交網站、長跑活動網上報名系統、旅遊體驗預訂平台、旅行社、互聯網服務供應商等,近日都發生個人資料外洩或系統被入侵等電腦保安事故,部份懷疑因此被不法之徒勒索,成為全城焦點,人人都着眼如何提高自身保障。
洩露個人資料等電腦保安事故時有發生,大家可有想過對用戶會造成甚麼影響呢?最直接的是損失金錢,尤其所洩露的資料如果包括信用卡和身份證時,不但可能被盜用,日漸流行的電子錢包更可能因而被入侵。早前,香港已有不法份子利用快速支付系統的運作漏洞,以他人的身份證副本進行非用戶親自授權的轉賬,多宗個案累積損失逾港幣40萬元。
外國亦發生許多冒充身份個案。不少互聯網服務供應商或流動服務供應商容許客戶透過熱線電話更改個人資料,毋須親身辦理,不法之徒於是有機可乘,利用所盜取的個人資料冒充受害人,重設電郵密碼或重發流動電話SIM卡,全面接管受害人的電郵或手機號碼,即使網上銀行等重要的應用系統採用了雙重認證,不法之徒也可透過電郵或手機取得認證碼,繼而登入受害人的賬戶,盜取銀行戶口內的金錢。
近期,香港電腦保安事協調中心亦經常接獲有關比特幣勒索電郵的報告,騙徒在電郵聲稱掌握受害人的個人資料,藉以勒索比特幣。個人資料有價,大家必須時刻保持警覺,妥善保護個人資料,經常留意騙徒的犯案手法,以免墮入騙徒的圈套。
如欲了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。
遠端桌面連綫 4招確保安全 (Chinese only)
高效率是企業致勝的關鍵。現時許多企業都開放遠端桌面連線,方便員工在辦公室以外工作,或讓服務供應商遙距支援其系統,從而提高營運效率。遠端存取服務雖然可以令運作更靈活,但同時卻增加電腦保安風險,企業務必要小心管理。
駭客不時掃描互聯網,尋找對外開放的遠端桌面連線,然後嘗試入侵。另外,亦有加密勒索軟件會嘗試經遠端桌面連線入侵企業網络,然後加密數據並索取贖款。
要避免系統被駭客「看上」,香港電腦保安事協調中心建議網絡管理員加強系統的保安配置,保護遠端桌面連線:
- 檢視開放遠端桌面連線的需要。如非必要,切勿對互聯網開放遠端桌面連線;
- 更改遠端桌面系統的預設設定,包括系統管理員賬戶名稱和服務埠(例如:服務埠由 3389改為 23389);
- 採取防止強行破解密碼的措施,包括:強制使用高強度密碼、使用雙重認證和設定「賬戶鎖定原則」,若連續數次輸入錯誤密碼,便立即封鎖賬戶;
- 限制只可在指定時段和指定IP地址使用系統,向賬戶只授予最少的權限。
至於資訊系統服務供應商,若需要為客戶提供遠端管理,必須使用安全和可信任的電腦進行遠端桌面連線,確保電腦有定期更新及安裝保安軟件等。同時,服務供應商亦有責任妥善儲存相關賬戶名稱和密碼,避免被不法存取,保障客戶資料。
如欲了解更多有關遠端桌面連線和電腦保安方法,請參閱香港電腦保安事協調中心網址:www.hkcert.org。
杜絕保安漏洞 由設計程式開始 (Chinese only)
最近一項長跑活動的網上報名系統懷疑遭未授權登入,導致部分參賽者的個人資料可能外洩,當中包括申請者的地址、電話、身份證首5位數字、出生日期、電郵、緊急聯絡人等,情況頗為嚴重。
事件在優先報名階段發現,主辦單位即時暫停網上系統運作,修補系統漏洞,並向個人資料私隱專員公署提交報告。有電腦保安專家估計,事件起因可能是網頁保安設定不足,沒有將報名資料檔案加密,造成保安漏洞。
這再次響起網上應用程式的安全警號,提醒企業和程式開發人員必須慎重處理個人資料,保護私隱。香港電腦保安事協調中心敦促所有企業,由設計系統和程式的階段開始,已經要採取網絡安全和私隱保障措施(Security and Privacy by Design),並遵循個人資料私隱專員公署的資料保安原則,盡量保障個人資料不會在未經授權下或意外地被查閱、處理、刪除、喪失或使用。
在開發系統的過程中,尤其是在系統發布之前,企業應儘快和定期進行安全評估,以識別和修補安全漏洞,及早解決系統設計上的缺陷。另外,企業開發任何網上應用程式,都必須將敏感資料加密,然後儲存在內部伺服器,為數據提供最基本的保護。
今次的受害人和其他報名人士應小心留意可能出現的騙案,如發現個人資料被盜用或涉及詐騙等刑事罪行,應儘快報警求助。
如欲了解更多有關網絡伺服器、網上應用程式和數據庫伺服器的保安方法,請參閱香港電腦保安事協調中心發布的「網上應用程式保安預防措施指南」,網址:www.hkcert.org。
資料外洩 恐被用作網絡攻擊 (Chinese only)
最近兩個星期香港資訊保安界忙個不停:航空公司洩漏大量乘客個人資料、「轉數快」證實出現未獲授權交易、另一間航空公司的網上應用程式出現漏洞;而香港電腦保安事協調中心亦接獲多宗勒索郵件詐騙個案的報告。
個人資料洩漏猶如覆水難收,受害人只可以提高警覺,留意不法之徒會否使用已外洩的資料進行網絡攻擊或詐騙。目前雖然只有零星資料盜用個案懷疑與近期的事故有關係,但市民亦要提防,駭客可能只是留待事件降温後,才利用所盜取的資料發動攻擊。
近期多宗電郵騙案中,騙徒都聲稱掌握用戶的密碼、網上行為等個人資料,使受害人誤信系統被入侵,藉此勒索贖金。有電腦保安專家估計,不法之徒所列出的個人資料,是多年前從大型社交網絡中盜取,時至今天才發動攻擊。
個人資料隨時成為網絡攻擊工具,令人防不勝防;戶必須時刻保持警惕,提防詐騙電話、釣魚電郵等攻擊,採取措施妥善保護個人賬戶,例如透過雙重認證或高強度密碼等,加強保安程度。
企業必須全面提升資訊安全管理,在項目管理和系统設計階段已經加入安全風險分析,同時加強員工培訓,提高公司上下的資訊保安意識,抵禦日新月異的網絡威脅。
企業或公眾欲了解更多改善網絡保安的方法,請瀏覽香港電腦保安事協調中心網站:www.hkcert.org。
航空公司洩私隱 企業借鑑減風險 (Chinese only)
要數這個星期的全城熱話,相信大家都會想到本地一家航空公司的電腦保安事故,全球約940萬名乘客的個人資料,包括姓名、出生日期、電話號碼、地址、證件號碼等,曾在未經授權下被取閱,影響非常廣泛。
航空公司在今年3月發現事件之後,未有適時披露和通報,可能觸犯了今年5月25日生效的歐盟《通用數據保障條例》(GDPR),有機會面臨高達39億港元的巨額罰款。根據歐盟GDPR規定,企業應在得悉事件後72小時內通報,否則可被罸款2,000萬歐元或全球營業額4%,以較高者為準。除此之外,公司亦有機會遭事主民事索償,商譽和經濟損失難以估計。
企業應加強保障數據和資訊系統的安全,提高警惕,降低風險,否則若發生未經授權取用資料和數據洩漏等安全事故,企業將難以安枕。建議的防禦措施包括:
- 推行數據保護政策,分類處理機密和敏感資料,加以監控;
- 把企業內聯網和互聯網分開設置在不同的網絡系統,避免把數據庫伺服器直接連結至互聯網;
- 定期掃瞄網站或網上應用(例如電子商貿、網上支付等)程式,找出保安漏洞,儘快安裝修補程式。
- 採用多重認證,保障網絡或雲端應用的安全;
- 考慮在網絡基建添置預防數據遺失(Data Loss Prevention, DLP)的設備;
- 定期監察網絡流量的異常狀況,收集可疑的保安或警報資料,通報異常情況或潛在安全漏洞。
至於受影響的市民,可瀏覽航空公司網站查閱更多資訊,留意信用卡交易紀錄,並確認信用卡交易的電話短訊或來電通知,如有懷疑應立即向銀行查詢。最後,市民應慎防偽冒該公司名稱或個人資料的詐騙電子郵件,避免誤中釣魚攻擊。
企業或公眾欲了解更多改善網絡保安的方法,請瀏覽香港電腦保安事協調中心網站:www.hkcert.org。
遇「勒索」電郵先冷靜 勿亂交贖金 (Chinese only)
電郵詐騙勒索方式日新月異,最近香港電腦保安事協調中心接獲多宗新方式的保安事故報告。新版本的電郵騙案內容與之前的雖然大同小異,同樣宣稱用戶的電腦已被入侵及被安裝惡意軟件,可遠端監視電腦設備,並透過攝錄鏡頭拍下用戶的不雅片段,要脅受害人繳交贖金。
除此之外,新版本的勒索電郵,假裝由受害人的電郵地址發出,令受害人誤以為自己的電郵賬戶被入侵,繼而墮進不法分子的圈套。有騙徒更會結合兩種方式,既在電郵列明用戶密碼,也假扮收件人電郵地址,令更多用戶「中招」繳交贖款。
每逢遇到這類事故,用戶首先要保持冷靜,不要驚慌。你的電腦未必真正被入侵,不法分子也有可能根本沒有拍下任何畫面或植入惡意軟件;但為何電郵會從用戶的電郵地址發出?
原來,傳送電郵使用的簡單郵件傳輸協定(Simple Mail Transfer Protocol,SMTP)並沒有機制驗證送件人的身份,其郵箱地址可以由送件人任意定義。騙徒正利用這漏洞,將送件人的身份改成受害人的電郵地址,令受害人誤信電腦被入侵。
目前國際有三大電郵安全協議,包括SPF、DKIM和DMARC,可保障電郵用戶安全。協議令送件人電郵域名無所遁形,並確保郵件內容不被偷窺或篡改,有效防止騙徒偽冒送件人身份,發送詐騙勒索郵件。如果收到類似的詐騙郵件,用戶可以聯絡電郵服務供應商,根據協議配置相關設定,阻截這類詐騙郵件及其他釣魚攻擊,以免受騙。
除了借助安全協議的防護,用戶也要時刻做好保安措施,提高電腦保安意識。若懷疑「中招」,請立即向香港電腦保安事協調中心求助。
社交網資料外洩 用戶需自保 (Chinese only)
大型社交網站Facebook證實,上月底系統受駭客攻擊,估計多達3,000萬用戶的個人資料被洩,包括用戶名稱、電話號碼和電郵地址等,當中1,400萬用戶的搜尋紀錄、居住地點、打卡位置、生日日期、婚姻狀況等資料,也被駭客掌握。慶幸的是,用戶的信用卡資料未有洩露。
事件轟動全球,就連公司創辦人兼行政總裁朱克伯格也公開為事件道歉,承認預防措施不足,導致被不法之徒利用。美國、英國和日本等已向Facebook施壓,要求公開交代事件,提出加強保障用戶私隱的方案。
據了解,事件起因是程式內的View As功能,容許駭客以特定程式碼竊取用戶的 Access Token,毋須密碼便可登入賬戶,用戶的基本資料頓時一覽無遺。除了用戶在Facebook的個人資料之外,如果用戶透過Facebook賬戶登入其他應用軟件(例如遊戲、其他社交網站等),當中的賬戶資料也有可能被洩露。
Facebook自2004年成立14年至今,社交網站的發展已超乎當日的想像,由單純的小圈子分享近況,到全球擁有15億用戶的網絡,影響力足以左右社會發展。任何微小的系統漏洞,都可能引發大量個人資料洩露,造成私隱災難。
除了Facebook,Google旗下的Google+社交網站早前亦公布,系統因出現軟件漏洞,可能引致多達50萬用戶的個人資料被洩露,未來計劃關閉Google+的一般用戶版本。
接連發生多宗涉及社交網站的保安事件,用戶是時候重新檢視存放於社交網站上的個人資料,包括Instgram、LinkedIn、WeChat等,如果有關資料洩露或遺失會構成損害的話,便切勿上載到社交網站,以降低風險。
黑客入侵方式多 勿掉以輕心 (Chinese only)
勒索軟件攻擊無日無之,企業對網絡保安也相當謹慎。2018年至今,香港電腦保安事故協調中心處理的勒索軟件感染個案,數量較去年大幅下降九成,可見企業對保安意識有所提高,惟仍不可掉以輕心。
越來越多惡意軟件載入廣受追捧的虛擬貨幣「挖礦」程式,並會在所感染的電腦進行「挖礦」,根據電腦負載情況調整使用率,讓用戶難以察覺,駭客便可藉此不動聲色地賺取虛擬貨幣。
另外一個趨勢是攻擊目標由個人電腦,轉為企業電腦及伺服器,有關個案數量更加顯著上升。駭客主力攻擊儲存重要文件的企業或公共機構伺服器,以求博取更多贖金。
駭客的入侵方式亦較以往有所改變,由電子郵件內的附件或連結,向受害電腦植入惡意程式,到最近利用勒索軟件(例如Cerber和GlobeImposter等)入侵企業個人電腦後,尋找開啟遠端桌面服務(RDP)的電腦,破解其密碼,入侵系統。勒索軟件亦會利用伺服器的漏洞,入侵伺服器,繼而傳播區域網內其他電腦,擴大感染範圍。
惡意軟件威脅與日俱增,用戶要繼續加強資訊保安,妥善保護電腦及數據安全,包括:
- 時刻警惕可疑電郵;
- 切勿隨意打開電郵附件;
- 不要下載可疑程式;
- 安裝保安程式,保持更新;
- 更新系統及軟件,安裝修補程式;
- 留意最新的惡意軟件消息。
培訓員工 守護網絡最後防綫 (Chinese only)
根據美國權威電腦保安培訓機構SANS Institute分析指出,95%的網絡安全事故皆由人為。用戶稍一不慎下載了可疑郵件中的惡意檔案,便可能引發安全事故。
為防患未然,企業應向員工灌輸最新的網絡安全意識,確保員工了解自身對保護信息資產(Information Assets)的責任。若用戶能成為守護網絡的最後一道防線,定能減低發生網絡保安事故的風險。
香港電腦保安事故協調中心建議企業定期為員工提供培訓,認識最新的網絡安全事故趨勢,加以學習和提防。現今數碼發展蓬勃,釣魚網站肆虐,企業務必要提醒員工妥善管理電郵,尤其應該即時刪除可疑電郵,還要教導員工如何分辨勒索電郵的真偽。
早前有用戶收到色情網站的勒索電郵,聲稱其電腦透過網站感染了惡意軟件,被內置攝錄鏡頭拍下了用戶的不雅照片,藉以勒索金錢。電郵上甚至披露了受害人的賬戶名稱和密碼,受害人誤信被要脅便繳付贖金。然而,用戶的電腦事實上未必真正被入侵,不法分子可能根本沒有植入惡意軟件,更沒有拍下任何畫面。
除了培訓之外,企業亦應定期進行網絡安全事故演習,測試員工是否充分準備應對常見的網絡攻擊,例如發出模擬的詐騙或勒索電郵,並附有可疑檔案,測試員工會否「中招」,以及有多少員工會主動舉報,藉以提升員工辨別及舉報可疑電郵的意識。
經過一連七個星期的介紹,希望中小企都謹記「網絡安全七大攻略」:資訊保安政策和管理、端點保安、網絡保安、系統保安、保安監察、保安事故處理及用戶意識,採取良好作業模式,以應對層出不窮的網絡保安威脅。
規劃前中後事故處理 保企業形象 (Chinese only)
近年企業頻受電腦保安事故威脅,例如企業資料外洩、遭受勒索軟件攻擊等,情況岌岌可危。無論擁有強大技術團隊的跨國企業,或是只有寥寥數十人的中小企,根本難以確保其電腦系統保安滴水不漏、百毒不侵;規劃完善的保安事故處理程序,刻不容緩。
企業必須要做好資訊保安防禦工作,並建立危機事故處理程序,以便可以及時處理事故,免招損失。
規劃危機事故處理程序時,企業務必要考慮前、中、後三個階段的應變安排:
- 前期工作:制定危機事故處理政策。除了把駭客犯罪行為加入處理政策外,還要制定火災、水災等災難應變措施,同時要定期為系統和數據進行遙距離線備份。除此之外,企業要定期測試備份復原系統,以確保備份資料完整無誤;
- 事故發生期間:即時啟動應變程序。若不幸發生事故,應根據危機事故處理政策的安排,通知相關人員,即時採取應變,務求可以儘快恢復運作;以及
- 後續工作:檢討及評估。善後工作完成後,應調查及檢討事故發生的原因,評估再次發生事故的風險,同時需要審視現有系統的安全架構及危機事故處理政策,進一步加強安全措施,防患未然。
網絡保安事故不但影響企業運作,更會嚴重打擊公司聲譽,甚至令企業面臨巨額罰款或賠償。立即規劃完善的事故應變程序,為機構樹立良好的公眾形象。
企業良好保安監察 防洩密 (Chinese only)
企業要保護自己公司的電腦系統,維護自身利益責無旁貸。可是無人能夠百分百確定端點、伺服器和網絡的安全,日常保安監察因此變得非常重要。
企業需建立一套有效的機制,監控和偵測機構的資訊科技系統有否發生可疑事件。及早發現問題,便可即時採取行動,把潛在的威脅減至最低。
香港生產力促進局今年4月首次發表的「SSH香港企業網絡保安準備指數調查」結果發現,本港企業縱然正在使用既有的保安方法及技術偵測網絡威脅,惟連基本的門檻都尚未可達。
企業要實行良好的資訊保安監察,可啟用網絡設備(例如防火牆)和伺服器的日誌記錄功能,以便詳盡記錄公司每位員工使用網絡資源時的連接嘗試及活動等日常作業;並把有關記錄儲存於特定的日誌伺服器,方便審查和監察。
相關保安人員應定時審核日誌,以便及早發現問題,盡快妥善處理。此外,要定期監察網絡流量(例如互聯網流量),以偵測流量模式是否出現不尋常的變化。
下星期我們將繼續為大家介紹如何處理保安事故,請各位讀者留意。
安全有效密碼 保護企業電腦 (Chinese only)
上星期提到網絡保安四招,減低受網絡攻擊的風險。除了網絡,載滿財務或敏感資料的企業電腦系統,也是駭客虎視眈眈的目標。因此對於中小企而言,系統保安對防止資料外洩及保持資料完整極為重要。
為方便工作,現時很多內部伺服器都可透過遠端服務來存取。中小企因系統的重要檔案被勒索軟件加密而嚴重影響運作等事故,經常向香港電腦保安事故協調中心求助;而這類事故的起因,往往是遠端伺服器保安出現漏洞或設定不足所致。
最基本的保護措施,是採取安全有效的密碼政策。其次,還要留意伺服器的設定是否妥當,並及時更新與修補程式。
若機構提供對外的網上服務,則必須留意網站保安。提到網站保安,企業一般只會留意防火牆或HTTPS加密協定,卻忽略了網站應用程式設計,而最常見的情況是並無檢查用戶所輸入的數據,因此導致網站被插入惡意程式碼,繼而洩露網站資料庫的所有資料。
另外,對於敏感資料,機構應留意分類及保密措施,例如為資料設定不同的保密程度,並把敏感資料加密。這樣的話,即使資料外洩,駭客也難以解密,無法得到資料詳情,從而減低對企業的影響。
系統維護也是保安的重要一環,卻經常被人們忽略。許多企業只重視購置防火牆或防毒軟件等防禦措施,卻忽略了定期更新系統的保安設施。現有系統或網站在操作一段時間後,可能會出現各種漏洞,故各企業應定期檢查系統,掌握系統的最新問題,才能及早採取應對措施,堵塞漏洞。
下星期將為大家介紹如何加強保安監察,請各位讀者留意。
中小企4招 保障網絡安全 (Chinese only)
要加強保障資訊安全,除了上星期提到的端點保安外,網絡保安亦是不可或缺的一環。
中小企往往因為資源有限,未能有效地保護網絡,成為網絡攻擊的受害者,嚴重者更可能洩漏企業敏感資料,後果不可小覷。若企業能根據網絡保安的最佳實務指引來配置網絡,並定期評估網絡保安水平,便可大幅減低受網絡攻擊的風險。以下介紹四招網絡保安貼士:
- 使用防火牆 - 使用防火牆保護企業的網絡服務,把公眾可以存取的服務與內部網絡分開,例如:使用防火牆分隔,把公司網頁伺服器及數據庫伺服器分開兩個網絡。
- 限制遠端連接企業網絡 - 必須妥善管理遠端存取企業網絡,確保於安全的情況下才啟用,例如使用虛擬私有網路(VPN)或雙重認證(Two factors authentication),避免成為駭客入侵企業網絡的入口,切忌貪圖一時之便,讓資訊科技支援公司長期啟用不安全的遠端存取。
- 限制企業內電腦連接互聯網 - 互聯網並非百分之百安全,其實企業內並非所有電腦都要連接互聯網,尤其是金融機構員工的電腦。因此,企業可以考慮只容許有需要的電腦連接互聯網,以降低風險,以避免因開啟不明超連結 (URL) 而感染勒索軟件。
- 定期評估企業網絡保安水平 - 企業應定期進行專業的網絡保安水平評估,以避免發生網絡事故,並減少因事故所造成的經濟損失,同時又影響商譽。
下星期將為大家介紹系統保安的貼士,請各位讀者留意。
企業端點保安 6招加強防禦 (Chinese only)
在資訊泛濫的年代,電腦早成為工作上不可或缺的好助手,但同時,網絡安全事件也無日無之。上星期介紹了《中小企網絡安全七大攻略》的基礎 -- 資訊保安政策和資訊保安管理,今個星期繼續介紹第二個攻略 -- 端點保安。
何謂「端點」?員工在日常業務中所使用的電腦或設備,只要連接網絡,便可界定為「端點」。最常用的電子郵件通訊、瀏覽網頁或使用商業應用程式,也在端點上進行。
所以,端點就是網絡的門戶,駭客一般會從較易存取、保安較差的端點來入侵企業的網絡系統。保護端點就等於守護網絡系統、防止駭客入侵的第一道防線。以下六招,可加強端點的保安防護:
- 所有端點電腦都應安裝防毒及防惡意程式軟件;
- 網絡保安軟件的病毒資料庫及主程式,應保持最新版本及定期更新;
- 端點電腦應適時安裝修補程式,以堵塞系統漏洞;
- 電腦部門員工應監察用戶電腦的更新情況;
- 用戶帳號只應設有最低限度的合適權限,並與擁有管理員權限的帳號分開使用;
- 在瀏覽網頁時,使用代理伺服器阻擋可疑網址。
在「自攜裝置」(BYOD)的趨勢下,部份企業亦會准許員工使用自己的手提電話或平板電腦,進行公司的商業活動和通訊,以提升工作效率。企業應建議員工提高網絡保安意識,包括:
- Android操作系統應安裝可靠的防毒軟件
- 切勿破解手機的保安設定(「越獄」Jailbreak)或獲取根權限(Root)
- 切勿安裝或下載任何不知名或不可信的應用程式
- 切勿瀏覽任何可疑網頁
企業資安政策 需上下通力執行 (Chinese only)
上星期提到,生產力局及屬下香港電腦保安事故協調中心最近編制《中小企網絡安全七大攻略》,助中小企運用有限的資源來應付網絡保安威脅。今次首先從資訊保安政策和資訊保安管理入手。
2018年世界盃已落下帷幕,法國隊憑藉出色的發揮奪得大力神杯。法國隊能夠在20年後再度捧杯,離不開主帥制定了正確的戰術,並得到球員完美地執行。同樣地,在資訊保安系統中,制定正確的資訊保安政策,管理員工妥善地執行政策也是重中之重,是決定保安水平的關鍵要素。
主帥會根據自己球隊與對手的實際情況,來制定合適的戰術和應變對策。相對於資訊保安政策,則由管理層策劃,須因應本身的營商環境和資源,並配合業務需要和風險管理策略而制定。資訊保安政策是一個機構實現保安目標的基本指引和途徑,但絕非是一成不變,機構可根據實際情況及資訊保安要求的變化,適時更新資訊保安政策。
在足球場上,球員不執行主帥的戰術,所有戰術只是紙上談兵。資訊保安政策也一樣,管理層制定政策之後,需要在機構上下推廣和落實,並監察政策的執行情況。
推行資訊保安政策有三大方法:
- 各位員工尤其新員工,應有機會查閱及知悉資訊保安政策,了解企業的資訊保安要求,並在工作中積極遵守。
- 資訊保安政策應張貼在當眼處,以及在公司內聯網上發佈,方便員工查閱。
- 資訊保安政策應定期更新,並確保員工知悉,如:即時向員工發送電郵介紹新政策,更新辦公室的海報及公司內聯網的文件。
資訊保安政策的制定與管理是一個持續的過程,需要管理層及企業上下員工的通力合作,才能確保資訊保安政策妥善執行。
網絡保安「頭痛醫頭」港企7招自救 (Chinese only)
在智能科技還記得上年年中WannaCry勒索軟件橫掃全球,令不少中小企聞風喪膽,不幸中招者更要被迫交贖金。普及應用的年代,大量業務交易透過網絡進行,企業高度依賴資訊系統協助日常營運,若不做好資訊保安工作,不但有機會令業務癱瘓,甚至洩漏客戶私隱資料,除影響企業形象,更可能因為未有妥善保存資料,招致被第三方索償。
生產力促進局今年4月發表的「SSH香港企業網絡保安準備指數調查」便發現,本港企業的綜合保安指數只得45.6分,未達60分或以上的理想門檻。以企業規模劃分的話,資源多的「大型企業」的網絡保安準備指數有 58.3 分,「中小型企業」則僅得43.4分。中小企可能都察覺網絡保安的重要性,但往往有欠主動,許多時頭痛醫頭、腳痛醫腳,未有定期評估保安風險,改善保安設備和管理質素。
對於長期資源緊絀,並缺乏保安技術及知識的中小企來說,從何入手提升機構的網絡保安,確是令人頭疼的事。
針對中小企的難題,生產力局及屬下香港電腦保安事故協調中心最近編制了一份《中小企網絡安全七大攻略》,從資訊保安政策和資訊保安管理、端點保安、網絡保安、系統保安、保安監察、保安事故處理及用戶意識七個層面,分享良好作業模式,以及自我保安風險評估的步驟,助中小企運用有限的資源,去應付日趨複雜狡猾的網絡保安威脅。本欄在往後數周,將逐一解構這七大攻略。
網站設定https 確保傳輸安全 (Chinese Version Only)
較早前,本專欄提過7月底推出的Google Chrome 68正式版,會把沒有加密的一般「http」網站一律列為「不安全」。多年來,各瀏覽器開發商均大力推行「https」,加密傳輸數據,惟至今仍有許多網站繼續使用未加密的「http」。
有外國研究網站列出各地區50大仍使用「http」的網站,被點名的香港網站中,不少瀏覽量很高,包括財經、購物、新聞、社交網站,部分甚至是政府網站。
在瀏覽這些「http」網頁時,內容可能會在傳輸中被不法分子看到,導致個人敏感資訊洩露,造成損失。為了確保傳輸中的資訊安全,網站管理員應正確設定「https」協定。以下是三個常見的設定步驟:
- 在伺服器上啟動TLS,並把網站及網頁上所有本地連結的資源都以「https」連接。
- 把網站「http」連接埠轉至「https」連接埠,並設定伺服器使用HSTS(HTTP Strict Transport Security)。HSTS的作用是指示用戶端(如瀏覽器)必須使用「https」與伺服器建立連線,確保連線內容被加密,避免第三者從中攻擊。
- 把網站配置了「https」,並將網頁內所有內容都 「https」化後,如何確保在「https」網頁中再沒有「http」的來源及連接呢?網站管理員可在Firefox和Chrome瀏覽器中按F12,把網站中出現紅色警告的「http」連結逐一修復為「https」,然後再在多種瀏覽器中檢查網頁。
不過一般用戶亦須注意,「https」只能保障你和網站之間安全地傳輸資料,但「https」網站亦有機會是惡意網站,例如據Phishlabs資料,有四分一網路釣魚攻擊是在「https」網站上進行。所以瀏覽「https」網站仍要保持警覺,切勿輕易輸入個人敏感資料。
保護數據庫 由安全架構設計做起 (Chinese Version Only)
新加坡一家醫療集團的數據庫最近被黑客入侵,導致約150萬名病人的個人資料外洩。
調查顯示,該網絡入侵是針對性的攻擊,透過連接互聯網的機構電腦系統作跳板,逐步入侵,最後到達數據庫,取得敏感資料。
事件帶出「安全架構由設計做起(Security by Design)」的重要性,黑客往往把握系統的弱點,從最容易接觸到的部份下手,所以機構應全盤考慮及採取相應的保安措施。
針對事件,Cyber Security Agency of Singapore向當地機構提出多項保安建議,要求時刻對可疑活動保持警惕,檢查系統安全。這些建議亦值得香港機構參考,包括:
- 嚴格管理網域管理員帳戶,移除非活躍帳戶。
- 如毋須執行PS程式碼,可考慮禁用電腦的PowerShell,免被攻擊者利用執行惡意命令和程式碼。
- 監控未授權的遠端訪問或數據庫訪問,留意可疑的SQL查詢。遠端訪問應設有可靠的登錄密碼,並且僅限授權用戶登錄。
- 監控長時間運行的伺服器(例如24小時運作的電腦)是否存在感染跡象,並把已退役的伺服器離線。
- 採用強大的伺服器保護,考慮為普通用戶提供應用程式白名單,限制執行其他應用程式。
- 保持系統於最新狀態,執行軟件更新和安全修補程式,修復可能被攻擊者或惡意軟件利用的已知漏洞。
機構數據庫和伺服器的安全,與公眾息息相關,也是智慧城市發展過程中,不容忽視的環節,所以不同種類及規模的機構,也必須好好保護伺服器,慎防敏感數據庫被入侵。
勒索詐騙電郵 4招自保減風險 (Chinese Version Only)
最近有一種新型電郵勒索詐騙方式,由外國開始蔓延至香港。
不法份子向用戶發出電郵,宣稱用戶的電腦已在瀏覽成人網站時被入侵,安裝了惡意軟件,可遠端監視鍵盤、螢幕及攝像鏡頭內容,獲取密碼和社交平台的連絡人資料,並已透過攝錄鏡頭拍下用戶的不雅片段,而電郵中更會列明用戶的密碼,藉此要脅贖金。
收到這類勒索電郵的用戶,首先不要驚慌,他們的電腦未必真正被入侵,不法分子可能根本沒有拍下任何畫面或植入惡意軟件。但如果沒有被安裝惡意軟件,為何電郵可以準確列明用戶的密碼?
原來,不法分子也可從其他網站所洩露的資料庫,取得用戶密碼及資料,然後向用戶發送含有個人密碼等資料的勒索郵件,令用戶信以為真,墜入騙徒的圈套。
雖然電腦被入侵是虛構,但用戶資料卻實實在在被洩露了。用戶若收到類似電郵,除應立即更改密碼外,還有四招可以拆解這類勒索詐騙:
- 密碼保安 - 不同網站使用不同的密碼,而且組合要複雜,採用系統的雙重認證功能更理想。密碼應定期變換,而且新舊密碼要有明顯區別。
- 系統保安 - 安裝防毒及防惡意程式的軟件,保持電腦及安全軟件更新,以堵塞電腦漏洞。
- 物理保安 - 不使用網路攝像鏡頭時,可以將其遮蓋及離線,並要為這類裝置更新軟件。
- 保安意識 - 避免登錄及進入不安全的網站,留意網站彈出的訊息框,避免惡意軟件誘騙用戶下載。
這類勒索詐騙郵件未來可能出現變種,所以用戶只要忽略及刪除這類電郵,並做好以上四招,就可以減低風險。若懷疑「中招」,請立即向香港電腦保安事協調中心求助。
「https」也可造假 慎防惡意網站 (Chinese Version Only)
現在不少網站都以「https」為開首,代表用戶與網站的網絡傳輸會被加密,而一些主流瀏覽器也會在網址列前,以「綠色鎖頭」標籤或「安全」字樣,突顯網站為安全。
國際保安測試機構NSS Labs 預計,明年將有75%的網絡流量會被加密,換言之「https」網站將會成為主流。不過,使用「https」網站又是否代表用戶可以安枕無憂?
採用加密傳輸的「https」網站,無疑可以保護數據,即使傳輸時不慎被黑客截獲或記錄,得到的也只是一堆亂碼,實際得物無所用。但其實,現在只需數千元便可購得SSL證書,建立「https」網站,因為成本有限,所以不排除有不法份子會故意登記,讓惡意網站也擁有加密的功能,假裝成「安全」網站,誤導用戶登入,繼而發動攻擊。
用戶當看到「綠色鎖頭」標籤或「安全」字樣,並登入「https」網站時,也不可以掉以輕心,必須確認網址的完整及真確性,尤其在使用電話上網時,所顯示的網址列較短,用戶必須格外留神,否則也很容易「中招」。
瀏覽器開發商也積極提高用戶的安全意識。以Google為例,本月底推出的Chrome 68正式版,將會把沒有加密的一般「https」網站一律列為「不安全」,並以紅色字樣顯示提醒用戶;而預計在九月推出的Chrome 69正式版,更會刪除「https」網站的「安全」標示,避免用戶誤以為「https」網站是絕對安全,推動安全瀏覽。
慎防供應鏈攻擊 保障網站安全 (Chinese Version Only)
上期本欄為網上服務用戶介紹了一系列提升資訊保安的建議。
其實除了用戶要培養良好的上網習慣外,服務供應商對網站保安也責無旁貸,必須做好保安把關工作,否則用戶資料亦有可能外洩,令機構聲譽受損,更可能要面對用戶索償,甚至本地及海外監管機構的調查和懲處。
例如,最近有本地的旅遊體驗網上平台發現,用戶的部分資料(包括個人及信用卡資料)可能在未經授權的情況下被讀取,資料有機會外洩,估計8%用戶受影響。事件的起因,與第三方網站分析供應商所提供的Java程式碼內藏惡意成份有關。
事件正是近年開始肆虐的「供應鏈攻擊」,主要是透過攻擊第三方服務供應商來入侵最終目標。這類攻擊有很多成功例子,歸根究底,是因為機構太信任服務供應商,把工作外判後,便理所當然地將資訊保安責任也交託予供應商,缺乏適當的監管。
機構應制定對第三方服務供應商的管理政策,在條款上訂明服務供應商的資訊保安責任,並定時進行檢查及稽核。此外,機構亦可聘請資訊保安顧問定期進行入侵測試,確保網站安全,保障客戶資料。
個人用戶方面,利用信用卡進行網上交易時,必須注意安全,只使用可信任的電腦及網絡。另外,對於經常用作網購的信用卡,用戶可以設定最低的交易限額,避免蒙受龐大損失。
培養良好上網習慣 保障資料私隱 (Chinese Version Only)
資料洩露事件不時發生,除非完全不使用智能電話或社交網絡,否則一切網絡活動也難逃追蹤,若這些數據落入壞人之手,用戶的交易數據、信用卡或其他敏感個人資料,便會被竊取和利用,損失可大可小。
雖然網絡攻擊手法層出不窮,令人防不勝防,但不等於我們只能坐以待斃。生活在網絡世界的一代,只要積極養成良好的上網習慣,就可以降低被黑客入侵的風險,保障個人資料安全。
首先,要注意網絡環境的安全,例如:網址如以“https”作開端並有小鎖圖示,代表瀏覽器和網絡之間的通訊已加密,網站較為安全可信。
其次,定期更新密碼。除交易數據外,黑客對密碼也虎視眈眈,建議至少每180天更新密碼一次,並最好是不易記、不易破解的,切勿使用生日日期、電話號碼、車牌、寵物名稱等其他人已知的個人資訊作密碼。
第三,採用雙重認證。進行網上交易時,無論使用信用卡或電子錢包付款,都應採用雙重認證方式,以保護網上交易數據。
第四,小心核對信用卡月結單,查閱賬戶交易數據,並啟動網上交易短訊或電郵通知功能。
最後,留意個人資料保障法規和政策的發展,採取有效行動加強保護自己的個人資料,例如:歐盟《通用數據保障條例》(簡稱 GDPR)於今年 5 月 25 日正式實施後,各大主要社交網絡已讓用戶自行關閉網絡追蹤功能,降低黑客竊取個人資訊的風險。
未試過受網絡故事影響,不代表可以獨善其身。立即培養良好上網習慣,讓你的個人資料也好像健康身體般「百毒不侵」。
30秒加強電腦防禦 (Chinese Version Only)
網絡攻擊手法層出不窮,市場分析機構Juniper Research估計,2019年網絡犯罪所造成的經濟損失將高達20,000億美元,足以興建270條港珠澳大橋。許多用戶都依靠防火牆、防毒軟件來防禦網絡威脅,但總是防不勝防。其實只需30秒,就可輕鬆加強防禦。
許多網絡詐騙事件都透過濫發電郵,偽裝成重要文件,但隱藏惡意鏈接,引誘受害人「Click」入惡意網站的超連結,從而獲取敏感個人資料或發動攻擊。這稱為「網絡釣魚」。
現在有一種「安全DNS轉址服務」的簡便方法,可防禦惡意的「網絡釣魚」攻擊,避免成為黑客的「大魚」。
何謂「DNS轉址服務」?對於電腦用戶而言,只須輸入網址(URL)便可連接網頁,但原來在網絡世界,中間還有一個轉換過程,透過域名系統(DNS)把網址轉為電腦可以理解的IP 地址,電腦才可連接到目標網頁。大部份電腦都使用由互聯網服務供應商(ISP)自動設置的DNS,提供基本的IP地址和域名轉換功能,自動連接目標網頁。
提供額外安全防禦功能的DNS轉址服務,助你連接前「停一停、諗一諗」。原理是利用DNS大數據及多份威脅情報,分析目標網頁的風險,即使用戶「Click」入網址,DNS伺服器也不會為惡意網址轉為IP 地址,主動制止電腦連接惡意網址。
用戶只要在網絡設定中,指定使用該供應商的DNS伺服器的IP地址即可(例如Google的8.8.8.8或 Quad9的9.9.9.9)。整個「DNS轉址服務」設定過程只需30秒,便可即時為電腦加添一層安全防護,有效抵禦黑客,並阻止廣告客戶的網上追踪。
在使用這類服務前,用戶緊記須核實該服務供應商是否可信,避免給誤導往不可靠的網站。
堵路由器漏洞 7件事你要知 (Chinese Version Only)
路由器已成為不少香港家庭必備的網絡設備,但有沒有想過,路由器的保安漏洞可讓黑客有機可乘。
美國安全研究團隊思科Talos近日透露,惡意軟件「VPNFilter」已暗中入侵多款路由器和網絡附加儲存設備(NAS),全球至少有54個國家、50萬部設備受感染。受影響的包括11個品牌的70多款網絡設備,大部份亦廣泛應用於香港家居、小型或家庭辦公室,以及中小企。
VPNFilter背後的攻擊者會利用受感染設備,建立僵屍網絡來攻擊他人;更可發出「kill」指令破壞受感染設備,並中斷設備及用戶的互聯網連線。用戶往往需要技術支援,才能恢復其互聯網連線。
VPNFilter對網絡設備的威脅,僅屬惡意軟件攻擊的冰山一角,家庭或辦公室用戶必須加強防範,堵塞保安漏洞,減低風險:
- 新的路由器到手時,首先要檢查出廠設定是否安全,並即時使用高強度密碼取代預設密碼,如有困難應向設備供應商求助;
- 定期檢查路由器韌體(Firmware)有否更新,並立即更新;
- 如擔心設備受惡意軟件感染,而供應商並未提供保安更新,應儘快重置設備為「出廠設定」,並重新啟動,並設定高強度密碼。但執行前,須先進行數據備份;
- 如非必要,切勿向互聯網開放管理版面或任何遙距管理服務;
- 關閉不常用或不必要的服務,例如:檔案傳輸(FTP)、虛擬私人網絡(VPN)、網頁伺服器;
- 如非使用,可關閉路由器;
- 若生產商已停止支援你的路由器,應考慮更換一個較新款的。
做齊以上「開門七件事」,網路設備的保安風險自然大大降低。
快速修復系統 保護機構聲譽 (Chinese Version Only)
遇到網絡保安事故,能夠及時應對成功解除網絡威脅,保安工作是否就此完成?
有效維持系統功能及服務正常運作,是資訊保安工作的最大目標,因此美國國家標準技術研究所的《資訊保安框架》(NIST CSF)的第五部份,以復原為主題,制定系統修復程序,儘快恢復受影響的功能及服務。
資訊保安解決方案供應商卡巴斯基實驗室的調查顯示,金融機構在網絡保安事故中,每次平均損失接近 100 萬美元。除了經濟損失之外,網絡保安事故也會招致敏感資料外洩,危及知識產權,甚至癱瘓業務系統,嚴重損害公司整體聲譽。因此,復原工作也相當迫切,資訊保安人員須全力執行相關程序,保護機構的聲譽。
資訊保安人員須制定完善的復原計劃,不論事故期間也好、事故結束後也好,這是復原工作不可缺少的第一步。為了儘快恢復受影響的系統功能及服務,這一步稱得上與時間競賽。
系統功能及服務成功復原之後,資訊保安小組應從事故中汲取教訓,檢討有關策略,藉以改善復原計劃,確保機構能夠儘快應對事故及恢復正常運作。
最後,資訊保安人員應與機構內外的持分者保持溝通,協調復原計劃及流程等工作,並與互聯網和服務供應商、科技供應商,以及其他受攻擊系統的用戶緊密合作,減輕事故對公司聲譽的損害,免成關公災難。
本欄一連五個星期,介紹了NIST CSF提出的辨識、保護、偵測、應對及復原五大資訊保安框架,當中的建議不但適用於美國企業,任何使用網絡系統的機構都值得參考。
制定應對計劃 阻網絡事故蔓延 (Chinese Version Only)
上星期本欄提到,資訊保安系統須肩負偵測網絡異常或事故的重任,而資訊保安人員得悉警報之後,下一步便需要作出及時而適當的應對。
這亦即是美國NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) 資訊保安框架中的第四部份。
應對是直接解除網絡威脅的工作,首要是完善的應對計劃,在保安事故發生前制定周詳的應對程序,並與機構上下及各持份者加強溝通,說明各自在應對計劃中的角色,確保計劃及時執行,達到攔截和善後之目的,阻止事故蔓延。
成功阻截了網絡威脅之後,下一步便要緩和事故的影響。這一步相當關鍵,包括制訂程序以遏制事故,防止事故擴散,從而減輕網絡威脅對機構的損害。此外,如果發現任何新漏洞,資訊保安人員必須詳細記錄下來,並研究當中的潛在風險和應對方法,進而向全機構提出防範建議。
最後,不但資訊保安人員,各持份者也必須從應對威脅的過程中汲取經驗,提出一系列改善建議,並合力將建議納入未來的應對策略。
應對與偵測同樣分秒必爭,稍有延誤便可能令威脅擴大,導致數據外洩、核心業務癱瘓、財務損失等嚴重後果。因此,一套周詳有效的應對計劃對機構相當重要,資訊保安人員必須確保各持份者也充份了解自己的角色和責任,專業地執行應對計劃。
如應對網絡事故之後發現數據受損,該如何復原呢?本欄下星期再談。
主動偵測網絡異常 更準確減誤報 (Chinese Version Only)
在美國NIST CSF 資訊保安框架之下,企業須「辨識」電腦網絡風險,然後作出適當的「保護」措施。今期本欄繼續介紹NIST CSF的第三部份:「偵測(Detect)」。
「偵測(Detect)」的作用是,當網絡出現異常或發生事故,能夠及時發現並即時發出警報。正如一輛私家車,車門鎖用來提供「保護」,而防盜系統則可以「偵測」到異常震動,並即時發出聲響。問題是,怎樣才算恰當的「偵測」呢?是否所有「風吹草動」都應觸動警報系統呢?
NIST CSF建議資訊保安人員在展開偵測工作時先要釐清何為網絡「異常及事故」(Anomalies and events),了解異常情況對系統的潛在影響,並訂定發出警報的門檻。
「持續監察」(Continuous monitoring)是「偵測」重要一環,除了監察系統之外,企業現場環境、操作人員和服務供應商也是監察的範圍,定期掃描系統有否出現安全漏洞。
企業須制定清晰的「偵測程序」(Detection processes),包括不同人員的角色及責任,確保程序符合行業法規,不斷更新和改進。
管理層有責任制定有效的「偵測」策略及計劃,其中推動「主動偵測」非常重要。現時許多防禦或偵測系統均具備「預測」功能,可根據過往記錄,更準確地判斷是否出現異常,改善偵測結果。企業亦可移除不必要的功能,或加強對特定範圍的防禦,從而避免過度敏感及減少誤報。
當「偵測」到網絡異常警報之後,該如何「應對(Respond)」呢?本欄下星期再談。
保護企業網絡 機構上下要齊心 (Chinese Version Only)
為免著涼病倒,你會多穿一件外套保暖;同樣道理,企業「辨識」了電腦網絡的風險之後,下一步就要好好「保護」網絡,減低發生事故的風險。
以勒索軟件為例,一旦「中招」,電腦檔案甚至整部電腦都會被加密,並遭黑客勒索交「贖金」,癱瘓公司的運作。
上星期本欄提到,根據美國NIST CSF 資訊保安框架,在制訂資訊保安策略時,首要是「辨識」(Identify)機構面對的網絡保安風險,並釐訂風險管理的優先次序。「辨識」是CSF框架的基石,而「保護」(Protect)就在這基石之上,為機構提供最佳的數據保護和整體保安方式,以減低出現資訊保安事故的機會,確保核心運作不受影響。
知易行難,要保護機構的網絡並不容易。要方便運作,可能導致網絡保護出現漏洞;但處處限制資訊分享,則影響工作效率。所以,機構必須衡量對外連接網絡的利弊風險,採取適當的存取控制(Access Control)措施,避免系統、數據及資料在未經授權下被存取或修改。
保護措施再完善,只要任何一位人員稍一鬆懈,黑客便有機會乘虛而入。機構應透過定期的培訓(Training),提升人員的網絡保安意識,確保網絡保護政策得以順利執行。
當機構上下都具備了網絡保安意識,企業便可展開數據保安(Data Security)工作,管理方針應與其商業風險策略一致,並制定完善的網絡保安政策和處理程序(Procedures),例如:事故協調、無間業務、災後恢復等計劃,以保護重要資料。
為確保「保護網」完好無缺,必須定期進行系統及數據維護(Maintenance),並採用適當的保護技術(Protective Technology)方案來保護數據。
當網絡得到妥善的保護後,機構便需採取方法「偵測」(Detect)網絡事故,本欄下星期再談。
資訊保安策略 「辨識」為基礎 (Chinese Version Only)
早前有旅行社遭黑客入侵,盜取客戶資料及勒索比特幣,導致全線分店一度停業及運作癱瘓的嚴重後果。
其實在制訂資訊保安策略時,第一個重要步驟,就是要「辨識」(Identify) 整個機構業務運作的關鍵要素,以及所有資訊科技系統、數據和業務功能潛在的保安風險,才能夠因應本身的營商環境和資源,配合業務需要和風險管理策略,釐定網絡保安的重點方向和優先次序,確保沒有遺留重要的資訊系統。
上星期本專欄介紹了美國NIST CSF 資訊保安框架五大核心功能,「辨識」是NIST CSF第一個基本功能,也可說資訊保安框架的基礎。
「辨識」共分五個層次:
- 資產管理:針對主要和日常業務流程,按重要性來管理當中的系統、設備、用戶、數據和設施。其中特別要留意,資產不單指軟、硬件,因為機構人員往往是保安系統的最大漏洞,必須評估位居要職的人員的風險。
- 業務環境:了解公司的使命、目標、持份者及流程,訂下優先次序,並編配各人的資訊保安角色和責任。
- 管治:掌握機構政策和程序,對法律法規、風險、環境和營運的要求,按照NIST CSF來管理及監督。
- 風險評估:了解影響業務運作或客戶的網絡保安風險,並評估日常使用的系統和平台的網絡威脅。
- 風險管理策略:確定機構的挑戰、優先次序和風險容忍度,以作出最佳的風險管理決策。
由於企業營運環境不停轉變,「辨識」不是只做一次就可安寢無憂,企業必須持續評估機構所面對的新威脅。當企業做好這工作後,便需採取方法「保護」(Protect)機構的網絡保安,本欄下星期再談。
善用NIST CSF框架 確保網絡安全 (Chinese Version Only)
號稱史上最嚴的歐盟GDPR《一般資料保護規則》,將於本月25日正式實施。現時已經開始有企業因未能符合GDPR要求,需要停止支援歐盟用戶。
GDPR要求數據控制者須採取「充足措施」確保數據安全,實際上是要求企業制訂資訊安全策略,並須符合公認的保安標準,例如ISO/IEC 27001/27002及美國國家標準技術研究所(NIST)的《資訊保安框架》(簡稱 NIST CSF)等。
全球監管機構提升對企業資訊保安的要求已成大勢所趨,例如香港金融管理局亦推出「網絡防衛評估框架」,以一套共通及「風險為本」的框架,讓銀行評估本身的風險狀況,確保其網絡防衛能力足以應付。
去年,美國總統特朗普簽署網絡安全行政命令,要求美國政府機構利用NIST CSF框架推行數據保護和風險管理。這框架不僅適用於美國本土的政府機構,全球企業的資訊保安從業員也可參考該框架及使用其指引,為自己的機構定立資訊保安的最佳作業守則。
NIST CSF框架包括五個核心功能,分別為辨識(Identify)、保護 (Protect)、偵測(Detect)、應對(Respond) 及復原(Recover),為分辨風險、防範及偵測威脅,以及應對資訊保安事故和事後復原,提供了全面的路線圖。
國際市場研究機構Gartner 預測,到2020年全美國有一半企業將採用NIST CSF框架,相信會成為網絡安全行業的重要標準。香港電腦保安事故協調中心會在往後數周,介紹這框架的每個功能,讓大家可以初步了解NIST CSF框架如何實施和改進網絡安全。
釣魚網站攻擊 流動裝置更猖獗 (Chinese Version Only)
31億美元,這是美國商務電郵詐騙金額的總數。在香港,2017 年損失金額最大的一宗商業電郵騙案涉及 5,446 萬港元。
一般商務電郵詐騙往往是由釣魚網站連結開始。根據一家美國網絡保安公司在2011年至2016年期間進行的調查顯示,流動裝置被釣魚網站攻擊的比率,以每年85% 的驚人速度增長。調查亦指出,超過五成半的流動裝置用戶打開釣魚網站的連結。
調查指出,使用流動裝置的用戶較其他網絡用戶被釣魚網站攻擊的機率超逾3倍。因此,不少網絡「攻擊者」紛紛轉移目標,向流動裝置這塊「肥豬肉」入手,原因有二:
第一,流動裝置為「攻擊者」開啟了多個新的切入點。「攻擊者」過往只能透過電子郵件進攻桌面電腦,流動裝置卻可以由多種途徑入侵,例如社交媒體應用程式、即時通訊應用程式、個人電郵帳戶,以及手機短訊等。
第二,流動裝置大大利便人際溝通,而「攻擊者」正看中這一點。相信大家都有不少類似的經驗,就是不論訊息真假,都能在各大小社交平台或應用程式迅速傳播。由於訊息一般較短,加上流動裝置屏幕細小,用戶較難察覺訊息真偽。
企業要加強監視任何來源的網絡釣魚企圖,除了為流動裝置提供網絡防護工具,更重要是提高員工對網絡保安的認知,以及對釣魚網站攻擊的警覺性。企業可以進行釣魚網站攻擊演習,例如向員工發放模擬釣魚電郵,找出安全意識薄弱的員工,有效降低員工受騙風險。
防禦網絡威脅 中小企須主動 (Chinese Version Only)
每天在世界不同角落,時刻都會發生大大小小的網絡攻擊。根據Online Trust Alliance統計,去年針對企業的網絡攻擊近16萬宗,較2016年增加接近一倍,平均不足三分半鐘便發生一宗,當中有六成事故更導致中小企無法在半年內恢復正常運作。
不過,根據生產力局最近進行的「SSH香港企業網絡保安準備指數調查」發現,面對網絡威脅,本港企業特別是中小企仍然有欠主動,只達到基本的保安管理水平;其中在保安技術及企業人員的保安意識方面,更低於今次指數調查的合格水平。
勒索軟件為2017年增長最快的網絡保安威脅。「指數調查」發現,有26%受訪者在過去12個月曾遭受網絡保安攻擊,當中超過一半為勒索軟件。中小企未必有能力支付贖金,若不幸被勒索軟件攻擊,不但嚴重打擊公司聲譽,更可能面臨客戶要求巨額賠償。
惡意攻擊的手法層出不窮,網絡防護也須不斷更新。中小企雖然缺乏資源,但可以比大企業更靈活地選擇適合公司規模和需求的網絡安全方案。持續的網絡保安培訓,及進行定期演習,有助人員保持警惕,及時應對惡意攻擊,減少對企業的影響。
「香港電腦保安事故協調中心」提醒中小企在容許合作伙伴連接公司的網絡之前,必須評估其風險,嚴格控制合作伙伴的存取權。另外,缺乏資訊科技人員的中小企,也可採用自動化的網絡威脅檢測系統,簡化網絡保安管理工作。
歐盟資料保護新例 罰則高須正視 (Chinese Version Only)
上期本欄談到歐盟新的《一般資料保護規則》(GDPR)將於今年5月25日正式實施,無論企業或數據是否位於歐盟,任何處理歐盟居民數據的機構,都必須遵守新規則。
網上的業務或交易模式越來越多樣化,香港的機構或企業應確定本身的互聯網活動,是否受到歐盟新例的規範。若受到新例規範,必須及早為遵從新例作好準備。
違規最高罰款可達企業全球營業額的4% 或2000萬歐元,罰則之高足以令企業管理層正視符合新例的課題。若企業在處理數據時已採取適當的保護措施,可以作為求情理由減低事故罰款的,故此值得企業加強數據保護的投資。另外,如發現違規事件,企業必須在72小時之內通知數據保護機構,若事件能影響個人權利和自由,更必須盡早通知數據的擁有者。
為加強網絡和數據保安,企業必須在系統或應用開發初期,將「資訊安全」納入要求,重視私隱設計。新例亦要求以處理客戶數據為主要業務的企業,必須委任資料保障主任(Data Protection Officer),並與資訊安全團隊密切合作,確保運作符合歐盟規定。若數據處理可能嚴重危及個人數據的安全,企業必須在處理之前評估資料保障影響。
配合歐盟新例實施,軟件供應商及流動應用程式開發商必須加強防範,以保障軟件及流動應用程式用戶安全。
歐盟私隱新例 添港企保安壓力 (Chinese Version Only)
歐盟新的《一般資料保護規則》(GDPR)將於今年5月25日實施,新規則適用於所有與歐盟公民或機構有往來的機構,將更嚴格規管個人資料的蒐集、處理、儲存及傳輸,以及數據洩露的通報。歐盟為香港第二大貿易伙伴,新例將令本地企業增添網絡保安的壓力。
除了於歐盟地區設有業務據點的企業須遵守其要求外,本地企業如有向歐盟地區的居民(不論有否收取費用)提供貨品或服務,又或有記錄及監控歐盟地區居民的活動資料,均受新例規範。
以下是一些香港企業因互聯網活動而可能受歐盟規則影響的情況:
- 本港企業沒有於歐盟設立據點,但透過位於美國的網站,向全世界提供免費社交媒體服務 – 受規範;
- 本港酒店預約業務,於網上利用cookies追蹤世界各地客戶的瀏覽活動以提供合適的酒店廣告 – 受規範;
- 本港花店可提供網上訂花及只限本地的送花服務,網上客戶(包括歐盟居民)付款時可以選擇歐元作貨幣 – 受規範;
- 本港零售網站接受網上客戶(包括歐盟居民)訂購貨品,但貨幣只限港元及送貨地點只限本港 – 不受規範
香港個人資料私隱專員已於4月3日發出《歐洲聯盟《通用數據保障條例》2016》小冊子,以助香港機構/企業了解歐盟新例可能帶來的影響,以及將當中部分主要規定與香港《個人資料 (私隱)條例》作比較,讓港企更容易掌握及作好準備。
提防fb應用程式 擅取個人私隱 (Chinese Version Only)
最近Facebook 的個人資料洩漏事件引起很多人的關注。事原是2013年劍橋大學一位研究員Kogan在 Facebook 上推出了一個個性測驗應用程式「thisisyourdigitallife」,當時有近 30 萬人參與使用。這個 App 的使用條件是要用戶提供個人及他的親友的資料。後來Kogan將應用程式連同所收集的資料轉移給了劍橋分析公司。
據了解Facebook因此禁止了Kogan的應用程式在Facebook平台上使用,同時亦要求Kogan和劍橋分析將有關資料刪除。事後媒體發現劍橋分析可能根本沒有刪除有關資料,而且還將一部分應用在協助美國總統特朗普競選的針對性宣傳上,當中所涉及的美國使用者多逹5000萬。
很多手機應用程式及Facebook應用都會索取用戶Facebook上的用戶個人及親友資料。讀者可以以下步驟檢查Facebook上被應用程式索取了的資料:首先從個人電腦瀏覽器登入Facebook網頁,從右上角尋找並點撃「設定」, 接著在左邊選項選擇「應用程式」。
在頁面上讀者可以看到能夠讀取你個人及親友資料的應用程式。讀者點撃應用程式的名字便可以檢查它可以讀取資料的詳細範圍。為了保障個人私隱,建議讀者可以選擇移除那些不再使用的應用程式。在頁面上還有一個選項叫做「應用程式、網站和附加程式」,讀者點選「編輯」後再選「Disable platform」便可以避免第三方軟件再次連結你的Facebook帳戶。
網絡保安 不能完全依賴AI (Chinese Version Only)
最近去世的物理學家霍金教授曾經說,人工智能(AI)的崛起,可能是人類最好的事情,也可能是最壞的事情。坊間有一些說法指AI、機器學習會影響未來的網絡安全,不少網絡安全產品也紛紛標榜採用AI技術,可對付日新月異的網絡攻擊。
其實AI、機器學習並非新技術。十多年前惡意及垃圾電郵橫行互聯網,數量曾一度多達寄出電郵總數八成之多。後來廠商們開發了電郵過濾技術,成功把惡意及垃圾電郵過濾,減至單位數的百分比。他們所使用的,正是機器學習技術,讓系統分析大量惡意及垃圾電郵,找出它們的特徵,並過濾具有同類特徵的電郵,這技術今日仍繼續沿用。
現時防毒軟件開發商,大多也採用機器學習技術,加快及加強對惡意軟件的辨識。不過,大家必須知道,這些AI或機器學習技術,沒法把攻擊降至零,攻擊者總有辦法繞過系統的偵測。
根據最新發表的《思科 2018 年度網絡安全報告》,有超過三成的受訪企業高度倚賴人工智能技術來加強網絡保安,不過部分受訪者亦指這些系統出現誤報的情況。但隨著技術日後更趨成熟,未來網絡保安人員將更廣泛使用AI自動化工具,提高網絡保安工作效率。
企業購買網絡安全産品時,必須驗証其産品效能。AI或機器學習只能輔助,不能取代真人。因為最終是否採取保安行動,例如隔離及刪除受感染檔案等等,仍需要由網絡保安人員作出決定。
防禦供應鏈攻擊 審核要從嚴 (Chinese Version Only)
去年9月,免費系統清理及優化軟件CCleaner的開發商Piriform透露,該軟件的下載服務器遭黑客入侵,在下載包內混進惡意程式,可導致軟件用戶的電腦名稱、IP位址、已安裝軟件清單表等資料外洩至黑客設於美國的伺服器,估計有227萬人使用受影響的軟件。
過去數年,這類迂迴形式的網絡攻擊日趨頻密,黑客通常會透過數碼供應鏈將惡意程式植入軟件公司的安裝與更新系統,利用這些受信任的管道,繞過軟件用戶的資訊保安機制散播病毒。
要有效應對供應鏈攻擊威脅,必須採取完善的風險管理,建立快速回應及穩健安全的數碼供應鏈。除了做好內部資訊科技設施的保安外,企業更要將這要求延伸至供應商、客戶以至合作夥伴。
企業把軟件供應商整合到內部資訊科技基礎設施之前,需要進行更嚴格的審核。系統保安必須持之以恆,企業應要求供應商定期報告安全狀態,企業也需不斷更新審核程序。
雖然黑客攻擊方式層出不窮,但企業仍可通過多種方式加強供應鏈安全。企業可審視整個供應鏈,建立全方位的保安視野,並針對風險特性,制定分級保安方案,才能應對新的威脅。
使用雙重認證 保護電郵資料 (Chinese Version Only)
智能手機及平板電腦日漸普及,加上雲端科技一日千里,現今的電郵帳戶除處理傳統電子郵件外,還會儲存大量的敏感資料,例如個人資料、手機聯絡人及雲端檔案等。
若電郵帳戶保安出現問題,除會導致用戶的敏感資料有機會外洩外,更可能殃及池魚,令家人、朋友,甚至生意伙伴也蒙受金錢損失。故此,香港電腦保安事故協調中心經常呼籲電郵服務用戶要加強帳戶保安,例如採用雙重認證,以減低出現此類保安事故的風險。
不過,有Google軟件工程師今年1月在美國的一個資訊保安研討會上透露,不足十分一的Google活躍用戶採用雙重認證功能,情況令人關注。事實上,僅使用一組密碼作認證登入電郵帳戶的保安風險較高。
不法份子可利用釣魚網站等常見的攻擊手法,直接取得帳戶控制權以為非作歹,例如發出偽冒電郵,騙取點數卡或儲值卡。Google去年11月發表有關黑客竊取帳戶密碼及個人資訊的研究便發現,流入黑市的資訊中有1200萬項是來自網絡釣魚。
使用雙重認證後,用戶的電郵帳號及傳統登入密碼若外洩,黑客須於短時間內取得其一次性密碼才可登入帳戶。由於盜取難度增加了,敏感資料外洩機會亦會減低,所以電郵服務用戶應立即使用雙重認證登入服務。
使用虛擬銀行 先看箇中風險 (Chinese Version Only)
金融管理局最近就修訂《虛擬銀行的認可》指引諮詢公眾,當中最大的修訂是除銀行和金融機構外,科技公司亦可申請設立虛擬銀行。新修訂有助推動金融科技創新。但虛擬銀行在本港仍屬新概念,大眾在採用前,必須瞭解箇中保安風險。
首先,虛擬銀行沒有實體分行,因此客戶的信心完全是取決於對該銀行的營辦機構的信任。同時,用戶要注意若虛擬銀行出現技術問題而引致服務中斷,銀行或未必有方案可以確保交易如常。另外,虛擬銀行的網絡保安風險跟目前的網上銀行一樣,例如黑客可以入侵用戶帳戶,進行未經授權的轉帳和交易,或偷取用戶的個人資料等。
為確保虛擬銀行的順利運作,虛擬銀行營辦者除要跟從金管局的相關指引,亦須推行嚴密的網絡保安措施,例如定期更新伺服器的操作系統和應用程式,並保護網站管理員的登入介面。網絡和數據庫伺服器亦要分開存放,更要解除不需要使用的模組和擴充應用程式。此外,要小心驗證用戶在網上應用程式輸入的資料,以確認真偽。
虛擬銀行用戶亦需採取足夠措施,保護登入有關服務的個人資訊科技設備,例如安裝保安軟件防毒軟件或網絡保安應用程式,並定期更新設備的作業系統、應用程式及病毒資料庫;更要採用不易破解的密碼及雙重認證登入帳戶,以及預先設定低額的轉帳限額,減少風險。
提升資訊保安 3方面加強防範 (Chinese Version Only)
上文談及香港電腦保安事故協調中心預測,以榨取金錢為目標、針對物聯網設備、流動支款應用程式及軟件更新機制的網絡攻擊,今年將會惡化,社會各界需提高警惕,加強防範。
企業想全面提升資訊保安,除要找出哪些機構的重要數據或服務需要加強保護,並定期評估對外伺服器及經常被忽略的資訊科技服務的保安風險外,更要把有關評估的適用範圍,擴大至供應鏈伙伴。
企業進行了以上活動後,便可從三方面加強資訊保安,包括:
- 程序管理:企業應限制機構的數據及服務暴露於互聯網及服務夥伴。同時,使用存取控制收緊權限批出,任何軟件更新亦要預先經過測試才進行。資金轉移控制亦要加強來應付商務電郵騙案;
- 技術控制:企業要採取措施堵塞系統的漏洞,例如安裝修補程式、強化設定安全、停用不安全服務等,並控制外界對機構的訪問,以及堵截對外的惡意網站的訪問。此外要定期備份數據,並儲存一個離線副本,以減低勒索軟件襲擊的影響;以及
- 提高保安意識,堵塞人為漏洞:企業應定期舉辦安全意識教育及保安演習,並規定員工使用其他通訊渠道驗證電郵發出的交易要求,及在敏感服務上採用較強的密碼及雙重認證。員工亦要提防來歷不明的電子郵件和網站,並避免使用公共 Wi-Fi 網絡傳送敏感資料。
網絡攻擊4預測 流動付款要小心 (Chinese Version Only)
上期回顧了2017年的本港資訊保安狀況,現續談未來一年將有什麼新威脅,企業及個人需要留意。針對今年的網絡攻擊趨勢,香港電腦保安事故協調中心有4大預測。
預測一:以榨取金錢為目標的網絡攻擊,會持續上升,攻擊方式將繼續以加密勒索軟件、入侵敲詐、分散式阻斷服務攻擊敲詐,以及系統入侵為主。由於有越來越多網絡罪犯會提供一站式攻擊「租用」服務,讓不熟悉有關技術的不法分子也可使用,將令趨勢火上加油。
預測二:有上網功能的裝置在不同層面的應用雖然日趨廣泛,但用戶的保安意識普遍薄弱,未有做好設備的保護,例如更改預設密碼、定期更新、安裝防火牆及防毒軟件等,將製造更多機會給黑客,透過保安漏洞及設備的後門入侵,使更多「物聯網」設備成為大型網絡攻擊的幫凶。
預測三:隨著流動付款服務盛行,交易過程中會有大量敏感資料暴露於網絡世界中,若程式沒有採用足夠的通訊加密保安措施,將吸引更多針對流動支款應用程式的網絡攻擊。
預測四:經過去年的NotPetya及Bad Rabbit加密勒索軟件攻擊事件後,預計會有更多黑客試圖入侵軟件供應商的軟件更新機制,以及受歡迎的合法網站,植入惡意程式碼,以繞過企業及網站訪客的防禦。
至於如何避免淪為以上攻擊的受害者,就留待下期介紹。
惡意軟件攻擊增8成 企業需警惕 (Chinese Version Only)
每年1月中,香港電腦保安事故協調中心都會與大家分享過去一年的本港網絡保安狀況,從中預測未來一年的網絡威脅新趨勢,讓公眾及企業提高警惕,加以防範。
協調中心去年共處理6,506宗保安事故,較2016年增加7%,已是連續五年上升,事故增加的主因與網絡安全機構之間近年加強合作,互相轉介保安事件;以及協調中心提升了處理大量轉介個案的能力有關。
事故種類分佈方面,其中惡意軟件攻擊連續兩年激升,數目較2016年大增79%(共2,041宗,佔總事故31%),並與殭屍網絡(2,084宗,佔32%)及釣魚網站(1,680宗,佔26%)成為最主要的網絡事故。
專家分析惡意軟件事故發現,雖然去年加密勒索軟件事故報告數目大幅回落(共178宗),但卻有1,210宗Bot-WannaCry個案。這類事故涉及本地電腦感染了去年5月肆虐全球的WannaCry加密勒索軟件,但軟件內的加密程式至今仍未執行。
另外,亦有519宗手機惡意軟件個案,主要來自iOS應用程式開發商用了非官方及含有XcodeGhost惡意程式碼的Xcode程式庫,令連帶所開發的應用程式也受感染。受感染的應用程式會把用戶裝置的資訊自動回傳至該惡意程式的指令與控制伺服器,或彈出釣魚視窗騙取用戶資料。
至於今年有什麼網絡新威脅,就留待下回繼續介紹。
及早更新CPU保安 防黑客攻擊 (Chinese Version Only)
最近全球多間主要晶片生產商承認,他們出品的中央處理器(CPU)因設計上的失誤而有嚴重保安漏洞。
黑客可利用該漏洞,繞過目標系統的保安限制,偷取核心記憶體內的敏感資料。全球數十億資訊及通訊科技產品,包括桌面電腦、筆記型電腦、雲端伺服器、工業電腦、手機等,無一倖免。
根據發現這個保安漏洞的奧地利格拉茲科技大學(University of Graz Technology)資訊保安研究團隊的解說,黑客可利用該漏洞進行「Meltdown」及「Spectrum」兩種CPU攻擊。前者旨在解除禁止應用程式任意存取系統記憶體的保護機制,使一般應用程式可存取系統核心記憶體內的內容;後者則可讓應用程式存取其他應用程式內的任意記憶體位置。
若漏洞是棲身於個人電腦內,攻擊者可於惡意網頁上運行 Javascript 竊取用戶瀏覽器另一個網頁標籤中的數據。若是於雲端服務中,攻擊者則可竊取雲端伺服器另一個租戶正在處理的數據。
研究團隊又指出,要偵測及阻擋這些攻擊是十分困難,因為這類入侵是不會在電腦日誌留下任何痕跡,而且防毒軟件亦很難在執行一般應用程式時,可以把「Meltdown」及「Spectrum」的攻擊分辨出來,只能靠於事後通過二進制檔案比對來找出這些攻擊。
事件曝光後,各大軟件及作業系統供應商已迅速地發出更新程式修補漏洞,但部分或只適用於特定的版本,因此用戶應加緊留意相關廠商的信息,並儘早做好保安更新,以免敏感資料落入不法份子手中。
企業安全管理 架構設計做起 (Chinese Version Only)
最近,再有本地旅行社遭黑客入侵伺服器盜取客戶資料並勒索贖金,這些擁有大量個人資料的機構採用的保安措施究竟是否足夠?
其實,企業若缺乏有效的資訊科技系統安全管理,當系統出現漏洞或弱點而未能及時處理,黑客便有機可乘,入侵系統進行不法勾當。當事故發生時,企業如沒有妥善的備份管理,系統將無法還原。
因此企業應從保護數據、加強系統及數據存取的保安,及強化系統安全設計三方面,妥善保護數據資料。首先,保護數據方面,企業須採用加密技術加密數據及資料,還要定期備份,並最少要有三份備份,以至少兩種不同形式存放,其中一份備份需儲存於工作地點以外的地方。
至於加強系統及數據存取的保護,企業需定時更新伺服器修補程式,並限制帳戶的存取權限。同時,網站管理員的登入介面及遙距存取等敏感服務,可採用雙重認證。最後,強化系統安全設計方面,企業要小心驗證,及確認用戶在網上應用程式輸入的資料;更要把網絡伺服器和數據庫伺服器分開存放,後者應設於內部網絡及只接受從內部網絡存取。
長遠來說,企業須提升資訊安全管理至國際認可水平,從安全架構設計做起,除進行安全審核及培訓外,還要定期審查網絡安全架構和設計,以及建立並行的系統,提供無間斷服務。
企業需重視 工業4.0隱憂 (Chinese Version Only)
去年11月,香港生產力促進局一連兩日舉辦題為「與未來的全球供應鏈連接」的「工業4.0」網絡安全國際會議,由海外及本港專家分享供應鏈網絡保安的最新技術、國際經驗和最佳造法。獲二百多家本地企業踴躍參與,會後部份參加者更表示,會重新審視機構與合作伙伴的資訊保安。
「工業4.0」智能營運的特點,是透過互聯網把供應鏈中無數的工業系統串連起來,讓眾多機構高速並無間斷地互相傳輸大量數據。互連和數碼化可提升整個供應鏈的效率,然而相較傳統的個別系統,更多網絡威脅亦隨之而來,企業必須正視。
美國國家標準技術研究所指出,針對供應鏈的網絡威脅來自四面八方,例如可以實體或虛擬方式存取資訊系統、軟件編碼或IP地址的第三方服務供應商;二、三線供應商的資訊保安劣習及劣質軟硬件產品;供應鏈管理或供應商系統的軟件保安漏洞;使用冒牌或附有惡意軟件的硬件、第三方數據儲存設備及聚合器等。
要萬無一失,企業須全面評估供應鏈上各單位的網絡保安水平,從軟硬件設計過程、處理新型網絡攻擊的能力、生產過程管理及監測、配置管理實施及質量保證、網絡及實體存取管理、員工背景審查機制、對上游供應商的資訊保安期望,以至分銷過程的保安及存檔等。
網站記錄用戶資料 恐遭索償 (Chinese Version Only)
很多大型網站皆會採用第三方軟件,追蹤網站上的一切活動,務求全方位了解用戶群,為他們設計更貼心的網站體驗,提供更適切的服務和產品。
美國普林斯頓大學資訊科技政策中心最近發表研究報告,指出全球瀏覽量最高的五萬個網站當中,逾480個有採用「Session Replay」插件,記錄用戶瀏覽網站時的一舉一動,包括鍵盤敲擊、滑鼠的移動、瀏覽行為、所停留的網頁內容等,並將有關資料傳送至第三方伺服器。
「Session Replay」插件理應不會記錄網站用戶的敏感資料,例如密碼、信用咭號碼等,但該研究發現,技術供應商仍有方法取得這些資料。最令人擔心的是,有關資料是在未加密的情況下被傳送至第三方伺服器。若用戶資料不幸外洩,網站負責人除會被監管機構調查外,該機構的聲譽更會受影響,甚至遭用戶追討賠償。
要防止這些情況發生,網站負責人要檢查及了解網站的第三方「Session Replay」插件的功能、用途,以及數據收集種類。同時,切勿使用這類插件收集客戶的敏感資料,並留意避免為其他人士收集有關資料。此外若企業已為網站採用了加密的通訊協定(HTTPS),亦要確保「Session Replay」插件一併採用HTTPS傳送數據,才能萬無一失。
小心佳節假電郵 騙財盜私隱 (Chinese Version Only)
過去數周,大家應該收到很多與聖誕節及新年有關的電子郵件。
由身處世界各地的親朋好友及生意夥伴傳來的電子賀卡及祝福電郵,以至各行各業公司推出的產品及服務優惠推廣,包羅萬有。
佳節當前,電郵用戶的資訊保安意識也絶不能鬆懈,因為根據過往經驗很多不法份子都會利用節日的機會發動攻擊,其中以騙取用戶金錢或個人資料的偽冒電郵為最直接及常見的攻擊手法。
英國電郵保安服務商Mimecast近日發表最新一季電郵保安風險評估報告,分析逾5,500萬封電郵,發現近19,000封屬偽冒電郵,比上一季大增近五成,是惡意軟件電郵的七倍。所謂「橋唔怕舊」,偽冒電郵仍屬資訊保安一大威脅。
用戶接獲任何電郵時,尤其是附有附件或超連結的電郵,應先檢查電郵的發件者、來源和內容是否可靠;若存疑,應以其他方法立即聯絡對方核實,不要貿然打開電郵附件或連結,以免誤墮釣魚陷阱,或感染加密勒索軟件及其他惡意程式。用戶亦可使用免費綫上檔案掃描服務,辨別檔案或連結的虛實,以減低電腦中毒風險。
最後,「精Net錦囊」祝大家佳節快樂,平平安安歡渡假期!
加強瀏覽器保護 免被迫做「礦工」 (Chinese Version Only)
最近有本港網站被指暗藏「掘礦」程式碼,每當用戶瀏覽有關網站時,電腦的運算能力會遭騎劫「掘礦」,被黑客利用作為賺取虛擬貨幣的工具。
這種「掘礦」手法早於今年9月在網絡世界首度曝光,歐洲塞浦路斯資訊保安公司AdGuard隨後亦發表報告,指出全球最高瀏覽量的首10萬個網站當中,有220個網站被黑客植入「掘礦」程式碼,每月有約5億電腦用戶在不知情下成為「礦工」。報告更發現逾半暗藏「掘礦」程式碼的網站來自影片串流、檔案分享、成人及傳媒網站,這或與用戶一般在有關網站的逗留時間較長,因此變相成為「掘礦」程式溫床。
香港電腦保安事故協調中心過去三個月也接到三宗網站遭嵌入「掘礦」程式碼的報告。由於大部份防毒軟件不會視網頁的掘礦指令為威脅,未必會發出警報,因此難於防備。若用戶瀏覽某些網站時,電腦運作突然減慢,而中央處理器的使用量又異常高,例如達80%至100%,用戶的電腦便有可能已遭挪用「掘礦」。
為免被迫成為「礦工」,電腦用戶可安裝一些開放源碼瀏覽器外掛程式,例如Chrome的「No Coin」、「MinerBlock」等,偵測及阻截掘礦程式。另一方面,網站管理員要修補網站漏洞,並採用良好的編碼作業模式開發網頁應用程式,以及安裝防火牆,減低網站被入侵或嵌入可疑程式碼的風險。
域名系統雙重加密 保網站安全 (Chinese Version Only)
大家可能試過按下某常用網上服務的超連接,或於網頁瀏覽器直接輸入其正確網址後,卻去了一個不明來歷的網站,不獨用不上有關服務,更可能令電腦感染惡意軟件,影響運作。
網域名稱系統(Domain Name System,簡稱DNS)是一項廣為使用的互聯網服務,透過將網域名稱和IP地址相互對換,方便大家上網,不需記憶又長又複雜的IP地址。DNS於1983年面世,由於當時未有加入保安設計,自然容易成為黑客攻擊的目標。
醫療行業近年廣泛應用物聯網技術以提升病人護理服務,從醫療數據化、身份識別、急救、遠程監護和家庭護理、醫療設備和醫療垃圾的監控、血液管理,以至傳染控制等,遍及不同範疇,影響深遠。法國市場研究機構Reportlinker今年6月發表研究報告,估計全球醫療物聯網(Internet of Medical Things,簡稱IoMT)裝置總數將由2015年的45億部上升至2020年的200億至300億部,增幅驚人。
針對這問題,部份域名管理員近年已採用「網域名稱系統安全擴展」(Domain Name System Security Extension,簡稱DNSSEC)DNS數據驗證套件。今年9月起,「.hk」頂級域名亦開始支援DNSSEC。
DNSSEC利用公/私鑰匙加密技術,以數碼簽署方式驗證DNS資料來源。情況尤如在銀行提取保險箱物件一樣,需同時使用兩把鑰匙才能打開保險箱,加強保安。網站負責人應盡快為網站域名加入DNSSEC支援,提高本身域名記錄的完整性及可信性,堵塞保安漏洞。
限制遠端連綫 防勒索軟件攻擊 (Chinese Version Only)
上月,沙田區一所中學的電腦伺服器受到勒索軟件攻擊,電腦檔案無法開啟。傳媒引述警方消息,懷疑黑客利用Crysis/Dharma變種勒索軟件,透過微軟視窗的遠端桌面服務(Remote Desktop Protocol - RDP)取得伺服器控制權,將受害者電腦上的檔案加上「.arena」副檔名,再進行勒索。
香港電腦保安事故協調中心於事發前兩星期已發出「高度危險」的保安警示,提醒電腦用戶提防該變種勒索軟件,但仍收到數宗有關感染報告。「中招」者的網絡檔案伺服器上的資料會受影響,而遭強行加密的檔案也無法還原。
若用戶的電腦遭到攻擊,應即時停止網絡連線以作隔離,並移除與該電腦連接的儲存裝置,及立即關閉網絡交換器(network switch),隔離同一網絡內的其他電腦及檔案伺服器,以遏止大規模擴散。在未清理惡意軟件前,切勿開啟任何檔案。
在預防方面,用戶除執行基本的電腦保安措施外,更可對遠端桌面服務實施多重保安限制。例如非必要,切勿對互聯網開放遠端桌面服務,並只允許特定的IP地址,連接啟用了遠端桌面服務的電腦;同時,應限制遠端連線的許可時間,例如禁止在辦公時間以外連線。此外採用最少權限原則規限可進行遠端連線的帳戶,盡量避免給予管理員權限。若需由第三方服務供應商協助管理電腦,須要求對方以安全的渠道進行遠端連線。
醫療數據化 網絡安全需重視 (Chinese Version Only)
今年5月份震動全球的「WannaCry」加密勒索軟件攻擊,導致英國公共醫療服務大混亂。
當地的調查報告指出,所有受這影響的醫療機構若事前已執行基本的資訊保安措施,例如適時修補系統漏洞、做好防火牆管理等,便能逃過一劫。
醫療行業近年廣泛應用物聯網技術以提升病人護理服務,從醫療數據化、身份識別、急救、遠程監護和家庭護理、醫療設備和醫療垃圾的監控、血液管理,以至傳染控制等,遍及不同範疇,影響深遠。法國市場研究機構Reportlinker今年6月發表研究報告,估計全球醫療物聯網(Internet of Medical Things,簡稱IoMT)裝置總數將由2015年的45億部上升至2020年的200億至300億部,增幅驚人。
醫療物聯網裝置越出越多,功能亦更多樣化,受到網絡攻擊的機會亦隨之上升。根據一家美國網絡保安研究公司去年12月發表的醫療機構網絡安全調查,針對病人資料的攻擊於2014年至2016年的短短三年間,已急升300%。
為協助本港醫療行業及早防範網絡攻擊,香港生產力促進局將於12月1日舉辦醫療及保健系統網絡安全研討會,由海外及本地專家介紹醫療器材業的最新網絡保安趨勢及技術,以及良好醫療設備網絡風險管理,務求業者安然過渡至數據化的發展大勢。
供應鏈宜加強保安 免火燒連環船 (Chinese Version Only)
顛覆傳統商業模式的「工業4.0」,提倡應用物聯網技術,令企業內外、供應鏈上的所有持份者、物件和機器,無縫地緊密聯繫起來,即時互相溝通和協調,達到精益生產及加快業務流程,以高效益方式,製造個人化的產品。
由於當中有大量數據流動,例如涉及市場、生產、物流及客戶等不同環節,並會通過網絡與供應鏈上的相關業者分享,所以供應鏈的網絡保安非常重要,否則有事故發生時會產生「火燒連環船」效應,涉連甚廣。例如2013年震驚整個零售業的美國第二大零售百貨集團Target資料外洩事件,黑客便是藉著入侵集團的暖氣、通風及空調系統供應商,進入集團的零售系統,竊取超過4000萬個顧客信用卡資料。
美國國家標準技術研究所指出,除盜竊外,一個高度網絡化的供應鏈的其他網絡保安威脅包括插入偽造紀錄及指令;非法製作、篡改、插入惡意軟件及硬件;甚至產品製造及研發陋習都可衍生隱患。供應鏈上的所有單位皆需執行有效的安全措施,確保供應鏈數據完整無缺、貨品安全及運作正常。
香港生產力促進局將於11月21日至22日,假該局九龍塘總部舉辦「工業4.0」網絡安全國際會議,題為「與未來的全球供應鏈連接」,由十多位海外及本港專家分享供應鏈網絡保安的最新技術、國際經驗和最佳造法,企業不容錯過。
物聯網安全 應從選購安裝入手 (Chinese Version Only)
上文介紹了物聯網設備的主要保安詬病,大家若想用得安心,可從選擇產品和安裝兩方面著手。
選擇物聯網產品時,大家應先了解個別品牌的客戶信任度、過去兩年的產品安全事故及處理方法,以及更新產品韌體的頻密度。用戶亦要認清產品有否進行官方驗證,例如採用ZigBee或Z-Wave這兩種較新的加密通訊協定;並留意產品所使用的網絡連線及管理者介面有否採用加密技術。用戶更可預先下載使用者說明書,以了解設備提供的保安設定是否足夠,是否容易安裝及進行韌體更新。
至於安裝時,用戶應把設備安裝在不會公開IP地址的內聯網上,並將可靠及不可靠的網絡隔離;若能為設備建立額外的單獨網絡則更佳。此外要關閉路由器上的通用隨插即用功能;用戶亦要確保設備韌體為最新版本,例如每年最少兩次登入生產商網頁,檢查是否有韌體更新。緊記選用不易被猜中的密碼並定期更換,若可做到「一設備一密碼」則最理想。
另外,切勿向互聯網開放設備的管理介面。若該設備不必連接雲端,請盡量避免使用,以減低安全風險;若不使用互聯網服務時,更要拔除網絡連線。此外要掌握相關安全事故的最新資訊,例如定期利用網上搜尋器,輸入設備的品牌及型號,查看有關信息。
物聯網設備 四大保安問題 (Chinese Version Only)
物聯網設備市場近年迅速增長,據國際知名資訊保安公司思科今年8月發表的最新「視覺化網路指數」估計,2021年人均聯網設備數量將達3.5部,較2016年增加逾50%。
隨著物聯網設備的應用越來越普及和多樣化,網絡黑客亦會花更多時間發掘設備的保安漏洞,發動入侵並控制系統作非法行為。例如去年初秋,黑客入侵物聯網設備,組成名為「Mirai」的殭屍網絡,發動大規模阻斷服務攻擊,足見這類網絡風險已迫在眉睫。
經該次事件後,國際資訊保安機構紛紛研究全球有多少物聯網設備有保安問題,結果數目遠超想像。香港電腦保安事故協調中心早於兩年前亦曾進行有關專題研究,當時亦發現為數不少的本地物聯網設備直接向互聯網開放,部份更有嚴重的保安問題。
目前市面上的物聯網設備主要有四大保安詬病。首先,系統本身有保安漏洞,黑客可進行遠端執行程式碼或遙距控制設備。另外,設備在出廠時只提供少量保安設施,有些甚至沒有提供任何保護。此外產品預設過於簡單或不能更改的登入密碼,容易被撞破。最後,很多物聯網設備缺乏明顯提示,提醒使用者更改密碼或安裝韌體更新,修補保安問題。
至於如何對症下藥,讓我們可以安心盡享物聯網所帶來的各項好處,則留待下回分解。
黑客截劫 交易勿用公共WiFi (Chinese Version Only)
上周,比利時荷語天主教魯汶大學(KU Leuven)的資訊保安研究人員發表報告,指出現時一般用於WiFi網絡保安的WiFi Protected Access II (WPA2)加密方法有多個安全漏洞,網絡黑客可藉此發動名為「Key Reinstallation Attacks」(KRACKs)的攻擊,將傳輸中的數據解密及篡改,甚至把勒索軟件及其他惡意軟件注入網站,釀成嚴重損失。當黑客和WiFi連接點及目標裝置相同的無線傳輸範圍內,便可發動攻擊。
由於今次事件影響數以億計附有WiFi連線功能的裝置,例如智能手機、手提電腦、無線路由器等,因此受影響的產品供應商紛紛推出修補程式及軔體更新,讓用戶盡快安裝,消除威脅。不過,並非所有品牌的裝置都會提供修補程式,因此用戶需主動聯絡裝置供應商查詢詳情。
要減低資料外洩風險,用戶傳送敏感資料時(例如銀行交易),必須採用最新版本的安全通訊協定(SSL)或傳輸層安全協議(TLS)加密資料。同時,避免透過公共WiFi傳輸資料及執行網上交易,應以有線網絡或流動數據進行。若迫不得已要採用公共WiFi傳取資料,應利用虛擬私有網絡(VPN)進行。
由於這漏洞不是直接針對WiFi路由器,因此更改保安設定,例如登入密碼,也於事無補。不過,用戶應保持良好的資訊保安習慣,更新附有WiFi連線功能的裝置及無線路由器後,可一併更改WiFi登入密碼,以防止其他針對無線網絡的攻擊。
網上交易自保 網站安全逐項數 (Chinese Version Only)
最近有市民指以信用卡於網上繳付體育活動的報名費後,懷疑被黑客盜用資料進行交易,事件令人再次關注網上交易的安全問題。
黑客犯案的手法層出不窮,香港電腦保安事故協調中心不擬揣測或評論事件的起因,只希望借此機會提醒大家進行網上交易時,需採取安全措施自保,盡量減低中招風險及避免損失。
首先,進行任何種類的網上交易前,先要確保交易網站的安全,包括檢查網站域名(URL)是否正確;留意網址前段有否顯示「https」,以證明網站有採用加密的通訊協定;以及核實網站的數碼證書是否有效。
同時,要留意登入過程有否異樣,例如出現可疑的彈出視窗、甚至要求提供額外的個人資料等;更要注意瀏覽器是否運作正常,沒有顯示警告或錯誤訊息等,並在使用後馬上登出網站。
此外用戶不要點選電子郵件中的超連結,並需保護用以登入的電腦及手機,更切勿透過公用電腦或公共Wifi處理網上交易。使用信用卡二次認證服務,如Verified by VISA或MasterCard SecureCode,可有多一重保險。
用戶亦要留意銀行發出的SMS交易短訊,並定時查核交易紀錄。若發現有可疑交易,應立即與銀行聯絡。另外,要預先為信用卡設定網上交易限額,及切勿於網上儲存信用卡資料。
妥善處理舊裝置 免資料外洩 (Chinese Version Only)
香港電腦保安事故協調中心經常提醒電腦用戶要留意作業系統的保安更新,並要為已失卻支援服務的系統,制訂妥善的更換計劃。
舊版本系統若不再獲支援,即使發現新的保安漏洞時亦不會有修補程式,網絡不法份子便能長驅直進,入侵該電腦。
智能電話及平板電腦用戶亦面對同樣的問題。例如Android系統開發商Google今年2月中正式終止支援Android 2.3及平板電腦專有的Android 3.0,並指出由於採用這兩個舊版本系統的用戶寥寥可數,所以此舉對用戶的影響近乎微不足道。
無獨有偶,微軟公司亦於今年7月宣佈對其三年前推出的Windows Phone 8.1終止支援。
受影響的用戶若要更換手機,升級至最新的作業系統,也要妥善處置舊機,以免資料外洩。個人用戶購買附有最新作業系統版本的新型號裝置後,要將舊機內的資料轉移過去,再啟動裝置內的「安全」設定的加密功能,並利用永久數據刪除工具,在電腦上覆寫及清除外置記憶卡內的數據,才屬穩妥。
若企業有為員工提供流動裝置來處理公務,他們經手的資料較為敏感,並可能涉及客戶私隱,因此必須預先制訂一個良好的流動裝置管理政策及方案,盡量減低保安風險。
黑客用音波功 控制智能手機 (Chinese Version Only)
最近有外電指出,有外國領使館懷疑遭受音波侵擾,有關人員出現輕度腦部創傷和聽力減弱等徵狀。
網絡世界,黑客也利用「音波功」,控制智能手機的一舉一動。
內地浙江大學最近發表的研究報告指出,網絡黑客可以利用超聲波操控智能手機內的語音助手功能,暗中控制用戶的手機,進行監視、啓用飛行模式,甚至瀏覽惡意網站下載惡意程式等。
由於語音輸入功能(例如:智能手機的咪高峰)十分靈敏,可以接收僅海豚能聽到的超聲波聲頻,這類攻擊被稱為「海豚攻擊」。
不法之徒若循此漏洞入侵手機,亦難以察覺,受害人的敏感資料可能會外洩,而遭入侵的手機更有可能被用作發動網絡攻擊或進行詐騙等不當行為。
雖然香港電腦保安事故協調中心至今未收到涉及「海豚攻擊」的本地報告,但防範於未然,智能手機用戶應停用語音助手功能,直至從手機生產商獲得漏洞修補程式為止。手機開發商則需替裝置加設過濾超聲波音頻功能,減低這類攻擊的威脅。
「物聯網」最怕殭屍 及早處理 免成黑客傀儡 (Chinese Version Only)
去年10月,數以千萬計感染Mirai惡意程式的「物聯網」裝置,包括網絡攝錄機及家用路由器等,組成殭屍網絡,向美國網域服務商DYN發動大型分散式阻斷服務(DDoS)攻擊,使用戶無法正常瀏覽CNN、Twitter、Netflix等多個網站。其後數月,歐美非等地亦遭受Mirai殭屍網絡攻擊,導致大範圍地區的網絡癱瘓。
國際資訊保安研究人員當時已指出,很多感染Mirai的「物聯網」裝置,身處亞洲地區。據生產力局屬下香港電腦保安事故協調中心今年初取得的可靠訊息,本港至少3,000部「物聯網」裝置感染了Mirai。協調中心亦主動透過網絡供應商轉告受感染的客戶補救,但至今仍有約千部裝置受Mirai感染。
「物聯網」裝置遭黑客入侵,變成網絡攻擊的幫凶,主要原因是裝置本身存有保安漏洞。協調中心已發出指引,助公眾及機構加強「物聯網」裝置保安及預防受Mirai 感染。若用戶接獲網絡供應商通知裝置受Mirai 感染,應儘快處理,以免繼續淪為黑客傀儡。
此外,本地「物聯網」裝置開發商在產品推出前,應做好所有軟件測試,包括確定裝置是否有保安漏洞等。生產力局屬下香港軟件檢測和認證中心提供的第三方軟件測試服務,可協助裝置開發商及早找出問題,令產品更安全。
工業4.0企業需做好網絡保安 (Chinese Version Only)
創新的「工業4.0」概念被喻為第四次工業革命,其精髓是利用互聯網連接大量數據,「串連」各種機械及工業系統。然而,舊式工廠的生產設備之間往往缺乏防護裝置,黑客一旦成功入侵,更改機器的控制參數,足以擾亂機器運作,引致生產中斷或大量次貨,甚至危及操作人員安全。
事實上,針對工業系統的攻擊持續上升,據IBM數字顯示,有關攻擊去年升幅超過一倍。工業系統被黑客入侵,不單工商企業損失嚴重,更會影響民生,例如去年烏克蘭變電站被黑客入侵,導致停電六個小時,波及23 萬人。
故此,企業推行「工業4.0」,網絡保安是首要任務。第一度防線是安裝工業防火牆,以偵測及攔截惡意訊號,確保系統正常運作。若要進一步提升網絡保安水平,可全面進行安全審核及培訓,並定期審查網絡安全架構和設計,以及建立同步運作的系統,從而提供無間斷服務。
生產力局最近成立全港首個展示「工業4.0」智能營運的示範中心 — 「智能產業廊」,便特別設立網絡保安展區,以增強製造業對網絡保安的認知和意識,再配合局內香港電腦保安事故協調中心的專家指導,可協助業界建立安全的網絡環境,實踐「工業4.0」。
連網醫療設備 保安不容忽視 (Chinese Version Only)
一名恐怖分子,靠入侵心臟起搏器,遙遠行刺美國副總統,這是美國電視劇《反恐危機》(Homeland) 中一集的橋段。電影的虛構情節隨時成真。
美國聯邦食品及藥物管理局(FDA)早前發出通知,召回某品牌的植入式心臟起搏器,原因是網絡黑客可以利用起搏器保安漏洞,將裝置重新編程,停止起搏器電池運作,或更改設定,危及病人安全。事件令美國逾46萬人受影響,需要往醫療中心更新裝置軟件,修補漏洞。
現今不少醫療裝置皆具備感應、數據收集及通訊功能,更可通過互聯網連接醫院網絡、其他醫療裝置及智能手機,方便醫護人員即時監察病人情況,甚至遙距設定裝置。連網醫療器材日趨普及,醫療機構面對的網絡保安威脅亦與日俱增。
針對醫療器材的網絡安全,FDA在2016年12月公布《醫療器材網絡安全之上市後管理指引》,列出了製造商應採取的風險管理步驟,有效處理醫療器材的網路威脅,指引亦為醫療機構提供實用的參考資訊。 現時,生產力局正為本港醫療設備廠商提供相關支援服務,如協助廠商符合ISO 14971醫療器材風險管理,及IEC 62304醫療軟件開發生命周期等國際標準,滿足海外醫療器材監管法規要求。
為提升本港醫療及保健行業的網絡安全認知,生產力局獲「創新及科技基金」資助,今年12月主辦大型研討會,介紹醫療器材最新網絡保安趨勢及技術;亦會制作網絡安全技術手冊,供生產商及醫療機構參考,請密切留意。
兩電腦保安中心 聯手抗勒索軟件 (Chinese Version Only)
今年7月,Google聯同比特幣交易分析公司Chainalysis及兩間美國大學,在拉斯維加斯舉行全球資訊保安年度盛會 ─ 「美國黑帽大會」(Black Hat USA)期間,發表研究報告,指出勒索軟件受害者在過去兩年已繳交贖金逾2,500萬美元。
不法份子見勒索軟件攻擊有利可圖,不斷將攻擊升級,因此近年越見頻密及複雜,更成為香港網絡安全的新威脅。香港電腦保安事故協調中心在2016年及今年首八個月便分別接獲309宗及140宗相關報告。針對這情況,協調中心及香港特區政府電腦保安事故協調中心(GovCERT.HK)最近聯手推出「齊抗勒索軟件運動」,全方位協助本港企業及公眾加強防範有關攻擊。
這個活動的重點項目包括借助社交媒體及流動技術,在Facebook設立「勒索軟件情報站」(www.facebook.com/ransomware.hk),與國際知名資訊科技及網絡保安公司合作,為公眾分享勒索軟件的最新情報和分析、保安警示及培訓資訊等,有助互聯網用戶於勒索軟件攻擊發生的初期,及早掌握全面的資訊,以作防範。
活動還會與網絡保安機構合作,提供免費實時防勒索軟件工具,並針對中小企及其他高風險界別,提供資訊保安培訓。此外協調中心亦重整網站的勒索軟件專頁(www.hkcert.org/ransomware.hk),更深入及清晰介紹不同種類的勒索軟件的傳播途徑及影響。所謂知己知彼,百戰百勝,大家要從速加入面書專頁,保障安全。
即時通訊軟件存風險 勿傳私隱 (Chinese Version Only)
香港消費者委員會今年7月在其官方刊物《選擇》月刊,轉載歐洲消費者組織Euroconsumers發表的即時通訊應用程式測試報告。該組織今年首季測試了12個開發商的13款即時通訊應用程式,結果發現其中六款欠缺點對點加密傳送技術,黑客可乘虛而入,中途攔截或修改傳輸中的數據。
即時通訊應用程式的潛在保安問題其實並不是什麼新鮮事,本欄早於兩年前已提及美國電子前線基金會曾進行類似的安全測試,發現測試的39個即時通訊應用程式當中,僅六款能夠通過全部測試。
由於即時通訊近年已成為不可或缺的通訊方法,大家唯有養成良好的使用習慣自保。個人用戶應避免利用這途徑傳送個人或敏感資料。若有必要傳輸該類資料,應先把資料加密,或預先開啟訊息自動刪除功能;並要移除即時訊息應用程式提供的所有網絡服務、分享資源、遠端執行咪高風和網絡攝影機功能。
企業則應採用企業專用即時通訊方案,亦要制定內部的使用守則,例如禁止利用即時通訊傳送公司的敏感資料和內部文件、發表粗俗或誹謗性的言論等。企業還可使用即時通訊管理方案,監察程式使用、管理訊息傳輸、過濾內容及記錄所有訊息,有效管理員工使用即時通訊處理公務,保障公司的信息安全。
啟動拒絕網上追蹤功能 保私隱 (Chinese Version Only)
大家可曾試過於旅遊服務網站搜尋機票後,瀏覽其他網頁時會遇上有關目的地的住宿、食肆及娛樂廣告及推介?
這一切並非偶然,而是網上行為追蹤(Online Behavioral Tracking)技術在背後「發功」的結果。
市民在網頁上的一舉一動,皆可能被網站記錄下來,作其他商業用途。大數據時代下,網上購物紀錄、產品或服務搜尋等資料皆被視為有價值的資訊。即使用戶沒有直接瀏覽該網頁,但其他網站亦可透過第三方Cookie等技術檢視用戶的網上行為,推出相應的產品及服務資訊。雖然這可為用戶帶來方便,易於搜尋互動的網頁內容及服務,但另一方面卻引伸出個人私隱及網絡保安等問題。
現時互聯網瀏覽器已內置「拒絕網上追蹤」功能,用戶可啟動該功能盡量避開網上行為追蹤,必要時更可使用瀏覽器的私人瀏覽模式保護私隱。雖然私人瀏覽模式並不能將用戶從網上完全隱姓埋名,但相關的保安功能卻能加強瀏覽連線的安全性。
此外,大部份網站皆有列明其私隱政策,用戶可詳細了解。使用公用電腦或公共Wi-Fi熱點上網時,市民亦應盡量避免瀏覽敏感資料。使用後,切記要清除瀏覽器內的所有緩存(cache)、瀏覽歷史和 cookies 等歷程紀錄,以防暴露上網的行為。
掌握網絡威脅情報 助防範黑客 (Chinese Version Only)
今年5月,全球首個電腦蠕蟲型勒索軟件WannaCry現身,攻擊世界各地的微軟電腦。
這次攻擊發生於歐洲時間周五下午,當時香港大部份企業早已下班,僅小部份電腦仍然在線,香港政府、警方、本地資訊科技及網絡保安專業組織及協調中心的專家正好聯手利用周末的空檔,掌握更多WannaCry的情報,制定應對策略,再透過不同渠道發放防範建議,好讓市民、企業及其他高危界別機構在周一上班前作好準備。
當各大小機構相繼開市時,已大致做好防禦準備,例如為電腦修補了WannaCry針對的保安漏洞;或安裝防火牆阻擋攻擊等。未及時做好防範工作的則採用其他應急方案,例如暫時將電腦離線,直至完成協調中心及本地資訊保安專家的安全建議為止。
是次事件不但再次證明各界互相合作的重要,更反映及早掌握攻擊的詳情是網絡保安的先決條件。因此企業需在網絡攻擊初起時盡快取得充分的資訊,而網絡威脅情報正好發揮作用。若能掌握其他地區發生的事故詳情,或知悉針對其他工商業界的襲擊情況,便可以迅速回應,及早防範,減低遭受新型網絡攻擊的風險。想了解更多最新網絡威脅資訊,可瀏覽協調中心網站。
非官方維修手機 小心遭黑客入侵 (Chinese Version Only)
大家的智能手機出現故障的時候,都會第一時間拿去緊急維修,期望盡快修理好,保持與外界的聯繫。 若手機過了官方保養期,或許會選擇轉用收費較便宜的非官方維修服務。不過,大家要小心這造法隨時因小失大,有機會令資料外洩及手機遭黑客遙控。
最近以色列內蓋夫本-古里安大學發表的資訊保安研究報告指出,若以帶有惡意晶片的零件更換受損的原裝零件,例如:觸控式螢幕,惡意晶片附帶的微控制器,可被利用來安裝及執行惡意程式,協助黑客取得控制手機的權限。
由於電子零件之間的相互溝通缺乏嚴密的保安檢查機制,若被裝上惡意電子零件,除有機會洩露手機內的敏感資料外,更有可能被利用成為殭屍網絡一份子,發動網絡攻擊,甚至成為私人監測器,竊視用戶的一舉一動。
智能手機及平板電腦於日常生活中越來越重要,除一般市民外,不少企業更會用它們處理公務,相關保安不能忽視。用家應選用官方的自攜維修智能裝置服務,以減低風險;智能裝置生產商則需加強電子零件溝通的保安檢查,以防止此類攻擊發生,影響商譽。
勒索蘋果用戶軟件 蠢蠢欲動 (Chinese Version Only)
近年全球發生多宗針對微軟用戶的大規模加密勒索軟件攻擊,很多使用蘋果MacOS作業系統的用戶或許抱著隔岸觀火心態看待事件,並以為遭受這類攻擊的機會非常低。
其實此想法只是一廂情願,很多網絡不法份子正蠢蠢欲動,積極開發針對蘋果電腦的勒索軟件,以擴大攻擊版圖牟利。
今年6月初,總部設於美國加州的國際網絡保安公司Fortinet表示,旗下的研究人員發現有自稱是Yahoo及Facebook工程師的人士,在網絡地下市場兜售針對蘋果電腦的勒索軟件包辦服務(Ransomware-as-a-service),更向潛在客戶展示勒索軟件樣本。
研究人員經過分析後,發現該款名為MacRansom的勒索軟件主要是透過誘騙蘋果電腦用戶打開電郵,並執行當中的附件檔案散播。它使用的檔案加密方式,雖然較針對視窗的簡單很多,並只會加密最多128個檔案,但由於軟件僅在攻擊者設定的時間才會現身執行加密程序,所以難於偵測。
分析亦指出,該勒索軟件開發者的解密技術粗糙,受害者就算依從指示繳付贖金,也未必可以成功回復或重新打開曾被加密的檔案。
雖然MacRansom最終或因軟件曝了光而未能正式發動大型攻擊,但蘋果電腦用戶亦不應鬆懈,需養成良好的資訊保安習慣,例如定期備份及離線儲存電腦內的重要檔案;並時刻留意可疑的電郵,切勿開啟當中的附件,或點撃附帶的連結,以減低勒索軟件攻擊所帶來的影響。
進階版加密檔案 發錯電郵可自保 (Chinese Version Only)
不少企業或是個人用戶,普遍使用微軟Office提供的應用程式,處理日常文書工作,然後再以電郵將文件發送。若文件含有敏感資訊,但卻在沒有加密的情況下發送給錯誤的收件人,可能無意中令資料外洩。
其實微軟Office一直有為用戶提供內置的檔案加密功能,啟動後,任何人皆需要輸入預先設定的密碼才能打開檔案。這方法固然可以加強檔案保安,但寄件人需要以其他途徑把檔案開啟密碼通知收件人,否則對方不能開啟文件。
有資訊保安專家指出,舊版本的Office使用早期版本的保安運算法(SHA)加密檔案,現時黑客已有能力破解。因此用戶應使用採用了進階版SHA-256檔案加密技術的Office 2013或以後的版本,以策安全。
另外,一般壓縮軟件亦配有加密功能,適用範圍更不限於Office檔案。同時,企業可採用密鑰方式來加密電郵,或使用有提供點對點加密技術的電郵服務供應商。除使用最新的技術為我們把關外,若員工每次發送電郵前,先核對清楚收件人的電郵地址,才是良好的使用習慣,而這只是舉手之勞。畢竟資訊是具龐大價值的資產,一旦外洩,後果可大可小,所以大家切勿為了貪一時方便而放棄加密檔案。
進階版加密檔案 發錯電郵可自保 (Chinese Version Only)
不少企業或是個人用戶,普遍使用微軟Office提供的應用程式,處理日常文書工作,然後再以電郵將文件發送。若文件含有敏感資訊,但卻在沒有加密的情況下發送給錯誤的收件人,可能無意中令資料外洩。
其實微軟Office一直有為用戶提供內置的檔案加密功能,啟動後,任何人皆需要輸入預先設定的密碼才能打開檔案。這方法固然可以加強檔案保安,但寄件人需要以其他途徑把檔案開啟密碼通知收件人,否則對方不能開啟文件。
有資訊保安專家指出,舊版本的Office使用早期版本的保安運算法(SHA)加密檔案,現時黑客已有能力破解。因此用戶應使用採用了進階版SHA-256檔案加密技術的Office 2013或以後的版本,以策安全。
另外,一般壓縮軟件亦配有加密功能,適用範圍更不限於Office檔案。同時,企業可採用密鑰方式來加密電郵,或使用有提供點對點加密技術的電郵服務供應商。除使用最新的技術為我們把關外,若員工每次發送電郵前,先核對清楚收件人的電郵地址,才是良好的使用習慣,而這只是舉手之勞。畢竟資訊是具龐大價值的資產,一旦外洩,後果可大可小,所以大家切勿為了貪一時方便而放棄加密檔案。
虛擬貨幣有價 防黑客入侵「挖鑛」 (Chinese Version Only)
上季有多宗加密勒索軟件攻擊肆虐,黑客要求受害者以虛擬貨幣「比特幣」支付贖金,令其價格飊升近五成,最高峰時更要約3,000美元(約23,400港元)才能兌換一枚比特幣。縱使沒有明確證據顯示比特幣價格上升跟勒索軟件攻擊有直接關係,但無可否認,市場上確實出現一群虛擬貨幣新投資者。
虛擬貨幣需求熾烈,亦造就網絡不法份子利用惡意程式,透過控制他人電腦為其「掘金礦」,產生虛擬貨幣謀利。例如總部設於俄羅斯的資訊保安服務商「卡巴斯基實驗室」今年6月初表示,有黑客從四月底開始入侵存有「SambaCry」安全漏洞的Linux系統伺服器,將其改裝成虛擬貨幣「門羅幣」(Monero)的挖鑛機器,短短一個月便挖出98枚門羅幣,時值5,500美元(約43,000港元)。
另外,微軟視窗系統近期亦出現一種名為Trojan.BTCMine.1259的惡意軟件,同樣攻擊作業系統內的SMB服務漏洞,並把遭入侵的系統改裝成門羅幣的挖鑛機器。
Linux及視窗兩大作業平台的SMB漏洞皆被攻擊,令系統伺服器成為虛擬貨幣挖鑛機器。究竟這是否同一幫黑客所為,有待專家分析。目前最重要的是,Linux及視窗用戶要及早安裝系統修補程式,以免被入侵淪為虛擬貨幣的挖鑛機器,受黑客操控。
防新勒索軟件 網域管理權減帳戶 (Chinese Version Only)
電腦用戶繼5月遭受WannaCry加密勒索軟件攻擊後,最近再受到新一輪的勒索軟件襲擊。
多個歐美國家及機構的電腦系統失守,其中烏克蘭更是重災區,政府機關、中央銀行、首都機場及地鐵系統都被入侵,主開機紀錄檔被上鎖,令系統停頓,嚴重影響市民的生活。
網絡罪犯透過入侵會計軟件供應商的伺服器發動是次攻擊,用戶的電腦若不幸中招,所引發的連鎖反應,不容小覷。勒索軟件入侵電腦後,會暗中嘗試感染同一網絡的其他電腦。與以往的勒索軟件不同之處是,惡意程式會潛伏至一小時後,然後自行重啟電腦,並現身展示勒索通告。
它會向帶有早前WannaCry勒索軟件攻擊所針對的未修補微軟視窗漏洞的電腦,發動攻擊。另外,受感染的電腦若有網域管理權限,惡意軟件將向其屬下的同一網絡的電腦發出命令,強行安裝勒索軟件,產生骨牌效應。
縱使香港電腦保安事故協調中心沒有接獲這次新勒索軟件的本地報告,但由於事態嚴重,中心即時發出警報,呼籲企業及個人電腦用戶立即採取多項防禦措施,包括執行視窗及其他應用程式的最新安全更新;同時盡量減低有網域管理權限的帳戶數量,以縮窄網絡攻擊的範圍及影響,並在日常運作上使用正常權限。當然還要安裝防毒及互聯網安全軟件,並保持更新。
用戶亦要確保開啟個人防火牆,阻截SMB來訪的連接;更要定期備份數據,並保留離線拷貝。若收到任何可疑的電郵,切勿開啟附件或超連結。若懷疑電腦已被入侵,要立即隔離電腦。
殭屍病毒變身快 難被偵測(Chinese version only)
警方最近展開為期一年打擊殭屍病毒的網絡安全運動,與網絡安全公司合作讓市民免費下載軟件掃描電腦,找出電腦是否暗藏殭屍病毒。
不過,很多殭屍病毒非常狡滑,並不容易被資訊保安專家及執法機構偵測到。香港電腦保安事故協調中心今年首季的「香港保安觀察報告」的本港十大殭屍網絡排行榜,便有一個首次入榜就躋身第六位的Murofet。
Murofet是另一款知名惡意程式Zeus的變種。它早於2010 年首次被發現,主要是由一個惡意程式下載器,利用漏洞攻擊包及被感染的檔案傳播。Murofet感染電腦後,會從一個隨機產生的域名安裝其他惡意程式。跟Conficker電腦蠕蟲相似,Murofet會以域名產生算法(Domain Generation Algorithm)技術,透過每天產生大量域名來逃避偵測。
Murofet雖然會嘗試辨認產生出來的域名聯絡殭屍網絡控制中心,但當中僅得數個域名能析出控制中心的真正IP地址。要截斷惡意程式跟控制中心的聯繫,執法機構必須每天登記大量域名,此舉十分消耗資源。因此,要透過奪取域名來成功關閉Murofet殭屍網絡控制中心,極之困難。
要避免成為殭屍網絡的一份子,電腦用戶需安裝最新修補程式及緊記經常更新,還要使用有效的保安防護工具作定期掃描,並設定高強度、不易破解的帳戶密碼。此外切勿使用盜版及沒有安全更新的視窗系統及軟件。
轉用新版系統 保電腦安全 (Chinese Version Only)
香港電腦保安事故協調中心在本欄及其他不同場合屢次提醒仍使用早期微軟作業系統版本的桌面電腦用戶,盡快將系統升級至最新版本或轉換至其他操作系統,確保電腦安全運作。最近發生的「WannaCry」勒索軟件攻擊便是有力的證明,本港所有受感染的電腦皆是使用早期的視窗軟件。
據國際網絡交通分析機構StatCounter的最新數據顯示,不足四成的香港微軟桌面電腦用戶使用不受是次勒索軟件攻擊影響的視窗10版本,更有約4.4%用戶仍使用微軟不再支援的視窗XP及Vista作業系統,足見不少本地用戶的網絡保安意識非常薄弱。
由於這些用戶不能從微軟獲得安全性更新,他們的電腦便會像一幢缺乏基本保養的大廈,因日久失修而變得千瘡百孔。這些電腦會暴露於電腦病毒、間諜軟件及惡意軟件的侵襲威脅。綜觀以往經驗,網絡不法份子可從新版本視窗的修補程式,利用逆向工程方式找出早期版本的保安漏洞作出攻擊。
由於軟硬件開發商一般只會針對較新版本的視窗提供軟件更新,若沒有相應的官方修補及更新程式,用戶遭受網絡攻擊的機會便會大增。市民大眾要需盡早轉用最新版本的電腦作業系統,定期為電腦進行安全性更新,才是上策。
物聯網加強保安 免淪為黑客工具 (Chinese Version Only)
今年初美國資訊科技服務供應商Verizon發表年度保安事故報告,提及某大學的域名伺服器曾遭受分散式阻斷服務攻擊,校園網絡服務嚴重拖慢甚至中斷。調查發現攻擊者竟是校內的五千多部物聯網裝置,包括一些大家常用的設施,例如汽水售賣機、照明系統等。
隨著更多智能設備推出市場,互聯網應用深入生活更多環節。除了大家熟悉的網絡攝錄機外,很多針對不同客戶群的新產品都已具備連網功能,大至智能汽車、醫療設備、雪櫃、床褥,小至座廁、吸塵機、燈泡、牙刷,甚至玩具洋娃娃等。如何確保這些物品具備足夠的網絡安全設定,不會淪為黑客的網絡攻擊工具?
今年二月在三藩市舉行的國際資訊保安會議RSA Conference上,不少講者提出透過立法提升物聯網安全。對智能汽車、醫療設備等高端產品,增加安全要求應不會對開發商及生產商構成太大影響,但對小型或運算處理能力低的電子產品,要實施起來,在技術及成本控制上,是很大的挑戰。
雖然立法監管物聯網產品安全仍處於醞釀階段,但產品開發商及生產商應採取主動,在產品設計及生產過程中加強資訊保安,避免暴露消費者及用戶於網絡風險中。香港電腦保安事故協調中心亦正為物聯網制定網絡安全指引,協助企業一臂之力,促進本港物聯網應用的發展。
工業4.0會議 專家分享網絡保安 (Chinese Version Only)
要數近年全球工商業界最熱門的發展趨勢,那非「工業4.0」莫屬。
這個創新的發展概念又稱為「第四次工業革命」,最先由德國政府提出,之後多個先進經濟體都推出類似的工業升級政策,例如美國的「工業互聯網」,以及國家的「中國製造2025」等,它們皆是提倡利用數碼資訊整合感應器、物聯網、大數據、互聯網等技術,串連生產與服務,配合市場上對小批量個性化產品的需求。
高度數碼化及大量數據在全球的工業供應鏈上頻繁流動交換,同時越來越多工業系統和服務經互聯網串連起來,若忽略當中的網絡安全,則容易成為黑客的攻擊目標。
今年5月令全球震驚的「WannaCry」勒索軟件攻擊,正為這類新興網絡威脅敲響警鐘。例如有法國汽車生產商及其日本合作伙伴在歐洲的數間工廠便因系統受到攻擊而要暫停生產。隨著「工業4.0」漸漸普及,不法份子透過網絡向大型工業系統發動攻擊只會有增無減。
面對「無分國界」的網絡攻擊,全球的網絡安全專家必須緊密交流經驗,聯手對抗無日無之的攻擊。香港生產力促進局在創新及科技基金的資助下,將於6月23日舉辦「工業4.0」網絡安全國際會議,多位海外及本港專家將分享網絡保安趨勢、標準和業務守則,有意邁向「工業4.0」的本港企業不容錯過。
新電腦蠕蟲 滲透力較WannaCry更強 (Chinese Version Only)
全球首隻電腦蠕蟲型勒索軟件「WannaCry」的陰霾未散,就有更凶猛的電腦蠕蟲登場。
最近,克羅地亞政府電腦保安事故協調中心的專家發現名為「永恆之石」(EternalRocks)的電腦蠕蟲,它的滲透力比「WannaCry」更強。
不少人將「永恆之石」及其他電腦蠕蟲歸類為電腦病毒,但其實不然。雖然兩者皆是能夠自我複製的電腦程式,但電腦蠕蟲與電腦病毒不同,不須附在其他程式或檔案上,只需找到電腦系統內的保安漏洞,就可自我複製及執行,侵略性更為直接。
電腦蠕蟲未必會直接破壞電腦系統,但始終是網絡安全的隱患。例如,網絡不法份子會使用電腦蠕蟲執行惡意程式碼,發動分散式阻斷服務攻擊,大幅度降低電腦的運算及執行效率,影響電腦的正常運作;它更可能會損毀、修改或強行加密目標電腦的檔案。
「永恆之石」雖然目前還處於潛伏狀態,暫未執行大規模惡意活動,但黑客稍後或會像利用「WannaCry」一樣,將「永恒之石」變成網絡攻擊武器,發動勒索軟件或木馬程式攻擊。要防範電腦蠕蟲攻擊,電腦用戶需時刻做好基本保安措施,安裝防火牆及啟動防毒軟件,定期進行電腦程式及檔案的安全掃描,並確保電腦安裝上最新的保安修正檔。
勒索軟件千變萬化 提防陌生電郵 (Chinese Version Only)
今年5月,加密勒索軟件「WannaCry」向全球微軟視窗電腦發動大規模攻擊,導致人心惶惶。
當本港用戶忙於防禦「WannaCry」具侵略性的來犯之際,香港特區政府的多重電腦保安系統偵測到另一款加密勒索軟件「Jaff」,企圖入侵政府電腦系統。
跟「CryptoLocker」等早期勒索軟件一樣,「Jaff」會透過大量垃圾電郵散播,電郵主題有固定格式,由一個單字及一組隨機數字組成,中間隔以「底缐」,例如:Copy_12345。垃圾電郵主題單字包括:「Copy」、「Document」、「Scan」、「File」、「PDF」等;亦有部分只以「Scanned Image」為主題。
有關電郵附件為一個附有微軟Word檔案的PDF附件。用戶開啟了PDF附件後,再按指示開啟Word檔案;開啟後,用戶將被要求啟動「允許編輯」功能以檢視檔案內容。若用戶不虞有詐跟從指示,Word的巨集功能將會執行並下載惡意軟件。「Jaff」勒索軟件感染電腦後,將加密電腦上的檔案,及要求用戶繳付時值相等於約港幣28,000元的兩個比特幣的贖金。
雖然香港電腦保安事故協調中心僅接獲一宗「Jaff」電腦感染報告,但勒索軟件千變萬化,電腦用戶要時刻保持警覺,定期為電腦備份並離線保存;不應開啟來歷不明的電郵和網絡連結;關閉巨集功能;並安裝防毒軟件及定期更新電腦,以免成為勒索軟件的獵物。
電腦紀錄日誌 追尋黑客行蹤 (Chinese Version Only)
香港電腦保安事故協調中心每年收到幾千宗事故報告,其中企業遭黑客入侵的求助個案,不少是受襲多時才被發現。
其實,若電腦系統的日誌記錄管理周全,系統管理員可以更早找出系統被入侵的蛛絲馬跡,不用等待事故發生後,才追究原委,亡羊補牢。
日誌記錄林林總總,有些只簡單記錄某個程序的開始和完成時間,以及執行結果;有些則與系統用戶有關,例如記錄登入及登出的時間的認證記錄檔(Authentication Log)、存根網站訪客的超鏈結請求的存取記錄檔(Access Log)、記載網絡連線請求的防火牆記錄檔(Firewall Log),又或是記載用戶從家中連接到公司系統的時間及IP位址的虛擬私人網路記錄檔(VPN Log)等。
專業的資訊保安人員必會定時檢查這些日誌記錄,看看有沒有出現異常的情況。若企業網絡不幸地被入侵,這些日誌記錄便是十分重要的調查線索,甚至可能成為執法機構的呈堂證供。
儲存這些系統日誌記錄,需佔用不少空間。若要長時間保留記錄,將對資訊科技部門的資源構成一定的負擔;太短的話,則可能無助調查。企業需制定記錄檔保留政策(Log Retention Policy),根據各日誌記錄的重要性,訂下保留期限,既方便管理同時可建立完善的資訊保安管理系統,防範黑客攻擊。
WannaCry張牙舞爪 用戶須自保 (Chinese Version Only)
過去一周,全球數以億計的微軟視窗用戶飽受勒索軟件「WannaCry」威脅煎熬。香港作為全球互聯網普及率最高的地區之一,也不能獨善其身,香港電腦保安事故協調中心共接獲33宗受「WannaCry」感染的報告,以及逾460個相關查詢。
跟以往需要用戶「自投羅網」打開釣魚電郵附件執行指示的勒索軟件不同,「WannaCry」非常具侵略性,它會透過網絡掃描開啟微軟SMB服務的電腦作出攻擊,其中以直接連線到互聯網或未有安裝微軟今年三月份提供的保安更新程式的電腦,又沒有設置防火防火牆的用戶,屬高危一族。
面對新型勒索軟件威脅,大家必須設置防火牆或寬頻路由器,以及沒有開放SMB服務。另外,在不連接互聯網的情況下,使用外置硬碟備份數據,完成後移除裝置。同時,為同一網絡的電腦執行視窗更新,安裝微軟保安修補程式,要先從桌面電腦做起,再逐部連接手提電腦執行。外攜手提電腦則要完全確定未受惡意軟件感染,才能連接辦公室網絡。還要緊記安裝防毒軟件或網絡保安應用程式,並定期更新病毒資料庫。
若電腦不幸被勒索軟件感染,應立即停止網絡連線並隔離受感染電腦,更要移除相連的儲存裝置;同時要關掉網絡交換器(network switch)即時隔離其他電腦及檔案伺服器,以防大規模擴散。在未清理惡意軟件前,切勿開啟任何檔案。若需協助,可致電8105 6060與協調中心聯絡。
官方商店下載App 免DNS被「劫持」 (Chinese Version Only)
香港電腦保安事故協調中心經常提醒大家,登入網上服務賬戶前,要先核實網站域名是否正確,以及留意網址列的前端或後端有否顯示完整的「綠色」鎖頭圖示,以免誤墮釣魚網站陷阱。
這些措施在一般情況下都合用,但去年底黑客又有「新招」,大家要多加防範。
國際資訊保安公司卡巴斯基去年十二月發現名為「Switcher」的木馬程式,這款針對Android流動裝置的惡意軟件包,會先偽裝成內地熱門應用程式誘使用戶下載,然後攻擊受感染裝置接上的無線網絡路由器,透過密碼暴力破解方式,奪取設備的控制權,更改其域名伺服器(DNS)設定。
DNS一般由互聯網服務供應商預設提供,若設定被擅自修改,並重新導向至電腦黑客建立的DNS後,用戶即使輸入了正確的網址,也只會接上由黑客精心設計的釣魚網站,賬戶的登入資料最終落入他人手中。黑客亦可利用被入侵的路由器發動大型網絡攻擊。
要有效防止這類「DNS劫持」攻擊發生,路由器持有人需採用強度高的密碼及更改設備的預設設定,亦可考慮關閉設備的「遠端管理」功能以盡量減少暴露於互聯網。流動裝置用戶則應緊記只從官方商店下載應用程式,並安裝防毒程式。
隱形病毒襲網店 顧客自保錦囊 (Chinese Version Only)
去年10月,荷蘭網絡保安專家發現有網絡罪犯利用某常用電子商務應用程式的未修補保安漏洞,入侵全球近六千個網上商店,注入JavaScript「截取程式碼」,偷取網站客戶的信用卡資料。香港電腦保安事故協調中心曾就此發出保安警告,並立即通知網絡服務供應商聯絡受影響的香港網店負責人,促請他們盡快堵塞漏洞,本欄亦有報導事件,提醒大家提高警覺。
然而,事隔短短兩個月,網絡保安專家又在同一個應用程式發現另一種入侵方法,全球近六千七百個網店中招,本地亦有不少網店受害。跟其他資料盜錄軟件不同,這個名為Visbot的惡意軟件會先將自己隱藏於網店伺服器的操作碼內,當發現有訪客於網站進行訂購或輸入密碼時,才會現身截取用戶資料,加密後存放於一個假冒圖像檔案,讓網絡罪犯稍後收集。由於被Visbot入侵的網店沒有明顯徵狀,網店負責人需使用特別的檢查工具偵測。
消息公佈後,協調中心已馬上向研究人員索取受影響香港網店的資料,核實後再通知網絡服務供應商聯絡受影響的網店負責人,敦促他們從速跟進;又推出相關的網絡保安指引供網店負責人跟從。
雖然是次的保安問題需依賴網店主動出擊才能解決,但消費者亦要做好本份,謹記只在網上銀行或具公信力的互聯網第三方支付服務商的網站輸入交易資料,同時定期更新網上服務帳戶登入密碼,在網購前要確保所使用的電腦和智能裝置已安裝防毒軟件及最新病毒碼等。
網絡勒索再現 機構宜做好保安 (Chinese Version Only)
本欄去年初曾介紹歐洲刑警組織(Europol)逮捕了策動連串大型比特幣勒索活動的DD4BC(全寫:DDoS for Bitcoin)網絡攻擊敲詐集團的核心成員,為終極瓦解這犯罪組織邁出重要的一步。
當大家以為這類勒索活動會因此稍為收歛之際,最近又趨猖獗。今年農曆新年假期過後,台灣逾60間學校及證券公司接獲網絡攻擊敲詐集團的勒索恐嚇,分別要求支付相當於港幣25,000元至83,000元的比特幣,否則網站會被癱瘓,或伺服器資料遭破壞。為展示實力,敲詐集團還會發動小規模「分散式阻斷服務攻擊」,或入侵勒索對象的打印機印出勒索信。
至於香港,香港電腦保安事故協調中心早於1月份已留意到有本地中小企收到類似的勒索信息,表示他們的資訊系統已遭受小規模的分散式阻斷服務攻擊,若不在限定時間內支付比特幣,將會面對更大規模的攻擊,令系統癱瘓更長時間。
面對這類威脅有增無減,企業及機構負責人可從多方面著手提升資訊系統安全,包括定期進行保安評估,找出及修補網絡架構和軟件的漏洞。同時,如非必要,避免將系統服務暴露於互聯網,例如數據庫等。另外,採用互聯網服務供應商提供的阻截分散式阻斷服務攻擊及網絡流量減緩分流服務。最後,當遇上此類勒索恐嚇,切勿支付贖金,以免助長歪風。
做好評估掃描 保網站安全 (Chinese Version Only)
上文提及香港電腦保安事故協調中心總結「中小企業網站免費保安檢查先導計劃」,指出不需花太多資源和時間,也能做好網站保安。現在續談簡單有效的網站保安措施。
首先,網站負責人需定期掃描網站,並根據具公信力的網絡保安標準進行評核,例如網上應用程式安全計劃(OWASP)十大保安風險、PCI安全標準等。完成網站掃描後,要跟進由掃描結果提供的補救建議修復漏洞;若超出自己的執行能力,應向所屬的網頁寄存公司尋求協助。
網站基礎設施保護方面,除要執行網絡應用程式防火牆外,網站負責人還需確保網頁寄存公司有足夠的保安功能。若網頁寄存公司未能滿足網絡保安需要,可考慮轉用雲端寄存服務,以獲得更合適及貼身的保護。
網絡威脅偵測亦是網站保安的重要一環,網站負責人可利用Google網站管理員的支援工具,協助監測及修復網站。還可善用在線聲譽管理工具,識別涉及惡意軟件事件、欺詐活動和釣魚網站的網址。
另外,網站負責人亦要在其辦公用的電腦及裝置做足基本的保安措施,例如定期更新作業系統及應用軟件、安裝保安程式等;並定期備份數據,及儲存一個離線副本。
網站負責人亦要評估網站對業務運作的重要性。若預料網站出現問題會影響機構的日常業務,便要制定應變方案,並定期進行演習,以便一旦受到網絡攻擊時,可立即採取應變行動,減低服務中斷所帶來的損失。
中小企網站不設防 成黑客寶藏 (Chinese Version Only)
香港電腦保安事故協調中心去年共接獲485宗資訊科技系統保安漏洞事故報告,其中涉及網站伺服器的便有405宗,佔84%,可見不少網站負責人的基本保安意識不足。
針對這情況,協調中心去年推出一項先導計劃,推動中小企採用「檢查、行動、驗證」方法提升網站安全。這計劃為參與企業免費檢查網站,從中找出保安漏洞,並提供改善建議;再由企業以本身資源在兩個月內執行修復方案,然後進行第二次檢查,以驗證成效。先導計劃已於去年底完成。
協調中心分析企業的檢查及修復情況後,綜合成為報告。當中發現,首次網站安全檢查找出的保安漏洞,84%屬需要即時處理的「危險」或「嚴重」級別漏洞。漏洞種類方面,未有適時安裝保安更新佔最多(38%),其次為採用薄弱的輸入確認程式(24%)。縱使如此,在第二次檢查中仍有高達一半參加者沒有修復任何已偵測到的漏洞,近一成更拒絕參與檢查,情況令人擔憂。
中小企或認為網站沒甚麼敏感資料,便以資源有限為藉口,將網站保安投閒置散。其實,網站本身就是一個豐富的資產,黑客可透過控制網站伺服器散播惡意軟件,甚至發動分散式阻斷服務攻擊,因此中小企必須做好網站保安。其實很多修復措施只需少量資源和時間,便能大大提升網站的安全。至於可以採用哪些措施,下文續談。
NoSQL數據庫 設定正確免被勒索 (Chinese Version Only)
勒索軟件近年肆虐,香港電腦保安事故協調中心去年便接獲309宗本地加密勒索軟件事故報告,較2015年上升506%,預料這類攻擊會隨著網絡罪行「包辦服務」日趨盛行而惡化。
勒索軟件的殺傷力驚人,除了針對個人電腦及檔案伺服器外,最近「魔爪」更伸延至一些存取控制寛鬆的NoSQL數據庫。與傳統數據庫相比,NoSQL數據庫簡單易於部署,成本低,更可儲存不同格式的數據,因此大量應用於雲端服務及大數據分析上。
然而,部份NoSQL數據庫因設備設定錯誤,在沒有任何存取控制下曝露於互聯網,黑客可在無需認證的情況下以特權用戶身份在目標數據庫上刪除數據,然後要求受害者限時支付指定金額以贖回數據庫。不過,海外網絡保安機構的資料顯示,大部分受害者就算付了贖金,也未能拿回資料,事緣黑客入侵受害者的數據庫後同時刪除數據,令事主蒙受雙重損失。
為減低此類攻擊,NoSQL數據庫用戶要做好基本的防護措施,包括設定網路及數據庫存取控制,以及設置正確的數據庫保安設定。如非必要,切勿對外開放數據庫。同時,要定期備份重要數據,並離線保存。若不幸遭到勒索,受害者絶對不要就範,以免助長惡行。
特權存取 宜納入資訊保安策略 (Chinese Version Only)
本欄上期提及香港生產力促進局進行的「香港企業特權存取管治調查」,指出提供「特權存取」共享帳戶,或將「特權存取」權限提供予資訊科技外判商或雲端服務供應商的企業和機構,需面對黑客攻擊或內部員工濫用權限的雙重保安威脅。究竟企業如何提升「特權存取」管治?
首先,企業需將「特權存取」管治納入機構的資訊保安策略當中,並盡量避免於日常運作採用「特權存取」共享帳戶。若必須使用,則需加強保護遙距存取、虛擬私人網絡、雲端管理存取等主要「特權存取」服務,包括設立高強度的帳戶密碼及採用雙重認證。同時,要限制系統管理者和用戶的數量和權限領域;以及定期進行用戶資訊保安意識培訓。
另一方面,企業應整合和集中管理用戶的身份和存取權限,例如發出「特權存取」許可前需進行全面的背景審查,以及依個別任務來發出存取權限。同時,要建立「特權存取」的活動追踪及問責機制,有系統地記錄、監察和審核活動,例如可採用系統操作歷程側錄(session recording)及鑑證(forensic)等進階「特權存取」管理方案。
此外企業還可將「特權存取」管治與入侵檢測和預防系統、身份存取管理系統、數據洩漏防護、資訊安全事件管理系統等資訊保安基建設施整合,萬一遇到攻擊時,可以迅速找出不尋常的「特權存取」活動。
特權存取欠管理 易受黑客威脅 (Chinese Version Only)
現時不少企業和機構都會給予旗下員工及合作伙伴特別權限,自由進出及管理它們的關鍵資訊科技系統及網絡。
這種名為「特權存取」的操作模式,雖然可以增加機構營運的彈性,但若管理不周,會令該機構暴露於黑客攻擊或內部員工濫用的雙重威脅。2013年12月美國知名連鎖商店Target外洩一億一千萬個客戶資料,以及去年3月孟加拉中央銀行的海外帳戶遭黑客盜走八千一百萬美元等保安事故,便是機構未有做好「特權存取」管理的例子。
為了解本港機構採用「特權存取」的情況及相關的管理措施,香港生產力促進局去年12月進行調查,結果發現有18%的受訪機構曾遇到「特權存取」的相關保安問題,例如受到黑客攻擊或遭內部員工濫用。另外,逾三成的受訪機構把有「特權存取」權限的共享帳戶開放給內部人員或外界合作夥伴,當中有25%更沒有採取額外的保安措施,情況令人關注。
縱使「特權存取」在大型企業和機構的應用較為普遍,但並不等於中小企能獨善其身,因為它們也會與大企業有生意來往,進行大額交易,亦會使用共享帳戶處理業務,所以同樣要承受保安風險。企業若不做好「特權存取」管理,會令黑客有機可乘或遭員工胡亂行使權限,引致服務中斷、數據洩露、財務損失、聲譽受損,甚至要承擔有關法律責任等嚴重後果。至於有何妙法提升「特權存取」管理,留待下回揭曉。
域名不續期 或被罪犯利用 (Chinese Version Only)
大家平時說起網站保安,著眼點多放在網站伺服器,其實網站的域名(Domain Name)保安亦不容忽視。
根據香港電腦保安事故協調中心的香港保安觀察報告,在去年第四季錄得的4,738宗本港「惡意程式寄存」事件當中,逾一成是使用同一個疑似正當域名。調查發現域名在到期後未獲域名原持有者續期,反被其他人登記使用,並把域名導向至惡意伺服器。
由於域名一直用於正當活動,因此有問題的域名在初期亦不易被防火牆發現。若有用戶不知就裡嘗試訪問網站,他們便會被重新導向至惡意伺服器,遭受釣魚網站及惡意軟件等網絡攻擊。域名原持有者亦受牽連,不獨聲譽受損,更可能遭受害者追討損失,後果可大可小。
為免付出沉重代價,域名持有者必須做好域名保護,例如要留意域名到期日,以防因忘記續期而讓不法份子乘虛而入。另外,即使停止使用域名,亦宜定期監察其有否被用作不法用途。若發現異常情況,便需立即向域名註冊商或寄存公司報告。此外互聯網用戶不應盲目憑域名來判斷網址是否可信,登入前先確保系統及軟件已採用最新版本,並安裝可靠的保安軟件;若存疑,應進一步查核連結。
港人用物聯網設備 保安意識弱 (Chinese Version Only)
2016年10月,Twitter、PayPal、Amazon等大型網站的網域名稱系統服務供應商受到大規模阻斷服務攻擊,令各網站未能提供服務。
調查發現攻擊涉及逾十萬部殭屍電腦,是屬於「Mirai」殭屍網絡,主要由「物聯網」設備組成,包括路由器、網絡攝錄機、數碼錄影機等。由於用戶未有做好設備的設定保護,讓黑客有機可乘,透過保安漏洞及設備的後門入侵。
香港電腦保安事故協調中心的「2016年第四季香港保安觀察報告」顯示,本港有1,932部電腦感染了Mirai,佔該季的「隱形殭屍」電腦總數41%,於本港十大殭屍網絡排名榜上居首。這反映本港「物聯網」設備用戶的保安意識薄弱,容易成為大型網絡攻擊的幫凶。
目前,大部分人和公司分別於家中及企業設施內安裝網絡攝錄機及數碼錄影機都是出於保安或安全理由。雖然Mirai惡意軟件未必影響裝置的監控功能,但是Mirai所建立的「後門」會令裝置遭受其他網絡攻擊的威脅,例如容許其他罪犯控制甚至窺看用戶家中或設施內的情況。因此,受Mirai感染的網絡攝錄機及數碼錄影機的確對你的環境構成保安風險。
要減低這些「物聯網」設備被入侵的機會,用戶應採取足夠防範措施,包括在使用設備前更改預設的設定、關閉不必連接互聯網的功能、限制可連接設備的IP地址等。若要遠端控制人機互動介面或連接設備,更應採用虛擬私人網絡或撥號連線,並以雙重認證方式登入。此外購買設備前,要先了解生產商更新產品韌體的模式及歷史,確保設備能獲取定期更新。
開放式Android系統 保安風險難根治 (Chinese Version Only)
十年前,Google與全球34間手機生產商、軟件開發商、電訊運營商和晶片製造商成立開放手機聯盟,並發佈首部使用Android作業系統的手機。
由於Android系統的程式碼屬公開及免費,手機生產商無需取得Google和聯盟的授權,便可在原Android系統的基礎上客製化,甚至於不同型號的裝置上使用不同版本的系統。它的好處是可滿足用戶的要求,但這種百花齊放的發展亦引致Android系統版本分散,使利用Android軟件開發工具包編寫的應用程式,在不同設備間的互通性受到影響。
2015年夏天,這問題更擴展至網絡保安層面,短短18個月內先後出現Stagefright、QuadRooter及BadKernel等多個嚴重保安漏洞。雖然Google已立即提供修補程式,但非其自家品牌的Android裝置用戶仍需待裝置供應商做好系統兼容性測試後,才能獲得系統更新。更糟糕的是,現時流動設備的產品週期非常短,尤其是非主流型號,推出一至兩年便不再更新系統,令這些設備的用戶長期處於保安危機邊緣。
縱使Google 已推出多項補救措施,但始終未能根治問題,而不同的硬件及深度客製化的趨勢亦令問題更難解決。要減低保安風險,用戶除需選擇有信譽及往績良好的Android裝置品牌外,更時刻緊記只從官方商店下載應用程式。另外,切勿將手機解鎖,取消手機原有的保安機制,及開啟不明來歷的電郵和連結,以加強保障安全。
更換數碼證書 保網站安全 (Chinese Version Only)
西方情人節剛剛過去,相信不少情侶度過了甜蜜的時光。不過,部分網站負責人在當天則發現瀏覽量驟減,還以為遇上網絡事故,情況更一直持續。
深究其因,原來從2月14日起,使用微軟新版瀏覽器Microsoft Edge及Internet Explorer 11上網,探訪以SHA-1雜湊演算法的數碼證書核證身分的網站時,瀏覽器不會立即下載網站,反而展示一個「失效證書」警告,指出該網站的保安證書有問題,不法份子或會利用安全漏洞偷取用戶的個人資料,建議不要造訪該網站。電腦用戶見此提示,自然不敢貿然登入,令網站流失大量訪客。
這個做法用意是取締黑客已有能力破解的SHA-1雜湊演算法的其中一步。去年開始,全球各地的網站核證機關只簽發採用保安程度更強的SHA-256雜湊演算法的數碼證書,Google、微軟的新版瀏覽器亦相繼不再對仍使用SHA-1證書的網站顯示最安全級別的綠色「鎖頭」圖示。
為免被標示為不安全,影響瀏覽量,很多網站已經更換以SHA-256證書核證身分。另外,若他日遭黑客入侵令資料外洩,網站負責人更有可能惹上官非。
由於取締SHA-1雜湊演算法的行動只會不斷升級,因此網站需盡快為網站更換SHA-256證書,以免增加不必要的風險及對訪客帶來不便。電腦用戶亦應更新瀏覽器,才能繼續安心享受上網的樂趣。
資訊保安3部曲 抗衡新威脅 (Chinese Version Only)
上文談及香港電腦保安事故協調中心預料網絡犯罪包辦服務、「假冒CEO電郵騙案」和涉及流動裝置的資料外洩事件,今年將會猖獗,社會各界需做好保安準備。
企業及各電腦用戶可採取「三步曲」:識別、評估,及保護,提防網絡罪犯。首先大家要「識別」需要加強保護的關鍵及敏感資料和設備,例如企業的客戶數據庫、付款系統、遙距存取服務、已連接網絡的控制系統;個人的網上服務帳戶密碼、智能家居系統、網絡及個人雲端儲存設備等。 然後「評估」和審視上述資料和設備所面對的保安風險。
完成這些步驟後,資訊科技系統管理人便需根據保安評核結果,對症下藥,採取「保護」措施,包括安裝修補程式及更改出廠設定,堵塞系統的保安漏洞。同時,嚴格控制外來的遙距及特權存取請求,識別及界定可能的用戶,並按「應知則知」的準則設定相應權限;安裝惡意網站或IP地址黑名單,防止對外的惡意訪問。另外,以具備自動及定期執行備份功能,及能支援流動儲存媒體的數據備份工具,備份關鍵及敏感數據,並保持離線副本。
此外,要經常保持網絡安全意識,企業須定期更新機構的資訊保安政策,特別是針對「自攜設備上班」及物聯網的保安;及加強員工培訓識別「假冒CEO」等電郵騙案,例如規定透過其他途徑核實可疑的滙款指示。使用雲端服務時,大家要用較強的密碼及雙重認證,而利用公共Wi-Fi熱點、開啟電子郵件或瀏覽網站時,要保持警覺。
網絡威脅3大預測 助趨吉避凶 (Chinese Version Only)
這段日子各大傳媒及社交平台紛紛報導雞年運程預測,並提供各式各樣的趨吉避凶方法。
香港電腦保安事故協調中心透過分析國際的網絡保安趨勢和數據,最近亦發表一年一度的香港網絡威脅預測,並為大眾及工商界提供防範建議。今年協調中心有三項主要預測:
預測一:越來越多的網絡罪犯會向其他犯罪份子提供全套網絡犯罪包辦服務,涵蓋犯案技術、基礎設施及付款管理系統,更透過分享犯案收益,賺取多重回報。這些包辦服務將驅使勒索軟件攻擊湧現,預料罪犯除了加密資料外,更會以銷毀或公開被強制加密的資料作威脅,迫使勒索對象就範。另外,隨著越來越多系統經互聯網串連起來,更多網站和重要的物聯網裝置,例如關鍵控制系統,會面對其他敲詐性質的網絡攻擊。
預測二:截取個人電郵通訊科技日新月異,騙徒入侵企業電郵系統暗中監視公務通訊,再伺機假扮公司管理層,向下屬發出緊急電郵指示,要求滙款至「相熟公司」的戶口的「假冒CEO電郵騙案」將會增加。
預測三:涉及流動裝置的資料外洩事件會增加,預料問題主要來自過度要求提供手機功能權限的可疑流動應用程式、發動釣魚彈窗攻擊的流動惡意軟件、因保安不足而被黑客入侵兼控制,或虛假的Wi-Fi熱點。
至於如何化解以上威脅,有待下期分解。
手機惡意軟件 狙擊Google用戶 (Chinese Version Only)
今時今日每個人至少擁有一部智能手機或平板電腦,以便隨時處理大小公務及日常瑣事。
由於Android作業平台採用開放源碼開發,自然地成為黑客的攻擊目標,用戶亦需面對不同的資訊保安威脅。
去年11月底,總部設於以色列的國際網絡保安技術供應商Check Point公佈發現針對舊版本Android裝置的Googlian惡意軟件攻擊。黑客會先將暗藏Googligan惡意碼的手機應用程式,偽裝成官方商店內的熱門付費下載應用程式的免費版,再寄存於非官方商店,以吸引用戶下載。
安裝這些惡意應用程式後,Googligan便會對裝置進行破解,取消原有保安機制,再盜取用戶的Google帳號的登入憑證,令帳號內的所有資料落入第三者手中,包括個人檔案、郵件、照片、付款方式等。更有甚者,黑客可以取得裝置的管理員權限,完全控制裝置,擅自安裝某些應用程式或廣告軟件,非法圖利。
至今全球已證實有逾100萬個Google帳號受影響。Check Point已為帳號用戶提供免費檢查工具,若用戶發現帳號被入侵,應盡快更改帳號密碼並檢查有否可疑交易,以及聯絡手機或平板電腦供應商,為裝置的作業系統進行「Flashing」的系統清洗程序。用戶要養成良好的資訊保安習慣,包括定期更改賬戶密碼及更新裝置手機的作業系統,切勿直接安裝應用程式檔案(.apk),並要為手機內的資料加密和備份。
「雪崩」網絡攻擊 港亦受累 (Chinese Version Only)
去年11月,德美兩國的執法部門聯同歐洲網絡犯罪中心(EC3)及多個網絡保安研究組織採取聯合行動,成功搗破名為「雪崩」(Avalanche) 的國際網絡犯罪平台,扣查及關閉全球260台伺服器,阻截逾80萬個惡意網域。
「雪崩」於2009年建立,由約600部伺服器組成,主要被用作發動針對網上銀行交易的惡意軟件攻擊,以及對受感染的殭屍電腦發出行動指令,例如寄出詐騙電郵、進行洗黑錢活動等。為隱藏伺服器的真正位置,「雪崩」網絡犯罪平台會利用代理伺服器,及每5分鐘更改惡意域名的域名系統及IP地址,以逃避執法部門偵測。
行動成員提供的資料透露,香港亦有裝置受累,連接至「雪崩」平台。初步資料顯示,約有350個本港IP地址曾連接至由海外資訊保安研究人員設立的模擬殭屍網絡指揮控制中心伺服器(sinkhole),反映使用這些IP地址進行連線的電腦或已感染寄存於「雪崩」網絡內的惡意軟件,並成為其殭屍網絡的一分子。香港電腦保安事故協調中心已通知相關的網絡供應商,轉告受感染的客戶作補救。
年近歲晚,又是大掃除的時間,大家不妨同時為電腦進行完整的病毒掃瞄,並安裝最新版本的保安軟件。有需要的話,備份重要的資料後,再重新安裝作業系統。此外,電腦用戶亦需檢查銀行帳號的交易紀錄,並更改網上銀行的登入密碼,安心迎雞年。
了解來電攔截App 免私隱外洩 (Chinese Version Only)
深受智能手機用戶歡迎的「來電攔截」應用程式,原意在於讓使用者免受傳銷或來歷不明的電話滋擾,不過這類程式最近竟成為洩漏用戶通訊錄中親友、合作伙伴個人資料的元兇。
去年11月,有本地網上媒體發現,三款「來電攔截」應用程式涉嫌收集用戶的手機通訊錄,再整合成公開資料庫,其他用戶能利用程式的「號碼反查」功能,輸入電話號碼,在資料庫中搜尋該電話號碼持有人的名稱,甚至社交媒體帳戶。即使電話號碼持有人並非程式的用戶,亦未曾授權個人資料予程式,仍可被起出身份及其他個人通訊資料。
有關媒體估計全球約30億個電話號碼用戶身份經此途徑被公開,當中包括香港政商、傳媒、演藝界人士及普羅大眾,事件引起社會廣泛關注。由於相關的應用程式開發商或營運商的註冊地址並非在本港,個人資料私隱專員表示會聯絡境外有關的個人資料保障機關跟進事件。其中一款涉事應用程式在報導曝光後亦旋即宣布,暫時關閉查詢聯絡人功能。
智能手機用戶安裝第三方應用程式時,要先了解有關程式收集資料的目的及用途,並細閱其私隱政策和收集個人資料聲明,以了解程式會查閱、上載或分享手機內的哪些資料。用戶亦不應隨便與第三者分享其他人的個人資料。用戶若對程式存疑,應立即移除,以減低資料外洩的風險。
勒索軟件新手法 藉網站廣告犯案 (Chinese Version Only)
過去一年,勒索軟件已成為全球網絡攻擊的主流趨勢之一。每當香港電腦保安事故協調中心收到此類攻擊的本地求助個案時,總會詢問受害者「中招」前做過什麼,例如有否打開電郵附件或瀏覽網站?很多人不知道,如果電腦的操作系統或軟件有保安漏洞,若用戶在不知情下到訪散佈勒索軟件的網站,即使沒有點擊任何連結,電腦也會受到勒索軟件感染。
由於這種散播方式快捷有效,網絡罪犯會入侵熱門的網站並放置勒索軟件,圖讓更多人跌入陷阱。這惡行當然逃不過保安軟件開發商和搜尋引擎的「法眼」。然而,當他們加強偵測及攔截入侵網站之際,不法份子又已轉用另一種方式 - 網站的嵌入式廣告,繼續犯案。
這種攻擊手法的特點是黑客不用入侵網站,網站只要用上同一款的廣告程式,便有機會展示有病毒程式碼的廣告,更廣泛地接觸訪客,增加成功散播的機會。由於展示的廣告屬隨機產生且不會持續,保安軟件或搜尋器難於偵測或阻擋的,近來很多勒索軟件都是利用這種方式散播。
對於用戶來說,豈不是防不勝防?其實這種入侵方式是靠軟件的保安漏洞進行,所以除了安裝保安軟件外,定期更新操作系統及常用的軟件,例如瀏覽器、多媒體外掛程式、文書工具等,以及養成良好的備份習慣,都是有效的避險方法。
即時通訊程式 端對端加密保私隱 (Chinese Version Only)
智能電話愈見普及,但有趣的是,大家反而愈來愈少「講電話」,代之是利用林林總總的即時通訊應用程式,處理生活以至工作上的大小問題,當中衍生的傳輸安全問題亦備受關注。
市面上流行的即時通訊程式,例如WhatsApp、Viber、Line等,今年紛紛在新版本中陸續加入端對端加密技術(End-to-End Encryption),加強保護用戶的通訊私隱。
傳統的通訊軟件並不一定加密用戶訊息,即使有採用加密技術亦只在用戶端與伺服器之間加密。換句話說,服務供應商可以窺探訊息的內容。端對端加密技術則可堵塞此洩密漏洞,只讓指定的訊息接收者解密訊息及閱讀內容,絶不容許第三者介入。
利用端對端加密技術,雙方的通話訊息會直接相互加密,毋需傳輸公司代勞,而且僅收訊者才知悉解鎖訊息的密碼,所以內容的保密程度極高。即使負責傳輸通訊的供應商或第三方從中截取訊息,亦只會看見一串長長、毫無意思的數字和字母,不能破解被加密的訊息。
雖然端對端加密技術能提升即時通訊訊息的傳輸安全,但市民選用通訊程式時,仍宜多了解程式的保安功能,並要培養良好的使用習慣,例如切勿利用即時通訊程式傳送個人或敏感資料。此外,企業必須規管這類電子通訊模式在工作上的應用,並貫徹執行。請參閱香港電腦保安事故協調中心的「使用流動即時通訊的保安指引」,了解更多「貼士」。
網購高峰期 勿令商機變危機 (Chinese Version Only)
聖誕新年一向是購物旺季,近年網購大行其道,相關保安問題亦深受大眾關注。網店負責人應怎樣提供一個安全的網上購物環境?
今年10月,有荷蘭網絡保安專家發現全球近六千個網上商店有保安漏洞,網絡罪犯可藉此入侵網站內未修補或過期的電子商務應用程式,放置「截取」程式碼,偷取網站客戶的信用卡資料。據香港電腦保安事故協調中心取得的資料,香港亦有網站在名單之中。協調中心已立即通知網絡服務供應商聯絡相關網站的負責人,促請他們盡快堵塞漏洞,又於官方網站提醒公眾注意網站及網購安全。
作為網站負責人,尤其是要管理具備交易功能的網站,千萬不要小覷網站的保安漏洞。若客戶資料不幸外洩,網站負責人除會被監管機構調查外,更可能被客戶追討賠償。就算被入侵的網站最終沒有資料外洩,網站瀏覽器及防毒軟件亦可將其列入黑名單,令客戶不能到訪網站,生意將大受影響。
為免商機變危機,網站負責人應定期掃描網站;及按操作系統或軟件開發商指引,安裝修補程式。另外,不同種類的電子商務網站軟件,亦有各自的漏洞掃描及偵測程式,網站負責人可自行作緊急掃描及修復。
最後,「精Net錦囊」祝大家聖誕節快樂,同時緊記做好網絡安全!
木馬程式變種 誘自拍盜資料 (Chinese Version Only)
時下的電子消費產品,不斷推陳出新。很多惡意程式亦同樣天天新款,而且每個新版本都加入更多的惡意功能,務求擴闊攻擊層面,偷取更多受害者的敏感資料。例如針對Android裝置的銀行木馬程式Acecard,自2014年2月被首次發現後,至今已經變種十多次。
Acecard跟許多銀行木馬程式一樣,會偽裝成其他程式,例如成人影片播放器或其他觀看特別影片的外掛程式,誘騙裝置用戶下載。安裝後,惡意程式會自動把圖示隱藏,並不斷要求索取裝置管理員權限,令人難以移除。同時,惡意程式會監察用戶開啟的特定應用程式,包括大家常用的即時通訊、社交網絡、Gmail、PayPal及Google Play等應用程式,再以釣魚視窗覆蓋,以竊取用戶的信用卡或帳戶登入資料。
最近美國網絡保安研究機構McAfee Labs發現Acecard又有一個新的變種版本。該新版本除要求受害用戶提供信用卡資料和雙重認證外,還會指示用戶手持個人證件自拍來驗證身分,讓不法份子更易於遙距入侵受害者的銀行以至社交網絡帳戶。
要避免誤墮釣魚陷阱,Android裝置用戶應僅從官方商店下載可信任供應商提供的應用程式,切勿直接安裝Android應用程式套件檔案(APK),更要避免使用公共Wi-Fi網絡安裝或更新程式。另外,要使用保安軟件堵截惡意或不明來歷程式,及經常更新病毒數據庫。
核實優惠信息 防墮釣魚陷阱 (Chinese Version Only)
近日有不法分子利用即時通訊程式散播虛假訊息,聲稱某航空公司正舉辦推廣活動,只要程式用戶開啟訊息上的連結,填寫一份簡單問卷及個人資料後,再將訊息轉發給十位朋友,便可獲得免費機票。
雖然有關航空公司隨即否認舉辦該活動,但相信有個別用戶已不虞有詐,把個人資料傳送到騙徒手中,並將虛假訊息散播開去。這不獨令他們的個人資料暴露於歹徒面前,甚至構成經濟損失,更嚴重是因涉嫌散播假消息而犯上官非。
這類即時訊息騙案的犯案手法,一般是不法分子利用子網域誤導網絡用戶造訪釣魚網站。例如他們會使用abc.com-promotion.co,誤導用戶以為是abc.com的官方網站,但其真正域名卻是com-promotion.co。此外近年流行的縮短網址(Shortened URL)亦被用作隱藏惡意網站,因此用戶應先把短網址還原,再三核證後才決定是否造訪網站,有需要時應參考短網址服務供應商的說明。
除留意域名及子網域外,官方的推廣活動網站通常會使用SSL或TLS等加密通訊技術,用戶要看清楚網址前段顯示「https」以證明網站有採用加密的通訊協定。同時,亦要核實網站是否擁有由核證機關簽發的有效數碼證書。有核證機關驗證身份的網站,瀏覽器網址列的後端會顯示完整的「鎖頭」圖示。最後,切記「便宜莫貪」,世界上是沒有免費午餐的!
唱K神器App存保安風險 (Chinese Version Only)
最近一款內置混音功能,又附有揚聲器的無線藍牙咪高峰,掀起一片熱潮。由於該產品可連接具卡拉OK功能的手機應用程式,使用者可隨時隨地大開個人演唱會,因此瞬即在坊間走紅,甚至獲本港歌壇天后垂青,在社交媒體上親身「試咪」。當大家急於下載相關的手機應用程式時,仍需注意當中的資訊保安風險。
香港電腦保安事故協調中心每月發佈的《香港地區Google Play商店應用程式保安風險報告》,今年10月便發現一款熱門的免費卡拉OK應用程式存在保安風險,可損害手機作業系統和用戶的權益。報告發現該程式向用戶索取過多權限,部份更與程式功能無關,例如用戶的位置資訊、Wi-Fi配置資料、手機設備資料、通過連線訪問網絡、已安裝軟件名單等。
為保障個人私隱及資訊安全,用戶安裝新應用程式前,需留意程式是否可信,所需的存取權限又是否恰當。 若涉及額外費用、系統工具、電話功能資料、個人資料等,就要多加注意。
當更新應用程式時,也要注意權限的改動。在官方商店更新程式時,一旦所需權限有所變更,商店便會需要用戶「手動更新」,讓用戶重新注意權限的改動。用戶若存疑應避免安裝,並立即移除可疑的應用程式。如有需要,可聯絡協調中心求助。
木馬程式活躍 電腦病毒傳播力強 (Chinese Version Only)
當談到惡意軟件,大家或會想起電腦病毒,其實,現時最常見的惡意軟件是木馬程式,例如近年猖獗的加密勒索軟件便多屬木馬程式。香港電腦保安事故協調中心的最新一季「香港資訊保安觀察報告」,木馬程式在本地十大殭屍電腦網絡中亦佔七席。
電腦病毒跟木馬程式的分別在於前者能自行複製傳播,例如透過互網網、外置硬碟等方式感染其他電腦檔案;後者則以迂迴方式傳播,例如需偽裝成一般電郵附件、寄存於網站伺服器等,再經由受害者開啟附件或瀏覽網站而感染。
縱使電腦病毒的活躍度今非昔比,但最近有波蘭及美國網絡保安專家發現兩種具電腦病毒特性的新型惡意軟件Bolek及Zcrypt,前者為盜取電子銀行帳戶登入資料的木馬程式,後者則屬加密勒索軟件,兩者皆擁有自我傳播的功能,能感染在同一檔案系統或USB記憶體內的其他檔案。若在其他電腦打開被感染的檔案,病毒亦會嘗試感染該電腦,引發連鎖效應。
雖然協調中心至今仍未收到本港電腦用戶感染這些新型惡意軟件的報告,惟大家不能掉以輕心,必須時刻保持警惕,做好資訊保安。例如切勿打開不明來歷的檔案或超連結,要經常更新系統及軟件,以及安裝保安軟件等。另外,由於病毒的自我傳播特性,網絡內的其他電腦也可能被波及,因此若有電腦中招,便需為同一網絡內的所有電腦掃描病毒,以策安全。
更新Android裝置 堵塞保安漏洞 (Chinese Version Only)
去年5月,Google發現旗下Google Chrome內的V8 JavaScript引擎有保安漏洞,黑客可以利用這個名為BadKernel的遠端程式碼執行漏洞,偷取用戶裝置內的關鍵資訊,例如短訊、聯絡人名單、位置、付款密碼等。
雖然Google隨即發出安全更新堵塞漏洞,但逾一年後,有內地資訊保安研究員在今年8月才發現這漏洞原來同時影響Android系統內的網絡瀏覽(WebView)元件,任何於Android系統版本4.4.4至5.1有使用WebView元件的應用程式,均可能存在漏洞。根據Google的資料,超過六成Android裝置仍使用受影響的操作系統版本。
針對這情況,WebView及使用該元件的應用程式已陸續推出新版讓用戶更新,不過用戶仍需留意,有關安全更新未必覆蓋所有舊版本的Android裝置。若想檢查裝置是否仍存在漏洞,可到Google Play Store下載由美國流動安全公司Trustlook 提供的「BadKernel security scanner」應用程式。
即使已安裝修補程式,Android裝置用戶仍應僅從官方商店安裝及更新應用程式,以及切勿使用直接安裝的Android應用程式套件檔案。同時,避免透過公共WiFi網絡安裝或更新程式,並且要安裝可靠的保安應用程式,和切記不要隨便按入來歷不明的超連結。
注意網購保安 免血拼變雙失 (Chinese Version Only)
今日是一年一度的全球網購盛事「光棍節」,即雙11購物狂歡節。
相信不少消費者已經從午夜開始摩拳擦掌,廢寢忘食地緊貼著家中的電腦或智能手機,希望能以超值價錢買到心儀的商品和服務。不過,當大家全神貫注上網血拼之際,對網絡保安也不能掉以輕心,否則賠了夫人又折兵,買不到心頭好之餘,更要蒙受金錢損失或個人資料被盜的多重痛苦。
消費者進行網購前,要確保所使用的電腦和智能裝置已安裝防毒軟件及最新病毒碼,緊記切勿安裝不明來歷的軟件或登入可疑網站;更要選擇到官方及信譽良好的網上商店搜購。要避免誤進黑店,首先要核實網站域名是否正確,網站有否採用加密的通訊協定,以及擁有有效的數碼證書。
另外,很多購物網站都會使用其他網上付款平台完成交易,因此付款平台的安全及可靠性亦不容忽視。消費者亦要留意購物網站列出的條款和細則,及其索取個人資料的深入程度是否合理。進行交易時,要養成確認付款項目及備份網上收據的習慣。
此外,網購用戶要避免使用同一密碼登入不同的購物網站,以減低多個帳號連環被入侵的風險;亦不應隨便輕信網站討論區或意見欄上的產品留言,以及小心以非官方即時通訊程式進行交易的假賣家陷阱。大家須緊記以上保安貼士,才能避過網購黑客的魔爪,成為「光棍節」的大贏家。
滙款先核實 免墮假電郵騙局 (Chinese Version Only)
騙徒的手法層出不窮,今時今日,他們更會利用科技犯案,而電子郵件更是他們常用的詐騙工具之一。根據警方最新數字,今年首七個月已接獲529宗針對中小企的商務電郵騙案,損失金額高達12億元,較去年同期上升76%,各中小企老闆及職員要提高警覺。
常見的商務電郵騙案手法有兩種,第一種是騙徒假扮合作夥伴,向目標公司的職員發出偽冒貨品收據的電郵,誘使職員滙款至新的戶口。第二種則是假扮公司的管理層,向下屬發出緊急指示,要求滙款至「相熟公司」的戶口。不法分子會用盡一切方法設局,令收件者信以為真,減低警覺性,例如他們會模仿目標公司所註冊的域名,甚至事先入侵公司管理層的電郵帳戶,竊閱高層與下屬的電郵通訊,再模仿其用語發電郵。
要避免成為商務電郵騙案的受害者,最有效的方法是提高保安意識。當收到滙款要求的電郵時,要小心辨別電郵內容的真偽,留意做法是否符合常規程序;若存疑,應立即聯絡對方核實。執行轉賬或滙款前,要為戶口啟動雙重認證,或經由第二位職員核實方可進行。另外,避免以公用電腦或公共 Wi-Fi 熱點上網登入公司電郵帳戶,以防帳戶資料外洩。
此外,若公司註冊了域名,系統管理員可以在其網域名稱服務(DNS)中設定相關的記錄來進行郵件驗證,以便判斷郵件是否由偽冒者發出。無論如何,只要小心緊慎,騙徒就不會輕易得逞!
3-2-1備份原則 保障資料安全 (Chinese Version Only)
近年加密勒索軟件猖獗,重要的電腦檔案一旦被不法份子強行加密,受害機構隨時損失慘重,分分鐘倒閉收場。
為檔案備份可減輕勒索事件對事主的影響,但如何備份才能萬無一失呢?資訊保安專家提出了3-2-1檔案備份原則,即最少要有三份備份,並使用至少兩種不同形式存放,而其中一份備份更要存放於「異地」。
此項原則下,電腦用戶需先將每個檔案最少複製多兩份,並將它們儲存於不同的地方,以減低因單一事件而摧毀多個備份的風險。另外,檔案備份要存放於至少兩種不同的裝置裡,例如硬碟加光碟或雲端,避免檔案因裝置問題而未能成功讀取。最後,「異地備份」則指把一份備份儲存於工作地點以外的地方,以確保即使用戶的所在地發生天災人禍,至少仍有一份備份能「幸免於難」。
除緊記3-2-1備份原則外,進行備份時還需留意其他事項,例如不少裝置(例如光碟)的儲存功能或會因環境或時間過久而受耗損,因此需定期檢查備份是否仍能正常讀取。機構方面,若情況許可,可考慮進行備份及資料還原演習,既能讓員工熟悉備份程序,又可測試備份是否仍然完好。
若選用雲端備份,更要小心選擇服務供應商,閱讀安全和私隱政策的條款,留意有否提供足夠的防止資料外洩措施;還要為檔案按敏感程度分級,切記敏感或機密資料要先加密才可上傳至雲端。
網絡設備易洩私隱 成黑客工具 (Chinese Version Only)
今年8月,英國一位藝術家於倫敦展出約六千張截取自世界各地未有做好保安措施的網絡攝錄機的圖像,其中部分截取自香港的攝錄機能清楚顯示被攝者的樣貌。事件引起本港廣泛關注,個人資料私隱專員公署並透過英國當局要求主辦單位移除載有能辨識被攝者身份的圖像。最終該作品的創作者同意要求,事情始告一段落。事件反映香港市民對網絡攝錄機保安的意識嚴重不足。
其實,黑客入侵網絡攝錄機並不僅限於將別人的私隱公諸於世。今年6月,美國網絡保安公司Sucuri接獲一間飾品店網站求助,表示持續多天遭受大規模分散式阻斷服務攻擊。網絡保安公司調查後,發現參與攻擊的逾25,000個IP地址,皆來自網絡監察攝錄機,估計有關設備的韌體出現漏洞而被入侵,並成為殭屍網絡成員,向受害者發動瘋狂攻擊。
隨著物聯網的興起,網絡攝錄機等可連線到互聯網的設備日趨盛行,類似的攻擊事件只會有增無減。一旦設備被入侵,除了用戶存於設備內的個人資料可能會外洩外,該設備更可能被用作黑客的攻擊工具,當中的風險實在不容忽視。
用戶購置網絡設備時,除留意功能及價錢外,設備供應商的信譽亦非常重要。安裝網絡設備後,用戶需立即更改預設的使用者名稱及密碼,並定期檢查供應商有否推出新韌體程式以更新設備。如非必要,不應把設備連線到互聯網;同時亦要更改存取設備的預設網絡連接埠,以防黑客有機可乘入侵設備。
多重措施保「密」 防暴力解「碼」 (Chinese Version Only)
今年5月,有比利時資訊保安專家宣稱在Facebook旗下的多媒體分享應用程式Instagram發現兩個保安漏洞,讓黑客能施以「暴力破解密碼攻擊」入侵用戶帳號。
雖然Facebook隨即修補漏洞,但事件再次暴露了網上服務的帳號保安問題。
用戶若使用易被猜中或破解的密碼登入網站,帳號內的私人照片、影片及所有個人資料皆有機會外洩,而有關網站的聲譽亦會受損。因此網上服務供應商需訂立完善及可行的密碼政策,主動保障用戶私隱及數據安全。
安全的密碼措施包括:強制用戶使用由字母、數字及符號組成的八個位或以上的登入密碼;採用進階的加密雜湊算法(如bcrypt及PBKDF2)儲存密碼,以防一旦系統數據外洩時,用戶的密碼亦受牽連而「原汁原味」曝光。另外,啟用「密碼歷程記錄」功能,將用戶重複使用的密碼登入帳號,設下次數限制。使用時,需一併設定「密碼最短使用期限」,以免使用者在短時間內多次更改密碼以繞過限制。
此外,採用帳戶鎖定保護,可暫時鎖定屢次錯誤輸入密碼的帳戶,以防止暴力破解密碼攻擊;而起用「雙重認證」設定,可確保用戶的個人密碼即使外洩或被非法破解,仍有多一重保障。
用戶方面亦需做好帳號保安管理,例如要選用自己易於記憶但不易被人猜中的密碼,並要定期更改;更不要貪方便,多個帳戶共用同一密碼,或將密碼存放於當眼、易於找到的地方。財不可露眼,密碼亦要妥善保管。
正當網站掩飾 「域名屏蔽」攻擊難防 (Chinese Version Only)
本欄上文提到本港勒索軟件攻擊今年更趨猖獗,香港電腦保安事故協調中心除不斷提醒公眾要做好防禦措施外,亦積極呼籲各大小機構提升網站保安,以免遭不法之徒利用散播勒索軟件,令機構聲譽受損之餘,更可能遭受害者追討經濟損失,後果可大可小。
雖然目前大部份有關網站入侵的討論都集中於網站伺服器方面,但以正當網站作掩護的犯案手法絶不是「獨沽一味」。國際網絡設備供應商思科早於數年前已提出網絡罪犯會以「域名屏蔽」(domain shadowing)的攻擊方式,利用正當網站域名進行不法勾當。今年3月該公司發表的報告更指出,有近萬個網站子域名(subdomain)被盜用作惡意用途。
跟一般以自行設立的域名進行網絡攻擊不同,網絡罪犯會入侵正當網站的域名設定,在域名(如example.com)上建立毫無意義的子域名(如virus.example.com),並用於釣魚詐騙等惡意用途。由於整個過程不需入侵網站伺服器,因此很難被網站負責人發現。另外,由於域名一直用於正當活動,所以有問題的子域名在初期亦不易被防火牆發現。
針對「域名屏蔽」攻擊,域名登記商或寄存公司都會提供不同程度的保安措施。基本級保安包括在發現域名設定遭更改時,會電郵通知域名用戶;進階級別則會在聯絡域名登記人及核實其身分後,才能更改域名設定。另一方面,域名用戶亦需定期檢查域名設定,以策安全。
勒索軟件「商品化」 慎防可疑電郵 (Chinese Version Only)
過去一年,加密勒索軟件攻擊在全球各地迅速蔓延。香港的上網能力在國際城市中一直位列前茅,自然不能倖免。香港電腦保安事故協調中心今年首八個月已接獲236宗本地加密勒索軟件相關事故報告,較去年同期上升476%。
個案激增並非巧合,而是經過網絡犯罪集團的精心策劃及純熟運作所致。有網絡罪犯甚至將勒索軟件「商品化」,成立「服務平台」,向其他缺乏網絡知識的罪犯提供「加密勒索軟件租用服務」,借助他們之力,把勒索軟件的程式擴散開去,令勒索個案拾級而上。
這類勒索軟件服務十分全面,從設計惡意軟件、為攻擊目標地區度身訂造,以當地語言編撰的垃圾電郵攻勢;以至比特幣贖金繳付系統,及可監察行動進展、軟件感染率及贖金交付狀況的管理介面都包括在內,操作亦非常簡易。提供勒索軟件的罪犯通常會在供應服務前先收取一筆基本的服務費,再與使用服務的不法份子以佣金形式分拆贖金圖利。
面對勒索軟件攻擊來勢洶洶,互聯網用戶及企業要提高警覺,做好數據保護,例如定期備份及離線儲存電腦內的重要資料。同時,要經常更新保安程式、操作系統和其他軟件;並時刻警惕可疑的電郵,切勿開啟當中的附件,或點撃附帶的連結。另外,還要制定應變方案,以便一旦受到勒索軟件攻擊時,可立即採取適當的應變行動。
廉價無線鍵盤不設防 私隱無保障 (Chinese Version Only)
無線科技日趨普及,不少資訊科技設備及電子消費產品製造商都爭相開發新產品以在這龐大市場分一杯羹。不過,部分生產商為了壓縮成本而忽略產品的資訊保安,令消費者暴露於網絡風險中。
位於美國亞特蘭大的物聯網保安公司Bastille最近以自行研發的漏洞程式,測試12家知名資訊科技設備生產商的非藍牙無線鍵盤的數據傳輸安全,結果發現當中八家的廉價無線鍵盤,沒有採用通訊加密技術。
測試時,研發人員將漏洞程式配上總值不到100美元的無線訊號接收器及天線,發動名為KeySniffer的攻擊,便可從遠至250英呎(約76米)外的地方,找到具保安漏洞的無線鍵盤,並進行鍵盤監聽。
若鍵盤本身沒有採用通訊加密技術,黑客便能「原汁原味」竊取鍵盤用戶按下的每一個動作,從而找出用戶的敏感資料,例如信用咭資料、網上銀行用戶名稱和密碼、商業及個人秘密等。最無奈的是,大部份被發現有保安漏洞的無線鍵盤不能以韌體更新去修補漏洞,因此目前唯一的解決辦法就是改用藍牙或有線鍵盤。
雖然香港電腦保安事故協調中心至今沒有收到有關無線鍵盤的本地保安事故報告,但這次發現正好提醒大家在選購以無線方式傳輸數據的電子產品時,不能只看價格和功能,必須要留意產品有否採用通訊加密保安措施,以保障網絡安全。
黑客「度身訂造」 網民易中伏 (Chinese Version Only)
近年惡意軟件及釣魚電郵的攻擊持續惡化,究其原因,有資訊保安專家指出由於網絡罪犯已掌握一般互聯網搜索引擎常用的地理位置定位技術(Geo-targeting),因此能從IP地址推斷攻擊目標身處的國家或地區,然後為受害人度身訂做網絡攻擊,令命中率颷升。
據英國網絡保安公司Sophos最近發表的網絡犯罪集團攻擊手法研究指出,針對富裕國家或地區的目標,網絡犯罪集團會採用勒索軟件直接向受害人敲詐金錢,而針對銀行的電腦系統則使用惡意軟件犯案;至於其他國家或地區,犯罪集團/不法份子則愛利用受害者的電腦或其他上網裝置作為攻擊工具,發送垃圾郵件和發動網絡攻擊以謀利。
不法份子會透過網絡地下市場購買來自目標國家或族群的殭屍電腦作案,或利用入侵其他人的流量導向系統(Traffic Direction System),即時尋找合適目標,做法尤如網絡廣告商為網站訪客配對廣告。
為誘使目標受害者中伏,他們更會採用當地品牌和精準的用語特製詐騙電郵,以減低被識破的機會。此外近年猖獗的加密勒索軟件亦有本地化跡象,無論是繳付贖金指示或電郵內容都使用當地語言和機構名稱,令收件者疏於防範而開啟含有惡意軟件的電郵。
市民要避免墮進日趨精密的網絡陷阱,在提高警覺之餘,亦要做好基本的防範,包括安裝保安軟件、保持系統和軟件更新等,才能有效堵截不同種類的攻擊。
釣魚網站創新高 上網小心 (Chinese Version Only)
釣魚網站問題最近在香港有再次惡化的跡象。根據香港電腦保安事故協調中心7月底公佈的「香港保安觀察報告」,今年第二季本地伺服器被發現用作釣魚網站的個案較首季急升189%,達有記錄以來新高的10,110宗,情況令人關注。
報告指出,此類個案的元兇主要來自境外公司寄存於本港的網站,它們因保安不足而被黑客利用作釣魚攻擊的工具。首兩位分別由內地一間集成電路及半導體公司的網站,及韓國一間網上商店包辦,佔相關個案總數六成四。第三大釣魚個案來源則屬於一個可讓用戶無限量免費登記副域名的域名註冊商,網絡罪犯會透過註冊跟真實機構域名非常相似的域名,引誘受害者點擊釣魚網站的連結而中伏。
釣魚網站不但令訪客蒙受損失,被仿冒的網站的商譽亦會無辜受影響。此外,若用戶的網站寄存於被用作釣魚攻擊的網絡或網站,更可能被保安軟件及瀏覽器一併列入黑名單,令訪客無法瀏覽網站。
為免成為釣魚網站的俘虜,大家瀏覽網站時要時刻保持警覺,切勿開啟來歷不明的網址,並要核實網站域名是否正確,及網站是否擁有由核證機關簽發的有效數碼證書。若存疑,應停止瀏覽並尋求協助。另一方面,網站負責人要定期更新伺服器的操作系統及應用程式,並避免開啟不必要的功能,以減低被入侵的風險。若發現網站遭人仿冒,可向協調中心求助。
手機新勒索軟件 入侵不留痕 (Chinese Version Only)
手機勒索軟件攻擊有惡化跡象,主要手法是透過引誘手機用戶下載來歷不明的應用程式散播勒索軟件。然而,網絡罪犯也不會獨沽一味,會不斷找尋新方法,讓手機用戶墮進勒索軟件的陷阱。
今年4月,美國資訊保安公司Blue Coat Labs首次發現有Android手機用戶瀏覽附有惡意廣告的網頁,而感染名為Dogspectus的勒索軟件。該勒索軟件以漏洞攻擊包方式攻擊舊版本Android系統,令它不知不覺地感染勒索軟件,過程中受害者亦不會收到應用程式安裝通知。
更令人擔心的是,根據Android系統開發商Google的資料,截止今年7月,全球有逾半的Android裝置用戶仍在使用易受Dogspectus勒索軟件感染的Android 4.4.4 或以下版本的作業系統;加上手機生產商未必會為舊型號手機更新作業系統版本,用戶「中招」的風險極高。
可幸的是,受害者仍可使用電腦來讀取裝置內的資料,並能透過「恢復原廠設定」(Factory Reset)功能移除Dogspectus,但之後需重新下載已刪除的應用程式和資料,費時失事。
要預防這類新型手機勒索軟件來犯,用戶除需保持更新手機系統及瀏覽器版本外,還要定期備份手機內的重要資料,以及安裝手機保安軟件,才能將風險減至最輕。
防被黑客勒索 勿亂下載App (Chinese Version Only)
針對視窗作業系統的電腦勒索軟件今年全球大規模爆發,讓一眾用戶提心吊膽。香港無論在固網寬頻普及率和平均寬頻速度,都在全球頗高位置,自然不能獨善其身。香港電腦保安事故協調中心今年上半年接獲193宗個案,涉及本地個人電腦用戶遭受勒索軟件攻擊,較去年同期急增543%。
正當大家開始對這類攻擊有所警惕之際,網絡罪犯已將勒索軟件的魔爪延伸至智能手機。據總部設於俄羅斯的資訊保安服務商「卡巴斯基實驗室」 6月底發表的研究報告,逾13萬名Android手機用戶曾於去年4月至今年3月期間遭逢勒索軟件,較對上12個月多近3倍,情況令人憂慮。
有別於透過電郵附件或瀏覽含惡意編碼的網站散播的電腦勒索軟件,針對Android系統的勒索軟件主要手法是引誘用戶下載來歷不明的應用程式進行攻擊。近年最常見的Fusob勒索軟件,便是偽裝成供播放色情視頻的多媒體播放器xxxPlayer,引誘用戶落入圈套。
Fusob入侵手機後,會先確認裝置的設定語言,若採用非前蘇聯加盟共和國的語言,便會以勒索贖金的指示畫面鎖定手機桌面,要求受害者以面值100至200美元(約港幣780至1,560元)的iTunes禮品卡作贖金才解鎖裝置。
要防止成為手機勒索軟件的獵物,用戶須緊記只從官方商店下載應用程式,並切勿取消手機原有的保安機制。此外要定期更新系統及應用程式,以及安裝可靠的防毒應用程式。
Android漏洞已修補 有更新宜安裝 (Chinese Version Only)
今年八月初,總部設於以色列的國際網絡保安技術供應商Check Point公佈在Android手機及平板電腦採用的Qualcomm晶片處理器中,發現四個統稱為QuadRooter的保安漏洞,黑客可藉欺騙用戶下載惡意程式,繼而利用其中一個漏洞以控制裝置及盜取資料。全球19款約9億部Android裝置有潛在保安風險。
香港電腦保安事故協調中心就此項發現發出列為「極度危險」級別的保安公告,本地傳媒亦大篇幅報導。此保安漏洞雖然有極大風險,但幸好至今未有跡象顯示QuadRooter保安漏洞已被黑客廣泛用作網絡攻擊或開發成惡意軟件,因此各位Android裝置用戶無需太過擔心。
另一方面,Qualcomm表示已修補了全部漏洞;Android系統開發商Google亦為其中三個漏洞提供修補程式,餘下的一個預計在9月發放。其自家出品的流動裝置料先獲更新,其他品牌的Android裝置則要等待相關生產商安排更新時間表,始能堵塞漏洞。若用戶想檢查裝置是否仍存在漏洞,可到Google Play Store下載由Check Point 提供的「QuadRooter Scanner」應用程式。
在完成所有修補之前,Android裝置用戶安裝及更新應用程式時需時刻保持警覺,切勿使用直接下載的Android應用程式套件檔案(APK),並且必須緊記只從官方商店安裝及更新應用程式。同時,不要使用公共WiFi網絡安裝或更新程式,並且要安裝可靠的保安應用程式。最後,當Android裝置生產商發出安全更新後,用戶應盡快下載及安裝,為裝置及重要資料提供充分的保護。
精明使用電子錢包 免招損失 (Chinese Version Only)
最近一家國際資訊科技企業的移動支付服務登陸香港,旗下手機的本地用戶只需使用手機的指紋辨識功能確定身份,便可作信用卡付款交易。
該公司宣稱不會將用戶的信用卡號碼存於手機內,付款時也不會把有關資料傳送給商戶,每次交易更會獲配獨有的編碼,以保障私隱和交易安全。
隨著越來越多電子錢包服務在香港推出,交易安全及保障私隱的問題再受關注。
香港電腦保安事故協調中心去年進行的「香港流動應用程式交易安全」研究,測試了8個本地用戶常用的香港電子錢包或付款服務應用程式,結果發現有關的通訊加密保安全都屬於安全或以上級別,情況令人稍為放心。
不過,使用手機電子錢包服務還有很多需要注意的保安要點,例如要了解服務供應商的背景是否可靠,及細讀程式涉及的所需權限及使用條款;亦要避免存入過多電子貨幣,萬一不幸被盜也可減輕損失。
與此同時,亦要採用較複雜的帳戶登入密碼,切勿透過公共WiFi網絡傳輸敏感資料。
另外,盡量使用有加密的流動數據網絡,以及從官方應用程式商店下載程式;不要在手機上安裝來歷不明的軟件或數碼證書,以免引賊入屋。
胡亂下載手遊 私隱隨時外洩 (Chinese Version Only)
一款利用智能手機的位置資訊功能,以及擴增實境(AR)技術,讓手機用戶能在現實世界中捕捉卡通人物的手機遊戲,最近席捲全球。由於該遊戲推出初期僅在部分國家開放上線,其他地區的玩家只能從非官方途經下載遊戲的應用程式套件檔案(APK)安裝,先玩為快。
不過,這樣做卻有極高的網絡保安風險,隨時樂極生悲,成為黑客的獵物。有多家網絡保安服務公司先後發出警報,表示有Android手機用戶從非官方商店下載了遭黑客重新打包並暗中加入木馬程式的手機遊戲應用程式,導致個人資料外洩。這些程式會自動開啟手機錄音、讀取聯絡人或通話記錄、短訊內容、訪問網頁瀏覽記錄、書籤等功能權限。
此外,有防毒軟件研究員亦在Android官方商店找到多個偽裝該「爆紅」手機遊戲的輔助程式。其中一個偽造程式更會將用戶的屏幕鎖上,只有移除電池才能解鎖手機。即使手機能回復操作,在選單上亦沒有顯示假的程式,但仍會遭黑客暗中利用作非法行為以圖利。
手機遊戲固然好玩,但大家亦要注意網絡安全,切勿下載非官方或來歷不明開發商的手機應用程式,同時要安裝手機保安應用程式,以策安全。要認識更多流動設備保安工具的資訊,可參閱香港電腦保安事故協調中心網站(www.hkcert.org)內的「手機保安工具」專頁。
中小企網站保安 3方面規劃 (Chinese Version Only)
上星期提到網站在網絡罪犯眼中都是寶。網站保安就等於家中的防盜措施,不能掉以輕心,但究竟要用紅外線感應、24小時保安巡邏或用銅牆鐵壁防盜,才有效保安全呢?
同樣,坊間提供的網絡保安方案林林總總,中小企要衡量收費與實用性,頗傷腦筋。其實,網站保安應按機構的業務需要作規劃,在計劃建立網站前要先問3個基本問題:1. 網站的主要用途是什麼,是否需設立網站才能做到;2. 若網站不能正常運作,會否影響日常業務;3. 誰有權閱覽從網站收集到的資料?
首先,若網站僅用作推廣宣傳,有關機構可考慮以其他渠道宣傳,例如社交媒體等。針對第二點,若網站出現問題會影響機構的日常業務,便需衡量可承受網站失靈多久。至於第三條問題,則涉及員工的權限。這些問題都是針對業務的基本要求。
論機構規模大小,或屬於哪行業,建立網站保安,應先充分了解機構的業務需要,才決定保安的要求。制定保安規劃時,必須有熟悉業務的員工參與。當鎖定了保安要求後,才引入資訊科技人員或服務商,對症下藥,尋找合適的保安方案。總括而言,只有以機構業務行先的保安方案,才能配合業務發展,投資費用亦用得其所。
網站大小都是寶 做足防護措施 (Chinese Version Only)
不少機構及網站負責人認為,他們的網站沒有存放什麼「值錢」的東西,例如個人資料或信用卡號碼等,因此不用擔心會遭網絡罪犯光顧。然而,他們忽略了一樣很值錢的東西:就是坐擁一個擁有極大價值的寶庫 ─ 網站操作平台。
網站伺服器在操作上如同一部小型超級電腦,運算能力隨時媲美4至5部個人電腦,而且可以一年365天不停運作。若網站保安做得不好,例如網站伺服器或網站應用程式沒有定期更新,網絡罪犯便可輕易入侵網站作不法行為。
據美國電腦防毒軟件供應商賽門鐵克(Symantec)發表的最新一期互聯網安全威脅報告指出,全球近八成的網站存有保安漏洞,僅百分之三有進行加密,可見網站安全仍被忽略。
若網站被不法份子用作散播病毒,發動分散式阻斷服務攻擊,寄存假網站或發送垃圾郵件等,則可能會遭瀏覽器、防毒軟件,以至防火牆及電郵伺服器列入黑名單,令客戶不能到訪網站,甚至影響網站的電郵收發功能。
更嚴重的是,在某些國家和地區,若當地的監管或執法機構發現網站的違法行為,涉事機構或網站負責人需面對刑事調查。因此不要小看網站被用作不法行為所帶來的後果,亦不要以為網站沒有敏感資料就無需保護,其實網站資源和訪客對網絡罪犯來說也是極有價值的。
網站被勒索軟件「騎劫」 防不勝防 (Chinese Version Only)
早前提到,今年五5月新冒起的加密勒索軟件「CryptXXX」令香港電腦保安事故協調中心接獲的勒索軟件攻擊報告創新高,預計將有更多且更難於偵測的加密勒索軟件湧現。
言猶在耳,協調中心已收到境外網絡保安研究人員的通報,表示有寄存於本港網絡的網站,存放了加密勒索軟件,部分將訪客重新引導至載有攻擊代碼的網站。
針對高流量網站
這些寄存了勒索軟件或被黑客用作攻擊中轉站的本地網站皆是普通網站,部分更有一定的訪客流量。由此可見,網絡罪犯會選擇入侵瀏覽量高但保安不足的網站,並置入勒索軟件,以取得最大收益。
最令人擔憂的是,綜合本地勒索軟件受害者的報告,及協調中心的測試發現,這類透過網站散播勒索軟件的攻擊,可以令使用有保安漏洞的瀏覽器或軟件的互聯網用戶,在沒有按任何連結的情況下,亦能「中招」,令人防不勝防。
若企業和機構的網站遭放置勒索軟件而間接使訪客「中招」,不僅商譽及名聲受損,亦有機會被瀏覽器及防毒軟件列入黑名單,令其忠實及潛在的客戶卻步,影響生意。企業、機構及網站負責人必須做好網站保安,例如定期更新伺服器的操作系統和應用程式,和保護網站管理員的登入介面等,以防被網絡罪犯利用散播病毒。
伺服器存取權限 黑市有「交易」 (Chinese Version Only)
資訊保安服務商「卡巴斯基實驗室」最近成功搗破一個名為「xDedic」的地下市場,非法出售來自173個國家和地區逾7萬部被入侵的遠端存取伺服器的使用權,價格低至每部6美元。
網絡罪犯可利用這些被入侵的伺服器發送垃圾郵件、設立釣魚網站、開採「比特幣」虛擬貨幣和發動分散式阻斷服務攻擊。若伺服器裝有會計軟件或銷售點系統,網絡罪犯更可以安裝惡意軟件入內,盜取資料庫內的個人資料及信用卡數據。
全球逾7萬部中招 港涉數百
「卡巴斯基實驗室」公佈的資料顯示,在「xDedic」地下市場內發現本港有數百部被入侵的遠端存取伺服器的使用權可供出售。該機構亦向香港電腦保安事故協調中心提供了當中160部伺服器的IP地址作跟進。
協調中心已透過本地互聯網服務供應商聯絡受影響的伺服器用戶,並提供處理事故的建議,包括即時隔離涉事的伺服器,並在刪除所有資料後,重新安裝伺服器的操作系統。若用戶在伺服器安裝了處理財務或敏感資料的軟件,更需評估資料外洩的風險,甚至考慮根據所屬機構的電腦保安政策上報事故。
協調中心亦不時收到本地伺服器被入侵的報告,主要是由不安全的配置所致。資訊系統管理人員需加強伺服器保安,包括部署防火牆、採用最低程度的存取權限、更改預設設定、設置較強密碼,及定期修補系統漏洞。
新勒索軟件冒起 上網隨時中招 (Chinese Version Only)
本港加密勒索軟件事故創新高!香港電腦保安事故協調中心今年5月共接獲59宗有關報告,雖然「Locky」勒索軟件事故大幅回落,但新的勒索軟件「CryptXXX」冒起,單在上月便錄得32宗個案。受害者主要為一般家庭電腦用戶、教育機構及中小企業。
「CryptXXX」的傳播途徑有別於「Locky」,它不再依賴發送垃圾電郵,而是透過入侵有保安漏洞的網站,或在網站上帶有惡意軟件的廣告散播。互聯網用戶瀏覽這些網站時,會被重新引導至載有攻擊代碼的網站。攻擊代碼會嘗試入侵用戶電腦的保安漏洞,並試圖安裝「CryptXXX」。
若安裝成功,網絡罪犯會加密鎖上受害者的電腦檔案,加上「.crypt」副檔名,然後要脅受害者以「比特幣」虛擬貨幣支付贖金以換取解密密碼匙。受害者若遲交贖款,會被要求支付更高的贖金。
由於加密勒索軟件為網絡罪犯帶來可觀的回報,協調中心預料有更多不法集團加入犯罪行列,並要求更高的贖金。另外,更多不同的加密勒索軟件會不斷湧現,亦更難於偵測,而攻擊目標更將伸延至Mac和Linux作業系統,以及各種流動設備。
要應對加密勒索軟件的威脅,互聯網用戶需做好數據保護,包括定期把數據備份及保存離線副本;更新安全軟件,以及修補系統和其他軟件的保安漏洞。用戶亦應關閉微軟Office的巨集功能,僅在有需要和安全的情況下才暫時重啟此功能,並刪除任何可疑的電郵。
程式碼憑證保安要做好 免成「幫凶」 (Chinese Version Only)
當電腦用戶從互聯網下載應用程式和安裝外掛程式,或使用網頁應用程式時,真確及完整的程式碼對維持系統的安全及順利運作非常重要。由軟件開發商提供的程式碼簽署憑證(Code Signing Certificate)正好為應用程式「驗明正身」,用戶既能利用此憑證辨識負責程式碼的組織或個人的身分,又可確認程式碼沒有遭第三者非法篡改。
現時,隨著網絡安全系統已發展至信譽導向的運作模式,部份電腦系統及智能裝置更只接受有程式碼簽署憑證的軟件及應用程式,因此近年有網絡罪犯竊取他人的程式碼簽署憑證犯案,例如最近兩年冒起的Suckfly 網絡攻擊集團便是採用這方法來發動攻擊。它利用竊取得來的有效憑證來簽署黑客工具及惡意軟件,然後鎖定目標進行攻擊。當中有九個憑證被惡意使用,而受害人公司皆不知道憑證遭竊,及被盜用後作何用途。
開發商倘憑證被盜 須即更換
若程式碼簽署憑證遭盜用,憑證使用機構的聲譽會受損,因此需採取足夠的保安措施,例如在程式開發階段採用測試憑證,以減低正式憑證被誤用的風險;同時,測試憑證和正式憑證要分開儲存。此外憑證儲存系統的日常保安亦需做足,以防黑客透過入侵系統漏洞盜取憑證。
若不幸發現憑證被盜,要立即通知憑證簽發機構撒銷和更換憑證,並且報警求助。
「打開」漏洞攻擊包 後患無窮 (Chinese Version Only)
大家應該聽過「潘朵拉的盒子」(Pandora’s Box)這個著名希臘神話,漏洞攻擊包(Exploit Kit)就如「潘朵拉的盒子」一樣,一旦打開便後患無窮。
漏洞攻擊包是一種上載及執行惡意程式碼的軟件系統。當受害者電腦的瀏覽器被引導至寄存漏洞攻擊包的網站後,漏洞攻擊包便會攻擊瀏覽器及相關應用程式插件,例如:Microsoft Silverlight、Oracle Java、Adobe Flash及Reader等,使系統不知不覺地感染惡意程式,以致用戶的個人資料被竊或電腦檔案遭強行加密勒索,甚至成為「殭屍電腦」發動網絡攻擊。
以2013年年底首次被發現的Angler漏洞攻擊包為例,這個散播Bedep木馬程式的攻擊包有高強的逃避偵測能力,並能透過不同的外掛程式散播,近年已成為網絡罪犯常用的攻擊工具之一。
另外,根據資訊保安研究人員分析,Angler漏洞攻擊包負載的惡意軟件當中,約三分之二屬勒索軟件,估計網絡罪犯每年可從勒索軟件中獲利3,400萬美元(約港幣2億6千5百萬元),造成的威脅實不容輕視。
漏洞攻擊包是根據已知的保安漏洞開發出來。為免成為此類攻擊的受害者,電腦用戶應時刻更新系統軟件,以減低被攻擊的風險。同時,亦需安裝及使用有效的保安防護工具,例如防毒軟件或入侵預防系統等
即時通訊Apps 進階保安防洩密 (Chinese Version Only)
最近某即時通訊應用程式在新版本中加入端對端加密技術(End-to-End Encryption),自動加密所有經此程式傳送的訊息、照片、影片、語音信息、文檔和通話內容,只有信息發送人及接收者才能解讀,減低洩密風險。
端對端加密是一個加強數據傳輸安全的簡單直接方法,大部分常用即時通訊應用程式也有為用戶提供各種進階保安功能,包括:
1. 雙重認證:用戶每次登入服務時,需輸入兩組不同性質的認證確認身份,包括「本人知道的」個人密碼,以及「本人擁有的物件」作第二重認證。
2. 防止轉移帳號:啟動「防止轉移帳號」設定後,便能防止帳號被轉到另一部電話。
3. 換機密碼:可建立一個換機密碼來加強帳號安全。當有人以其他裝置登入帳號時,除要輸入電子郵件帳號及密碼外,亦須輸入換機密碼確認身份。
4. 安全提示問題:可設定安全提示問題作為額外的安全措施,防止帳號被盜用。
5. 語音辨識鎖:就像以指紋解鎖一樣,運用聲音獨特性,以語音輸入辨識用戶身份。
6. Secret Chat模式:在該模式下,用戶的通訊內容不會經由應用程式的伺服器轉發。信息亦會採用端對端加密,只有發送人及接收者才可以解讀,而且不能轉發他人。
除採用進階保安功能外,即時通訊應用程式用戶亦需樹立良好使用習慣,避免傳送個人及敏感資料,亦需定時為應用程式更新。
Bedep木馬傳染快 保安怎防範? (Chinese Version Only)
天氣時晴時雨,大家容易患上傷風感冒,若不及早醫治,會影響健康甚至傳染其他人。同樣地,不要輕看感染木馬程式對電腦的保安威脅,最終可導致嚴重資訊安全危機。
近日出現的新型勒索軟件CryptXXX,便是借Bedep木馬程式散播。它既可加密鎖上受害者的電腦檔案,同時偷取個人的資料,十分可惡。
欺騙廣告點擊 偽造流量
Bedep在2014年11月首次於美國發現。在香港電腦保安事故協調中心的「2015年第四季香港保安觀察報告」中躋身本港十大殭屍網絡排行榜的第八位。它主要透過惡意廣告中用作入侵系統的漏洞攻擊包散播。當電腦被感染後,會暗中建立隱藏的虛擬桌面,並會開啟Internet Explorer COM視窗,進行多種不法行為,例如受害者電腦會被安排暗中瀏覽由網絡罪犯建立的廣告網站,以提高網站點擊率。這些網站能同時顯示多個廣告,使不法份子可從網絡廣告商騙取極大回報。
Bedep還會為一些視頻片段偽造網絡流量,以提升它們的受歡迎程度。有部份視頻分享網站會以視頻觀看次數決定視頻排名,而這些偽造流量能令目標影片獲得更高排名,更易於讓訪客搜獲觀看。此外,它亦會連結至寄存了漏洞攻擊包的網站,令受害者的電腦感染更多惡意程式。
要防止Bedep及其他木馬程式來犯,電腦用戶要做好基本保安外,同時利用防火牆攔截來歷不明的網絡連接,並定期查閱防火牆的日誌記錄,留意異常的網絡活動。更多關於防範及處理殭屍網絡建議,可參考協調中心的《殭屍網絡偵測及清理》網上指引。
電子銀行帳號 5貼士保安全 (Chinese Version Only)
香港電腦保安事故協調中心經常透過本欄呼籲大家使用網上服務時,要做好保安,以防被盜用帳號,不久前更介紹了最近發表的「個人網絡服務帳號管理保安指引」,幫助大家加強認識及採用指引的建議。
金融管理局表示,最近有銀行通報,發現有客戶的電子銀行帳戶有未經授權的股票交易。雖然事件中並無發現有任何未經授權的資金轉撥,但這些個案已對電子銀行保安敲響警號。
密碼太簡單 易被黑客「撞破」
協調中心專家估計,這次事件起因不外乎客戶設定的密碼過於簡單,易被電腦黑客「撞破」;或是客戶誤墮釣魚陷阱而洩露個人密碼所致。因此,使用電子銀行服務時,用戶需要從這兩方面入手加強帳號保安。
1. 首先,用戶需設定較難猜破的密碼,更避免使用與自己的個人資料有關的密碼組合,亦不應多個不同帳戶用相同的密碼;
2. 密碼要定期更新,至少每1至3個月更改一次,並切勿將密碼記錄在電腦手機或當眼位置;
3. 要為電腦及智能手機安裝和更新保安軟件,並切記不要下載或開啟來歷不明的超連結及附件;
4. 市民亦應避免透過公用電腦或公共 Wi-Fi 熱點登入電子銀行帳戶,免遭竊取資料、誤墮釣魚陷阱或感染惡意程式。
5. 此外,要經常查閱銀行發出的手機短訊及通訊,並查核交易紀錄。若發現可疑情況,應立即通知銀行。
網站加密安全 4招從頭設置 (Chinese Version Only)
本欄上周提及企業可透過「檢查、修正、驗證」3個簡單步驟,提升網站的通訊加密安全。但若要由零開始,建立良好的網站通訊加密安全方案,可參照以下做法。
首先,網站負責人絕不能忽視基本的保護措施,包括定期更新系統,修復已知的安全通訊協定(SSL)技術漏洞;並要使用最新版本的電腦軟件及通訊協定,確保網站能支援以保安程度更強的保安運算法(SHA)簽發的數碼證書及採用更安全的加密套件(Cipher Suites)。
另外,由於電腦的運算能力愈來愈強,黑客已能破解用作核證網站身分的早期版本SHA。針對這問題,核證機關從今年開始只簽發採用進階版SHA-256的數碼證書,新版本的網頁瀏覽器亦只會支援驗證這類數碼證書。若網站仍使用較舊版的SHA-1簽發的數碼證書,新版本瀏覽器會視該證書無效,並顯示網站為不安全。所以網站負責人應盡快改用SHA-256的數碼證書,以免影響服務或網站運作。
另一方面,網站亦可配置遠期保密(Forward Secrecy),以加強通訊內容的保密性。此設定確保每次通訊加密使用的密鑰只可一次應用,而且僅於特定時間內有效,即使攻擊者僥倖成功破解或盜取密鑰,也無法解讀過去的加密通訊內容。要達致遠期保密,網站需採用最新版本的SSL技術,並停止向後兼容早期版本的SSL。
網站負責人亦可採用HTTP強制安全傳輸技術(HSTS),令用戶的瀏覽器只使用HTTPS與網站進行加密通訊,以減少連線劫持風險。不過,這項設定也需要用戶使用更新版瀏覽器配合,否則瀏覽器將會顯示錯誤信息。
檢查修正驗證 堵塞SSL漏洞 (Chinese Version Only)
用作加密通訊及協助鑒定網站身份的安全通訊協定(SSL)技術已面世20年。隨著電腦的運算能力不斷提升,早期版本的SSL v2.0及SSL v3.0技術的保安漏洞近年陸續出現。
香港電腦保安事故協調中心最近分析了國際網絡保安研究機構Trustworthy Internet Movement每月進行的SSL使用調查,針對2012年4月至2015年3月的數據結果,發現逾75%參與調查的網站在配置SSL上「保安不足」,情況令人關注。
每半年測試SSL配置
要堵塞漏洞,企業及網站負責人可根據「檢查、修正、驗證」三個步驟,提升網站的通訊加密保安。
首先,要評估網站的SSL安全水平及設定是否恰當,電腦用戶可利用網上的自助檢查服務,按指示輸入網站的網址,再點擊同意條款及按下「開始」按鈕,便可自動執行檢查。
檢查完成後,用戶不但能立即知悉網站的SSL安全評級,還會獲得改善建議,方便技術人員跟進,執行「修正」方案。
用戶在「修正」SSL配置之後,可進行檢查以確定成效,「驗證」網站的SSL安全評級是否有所改善,如果尚未達標,可再依改善建議繼續跟進。網站SSL配置的測評,可以每半年進行一次,持續保持高安全水平。
如要認識更多常用的SSL配置網上檢查工具,可參考協調中心的「SSL/TLS通訊保密協議保安指引」。
堵塞加密漏洞 停用SSL v2.0 (Chinese Version Only)
今年三月,國際加密通訊技術組織OpenSSL.org發佈修補名為DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) 的保安漏洞。黑客可利用該保安漏洞破解伺服器及用戶瀏覽器之間的加密連線,當中包括採用安全通訊協定(SSL)或傳輸層安全協議(TLS)等加密通訊及網站身份鑑定技術。
OpenSSL.org估計全球近三分一的網站伺服器都有此保安漏洞,當中逾半來自仍支援早已過時,且加密保安程度薄弱的SSL v2.0的伺服器;其餘則是SSL v2.0共用同一私鑰的其他SSL/TLS協定版本的伺服器。
據悉,黑客會先監視存有DROWN保安漏洞的網站伺服器與用戶之間的連線,然後選取一條連線解密,竊取甚至竄改傳輸中的敏感數據和交易資料,或誘騙用戶至惡意網站,感染其他惡意程式,造成更多破壞。
黑客破解加密連線 成本低
最令人憂慮的是,執行這類攻擊的成本並不高,例如以亞馬遜彈性雲端運算(Amazon EC2)網上服務破解一條加密連線,只需440美元(約港幣3,400元)。
企業若不及時堵塞漏洞,除可能遭受金錢損失外,更會打擊客戶的信心,影響公司的聲譽。因此網站負責人要盡快採取措施加強保障資料傳輸,包括將加密技術版本升級至TLS 1.0.1s或1.0.2g,並立即停止支援SSL v2.0,以及利用網上檢查工具,檢查伺服器是否存在DROWN保安漏洞。
7招提升帳號安全 防被盜用 (Chinese Version Only)
近年不少中小企及個人電腦用戶轉用雲端網絡服務處理日常公事,以節省開支及增加靈活性。大家要切記做好保安,以防被不法分子盜用帳號作非法用途。香港電腦保安事故協調中心最近編寫的「個人網絡服務帳號管理保安指引」,提出七項提升帳號安全的建議,包括:
1. 使用雙重認證/兩步認證:用戶需輸入兩組不同性質的認證確認身份。使用網絡服務時,用戶需輸入帳號和密碼,再透過用戶所擁有的實物認證工具,例如由保安編碼器產生的一次性密碼;
2. 使用應用程式密碼/短暫性密碼:愈來愈多第三方應用程式會支援 OAuth (開放授權)協定登入,用戶只需以一個常用的個人網絡服務帳號,便能登入應用程式。為免密碼外洩,不少常用的個人網絡服務會提供應用程式密碼或臨時密碼,為用戶產生單次密碼,用於指定應用程式;
3. 啟動監察可疑登入活動功能:部分網絡服務會提供可疑登入活動的通知功能,若系統發現有可疑的登入,便會發送電郵或短訊提醒用戶;
4. 切勿以同一密碼登入所有服務:用戶應使用不同密碼登入不同網絡服務,以免黑客成功偷取其中一個帳號的密碼後,能同時登入其餘的服務;
5. 謹記登出帳號:若用戶以他人的電腦登入帳號,使用後需登出服務,以免留下記錄。此外建議啟用「無痕模式(incognito)」或「隱私瀏覽 (private)」功能造訪網站;
6. 永久刪除不使用的帳號:如用戶停用某網絡服務,應永久刪除帳號,以減低帳號被盜用的風險;以及
7. 輸入密碼前要三思:用戶每次輸入帳號密碼前,應提高警覺。若存疑,應先核實網絡服務的真偽。
彈出式登入窗口 慎防被「釣」密碼 (Chinese Version Only)
開放授權協定OAuth,讓用戶可以Facebook、Google、Microsoft、Twitter等常用的個人網絡服務帳號登入電腦桌面、移動裝置或網絡上的第三方應用程式,毋須另外申請帳號,非常方便。
愈來愈多第三方應用程式支援這種簡易登入方式,以招攬更多用戶,當中的資訊保安風險也不容忽視。
當用戶使用OAuth方式登入,第三方應用程式只會得知由個人網絡服務發出的認證編碼(authentication token),並不會知道用戶原本的登入帳號及密碼。
真實網址 誘往「易容」後連結
由於每個認證編碼就好比一張有條件的通行證,只讓第三方應用程式於規定的時段內存取特定的資料,例如相片、視頻、聯系人清單等,而非所有內容,本應較為安全。
然而,新加坡資訊保安研究人員在2014年發現,OAuth授權介面的網站存在隱蔽重新導向(Covert Redirect)的保安漏洞。黑客利用該漏洞可允許在真實網址上建立一個自訂的彈出式釣魚登入窗口,然後誘導用戶登入「易容」後的常用網絡服務網址連結,以騙取登入帳號及密碼。
現時,支援OAuth的常用個人網絡服務也有提供應用程式密碼,或臨時密碼給用戶使用,以保安全。為免帳號密碼外洩,用戶只應授權給可靠的第三方應用程式作特定個人資料存取,並切記不要存取來歷不明的超連結。
IoT時代 工業控制系統風險大 (Chinese Version Only)
現代生活繁忙,大家有否稍停一下想想,究竟由食水供應、污水處理、石油鑽探、天然氣開採、發電、交通信號控制、以至大廈管理等各種基礎設施及大型關鍵系統運作井然有序,背後有何「蹺妙」?原來幕後英雄是工業控制系統(Industrial Control System – ICS),以硬件和軟件監控運作。
經過不斷的技術發展和演進,ICS現在已經進入第四代。受惠於物聯網的發展,ICS可以更靈活運作,而且功能亦越來越強,例如透過無線網絡技術可以將交通燈連接至控制中心,中心遙距分析由道路上傳感器收集的數據後,再向個別交通燈發出指令,以迅速回應任何交通突發情況。
隨著物聯網逐漸普及,連接互聯網的系統和設備愈來愈多,攻擊ICS的經濟誘因大增,攻擊手法亦日趨精密。網絡攻擊者可根據ICS的應用功能造成不同程度的破壞,例如癱瘓大廈保安系統的警報、切斷整個城市的電力和食水供應,甚至干擾軍方的控制系統發動導彈攻擊亦非天方夜譚。
香港電腦保安事故協調中心去年12月透過Shodan互聯網服務搜尋器,發現全港共有106個ICS設備連接互聯網,其中79個可從控制器的回應中獲取製造商的資料。一旦黑客取得這些資料,便可尋找保安漏洞發動攻擊。由於用戶不會經常更新有關設備,黑客成功控制系統的機會也大增。
要防患於未然,ICS管理員不要將設備直接連接互聯網,如有必要,切記使用防火牆管理存取來源。如要遠端控制人機互動介面或連接設備,應採用虛擬私人網絡或撥號連線,並以雙重認證方式登入。同時,用戶要保留完整的ICS活動記錄,亦要啟動媒體存取控制(Media Access Control - MAC)地址鎖定功能,以防止入侵者偽冒IP地址,攔截並篡改數據。
網絡伺服器安全 4招增防禦 (Chinese Version Only)
上星期提到黑客經常利用網絡伺服器及網絡應用程式的保安漏洞入侵網站,進行SQL注入攻擊。要避免受襲,網站管理員除要定期更新伺服器的操作系統和應用程式外,加固網絡伺服器及網絡應用程式亦是有效方法。
1. 驗證輸入資料
首先,網絡應用程式開發商在設計系統時必須驗證用戶輸入的資料,以防不法份子輸入惡意內容,進行SQL注入或跨網站指令碼攻擊。
2. 權限設置清楚
網站管理員應避免以管理員權限執行網絡應用程式,並須移除不需要的應用模組及擴充程式,更要分開存放網絡和數據庫伺服器,以及限制非授權人士連接網絡管理介面。
3. 設置應用程式防火牆
可在伺服器前設置網絡應用程式防火牆,過濾部份攻擊,及為關鍵應用程式進行源碼掃描及滲透測試等深入的網絡安全評估,找出漏洞並及早修補,以防後患。
4. 採用先進加密法
若網站需要處理用戶的敏感資料,則必須採用SSL通訊加密技術,保護用戶的私隱。由於黑客已能破解大部份早期的加密雜湊演算法,令網站身份認證及數據傳送加密失效,因此建議採用更先進的加密雜湊算法,例如AES及SHA2。現時網上亦有免費服務,可簡單測試網站是否採用良好的SSL通訊加密技術及進行安全評級,並提供改善建議,讓用戶參考和執行。
舊黑客侵港伺服器 每季逾萬宗 (Chinese Version Only)
去年11月香港一間知名大型兒童電子學習產品公司的客戶數據庫及網絡伺服器被黑客入侵,超過500萬個家長的帳戶以及660萬個兒童的資料外洩,令大家再次關注儲存及處理大量個人資料的網上服務平台的資訊保安。
事後有自稱入侵行動的主腦向網上媒體透露,他透過受害公司網絡應用程式的保安漏洞入侵網站,取得系統管理員(root)權限後控制整個系統。
這種入侵手法司空見慣。香港電腦保安事故協調中心發表的《香港保安觀察報告》發現,由去年第二季開始,每季皆有逾一萬部本地網絡伺服器遭黑客入侵,進行網頁塗改、寄存惡意程式及釣魚網站等惡意網絡行為。當中最常用的攻擊手法是利用網絡應用程式的保安漏洞注入數據查詢語言SQL代碼。由於注入的代碼會根據網絡應用程式的權限執行,若應用程式是以管理員權限執行,黑客便能完全控制伺服器,以管理員身分輸入命令,為所欲為。
先導計劃 助中小企檢查保安
要防止這些情況發生,網站管理員需經常檢視伺服器的保安狀況,一旦發現漏洞,便應馬上修補。市場上有多種網絡安全掃描器能偵察一些常見的網絡保安風險,並提供建議修補未更新的伺服器及應用元件的資料連結。網站管理員應利用這些工具檢查網站保安,提升系統安全。
為了提升本地中小企業網站的保安意識,香港電腦保安事故協調中心正進行一項先導計劃,免費協助本港中小企檢查網站的安全狀況,並推行改善措施,以及驗證措施成效。協調中心期望計劃能讓中小企了解網絡安全的重要,並積極應對有關風險。計劃詳情可瀏覽中心網站。
舊手機電腦存風險 宜快更換 (Chinese Version Only)
今年元旦日有市民上網時未能成功連接部分網站,網頁甚至彈出警告訊息。數天後,情況依然未有改善,反而蔓延至更多網站。元凶原來是「中古」智能手機及個人電腦。
去年底法國、荷蘭及新加坡三地的網絡保安研究人員發表聯合報告,揭露黑客已掌握新技術,能輕易破解用作核實加密網站數碼證書簽署的SHA-1雜湊演算法,從而為偽冒網站騙取核證機關簽發數碼證書,令網站身份認證及數據傳送加密失效。
負責訂立互聯網加密政策的核證機關/瀏覽器論壇(CA/Browser Forum)隨後宣佈,核證機關從今年開始只簽發採用保安程度更強的SHA-256雜湊演算法的數碼證書。由於機齡超過5年的智能手機及個人電腦的瀏覽器一般都不能識別SHA-256證書,有美國網絡安全公司估計,全球逾3,700萬互聯網用戶將受影響,當中以中國內地用戶最多,約佔220萬人。
受影響的用戶如果仍繼續使用不支援新版本作業系統及應用軟件的舊款智能手機或電腦,除不能上網外,還要承受越來越大的保安風險。因為當供應商停止支援舊版本,黑客有可能以逆向工程方式,從新版本的安全修補程式找出攻擊舊版本漏洞的方法,令設備遭惡意程式感染及入侵的機會大增。因此盡快更新設備,並安裝保安軟件,方為上策。另外,用戶丟棄舊款智能手機及電腦前,亦應先利用永久數據刪除工具,覆寫及清除記憶卡內的數據,以免敏感資料外洩。
網上勒索變本加厲 不要就範 (Chinese Version Only)
歐洲刑警組織(Europol)今年1月初宣佈,在代號“Operation Pleiades”的多國聯合調查行動中,逮捕了策動近年連串大型比特幣勒索活動的DD4BC(全寫:DDoS for Bitcoin)網絡攻擊敲詐集團的核心成員,為終極瓦解這犯罪組織邁出重要的一步。
DD4BC敲詐集團於2014年7月首次「亮相」,初時以勒索線上遊戲及貨幣兌換平台為主,後來擴大敲詐對象至金融服務、媒體娛樂及零售產業。本港兩間銀行亦曾於去年5月成為該組織的勒索目標。
該犯罪集團會以電郵警告目標機構,將向其網站發動小規模分散式阻斷服務(Distributed Denial of Service - DDoS)攻擊,經一輪攻擊後,再要求勒索對象在指定時間內以比特幣支付贖金,否則發動更大型的DDoS攻擊,令其網站癱瘓。為迫令目標就範,該犯罪組織更威脅在社交媒體公開有關機構的重要資訊,破壞其聲譽。
縱使是次聯合行動已嚴重打擊DD4BC敲詐集團的不法活動,但類似的勒索事件依然有變本加厲的跡象。有外國資訊保安專家指出,近期的DDoS攻擊勒索活動已蔓延至其他規模不大的網上服務平台,例如討論區、小型電子商貿網站等。
企業和網站負責人若不幸遇到這類勒索威嚇,絶對不要就範,以免助長惡行。事實上支付了贖金並不代表能「一勞永逸」。受害者應立即向執法部門及所屬互聯網服務供應商求助。另外,亦要未雨綢繆,預先制定相關應變計劃及做好網站保安,例如以防火牆分辨並過濾攻擊流量、使用反DDoS服務等。
網絡新威脅 各方用戶怎防範? (Chinese Version Only)
上文介紹香港電腦保安事故協調中心預計2016年香港將出現更多針對網站伺服器、銷售點系統、流動裝置及物聯網設備的網絡攻擊。面對這些網絡安全新威脅,企業、市民及互聯網服務供應商又應如何防範?
要預防網站伺服器受攻擊,企業除要定期檢視其保安狀況及修補系統的保安漏洞外,還要分開存放網站和數據庫伺服器,並小心驗證用戶在網上應用程式輸入的資料。若業務性質需使用銷售點系統,則必需變更預設登入密碼,並要限制經指定網絡存取,以收窄「攻擊面」。由於「自攜設備」(BYOD - Bring-Your-Own-Device) 的風氣已深入各行各業,企業需盡快制定使用政策;並要定期備份檔案及離存放,以免受加密勒索軟件影響。
市民大眾則要緊記為電腦安裝保安修補程式,特別是應用PDF、Flash、Doc、Xls等常用電腦檔案的工具軟件,以免網絡罪犯巧立名目設計陷阱,例如偽冒電子支票,乘機利用軟件漏洞將惡意程式植入用戶電腦。此外,要切記採取足夠措施保護個人流動裝置,例如要從官方商店下載流動應用程式、切勿將手機解鎖(jailbreak或root機)等。個人雲端服務帳戶保安亦要加強,包括採用更強的密碼及「雙重認證」功能登入帳戶;更要對來歷不明軟件或超連結,以及索取個人資料或更改付款帳戶內容的要求,打醒十二分精神。
服務提供者在維護網絡安全方面亦責無旁貸。互聯網服務供應商要提防網絡罪犯租用網絡進行非法活動,若對租用者的身份存疑,可要求對方提供身份證明文件確認。軟件開發商則要緊記從官方網站下載開發工具,及掃描新開發的軟件,確保沒有被被植入惡意程式碼。
港網絡保安 2016年4大趨勢 (Chinese Version Only)
踏入新一年,各行各業都有來年預測。每年一月,香港電腦保安事故協調中心都會回顧過去一年的本港網絡保安情況,並綜合不同數據分析今年的攻擊趨勢,讓大家早作防範。今年協調中心預測有4大趨勢:
趨勢一:網絡罪犯將繼續瞄準有嚴重保安漏洞的網站及銷售點系統,嘗試入侵並盜取個人資料及信用卡號碼以圖利。去年有本港大型兒童電子學習產品公司,以及在香港設有分店的國際知名酒店連鎖集團先後爆出網站客戶資料庫及酒店銷售點系統遭入侵事件,為此類攻擊爆發敲响警號。
趨勢二:由於有網絡罪犯提供「加密勒索軟件租用服務」,包辦可攻擊不同作業系統及管理贖金交付等服務,讓不熟悉有關技術的不法分子也可使用,將造就更多加密勒索軟件攻擊。同時,以發動分散式阻斷服務攻擊作威嚇的敲詐活動亦會持續,對象亦會由金融機構擴展至其他網上服務。
趨勢三:經過去年官方iOS應用程式被大規模植入XcodeGhost病毒事件曝光後,預計會有更多黑客試圖在開發工具植入惡意程式碼,使由有關工具開發的應用程式也受感染,有機會繞過官方應用程式商店的檢測,令更多用戶「中招」。因此針對流動裝置的惡意軟件攻擊,也會日趨猖獗。
趨勢四:智能穿戴、智能家居等在香港日見流行,同時越來越多工商業運作趨於依賴互聯網應用進行,因此物聯網的保安風險,不容輕視。海外資訊保安專家的實驗亦證明利用惡意軟件可感染Android 作業系統的穿戴設備,並能入侵及搖距控制行駛中的智能汽車。
至於防範措施,就留待下期介紹。
假內銀釣魚網增 禍延港用戶 (Chinese Version Only)
網絡釣魚又有新手法,狡猾的「快閃」攻擊去年肆虐。香港電腦保安事故協調中心去年共處理1,931宗釣魚網站個案,較2014年激增233%。個案上升的主因是有網絡罪犯利用本港的網頁寄存服務發動「快閃」釣魚攻擊,相關報告佔釣魚個案69%,涉及22,576個網址。
這批釣魚網站以偽冒內地銀行為主,每隔數天便會轉移至其他IP地址繼續運作,以避開偵測。由於很多銀行都遭到偽冒,而且有關攻擊活動能持久進行,所以內地網絡保安及金融監管機構非常關注事件,他們聯同受影響銀行將涉事的香港IP地址資料即時轉介協調中心跟進。由於很多涉事的網絡服務供應商使用虛假的聯絡資料租用本地網絡犯事,令個案難以跟進。
大家或會問既然這些「快閃」釣魚網站主要是針對內地網上銀行用戶,與香港的互聯網用戶又有何關係?首先,若用戶的網站或電郵伺服器寄存於被用作「快閃」釣魚攻擊的網絡,便有可能被Google及Firefox等瀏覽器一併列入黑名單。瀏覽器會攔截其他用戶連接網站,並發出安全警告。
另外,若本地或外地執法部門或監管機構決定採取行動,關閉整個涉事網絡,其他守法用戶寄存的網站或電郵伺服器也會被迫停止運作,這將影響用戶的日常業務。同時,由於用戶的網站或電郵伺服器與網絡罪犯的伺服器寄存於同一個網絡,一般都沒有防火牆阻隔,因此也可能遭到直接攻擊。網站或電郵伺服器寄存用戶應小心選用網絡服務供應商,並舉報任何懷疑不當使用網絡資源行為,以免遭無辜牽連。
WiFi蛋受捧 「孵」出新網絡風險 (Chinese Version Only)
每逢長假期或旅遊旺季,俗稱「WiFi蛋」的流動WiFi熱點裝置,租賃服務常有供不應求的情形,可見它備受大眾歡迎。但近期多個外國網絡保安研究皆顯示,Wi-Fi蛋已成為威脅網絡安全的其中一個新源頭,所以大家使用此「蛋」時不能掉以輕心。
現時不少流動電訊服務營辦商都會兼售WiFi蛋,但一般只預設支援由該營辦商提供的SIM卡,用戶如欲使用其他供應商的SIM卡,要先在電腦上安裝特定解鎖軟件,惟這些軟件可能被黑客預先改動甚至加入惡意程式,當使用者安裝軟件時,會不知不覺將惡意程式一併裝入裝置及WiFi蛋內,黑客便可入侵及控制設備,作出不法勾當。
另外,網絡上亦常出現非官方的WiFi蛋韌體,聲稱可為裝置帶來更多功能。這些由第三方編寫的韌體,其來源不清楚,質量亦沒有保證,更危險之處是可能會在用戶不知情下開啓裝置上沒有密碼保護的遠端連線功能及使用權限,又或會將用戶引導至釣魚網站,增加網絡攻擊和資料外洩的風險。
要確保安全使用WiFi蛋,使用前必需要更改登入密碼,還建議停用SSID無線網絡識別碼廣播功能和已知存有保安漏洞的WiFi保護設置(WPS)功能,以及啟動裝置內設的防火牆;更要採用WPA2加密通訊協定傳輸資料及開啟可以防止未登記的流動裝置連接的媒體存取控制地址過濾功能;亦不要使用非官方的解鎖軟件及韌體。市民亦切記不要使用公共WiFi網絡登入網上銀行服務,應利用具備加密功能的流動數據網絡進行交易,確保安全。
外遊免費WiFi勿亂用 易墮陷阱 (Chinese Version Only)
上文介紹了大家出發外遊前要預先做好的資訊保安措施,現在續談在旅程中要留心的網絡安全陷阱及防範方法。
現時不少酒店及機場都設有公用電腦供旅客免費上網,但這些電腦保安防護狀況參差;而且使用者身份不明,有可能被用心不良的人設下惡意軟件陷阱。同樣地,使用公共 Wi-Fi 熱點上網亦要小心,因為這些免費的熱點名稱容易遭人冒認,用戶一旦登入虛假的 Wi-Fi熱點,其網絡通訊會被攔截,甚至被引導至釣魚網站以套取個人資料。因此,大家應盡量避免透過公用電腦或公共 Wi-Fi 熱點登入帳戶、輸入敏感資料或下載軟件,免遭竊取資料、誤墮釣魚陷阱或感染惡意程式。
另外,即使網站已使用加密技術,如https,也要留意瀏覽器的提示,若網址旁的鎖頭圖標是紅色,或出現警告符號,例如“X”或“!”,即表示加密和認證用的數碼證書無效或有問題,用戶切勿登入該網站或輸入資料。使用公用電腦上網後,切記要清除瀏覽器內的所有緩存(cache)、瀏覽歷史和 cookies 等歷程紀錄。而使用公共 Wi-Fi 熱點後,亦要刪除在無線裝置「慣用網絡」設定內的Wi-Fi存取點。
此外,近年不少人外遊時,都會用上俗稱「Wi-Fi蛋」的流動Wi-Fi熱點裝置(Pocket Wi-Fi),以便同行人士共享數據上網。要用得安心,切記要登入裝置的管理介面,更改登入密碼及關閉SSID (Service Set Identifier)無線網絡識別碼的廣播功能,以防止被黑客入侵,或成為其發動網絡攻擊的幫凶。
外遊「3件事」做妥數碼裝置保安 (Chinese Version Only)
大家出外旅行或公幹,如果只能帶兩件隨身用品,相信大部分人都會選擇智能手機,及有上網或無線連接功能的流動裝置,例如數碼相機、智能手錶或路由器等。由於這些設備儲存了大量個人資料,大家在出發前,必須做好設備保安,若不幸失竊,也可減低損失,不至被盜取設備內的敏感資料作其他不法用途。
要加強智能電子裝置的資訊保安可從系統安全、數據保護及網絡連接三方面著手。系統方面,用戶需更新裝置軟件及韌體至最新版本;並要設定屏幕鎖定功能,縮短閒置鎖屏時限,及使用較強的解鎖密碼。同時,用戶可預先安裝遙控追蹤位置、遙控鎖機及遙控刪除資料的應用程式,或啟用手機內的「尋找我的手機」功能。至於數據保護方面,用戶出門前應刪除或加密裝置上的敏感資料;亦要備份數據,並儲存一份離線副本,以便當未能尋回遺失的裝置時,也可復原數據。
至於網絡連接方面,用戶應取消裝置上的Wi-Fi自動連接設定,改為每次以手動確認Wi-Fi連接;亦要關閉檔案共享、Wi-Fi熱點共享等功能。出差時若要連接公司的網絡系統處理公務,應在出發前測試公司的遙距網絡存取服務。另外,若使用的網上服務提供雙重認證功能,應預先啟動並試用,以策萬全。
以上的準備工夫都能減低資料被盜或因遺失智能電子設備而帶來的損失。想出門旅行安心又寫意,旅途中還有一些需要注意的地方,留待下期分解!
佳節網購陷阱多 勿送黑客「厚禮」 (Chinese Version Only)
近日大家或會為張羅聖誕或新年禮物而大傷腦筋。在佳節選購禮物是一門「高深學問」,既要符合自己的心水和身分,又要顧及收禮者的感受,更要在有限的時間內完成,絕對是一項「非常任務」。
近年不少人已由商場「轉戰」至日漸普及的網上購物平台,以節省時間和金錢。除光顧官方及具規模的購物網站外,部分消費者更會透過不同途徑搜索一些非官方的網站格價和購物。很多不法份子便看準這種消費心態而佈下網上陷阱,等待不小心的消費者墮進。
最近有出售冒牌手錶的網站便被揭發透過社交媒體以賣廣告形式代替開設專頁招攬顧客,以逃避執法部門的偵測系統。消費者光顧這些購物網站固然會助長侵權行為,更隨時會遇上釣魚網站,被不法份子盜取敏感的個人資料。
消費者進行網購時,除了要選擇官方及信譽良好的購物網站外,還要核實網站域名的真偽,網站有否採用加密的通訊協定,以及有效的數碼證書等。用戶亦要留意購物網站列出的條款和細則,及其索取個人資料的深入程度;並要盡量使用不同密碼登入不同的購物網站。若不慎向欺詐網站提供了電郵帳戶登入密碼,應盡快更改所有使用相同登入密碼的網上服務。此外,更要適時更新操作系統及瀏覽器,以便能獲取最新的有效證書列表,並切勿打開來歷不明的電郵及連結。
最後,「精Net錦囊」祝大家佳節快樂,2016年上網零事故,做個資訊保安精叻人!
逾百程式「有毒」 關注iOS安全 (Chinese Version Only)
蘋果App Store的應用程式上架審核程序一向較為嚴格,因此一般認為在iOS系統手機安裝應用程式較為安全。但今年9月,有內地及海外資訊保安研究機構在App Store發現過百款iOS應用程式受XcodeGhost惡意程式感染,當中包括多款受歡迎的應用程式及遊戲程式,令人關注iOS系統的安全問題。
Xcode是iOS 應用程式的開發工具。除了App Store外,一些內地網站也會提供 Xcode下載。是次有部份從非官方渠道下載的 Xcode被黑客植入了XcodeGhost惡意程式碼,連帶所開發的應用程式也受感染,並能成功繞過App Store的檢測。受感染的應用程式會自動連線到該惡意程式設計者建立的指令與控制伺服器,然後回傳該應用程式和裝置的資訊。有些個案更會彈出釣魚視窗以套取用戶的帳號資料。
本港方面,自10月起,香港電腦保安事故協調中心從國際網絡保安組織Shadowserver Foundation取得相關數據作分析,發現在該月首個星期每日平均有14,147個本地IP地址仍連接至XcodeGhost的指揮控制中心,數量是其他殭屍電腦的30倍。雖然在第四個星期數字已大幅回落,但每日平均仍有7,151個本地iOS系統用戶還未為其裝置「解毒」。
雖然App Store及程式開發者在事件被揭發後,已分別即時下架及更新受感染應用程式,但若用戶沒有及時移除或更新程式,仍有資料外洩的風險,因此應盡快為其裝置及應用程式進行更新。若想了解所用的應用程式是否存有XcodeGhost,可聯繫蘋果公司。
港「隱形殭屍」電腦 上季增9% (Chinese Version Only)
本欄上期引述香港電腦保安事故協調中心的「2015年第三季香港保安觀察報告」有關「惡意程式寄存」事件的部分,現在繼續分析關於殭屍電腦的調查。報告顯示香港的「隱形殭屍」電腦在過去一季增加了9.2%至5,945部,當中首次進入本港十大殭屍網絡排名榜甫佔第二位的Bamital,便感染了1,623部本地電腦。
Bamital於2009年被首次發現,是一種點擊詐騙 (click fraud) 的惡意程式,透過「路過式」下載(drive-by-download)及以點對點(P2P)網絡散播。電腦受感染後,Bamital會監視其瀏覽器搜尋查詢,透過竄改搜尋結果,將用戶帶至惡意網站或網絡罪犯指定的網上廣告,籍著推高廣告點擊率而獲取利潤。此舉不但對網絡用戶構成不便,還會增加他們感染其他惡意程式的風險。此外,網絡廣告商亦會因有關行為而承受嚴重的金錢損失。
針對這問題,微軟及網絡保安公司Symantec於2013年2月聯手取締Bamital殭屍網絡的基礎設施和控制及指揮中心伺服器,並重新引導受感染的電腦至一個有清除Bamital方法的網頁。至於為何本港在今年第三季突然冒出大量的Bamital殭屍電腦,協調中心估計可能是有網絡保安研究機構承接了警告網頁域名的使用權後,將曾連線該網頁的IP地址發佈給相關機構跟進有關。
歸根究柢,企業及網絡用戶要避免淪為殭屍網絡的一份子,除要定時更新修補程式外,還要安裝有效的保安防護工具等。詳情可參考協調中心的《殭屍網絡偵測及清理》網上指引。
小心網站 成電腦病毒傳播器 (Chinese Version Only)
最近天氣驟涼驟暖,大家稍不留神便容易中招,染上流感,最令人頭疼是很多時病菌不知從何傳來,令人防不勝防。香港的網絡世界在近半年也進入「流感」活躍期,根據香港電腦保安事故協調中心最新一季的「香港保安觀察報告」,本港的「惡意程式寄存」事件大幅上升,由今年首季的1,329宗躍升至第三季的8,374宗,反映惡意程式的殺傷力正迅速上升。
顧名思義,「惡意程式寄存」是指黑客成功入侵保安不佳的網站後,暗中將惡意程式存放於伺服器內。當互聯網用戶瀏覽被入侵的網站時,會不知不覺下載惡意程式,令其系統受感染中招。若網站負責人未能及時處理,惡意程式會像流感般散播開去,更多網絡用戶受感染,網主的聲譽亦會受損。同時,被入侵網站或會被部份保安軟件或網絡服務供應商列入黑名單,令訪客無法連接網站及存取內容。更有甚者,黑客可能進一步入侵伺服器,進行其他攻擊。
為免成為入侵目標,網站負責人須做足保安措施,包括定期更新伺服器的操作系統和應用程式,並為伺服器安裝最新修補程式;亦要按照最佳實務守則管理使用者帳戶和密碼,以及在控制界面使用周詳的認證方案,例如雙重認證等。此外,網站必須核實客戶在網上應用程式的輸入及系統的輸出,避免遭黑客插入惡意程式碼。
電子錢包涉私隱 切勿亂下載 (Chinese Version Only)
最近有電子錢包服務以手機應用程式推出市場,聲稱可代客繳付本地公用事業公司費用,有關公用事業公司機構隨即否認授權該公司提供服務,事件引發公眾討論。
電子錢包服務近年於香港急速發展,為市民提供一個新的電子支付途徑,但當中卻衍生新的保安危機,用家需要權衡利弊。撇開電子錢包服務供應商與公用事業公司之間的爭議,以手機應用程式支付費用,由於涉及敏感個人資料,所以用戶必須格外小心。
細閱權限 設定複雜密碼
用戶在下載程式時,需同意向服務供應商提供手機內多個項目的存取權,當中大部分是涉及用戶的個人資料,例如相片、短訊及通訊錄等。若服務供應商的資訊保安不足,便會增加資料外洩的風險,甚至可能被不法份子盜用作虛假交易圖利。
大家下載電子錢包手機應用程式前,應細心閱讀程式涉及的所需權限及使用條款。另外,需採用較複雜的密碼登入,例如至少8個位,及由數字、符號、大細階英文字母混合組成。
選用受法例監管供應商
用戶選用有信譽及受法例監管的電子錢包供應商也非常重要,以免日後服務突然停止運作而未能取回錢包內的餘款;同時亦要小心防範假冒或來歷不明的應用程式;更不要為了獲得價格折扣或贈品等「著數」優惠,而隨意下載電子錢包服務,以致因小失大。
加強國際合作 利保網絡安全 (Chinese Version Only)
網絡世界無邊無際,要確保資訊安全,除了市民及企業須經常審視及維護本身的保安措施外,跨境的資訊保安協調工作就需由相關的國際組織通力合作。今年首10個月,香港電腦保安事故協調中心處理的近四千宗個案中,便有八成是由海外的資訊保安機構轉介過來。
為加強與海外機構的協作,協調中心今年九月派員到馬來西亞吉隆坡出席亞太區電腦保安事故協調組織的年度大會及研討會議。大會今年主題為「Bridging the World - Go Cyber Green」,透過加強國際之間合作,構建更安全、更健康的網絡生態系統。與會者討論了多個近年熱門的資訊保安議題,包括嚴重保安漏洞的事故處理、物聯網普及的保安挑戰,以及雲端技術的安全使用。協調中心亦借此機會介紹自資開發的全球網絡保安資訊收集及分析系統(IFAS),並獲得海外專家的好評。
協調中心透過參與這些活動,掌握網絡保安的新趨勢及與其他電腦事故應變組織交換心得,加強合作。除了海外分享外,協調中心亦會定期與普羅市民分享這些最新保安資訊,例如本月27日在中央圖書館舉行的「共建安全網絡2015:網絡保安 四面八方」研討會,便會分析本地網絡罪案的最新趨勢,亦會探討網上及流動銀行、雲端服務及無線網絡和流動裝置等熱門資訊科技保安議題,與大家分享實用的網絡保安「貼士」,適合大小商業機構及市民參考和應用。
安全管理fb 審慎界定使用權 (Chinese Version Only)
近年不少公眾人物、企業,甚至政府機構紛紛設立Facebook專頁,透過定期發佈文章、相片和短片等,主動與支持者、網民及市民大眾,分享機構資訊以至生活的點滴,加強溝通和交流,這既可貼近市場及市民心聲,同時又可突出品牌或機構的形象。
與推行任何網上推廣計劃一樣,用戶必須小心管理帳戶,才能達致理想的宣傳效果,否則適得其反,令形象受損。例如早前便有政界人士按入由Facebook友人傳來、暗藏惡意病毒的推介軟件連結,而遭黑客盜名向其數千名Facebook好友傳送同一條連結,累及「粉絲」遭受惡意軟件攻擊的威脅。
用戶在建立及管理Facebook專頁時,需作多方面的安全考慮。除要留意發佈的內容是否可以公開,以及會否招致其他人反感外,還要審慎界定訪客的使用權限,包括能否在用戶的Facebook專頁上發佈或回應貼子、限制不雅用語、標註專頁上的相片等。另外,用戶亦不要隨便按下其他Facebook好友傳來的推介軟件連結,以防受到惡意攻擊。
用戶若不是親自打理Facebook專頁,應找值得信賴的人士擔任專頁的管理員。此外亦要做足帳戶保安,例如定期更改登入密碼,並且建議啟用Facebook的「登入許可」雙重認證功能,以防黑客入侵帳戶,肆意破壞及篡改Facebook內容。
NFC拍卡付款 小心資料被盜 (Chinese Version Only)
最近香港金融管理局公布,多間本地銀行發行的具有拍卡付款功能的信用卡有保安漏洞,引起全城關注。這類感應式信用卡無須使用讀卡器或「刷卡」傳輸數據,只需以近場通訊技術(Near Field Communication,簡稱NFC)透過短距離無線傳送數據,進行付費交易,十分方便,因此近年越來越普及。
不過,利用NFC付款也存在保安風險。據金管局的公布指出,若不法份子利用某些流動應用程式靠近這類感應式信用卡時,就有機會讀取持卡人姓名、信用卡號碼、有效日期及部分交易紀錄等敏感資料。他們取得有關資料後,可隨時盜用他人身份,在不須輸入驗證碼的購物網購物圖利。
雖然金管局已要求有關銀行採取一系列的補救措施,包括停止發行有問題的感應式信用卡、盡快通知受影響的客戶,以及安排更換和補發,但持卡人本身亦可以採取方法自保。例如市民可使用附有金屬薄膜的卡套/金屬卡片盒,或以錫紙製成保護套存放;同時不要將感應式信用卡放在接近錢包外層的間隔。此外,消費者要定期翻查交易紀錄,並啟用銀行提供的交易通知短訊服務。若發現可疑交易,應致電信用卡中心或商戶查詢。要了解更多NFC的保安方法,可參閱香港電腦保安事故協調中心的《近距離無綫通訊(NFC)保安指南》。
危機處理:電腦保安應變小組立即出動 (Chinese Version Only)
近年大型企業資訊保安事故頻生,加上網絡攻擊的手法層出不窮,企業即使已擁有先進的網絡安全設備,亦不能制止系統遭入侵或其他惡意行為攻擊。另外,許多企業在日常營運中亦未有充分考慮資訊保安的風險管理,當發生事故時便手忙腳亂,不知從何入手化解危機。
針對這情況,有些機構會成立電腦保安事故應變小組專責處理。當發生事故時,這些應變小組會即時啟動,除協助識別和分析事故外,亦會執行適合企業本身的緩解及應對策略,以減低對企業的損害。
一個完善的電腦事故應變小組需具備三方面的能力,包括:
- 組織能力 - 當事故發生時,能在短時間內分流、調查及解決問題,同時要懂得協調內外各方和服務供應商。此外,亦需取得管理層信任執行應變策略;
- 技術操作 - 分析入侵者如何攻擊系統和他們的動機,熟悉網絡協議、操作系統及服務,以及偵測和收集攻擊信息的能力;以及
- 法律知識 - 由於應變小組的工作範圍很大機會會觸及與網絡保安相關的法律問題,以及需與執法機構聯繫,因此需具備數據保護、濫用電腦、網絡監控、收集證據等基本認識。
隨著網絡攻擊介面及模式愈趨多樣化,企業及機構應盡快設立電腦保安事故應變小組。想了解更多這方面詳情,可與香港電腦保安事故協調中心聯絡。
採用網絡儲存設備 保安要正視 (Chinese Version Only)
為方便存取或分享電子檔案,越來越多的企業及個人電腦用戶都會採用預載有管理系統的網絡儲存設備[NAS - Network-attached Storage]代勞。不過,有些用戶為了能隨時隨地存取或分享網絡儲存設備內的檔案,將設備「暴露」於互聯網,未有充分考慮當中暗藏的保安風險。
為了進一步了解本港網絡儲存設備的應用安全情況,香港電腦保安事故協調中心今年8月選取7個較熱門的小型網絡儲存設備品牌,利用互聯網服務搜尋器分析。結果發現全港目前約17,500部網絡儲存設備連接到互聯網,而當中大部分更可直接進入設備的預設管理介面通訊埠並找出設備的所屬品牌,令黑客有機會由此猜出預設管理介面的登入名稱及密碼。
若用戶在安裝設備時未有更改管理介面的預設設定,攻擊者可輕易破解密碼進入系統,取得管理員帳號,更改網絡儲存設備的所有設定及安裝惡意程式,例如加密勒索軟件等,進行不法勾當。
網絡儲存設備用戶若要防範黑客攻擊,除要留意使用的設備有否足夠的保安設施外,亦要緊記如非必要,切勿將設備向互聯網開放存取及開啓不必要的附加功能。此外亦要修改預設的網頁管理介面通訊埠,並定期更新管理員密碼。為免遭加密勒索軟件攻擊後未能復原檔案,設備用戶更需定期為檔案備份,詳情可參閱協調中心的「數據保護指引」。
嵌入式系統遇襲 隨時致命 (Chinese Version Only)
照相機、交通燈、家庭電器、飲品售賣機、磁力共振成像裝置,這些設備看似互不相干,其實它們共通之處是皆具備感應、數據收集及通訊功能的嵌入式系統,使用者才能順利操作。
這些嵌入式系統連接互聯網後配合流動技術、雲端運算、社交網絡及大數據等分析一併使用,便組成「物聯網」。例如一名工廠的技術人員只需利用智能手機或平板電腦,便能隨時隨地監控生產線,提升工作效率;他又可以同樣方式操作家中的電器,令生活更便捷。
這些新興資訊科技的融合雖然為用者提供多姿多采的新體驗及更豐富的功能,但同時也令數碼及實體世界的分野變得模糊。各種數據,由個人資料、交易資料以至重要系統的環境數據等,都可以在相對開放及不受監管的互聯網上傳送,大大增加了保安風險。
例如任何系統故障或黑客入侵事故,都會影響有關設備的運作,更有機會波及相連的系統設施,影響日常生活或商業運作,造成沉重經濟損失,嚴重者甚至危及性命。今年7月,有美國網絡保安專家便成功示範入侵一架正在行駛中的汽車的智能系統,遙距控制軚盤轉向、煞車系統、引擎開關等重要系統。這次示範正好反映針對網絡嵌入式系統的攻擊再不是無稽之談。
要有效防範網絡黑客入侵嵌入式系統,無論各行各業都必須定期評估其系統,及審視周邊環境的網絡保安威脅,並經常保持系統更新,以策萬全。
官方App商店 暗藏惡意程式 (Chinese Version Only)
智能手機越來越普及,功能亦越來越多,系統處理能力已可以媲美個人電腦。近年不少黑客亦已著手編寫專門針對智能手機的惡意程式,並偽裝成一些受歡迎的免費應用程式,放在Play Store或App Store等官方應用程式商店,吸引智能手機用戶下載。
由於Play Store的上架程序較寬鬆,而應用程式的權限過於繁複,沒有提供官方設定頁面讓使用者停用個別應用程式的不需要權限,令惡意軟件開發者易於發放惡意程式,攻擊Android 系統手機。自2013年7月起,香港電腦保安事故協調中心每月會從香港 Play Store下載約200款熱門及新上架的免費應用程式,檢測當中的惡意及可疑行為,過去一年便發現63款保安風險較高的應用程式。
至於App Store,程式的上架程序雖然較為嚴格,亦沒有太繁複的應用程式權限需要手機用戶自行選擇開放與否,並且可以獨立停用程式的部份權限,所以在iOS系統手機安裝應用程式看起來較為安全。不過由於平台政策不容許第三方的防護程式上架,用戶只能依賴系統所提供的保護。
無論使用任何一款作業系統的手機,都須注意所安裝的應用程式是否可信,所需的存取權限又是否恰當。此外,惡意程式往往通過手機系統和應用程式漏洞發動攻擊,因此必須持續更新系統及應用程式,及切勿將手機解鎖(jailbreak或root機),解取手機原有的保安設定,讓黑客有機可乘。
Android揭漏洞 勿自動下載MMS (Chinese Version Only)
今年7月下旬美國網絡安全公司Zimperium透露,在Android作業系統的媒體程式庫發現一個名為StageFright的保安漏洞。黑客只需向目標手機發出含有惡意程式的多媒體短訊(MMS),再利用智能手機的自動預載MMS 影片功能,無需用戶開啟訊息或安裝程式,便可令手機自動執行惡意程式碼。這消息迅速令全球近10億的Android手機用戶陷入一片恐慌。
Android系統開發商Google隨即為自家出品的智能手機提供修補更新,不過其他品牌的Android手機則要等待相關生產商安排更新時間表,始能堵塞漏洞。由於不同品牌手機生產商的系統更新時間表不一,需花上一段時間,才能完成所有修補。部份系統版本較舊或入門級的Android手機更可能無法更新,用戶可能需承受極大的保安風險。
作為臨時解決方法,Android手機用戶可關閉「設定」下「SMS/多媒體信息」部分的「自動擷取」選項。他們亦可考慮啟動「設定」內的「阻擋所有不名發送者的短訊」選項;且不要開啟來歷不明的MMS短訊,以及移除手機網絡存取點名稱內所有MMS相關設定。這些方法或會令用戶接收不到部分重要資訊,因此採用前需先評估本身可承受的風險。
Apps開發商 宜設通訊加密保護 (Chinese Version Only)
本欄上周介紹由香港電腦保安事故協調中心及專業資訊保安協會進行的「香港流動應用程式交易安全」研究,並為一般用戶提供交易安全「貼士」,現續談對提供應用程式的機構及開發商的啟示。
是次研究的130個應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87%以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。研究人員認為,這可能與相關程式開發商對通訊加密保護認識不足,或不了解沒有驗證數碼證書的保安問題有關。
協調中心已把研究發現的34%有保安漏洞的應用程式個案,轉交擁有該程式的機構或相關的監管機構跟進,他們的反應亦非常正面,願意積極跟進或改善。
要堵塞交易安全的漏洞,提供應用程式的機構可要求開發人員或開發商設計程式時,必須採用通訊加密保護,並將此要求納入招標規格,以及在推出程式前進行獨立驗證。程式開發商也可主動提出類似建議。
協調中心及專業資訊保安協會亦編製了《流動應用程式(SSL實施)最佳行事指引》,提供應用程式的機構及開發商可從協調中心網站(www.hkcert.org)下載作參考。
Apps無加密保安 黑客乘虛而入 (Chinese Version Only)
大家都習慣利用流動應用程式及Wi-Fi無線上網處理日常生活的大小事務,例如銀行財務、股票交易、以至外賣、訂票旅遊等,過程中會有大量敏感的交易資料暴露於網絡世界中,讓網絡罪犯有機可乘。
通訊加密及網站驗證是進行安全網上交易的兩大重要保安措施。若以瀏覽器進行網上交易,這些保安措施顯而易見,例如網址開端所顯示的「https」,表示網站有採用加密連線;而有核證機關驗證身份的網站,網址列的前端或後端亦會顯示完整的「鎖頭」圖示。但若以流動應用程式進行網上交易,則沒有這類安全標誌提示。
香港電腦保安事故協調中心及專業資訊保安協會最近進行的「香港流動應用程式交易安全」研究,測試了130個本地用戶常用的香港網上交易服務流動應用程式,結果發現34%應用程式沒有採用通訊加密技術(Secure Lockets Layer,SSL),或沒有驗證數碼證書,情況令人關注。
若流動應用程式沒有採用足夠的通訊加密保安措施,黑客可設立虛假的Wi-Fi存取點,並利用偽冒數碼證書,中途攔截或修改傳輸中的數據作不法勾當,令用戶資料外洩或蒙受經濟損失。
要進行安全的網上交易,切勿透過公共Wi-Fi網絡傳輸敏感資料。若對應用程式的安全存疑,可採用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易;並且只在官方網站下載應用程式,更不要在流動設備上安裝來歷不明的軟件或數碼證書。
「官方機構」來電 小心核查防騙 (Chinese Version Only)
雖然近期電話騙案的數字稍為回落,但市民不幸受騙而引致損失的報導,仍時有所聞。報導指騙徒會利用電腦通訊軟件結合自動撥號程式,短時間內打出大量網絡電話,電腦再透過互聯網連結手機應用程式,假冒內地或本港不同機構的電話,再配合事先準備好的假冒官方機關網站行騙。
香港電腦保安事故協調中心最近亦收到兩個相關查詢,並第一時間為諮詢人提供處理建議,以及聯絡網絡服務供應商,停止該假網站的對外運作。
互聯網拉近了世界各地的距離,應用也越來越廣,甚至可提供通話服務。騙徒便看準一些對電訊公司監管不足的國家,利用當地電訊商撥出假冒電話號碼的撥號連線。由於電訊商之間是互信的,所以打進香港的電話會顯示當地電訊商傳出的電話號碼。
一般普羅大眾根本無法辨別所顯示的來電的真確性,因此只能依賴電訊供應商提供更好的識別方法,例如早前電訊管理局提議當境外致電到本地時的來電電話號碼加入識別附號,增加使用者確認來電者的真偽。
至於假冒官方機關的網站,其實只要使用網絡搜尋器搜尋騙徒所說的機構名稱,應不難找到相關機構的官方網頁網址作對比。若存有疑問,亦可致電該機構查詢,以策萬全。
惡意軟件攻擊 Linux難倖免 (Chinese Version Only)
不少中小企印象中認為Linux 作業系統成本低廉、較少受惡意軟件針對,因此租用或購置有關伺服器以分享檔案或設立網站。然而,跨國資訊保安公司ESET今年4月底宣布發現一款專門針對Linux系統,並已活躍至少五年的惡意軟件Mumblehard。
據了解,用戶的伺服器感染該惡意軟件後,會暗中聯繫其指揮中心,並接受指示發出大量垃圾郵件。若是電郵伺服器,則可能會被其他電郵伺服器列入黑名單,繼而無法正常傳送郵件,嚴重影響公務運作。更有甚者,用戶的伺服器或會感染其他惡意軟件,而被用作進行非法活動,例如參與網站攻擊等。據香港電腦保安事故協調中心獲得的資料,全球有逾3,000部Linux伺服器感染了Mumblehard惡意軟件,其中約1%來自香港。
尤如其他作業平台或裝置一樣,若不做足相關保安措施,Linux系統都會輕易成為不法份子的獵物,用戶可能因而蒙受金錢或其他商業利益損失,甚至在不知情下參與網上非法活動。因此,對於一般的Linux 伺服器,保持系統及軟件更新永遠重要,而需對外開放的伺服器則要使用進階的資訊保安方案,例如次世代防火牆(Next-Generation Firewall)、入侵預防系統(Intrusion Prevention System)。若伺服器設有內容管理系統,或是由外聘的設計公司編寫網頁,用戶必須確保系統經常更新,以及為編寫的網頁進行漏洞掃描並修復程式漏洞才可上線,防止不法份子透過網頁程式漏洞入侵伺服器。
惡意程式加強版 巧避保安偵測 (Chinese Version Only)
為偵查及了解最新的惡意程式,資訊保安研究人員普遍會採用名為「沙盤」的安全機制,在隔離的模擬作業環境下,執行惡意程式,以作分析。此舉可避免惡意程式有機會破壞其他系統,影響編制新的保安軟件定義。
然而,據香港電腦保安事故協調中心發表的最新一季《香港保安觀察報告》,兩款能偵測沙盤兼針對網上銀行的變種惡意程式Tinba及Dyre,竟擠身本地十大殭屍網絡排行榜,分別排第七及第九位,情況令人關注。
經漏洞入侵工具及垃圾電郵散播的Tinba惡意程式於2012年首次於土耳其發現,它會趁電腦用戶與目標銀行進行連線時,暗中截取受害者的登入憑據,再將資料傳送至殭屍網絡控制中心。為免在沙盤上敗露蹤影,它會先檢查用戶的滑鼠位置和現用視窗,若發現長期不變更,便不會執行主程式;此外亦會偵測電腦硬盤的大小,若容量太少,該環境很可能是個沙盤,程式便會自動關閉。
Dyre惡意程式則會監察被入侵用戶的網站瀏覽紀錄,然後不法份子會利用假網頁及冒充「獲授權人士」,哄騙受害者的重要資訊,再進行虛假交易。當進行入侵時,該程式會檢查電腦處理器的核心數目。若被入侵的電腦僅有一顆核心,程式會馬上關閉,這是由於大部份沙盤只會模擬單核心處理器,而現今電腦處理器則是多核心,因此這反偵測技巧雖然簡單但卻非常奏效。
面對惡意程式越來越難於被偵測,電腦用戶除了要做好基本的保安措施外,亦應主動參與殭屍網絡清除行動,確保自己電腦沒有被惡意程式感染及控制,詳情可參閱協調中心的《殭屍網絡偵測及清理》網上指引。
視窗伺服器2003停支援 須盡快升級 (Chinese Version Only)
繼視窗XP後,微軟今年7月14日起亦停止支援企業過往常用作儲存網站伺服器及數據中心伺服器的視窗伺服器2003作業系統,不再提供修補程式。企業若仍運行有關作業系統,其伺服器將不獲安全防護而極易遭受外界攻擊。
綜觀以往經驗,網絡不法份子一般會從新版本作業系統的修補程式入手,從中找出攻擊舊版本系統漏洞的方法,然後入侵他人電腦。據了解,不少加密勒索軟件事故的受害者,正正因為使用了沒有官方支援服務的作業系統而中伏。
部分仍使用視窗伺服器2003的企業及個人用戶或會在官方終止支援後,選擇採用第三者提供的修補程式,以延長系統的安全使用期。然而,這些程式的開發者對系統內部結構的認知,以及處理各種環境和應用的經驗,始終不及官方的全面,程式的可用性及兼容性皆存疑。他們亦沒有任何合約義務,用戶難以問責。更有甚者,黑客或可藉機以暗藏木馬程式的偽冒修補程式作招徠,令用戶在不知底蘊下安裝惡意軟件,最終得不償失。
香港電腦保安事故協調中心呼籲仍使用視窗伺服器2003或一些舊有應用程式的本地企業,將系統盡快升級或轉換至其他操作系統,這才是確保電腦繼續安全運作的唯一有效方法。
免費保安工具 防衛網絡大門 (Chinese Version Only)
香港電腦保安事故協調中心經常收到市民及企業查詢,市面有哪些既免費又有效的電腦及網絡保安工具。以下介紹一些實用的免費保安資源及工具給大家作參考。
在防惡意程式軟件方面,除了有網絡保安公司提供最新保安軟件的試用版供用戶免費下載外,一些具公信力的獨立保安軟件測試組織,例如AV-TEST、AV-Comparatives等,會定期測試市面上的保安軟件,並從保護力、性能表現和可用性等多方面評分,然後公開測試結果,方便用戶選購適合個人或公司保安需要的軟件。
此外,網上也有一些免費在線保安偵測工具,例如Google開發的VirusTotal惡意程式掃瞄服務,可即時分析可疑檔案、手機軟件和網址,有助快速偵測病毒、蠕蟲、特洛伊木馬及其他惡意軟件。國際網絡保安機構NoVirusThanks設立的惡意網站搜尋平台URLVoid,則透過不同的搜尋引擎黑名單(search engine blacklists)和在線聲譽管理(online reputation management)工具,協助大家識別涉及惡意軟件事件、欺詐活動和釣魚網站的網址。
不過用戶使用時需注意,這些免費服務大多利用已知的惡意軟件的特徵碼作偵測,至於針對還沒有修補程式的保安漏洞發動的攻擊,或新爆發的網絡攻擊則未必奏效,因此只能視作輔助保安工具。雖然這些保安工具可提供防禦大門的作用,但電腦用戶仍需時刻保持警覺,當收到可疑的檔案和網址時,切勿點擊開啓或輸入個人資料;並要定期更新作業系統、應用軟件和保安軟件的資料庫,方為上策。更多保安工具的資訊,可參閱協調中心網站(www.hkcert.org)的「保安工具」專頁。
Ramnit殭屍網絡 連根拔起 (Chinese Version Only)
今年二月,歐洲網絡犯罪中心(EC3)聯合多個國家的執法部門及網絡保安公司發起名為“Operation Rubly”的聯合行動,瓦解一個名為Ramnit的殭屍網絡,搗破它操控他人電腦以竊取銀行網站登入資料及電腦系統敏感資料檔案的不法行為。
Ramnit是一種針對視窗系統的惡意程式,透過感染硬碟上的exe、dll、htm和html檔案來迅速自我繁殖,於2010年被首次發現。經過多年的演變,現在已能透過多種方法進行攻擊,包括利用被入侵網站和社交媒體網頁託管軟件的漏洞攻擊組件、透過公共FTP伺服器分發惡意軟件及捆綁式安裝來歷不明的閒置應用程式。根據國際網絡保安公司Symantec估計,全球逾320萬部電腦已被Ramnit惡意程式感染。
香港電腦保安事故協調中心雖然沒有參與是次聯合行動,但亦從行動成員收到本港電腦被Ramnit殭屍網絡感染的報告,約有150個本港IP地址曾連接至由海外資訊保安研究人員設立的模擬殭屍網絡指揮控制中心伺服器(sinkhole),反映使用這些IP地址進行連線的電腦或已感染Ramnit惡意程式,並成為其殭屍網絡的一分子。協調中心獲得有關名單後,已立即通知涉及的本地互聯網服務供應商,轉告受感染的用戶作補救行動。
電腦用戶可為電腦執行完整掃描,以確定其電腦有否被Ramnit惡意程式感染,詳情可參考協調中心的《殭屍網絡偵測及清理》網上指引。另外,由於受害者的銀行登入資料或已被竊取,因此建議在清除惡意程式後,立即變更登入密碼。
轉賣手機前 資料須「永久」清除 (Chinese Version Only)
大家在賣掉、轉贈或丟棄智能手機前,都會使用機內的「恢復原廠設定」(Factory Reset)功能,刪除手機及外置記憶卡內的所有個人資料、圖檔及應用程式,防止數據外洩。但英國劍橋大學最近進行的研究指出,這項功能存在應用缺陷,不法份子仍然可以偷取Android手機用戶的敏感資料。
該研究測試了五家公司共21款熱門二手Android手機,系統版本由v2.3.x至v4.3,結果發現即使完成「恢復原廠設定」程序,仍然能夠讀取部分資料,例如帳戶資料、曾安裝的手機程式、聯絡人資料、瀏覽記錄、Wi-Fi設定、多媒體數據、通訊內容等。研究人員認為這可能是手機生產商沒有妥善應用清除指令,因此存有敏感資料的數據分區未能完全刪除。據估計高達5億部Android手機存在這安全漏洞,情況令人憂慮。
要防止敏感資料外洩,Android手機用戶應時常更新作業系統,並啟動裝置內的「安全」設定的加密手機功能[Full Disk Encryption (FDE)],以及採用高強度的密碼,以增加黑客破解手機的難度。若要清除手機數據,可利用永久數據刪除工具,在電腦上覆寫及清除外置記憶卡內的數據,詳情可參考香港電腦保安事故協調中心網站(www.hkcert.org)內的「保安工具」專頁。
網購尋着數 小心假賣家陷阱 (Chinese Version Only)
上文介紹網上騙徒會利用官方網店的討論區及意見欄佈下釣魚圈套,引君入甕。其實針對網購用戶的騙案手法,也經常涉及其他通訊渠道。
不少網購用戶為取得更多產品資訊或「著數」優惠,會利用官方即時通訊程式與賣家直接聯絡。騙徒便會趁機假扮賣家與用戶聯絡,以折扣優惠及送贈品作餌,要求對方登入其在即時通訊程式上所提供的超連結。若用戶不為意,便會墮進釣魚陷阱,蒙受金錢損失或帳號被盜用之苦。
以非官方即時通訊程式進行交易是另一種常見的網購欺騙手法。騙徒通常會使用跟網店相似的帳戶名稱,以非官方即時通訊程式聯絡買家,要求對方將交易金額存入指定銀行戶口,令買家貨財兩失。更有甚者,黑客在買家的電腦暗中植入惡意軟件,讓不法之徒掌握其交易資料及網購喜好,再為用戶度身訂做騙局行騙。
要避免成為這類騙案的受害者,網購用戶的資訊保安「基本功」不能或缺。例如為進行網購的電腦和智能裝置安裝防毒軟件,定期更新病毒碼,及緊記切勿安裝不明來歷的軟件或登入可疑網站等。此外,用戶應只透過官方網店購物及使用官方即時通訊程式進行交易,並需留意網店提供的最新防詐騙貼士。大家最重要記住「便宜莫貪」這四個字,才不會因小失大。
常見的網購保安陷阱 (上) (Chinese Version Only)
今時今日,網上購物已經非常普遍,由生㓉的必需品至奢侈品都可以在各大網站訂購。網購固然能讓消費者可以足不出戶地享受購物的樂趣,但同時也為不法分子製造機會,進行各種網上罪行,例如最近便有市民因網購而誤墮釣魚圈套,被騙徒從其內地銀行戶口盜走43萬多元人民幣。
針對網購用戶的網絡攻擊近年層出不窮,本欄將一連兩篇介紹這方面的常見攻擊技倆及防範方法,以提升網購用戶的保安意識。
首先,很多網購平台會設有討論區或意見欄讓用戶就產品抒發己見,不法分子便會利用消費者「先看評論後購買」的習慣來進行釣魚攻擊。他們會先在網上評論某產品,再訛稱在購買後始發現有其他網店正以更便宜的價格發售該產品,並提供超連結或二維碼(QR Code),方便其他消費者前往購買。若用戶信以為真,進入有關超連結或掃描二維碼,便會被帶到一個釣魚網站,不法分子則乘機竊取用戶的信用卡或支付帳號、密碼等資料。
另外,該釣魚網站甚至會以不同理由誘騙網購用戶安裝一些不明來歷的軟件,例如提出只有安裝A軟件才能以優惠價購買B產品等。若用戶不虞有詐,其電腦及智能手機可能會感染惡意軟件,淪為殭屍網絡的一份子。
因此網購用戶不應盲目相信網站討論區或意見欄上的留言。若發現一些可疑留言,要立刻通知討論區或意見欄負責人,第一時間處理,以免其他用戶中招。
保安政策知會員工 增客戶信心 (Chinese Version Only)
本欄早前簡單介紹了制定基本電腦保安政策的規管範圍。既然有政策,便需認真落實和執行,絶對不能束之高閣,直至進行稽核或發生事故後,方才讓它重見天日。
企業一旦擬定電腦保安政策後,要先讓使用者確認內容。例如很多公司會將政策文件上載至內聯網網站,及以電郵方式把政策複本送至各員工。員工須簽署聲明,確認已閱讀政策並了解內容,該聲明亦會存入其個人檔案。至於新入職員工,電腦保安政策則可納入其迎新文件內。
若政策有所修訂或更新,公司需透過電郵、內聯網網站、文件傳閱等方式發布;同時亦要為員工定期舉行內部講座,解釋政策細節,令員工清楚知道政策內容及在何處查閱有關文件。有關檔案能證明公司已盡力把政策傳達給全體員工。
無可否認,執行電腦保安政策在技術上有一定困難,因此公司可引入企業網絡監控系統,以便更有效地管理員工在公司網絡上進行的活動;亦可使用代理伺服器,防止員工透過公司網絡瀏覽不良網站。
一間公司如何制定和執行電腦保安政策,需視乎本身的企業文化及有賴公司管理層的支持。若能讓員工充分明白政策內容、通報機制和罰則並遵從,將有助提高公司的資訊保安,增加客戶信心。
電腦保安4招 企業防網絡攻擊 (Chinese Version Only)
隨着員工「自攜設備」(Bring-Your-Own-Device,簡稱BYOD)已成大勢,企業亦意識到要加強資訊保安,以防範層出不窮的網絡威脅。
列使用指引 限遠端存取
不過,他們很多時只會着眼投資於保安軟件方案,而忽略為公司制定一套完善的電腦保安政策。
基本的電腦保安政策一般包含電腦使用、遠端存取、使用者帳戶和密碼及防火牆四方面,現簡介如下:
- 電腦使用政策會清楚列明可在公司網絡或系統內進行的活動及應用指引,例如電郵使用、免費軟件和硬件使用、公司數據保安和自攜設備使用等。公司更可特別提醒員工,一切有關活動皆受到監察。
- 遠端存取政策則需列出員工進行遠端存取活動的各種責任,包括應用公司資訊時需注意的事項、公司系統的遠端使用權限和保安措施等。公司也可規定員工只能使用公司提供的電腦進行遠端存取。
管理帳戶密碼 設定防火牆
- 使用者帳戶和密碼政策,顧名思義就是關於密碼設定,例如密碼的最小長度,應包含的字元和更改頻率等。這政策亦可包括對管理使用者帳戶的建議,例如申請新帳戶和帳戶權限的審批程序。
- 最後,防火牆政策會介紹設定防火牆規則的守則和審批程序。例如在作任何改動前,須先經過資訊保安管理人員研究有關改變對保安架構的影響,再得到行政人員的審批,才可實行。
「加密勒索軟件」一中招自救法 (Chinese Version Only)
上文介紹了「加密勒索軟件」攻擊在本港的最新情況及一些基本的預防措施,但若網絡用戶不幸「中招」,是否只能無奈地向惡勢力低頭,繳付贖金以換取解密密鑰?其實,也不是完全沒有其他拯救方法。
電腦系統一旦落入加密勒索軟件的陷阱,用戶首先要立即將受攻擊的電腦離線,以防止惡意程式入侵內聯網絡檔案;跟著利用保安軟件為電腦進行完整掃描,並清除惡意程式。若在感染加密勒索軟件之前已為系統或數據建立備份,用戶便可即時復原系統和數據。
一般來說,如沒有備份系統,便無法復原被強行加密的檔案。但在以下兩個特殊情況下,用戶仍有機會復原檔案:
- 若感染較早期的加密勒索軟件,用戶可嘗試透過磁碟區陰影複製服務復原檔案。不過,新一代的加密勒索軟件都會把磁碟區陰影刪除,讓檔案無法透過此途徑復原。
- 「白武士」提供解密密鑰:部份資訊保安機構當成功搗破加密勒索軟件的指令及控制伺服器,及找獲解密密鑰後,會將之放在特設平台上。「中招」用戶可上載被加密的檔案至該平台,系統會嘗試尋找適合的解密密鑰以復原檔案。此外,部分變種的加密勒索軟件採用較弱的對稱加密算法,資訊保安專家可透過逆向工程分析重建解密密鑰,向用戶發放解密程式碼。
要防範於未然,香港電腦保安事故協調中心再次提醒互聯網用戶提高警覺,為重要系統及軟件備份,免令黑客得逞。
「加密勒索軟件」事故上升 網絡安全響警號 (Chinese Version Only)
今年五月下旬發生了一宗耐人尋味的網絡攻擊事件。一名自稱是加密勒索軟件Locker的幕後主腦,在軟件啟動後的第五天,突然在網上撰文,宣稱是次襲擊純屬意外,並立即無條件提供解密密鑰給遭勒索的網絡用戶,以解封被強行加密的電腦檔案,又承諾於6月2日自動解密檔案。該承諾據說亦如期兌現。
事件雖然戲劇性收場,但卻反映加密勒索軟件依然令人束手無策,而網絡罪犯採用的技術亦日趨隱蔽,難以偵測。
加密勒索軟件事故在本港亦趨惡化。香港電腦保安事故協調中心今年首五個月已收到逾30宗的相關求助個案,跟去年下半年7宗相比,情況已響起警號。同時,涉及的加密勒索軟件亦非常廣泛,包括CyptoLocker、CryptoDefense、CyptoWall及 CTB-Locker等。由於加密勒索軟件嚴重影響中小企及機構的業務運作,造成龐大經濟損失,因此必須加強防範。
互聯網用戶應留意可疑電郵,不要隨便打開附件,特別是壓縮檔(zip)或執行檔(exe)。用戶亦需要確保電腦系統安全,例如安裝保安程式及更新保安定義,並要定期更新作業系統及軟件,修補保安漏洞。
此外,用戶必須定時備份重要檔案,並將備份存放在安全、免受惡意程式影響的地方。若以雲端備份,應採用提供版本紀錄(version history)功能的雲端服務,若不幸「中招」,用戶也可輕易復原檔案,不受勒索威脅。
忽視SSL保安漏洞 網站雙重損失 (Chinese Version Only)
去年10月,Google發表了一個令全球數以億計的網站負責人及網上服務用戶震驚的消息:用作加密通訊及協助鑒定網站身份的安全通訊協定技術(Secure Lockets Layer,SSL),其v3.0版本出現嚴重的保安漏洞。黑客可利用該保安漏洞破解網站伺服器及用戶瀏覽器之間的加密連線,竊取甚至修改傳輸中的敏感數據和交易資料。
隨著SSL v3.0保安漏洞曝光,使用此安全協定進行加密連線已不再安全。然而,國際網絡保安研究機構Trustworthy Internet Movement每月進行的安全通訊協定使用調查卻顯示,現時全球最多人瀏覽的15萬個網站當中,仍有四成支援SSL v3.0,反映不少網站負責人忽視這保安漏洞的影響。
對企業來說,若客戶個人資料不幸被盜,除引致金錢損失外,更會打擊客戶對網站的信心,影響企業的長遠發展。因此網站負責人必須盡快採取措施加強保障資料傳輸,包括轉用新一代加密連線技術 - 傳輸層安全協議(Transport Layer Security,TLS),並停止TLS向下支援舊版本SSL的功能。
香港電腦保安事故協調中心網站(www.hkcert.org)亦從今年6月1日起停止支援SSL v3.0。電腦用戶想繼續安全地瀏覽網站內容,需使用能支援TLS v1.0版本或以上安全協定的瀏覽器,例如Internet Explorer 11、Chrome 40及FireFox v35或之後的新版本等。
流動即時通訊程式保安 – 企業篇 (Chinese Version Only)
上文介紹了個人用戶在使用流動即時通訊程式時需要注意的地方,以及可採用的資訊保安措施。企業方面,流動即時通訊程式在對內及對外的溝通上,應用範圍也十分廣泛,例如聯絡客戶和工作夥伴、提供顧客支援、接收即時知會、管理和協調項目等。
由於這種通訊當中涉及不少企業的重要資料,企業員工若不當地使用流動即時通訊程式,也會大大增加公司要承受的保安、財務、法律等風險,令企業蒙受重大損失。因此企業必須規管這類電子通訊模式在工作上的應用,並貫徹執行。
企業首先要制定流動即時通訊系統的使用守則,例如員工只能用指定的即時通訊程式;不能利用即時通訊傳送公司的敏感資料和內部文件、發表粗俗或誹謗性的言論;及員工的流動裝置需設定螢幕鎖等。企業還需就違反規定訂立明確的罰則,讓員工明白這些守則並非「冇牙老虎」。
此外企業應採用能支援自設訊息伺服器的流動即時通訊程式,以確保訊息的安全傳輸及儲存,還要定期為通訊內容及紀錄備份及離線儲存,以減低資料外洩的風險。企業亦可制定「自攜設備上班」(BYOD - Bring Your Own Device)管理方案,以確保員工時刻遵守公司的政策和設定。
最後,企業需定期為員工提供資訊保安培訓,協助他們了解使用即時通訊程式的保安威脅及公司政策,有助提升資訊安全意識,減低發生嚴重保安事故的風險。
流動即時通訊程式保安 – 個人篇 (Chinese Version Only)
隨著智能手機普及化,大家單純以「講電話」的方式溝通反而減少,而兼具語音、圖文及短片等多元化傳訊功能的WhatsApp、LINE或WeChat等流動即時通訊程式則大行其道。
不論你的手機使用哪個操作系統,只要下載程式及進行簡單登記,便可利用流動裝置與親友即時通訊,例如收發訊息、網頁連結、相片或其他類型檔案等十分方便。不過這些即時通訊程式的資訊保安風險也不容忽視,例如釣魚訊息或連結、散播惡意程式、敏感資料外洩、帳戶遭盜用及軟件存在漏洞等。
美國電子前線基金會(Electronic Frontier Foundation)去年曾經測試39款即時通訊程式,測試範圍包括在傳送訊息時有否加密、服務供應商能否讀取訊息、用戶能否辨識對方身分、有否清楚說明加密設計及程式碼是否可供獨立審核等。結果發現僅六款能夠通過全部安全測試,對用戶的保障亮起紅燈。
因此,大家在安裝流動即時通訊程式前,需充分了解其保安功能,例如訊息加密、私隱設定等,然後按照需要進行適當設定。另外,還要留意不明來歷訊息的連結和附件,以及切勿打開可疑的網頁和檔案。
流動設備用戶亦要避免利用即時通訊程式傳送個人及敏感資料。若程式有提供桌上或網頁版登入功能,用戶需妥善管理帳號,在每次使用後,應即時登出,以及避免使用記住帳號密碼功能。此外,用戶應為流動即時通訊程式保持更新,以確保程式的穩定性及修補已知的保安漏洞。
善用網絡保安資訊 (Chinese Version Only)
利用流動設備、個人電腦或企業的資訊科技基礎設施連接至互聯網,已成了大家日常生活的一部分,但若保安不足,便有機會成為網絡攻擊的目標,甚至被不法份子利用作網上攻擊或犯罪活動的工具。政府資訊科技總監辦公室及香港警務處已推出兩個全新資訊入門平台,加強普羅大眾的網絡保安意識,提防日趨猖獗的網上攻擊及相關罪案。
由政府資訊科技總監辦公室設立的「網絡安全資訊站」,內容包括供電腦用戶、中小企和學校參考的實用資訊保安建議及按部就班的指引;還可為電腦、流動通訊設備及網站進行安全檢測,並傳授防禦網絡攻擊貼士和技巧。此外更有最新的資訊保安公眾活動消息、專家之言,以及由專業機構提供的資訊保安故事。
「童叟無欺」則是香港警務處建立的綜合資訊平台,透過其流動應用程式、YouTube頻道和網頁,發放預防各種網上詐騙的信息,例如電子郵件詐騙、加密勒索軟件、社交媒體的詐騙和網上裸聊敲詐等。
除瀏覽上述網站外,大家亦可隨時登入香港電腦保安事故協調中心網站,以獲得最新的網絡保安資訊和防範建議;若發生重大的網絡威脅或保安漏洞,中心更會發出保安警報和與相關的機構協調及協作保安措施。
利用代理伺服器的釣魚騙案 (Chinese Version Only)
釣魚攻擊一直是網絡罪犯偷取敏感資料的常用技倆,攻擊手法亦層出不窮。香港電腦保安事故協調中心最近發現有網絡罪犯利用「代理伺服器」(Proxy Server)作掩飾,以妨礙遭入侵的電腦用戶及調查人員找出釣魚網站。
代理伺服器是互聯網用戶和網站之間的中間人,一般被用作暫存曾經瀏覽的網站內容,以加快回應;代理伺服器一般亦用於辦公室及校園網絡內以禁止瀏覽不良網站。
協調中心發現一些瀏覽器的「自動代理伺服器設定」因用戶的電腦感染惡意軟件而被騎劫,令網絡罪犯可集中更改代理伺服器設定,並自動傳到受感染的電腦。當受害者瀏覽網上銀行或電郵服務網站時,儘管輸入了正確的網址,有問題的代理伺服器就會把用戶帶到釣魚網站,因此比一般釣魚網站更難防範,所以安裝防毒軟件、保持操作系統及瀏覽器更新是最佳的預防措施。
此外電腦用戶切勿在瀏覽器設定來歷不明的代理伺服器作「翻牆」之用,因為此舉會「引狼入室」,讓黑客藉著騎劫代理伺服器,而將該電腦連接到惡意網站,損失難以估計。
本港殭屍電腦新趨勢 (Chinese Version Only)
本欄之前引述了香港電腦保安事故協調中心發表的2014年第四季香港保安觀察報告,介紹本地釣魚網站攻擊的最新狀況,現續談殭屍電腦的趨勢。報告顯示香港的「隱形殭屍」電腦輕微減少了2.8%至6,172部,感染Conficker、Zeus及ZeroAccess近年三大殭屍網絡的本地電腦更連續兩季下跌。
然而,被Pushdo殭屍網絡控制的本港電腦卻急升544%至406部。Pushdo惡意程式於2007年被首次發現,主要用於發送垃圾郵件、發動分散式阻斷服務攻擊,及下載其他針對銀行網站的惡意程式,例如Zeus等。它一直是全球最大的殭屍網絡之一,亦曾經在本港非常活躍,其後漸趨淡靜。近期有關個案數字急升,估計與去年九月發現的新版本Pushdo殭屍網絡有關,雖然資訊保安研究人員並未發現它的新功能及威脅,但該新版本有可能被黑客改裝成為攻擊工具。
要避免成為殭屍網絡的一分子,電腦用戶必須安裝及定期更新最新修補程式,還要使用有效的保安防護工具及設定強度高的登入密碼,並切勿採用盜版及沒有安全更新的作業系統、多媒體檔案及軟件,詳情可參考協調中心的《殭屍網絡偵測及清理》網上指引。
嚴防黑客 小心.tk及.pw頂級域名 (Chinese Version Only)
黑客入侵電腦的手法層出不窮,往往令受害的電腦用戶在不知不覺中蒙受損失。利用隱形「殭屍」電腦發動的網絡攻擊,便是當中的明顯例子。
為了提高公眾對本港電腦入侵狀況的「能見度」,香港電腦保安事故協調中心每季發表香港保安觀察報告,讓公眾掌握保安風險,改善資訊保安策略。
在2014年第四季的報告中,整體網絡安全事件的總數大幅減少,較之前一季下跌31%,更是自2013年第三季以來首次回落。
雖然這消息可喜可賀,但報告亦同時指出本地電腦被以.tk作為頂級域名的釣魚網站入侵的事件大幅增加272%,主要是針對淘寶網或支付寶意圖盜取資料及款項。
.tk是紐西蘭屬地托克勞(Tokelau)的頂級域名,但由於該域名可免費供公眾及小型企業使用,所以實際上世界各地的電腦用戶都可申請應用。正因如此,這頂級域名便經常被用作發送垃圾郵件及寄存釣魚網站,根據國際反網絡釣魚工作組報告,在2013年下半年的惡意域名登記當中,22%使用了.tk域名。
另一個頂級域名 .pw 遭濫用的情況亦有顯著增加。.pw原為太平洋島國帛琉(Palau)的頂級域名,但後來也跟.tk一樣,以“Professional Web”之名,開放給所有人使用。.pw也早已因被用作發放垃圾郵件而聲名狼藉,而最近濫用該域名作惡意程式寄存的事件亦有惡化趨勢。因此,大家要加倍留意附有這兩個頂級域名的網絡資訊。
Android「安全模式」 惡意程式剋星 (Chinese Version Only)
大家有沒有試過為移動設備安裝程式後即「死機」,或不能正常運作?很不幸你的設備可能感染了惡意程式。
一般來說,只需透過解除安裝,就能把它刪除。可是,一些惡意程式會在移動設備啟動後自動執行,令用戶不能解除安裝任何應用程式,最終可能要被迫重置系統,恢復原廠設定,才能回復正常。若用戶沒有為手機或平板電腦備份,設備內的所有資料更加會煙消雲散。
針對此問題,Android從版本4.1起,加入「安全模式 (Safe Mode) 」。以這模式進入,系統不會載入第三方應用程式,設備可以正常啟動。這方法最大的好處是可給予用戶進行系統檢測、修復錯誤,或解除安裝有問題的應用程式,而同時保留設備內的任何應用程式和個人數據。
雖然「安全模式」在Android流動設備已存在好一段時間,但不少用戶對此功能仍感陌生。此外不同牌子或型號的Android移動設備的「安全模式」進入方法都有差別,因此建議用戶請教銷售人員,或到有關官方網站搜尋對應的操作。
歸根究底,要避免誤裝有問題的應用程式,需格外留神,小心選擇,及切勿下載非官方商店及來歷不明的程式。用戶亦可參考香港電腦保安事故協調中心(www.hkcert.org)每月發佈的《香港地區 Google Play 商店應用程式保安風險報告》,掌握最新的惡意及可疑行為程式資訊。
流動設備保安工具 (Chinese Version Only)
去年香港電腦保安事故協調中心處理的保安事故當中,有154宗是涉及智能手機及平板電腦等流動設備,比2013年大幅上升3.4倍。隨着針對流動設備的網絡攻擊日趨猖獗,相關的保安工具也相繼推出。本文將介紹各種保安工具的基本功能,以便讀者選擇。適用於流動設備的保安工具大致上可分為五類功能,包括:
- 防惡意程式:提供實時保護,例如在安裝程式時,能進行即時掃描;亦可定時或按需要掃描程式或檔案;以及利用「私隱顧問」功能列出已裝設的應用程式的潛在私隱問題。
- 網絡保護:能提供安全瀏覽,以防止惡意網站和釣魚網站;以及家長控制瀏覽,避免兒童及青少年接觸不當內容。
- 過濾或監控保護:提供電話號碼或短訊過濾;以及通話、短訊、數據使用量監控。
- 數據備份:除備份個人資料,例如聯絡人名單、短訊、通話紀錄等之外,還能為應用程式及雲端作備份。
- 防盜保安:可透過即時通訊或產品供應商的網頁系統,找尋遺失設備位置或遙距刪除設備內的個人資訊。
要避免惡意軟件入侵流動設備,除安裝保安工具並定時更新修補程式外,還要謹記切勿開啟或安裝來歷不明的軟件或應用程式。無論是否從官方商店下載軟件,亦需注意它們要求的權限是否合理。更多流動設備保安工具的資訊,可參閱協調中心網站(www.hkcert.org)內的「手機保安工具」專頁。
網站廣告惡意程式 (Chinese Version Only)
中國數據研究機構易觀智庫最近指出,去年內地互聯網廣告市場的規模預計高達1565.3億元人民幣,較2013年增長56%。
龐大的互聯網廣告市場吸引不少大型入門或免費內容網站在網頁嵌入廣告以賺取利潤。不法分子也瞄準這些網站可以接觸大量訪客的機會,暗中將惡意程式滲入廣告內容,從而入侵訪客電腦,進行非法勾當。近期,美國資訊保安公司Malwarebytes便發現多個常用的入門網站,例如Yahoo!、AOL、Match.com等,曾被植入廣告惡意程式,估計每個月受影響的網站訪客多達1.5億名。
不法分子主要透過3種方法將惡意程式植入網站內的廣告,包括:(1)攻擊廣告內容供應商伺服器的保安漏洞,入侵後將廣告內容掉包;(2)將惡意廣告交到廣告供應商的交換平台上,利用複雜的自動分發方式將惡意廣告刊登在採用這個平台的網站,令執法機構難以追查;以及(3)偽裝成正當機構直接購買網站廣告欄位,並在臨近刊登時才購買,以繞過內容檢測程序。
廣告惡意程式會利用網頁瀏覽器、Adobe Flash等軟件的漏洞入侵訪客的電腦,因此互聯網用戶必須定期更新這些軟件及安裝保安防護軟件。有關預防惡意程式的保安資訊,可參閱香港電腦保安事故協調中心的《惡意程式的防禦指引》。
「比特幣」的保安挑戰(下)(Chinese Version Only)
本欄較早前曾探討以比特幣作交易及相關交易平台的資訊保安風險。其實針對比特幣的價值不斷攀升及匿名交易的特性,不法分子亦特別設計針對比特幣操作的惡意程式。惡意程式大致可分成三類,包括:
- 比特幣挖礦程式:由於生產比特幣需用上大量電腦運算資源,以俗稱"挖礦"方式產生,因此有不法分子會利用惡意程式,透過控制他人電腦或流動設備為其挖礦牟利。
- 從比特幣錢包盜取比特幣:惡意程式會透過盜取用戶儲存比特幣私密金鑰的電子錢包檔案,以獲得比特幣交易控制權;又或者監視受害者輸入比特幣收款地址,再暗中掉包成惡意程式作者的收款地址。
- 作為支付加密勒索軟件贖金的方式:不法分子將用戶的電腦或流動設備內的檔案強行加密後,再利用比特幣的匿名交易模式,要求受害者以比特幣繳交贖金換取解密密鑰,令執法機構難以追查收款人的身份。
若要以比特幣作交易,須小心核實收款地址;更要避免一個電子錢包儲存大量比特幣,及定期備份至少一個安全的離線電子錢包檔案。此外要為使用電子錢包的電腦及流動設備安裝保安軟件,並保持操作系統和軟件更新,以減低感染惡意程式的風險。
「比特幣」的保安挑戰(上) (Chinese Version Only)
最近本港有「比特幣(Bitcoin)」虛擬貨幣交易平台突然停止運作,令投資了這種虛擬貨幣的人無法提取及買賣戶口內的比特幣,最終要報警求助。事件暴露了利用比特幣作交易的風險。
事實上,雖然部分機構接受比特幣支付商品和服務交易,以至實體貨幣兌換等,但本港金融監管機構亦曾屢次提醒市民,比特幣並非法定貨幣,只是於虛擬世界創造的「商品」,其價值沒有實物或發行人支持,加上價格波幅非常大,不能視作支付媒介或電子貨幣。從資訊保安角度分析,以比特幣作交易亦有頗高風險。因為它是一種毋須經銀行及中介機構發行,以分散形式管理的加密虛擬貨幣系統,交易都是以匿名進行,因此交易資料並不列出買賣雙方的身份,令交易難以追查。網上罪犯藉着入侵這虛擬貨幣交易平台,從事詐騙、偷竊、勒索等罪行。
此外,隨着比特幣交易愈來愈多,提供比特幣買賣服務的交易平台湧現。近年這些交易平台接二連三發生被黑客入侵的保安事故,當中以去年2月全球最大比特幣交易平台Mt. Gox的竊案最為矚目。黑客藉入侵其系統漏洞盜取市值約5億美元的比特幣,最後導致該平台申請清盤。這些虛擬貨幣交易平台的系統保安,實在不容忽視。
加強家居網絡設備安全 (Chinese Version Only)
經家居網絡連接到互聯網的設備愈來愈多,如網絡攝錄機、電視機頂盒、網絡儲存設備等,若因使用上的需要或設定上的錯誤而將保安漏洞暴露於互聯網,不但有機會被網絡攻擊者利用作為網絡攻擊的武器,更有可能要負上法律責任。
香港電腦保安事故協調中心去年底便接獲一間本地互聯網服務供應商報告,懷疑其網絡內的一些家居寬頻路由器被入侵,並用作發動分散式阻斷服務攻擊,被黑客控制的路由器會針對目標網站發出大量查詢,意圖耗盡目標網站的域名系統(Domain Name System,簡稱DNS)伺服器資源,令網站服務癱瘓而無法回應正常查詢。這些路由器亦會對所連接的網絡服務供應商的DNS伺服器發出大量查詢,使供應商的其他用戶也無法使用互聯網服務。
要妥善保護家居網絡設備,除可關閉設備的「遠端管理」功能以盡量減少暴露於互聯網外,還要採用強度高的密碼及更改設備的預設設定。用戶切記只安裝由設備製造商及可靠來源(例如產品支援網站)所提供的最新韌體版本及軟件。大家亦可使用協調中心網站(www.hkcert.org)提供的方法,測試家居網絡設備是否暴露於互聯網。
加強網絡儲存設備保安 (Chinese Version Only)
香港電腦保安事故協調中心過去曾介紹過加密勒索軟件攻擊電腦和某品牌網絡儲存設備(Network-attached Storage,簡稱NAS)的手法,亦預測其他網絡設備也不能倖免,這個預言不幸應驗。
在過去大半年,針對加密勒索軟件攻擊頻生,有部分用戶以為將網絡儲存設備內的數據同步上載至網上服務供應商提供的雲端儲存服務儲存,便等於為自己的財產買了保險,可以安枕無憂。然而,這個做法可能得不償失,反而增加數據失洩風險,因網絡罪犯可透過釣魚網站或攻擊服務的保安漏洞等方法,偷取雲端帳戶內的數據。
因此,做好網絡儲存設備的保安,方為上策。用戶除要採取最基本的保安措施,例如定期備份資料、更新系統軟件或韌體、設定較強的密碼外,亦要留意設備上的共享資料夾,因為部分會預設開放讀寫權限,若用戶不慎在電腦上開啟可疑檔案,便有機會感染惡意軟件或病毒,淪為殭屍電腦。如非必要,應限制開放這類資料夾。
此外,若使用雲端儲存服務備份網絡儲存設備上的數據,必須清楚地界定同步的數據範圍,減少敏感數據外洩風險;並留意帳戶容量的限額,以免部分數據因為帳戶超額而無法備份或需要支付額外的費用。
小心詐騙電郵 (Chinese Version Only)
最近有政界人士接到欺詐電郵,被冒名盜去50萬元的新聞,再次喚醒大家要提防網絡罪案。根據報導,事主是接到「朋友」的「求助」電郵後,不虞有詐下開啟了懷疑附有惡意程式的超連結而「中招」。
根據警方數字,去年共有6,778宗科技罪案,較2013年急升逾3成;其中涉及盜用網上戶口資料、入侵系統及電郵騙案等「非法進入電腦系統」案件便有1,477宗,損失金額逾10億元,可見問題十分嚴重。
不想成為下一位詐騙電郵的受害者,市民需徹底做好資訊保安。當收到自稱親友或生意夥伴發出的「求助」電郵時,不要胡亂開啟電郵上的附件或超連結,應立即聯絡對方確認內容的真偽;另外,必須使用不易破解的密碼及雙重認證方式登入網上服務,還要定期更改密碼;同時亦要經常更新電腦保安軟件。
一旦誤中釣魚網站陷阱,應立即更改所有網上服務的登入密碼,並即時通知服務供應商,以防網絡罪犯趁機進行虛假交易。此外亦要留意銀行及電郵服務商發出的警示,更可考慮調低轉帳額的上限,以減少損失。若有其他疑問,亦可向香港電腦保安事故協調中心尋求協助。
慎防Facebook詐騙圈套 (Chinese Version Only)
Facebook是本港目前其中一個最普及的社交網絡,現時全球每月活躍用戶已超過1.2億,單單是香港也有逾400萬用戶。龐大的用戶群資料對廣告營銷人員固然有莫大的吸引力,但同時也令網絡罪犯垂涎,他們會透過安裝惡意軟件、發放垃圾廣告信息及偽冒身份等手法進行詐騙活動。
歐洲防毒軟件公司Bitdefender早前進行一項Facebook詐騙手法的研究,分析過去兩年逾85萬宗的相關騙案,結果發現,逾四成半的個案是由於受害人的好奇心作祟,想知道哪些人曾查閱其個人檔案,而不慎安裝了惡意軟件,將帳戶的個人資料傳送至攻擊者的伺服器作不法用途,或遭冒認身份張貼信息。
騙徒亦會利用用戶貪小便宜及「八卦」的弱點犯案。該研究發現以「想增加額外功能」及「想獲取優惠」作餌的惡意軟件在Facebook平台上也非常活躍,分別佔近三成及一成七。此外以聲稱展示名人私隱及殘暴行為的影片作招徠其實暗藏惡意編碼的詐騙手法亦榜上有名。
Facebook用戶勿因一時好奇而誤墮圈套,及不要開啟來歷不明的連結或應用程式。要認識更多相關保安措施,可到香港電腦保安事故協調中心網站(www.hkcert.org)下載《預防間諜程式及其他不明軟件指南》。
安全使用近場通訊付款 (Chinese Version Only)
大家對近場通訊技術(Near Field Communication,簡稱NFC)或會感到陌生,其實這技術已在本港的公共運輸系統廣泛應用近20年,大家熟悉的「八達通」便是一個好例子。
NFC是一種無綫快速數據交換技術,當兩個具備有關功能的裝置相距於10厘米內,其中一方就會即時收到無綫電頻率並進行自動辨認,再把資料顯示於屏幕或在目標裝置寫入資料。隨着內設NFC收發器的智能手機及電子設備日趨普及,NFC付款方式近年亦變得多樣化,例如有本地銀行與電訊服務供應商合作推出相關手機付費服務,及有支援相關技術的新信用卡等。
使用NFC付款,帶來很多方便,但卻同時伴隨了一定的保安風險。以手機付款為例,手機若感染惡意程式,交易資料隨時會被盜用或修改;此外,若手機上的電子錢包有保安漏洞,更可能被偽造交易,令使用者蒙受損失。由於八達通、信用卡及儲分卡不需要任何確認便可作小額交易,若不妥善保管也容易遭人盜用。
現時NFC付款尚未有統一格式,不同的銀行、信用卡及系統採用的方法各異,故最好依相關機構保安指示使用,以策安全。要了解更多NFC基本保安方法,可參閱香港電腦保安事故協調中心網站內的「近距離無綫通訊(NFC)保安指南」。
2015資訊保安前瞻 (下) (Chinese Version Only)
上星期分析了今年的網絡攻擊規模將更大,針對的設備種類更廣泛,現續談攻擊的模式。
香港電腦保安事故協調中心預計,殭屍網絡及加密勒索軟件會繼續肆虐,後者更可能以電腦病毒形式散播,令更多人在短時間內中招。網絡罪犯會透過入侵零售業常用的銷售點(Point of Sale,簡稱POS)系統、流動設備及互聯網服務偷取顧客的個人資料;或強行加密受害者的電腦數據以勒索贖金等方式犯案。另外,網絡罪犯引誘市民參與作為幫兇的「一按攻擊」也值得關注。
企業面對這些網絡威脅新趨勢,應定期更新機構的重要資訊科技系統,修補漏洞,並訂立「自攜設備上班」(Bring-Your-Own-Device,簡稱BYOD)政策;零售業更要加強POS系統的保安,例如不要將系統直接連接互聯網或公開的無綫網絡,更改出廠預設密碼。市民大眾則需採取足夠措施保護個人流動設備,應只從官方商店下載安裝應用程式,並切勿將手機解鎖(jailbreak或root機);使用互聯網服務時採用不易破解的密碼及雙重認證,以及切勿參與任何網絡攻擊。
此外要定期備份數據,並儲存離綫副本,以減低遭勒索軟件襲擊的影響;更要時刻提防來歷不明的軟件或網站連結,或一切不尋常的索取個人資料或更改付款戶口要求。想了解更多資訊保安的資訊,可登入協調中心網站(www.hkcert.org)。
2015資訊保安前瞻 (上) (Chinese Version Only)
香港電腦保安事故協調中心每年都會總結過去一年的本港資訊保安狀況,從中推算新一年的網絡威脅新趨勢,讓公眾有所防範。去年協調中心共處理3,443宗保安事故,較2013年增加103%。個案上升的主因是協調中心加強了主動揭發及處理「隱形殭屍」電腦個案的能力,因此殭屍網絡事故較前年增加357%(1,973宗)。
從綜合的數據分析,協調中心預料今年網絡攻擊的力度會增強。事實上,攻擊者有能力引發數據流量達400Gbps的分散式阻斷服務攻擊,即等於香港互聯網交換中心一天的網絡數據交換高峰流量;亦能同時攻擊多個網站,甚至殃及池魚,令同一網絡內的其他用戶受到牽連,癱瘓網絡服務。
另一個趨勢是攻擊者的目標不再局限於個人電腦,針對流動和互聯網設備,及伺服器的攻擊也陸續湧現。攻擊者入侵網絡攝錄機盜取個人資料、騎劫寬頻路由器及電視機頂盒來發動網絡攻擊等個案預料會上升。
隨著「物聯網」概念的興起,互聯網應用深入生活更多環節,更多智能設備推出市場,預料這類攻擊將會更加頻密,影響的層面亦會因網絡頻寬提升而變得更濶。因此,企業及互聯網用戶必須提高警惕,加強資訊保安。
檔案分享要審慎 (Chinese Version Only)
不少人喜歡利用檔案分享軟件把心儀的影音及創意作品公諸同好,亦有人為求方便,用此方法把公務帶回家處理或傳送大批文件給工作夥伴。機構的機密資料被人利用檔案分享軟件,在互聯網上流傳的事件近年屢次發生,令人關注這類軟件的安全應用。
根據香港電腦保安事故協調中心分析,不少外洩的機密資料其實是在資料擁有者不知情下,被分享軟件的預設自動分享功能上載。用戶就算只是使用分享軟件接受檔案,亦要承擔風險,因為可能會有黑客借檔案分享平台發放惡意程式,入侵他人的電腦。另外,檔案即使不含惡意程式,亦可能含有觸犯法例的內容,例如受版權保護的影音作品或兒童色情物品等。
要安全使用檔案分享平台,用戶應小心選擇會被分享的檔案,亦要仔細檢查分享軟件的設定,以避免敏感資料被自動上載至互聯網。若只想分享檔案給指定人士,宜先加密檔案,並僅與對方分享密碼。
開啟從檔案分享平台下載的檔案時亦需格外小心。首先要確保電腦已安裝或更新保安軟件,並為檔案進行安全掃描。若不慎下載含有非法或淫穢內容的檔案,應立刻刪除,並向版權持有人或警方舉報。
「萬物互聯」與資訊保安 (Chinese Version Only)
現時大部分電子裝置及儀器,從人手一部的智能電話及平板電腦,以至具有特別用途的心臟植入監測器、汽車內置感應器及生命探測器等,都具備連接互聯網的功能,甚至能與其他智能設備溝通,令應用範圍更廣闊,形成一個「萬物互聯」(Internet of Everything)的新時代。
事實上,愈來愈多工商業活動須依賴互聯網應用進行,用戶受到網絡攻擊的風險亦相應增加。由於市場競爭激烈,部分智能設備開發商為控制成本和急於應市,沒有周詳考慮產品的資訊保安設計,讓黑客有機可乘,透過保安漏洞入侵設備,進行不法活動,例如使用智能電視的攝像鏡頭監視他人的家居生活、搖距控制行駛中的智能汽車及發動網絡攻擊等。
要提升智能設備安全,開發商固然需要改善產品的資訊保安設計,但用戶亦應採取防範措施,包括在使用智能設備前更改預設的設定、關閉不必連接互聯網的功能,以及限制可連接設備的IP地址,以減低被黑客入侵的機會。現時「萬物互聯」技術仍處於起步階段,共通的通訊協定及平台將會陸續出現,用戶要充分留意這技術的安全使用方法。
Source: Hong Kong Productivity Council
