影片
勒索软件
安全贴士
- 不要随便提供个人资料
- 不同帐户用不同的登入密码
- 只从官方途径下载应用程序











商户守好资料 勿让「商机」变「伤机」
网上购物在香港愈来愈盛行,不但吸引企业,就连黑客都看准这个「商机」。企业如何在开拓网购之余,又保障顾客个人资料远离黑客威胁呢?
近日一间网购集运公司的资料库被黑客入侵,当中的顾客敏感资料,包括个人姓名、电话号码、地址和信用卡号码等,都落在黑客手中,无论顾客或商户均提心吊担,恐怕资料会否被不当使用、商户要作出巨额赔偿,时刻担心保安事故会否再次发生。即使顾客最终没有损失或接受了赔偿,企业都可能背上污点,打击商誉形象,失去顾客的信赖,大大阻碍企业发展,无奈令「商机」沦为「伤机」。
估计是次事故有两个起因,一:第三方线上广告公司的程式码被不法分子篡改,导致网站被植入恶意广告程式码,让黑客能窃取顾客资料;二:电子商易平台系统出现漏洞,黑客利用漏洞窃取信用卡作不法用途。
网购服务最重视安全。根据国际金融服务机构Mastercard的最新调查,77.1%受访消费者表示购物平台的安全是考虑网购的最主要因素。对付黑客层出不穷的攻击手法,商户最佳的妙策是未雨绸缪,筑好防线,定期检视和加强防守。
商户应如何入手呢?从程式码方面,商户需要定期进行评估、修补和更新;使用开源的电子商务系统和插件时,要挑选可信和安全的平台;提供电子支付服务时,必须符合《支付卡产业资料安全标准》,避免存取不必要的信用卡资料,例如完整的信用卡号码和安全码等等;还要为客户提供多重认证的登入服务。
商户可参考欧盟《通用数据保障条例》相关的标准指引,或浏览香港电脑保安事故协调中心facebook 专页,了解电脑保安资讯。
碌卡消费保私隐 企业市民皆有责
平日大家行街「湿平」或网上购物,都会以信用卡「碌卡」付款。正所谓「日防夜防,黑客难防」,上期提到「碌卡」时有可能令黑客乘机透过入侵服务零售商使用的销售终端机,于交易时盗取信用卡卡主的个人资料作不法用途。为抗击黑客入侵,今期为大家提供几个实用小贴士,提高商户和大众的网络安全及资讯保安意识,防患于未然。
在服务零售商层面,网络保安人员应定期监察销售终端机的状况,即是企业连接网络的第一扇门,其重要性不言而喻。监察的目的是要确保所有安全设定正常运作,防止黑客入侵网络,尤其是经由第三方合作伙伴管理的网络保安系统,更需要提高警觉。同时,网络保安人员在设定销售终端机的密码时,应使用组合较为复杂和难以被猜破的密码及不透露予他人,并切忌使用预设密码。
网络安全人人有责。市民也应按时查阅信用卡的月结单,如发现可疑交易纪录,务必尽快联络发卡机构跟进。此外,市民亦可使用信用卡的双重安全认证,在进行网上支付时,除了输入信用卡号码外,卡主亦需输入由发卡机构发送到手机的一次性密码,方可完成交易。在双重保障下,可有效避免信用卡被盗用。
想知道自己的网络保安措施是否足够?管理人员可参考生产力局属下香港电脑保安事故协调中心所编制的《中小企网络安全七大攻略》,进行简单的资讯保安风险自我评估,再制定相应的改善方案,及早堵塞漏洞,令黑客无机可乘。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心facebook专页。
碌卡消费便利 保护私隐有攻略
本地服务业发展蓬勃,市民习惯使用各种支付卡,用于日常购物消费或是到餐厅吃饭;但享受便利的同时,黑客随时「神不知鬼不觉」地盗取个人资料,大家绝不能掉以轻心!
近期外国发生一宗大型连锁快餐店的销售终端机系统保安的事故,约200万信用卡个人资料被盗取,然后极有可能转售予他人作不法用途。由于信用卡上储存了卡主的大量敏感个人资料,包括卡主姓名、卡号码、有效日期和交易纪录,一旦交易时被黑客成功读取资料,卡主有机会蒙受巨大的经济损失。
事件引起社会关注销售终端机的保安系统,对于讲求效率的零售餐饮行业,大量交易数据经由网络传输,便让不法分子垂涎,透过入侵数据传输过程,盗取个人资料。因此,从业员必须时刻警惕,以防万一,例如培养预防资料外泄的概念,依从「支付卡行业资料安全标准」(Payment Card Industry Data Security Standard,PCI DSS)。
不过,如零售、餐饮等服务行业的中小企,面对资源紧绌,缺乏保安技术和知识,要提升公司的网络保安,确实是一大难题。生产力局属下香港电脑保安事故协调中心所编制的《中小企网络安全七大攻略》,包括资讯保安政策和资讯保安管理、端点保安、网络保安、系统保安、保安监察、保安事故处理及用户意识。
该指引的内容包括良好作业模式,以及简单的保安风险自我评估清单,有助企业运用有限的资源,应付日趋复杂的网络保安威胁。下期本栏将详细探讨当中多项小贴士,有助保障大众在使用各种卡类付款时的安全,敬请密切留意。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心facebook专页。
防电脑沦「矿场」预防胜治疗
近期有黑客入侵一般个人电脑,再植入「掘矿」程式,利用电脑系统作为「矿场」,从而赚取虚拟货币。要拒绝成为「矿工」?其实不难!上期分享过不法分子的多种入侵手段,今期本栏为大家带来小建议,帮助大众提高安全意识,实行预防胜于治疗!
首先牢牢谨记一点,黑客在进行攻击前,大多时先诱使用户下载来历不明的应用程式,如电邮附件或浏览含有恶意程式的网站,然后透过该渠道入侵电脑。因此,当用户发现任何可疑之处,必须小心谨慎,切勿随意开启附件或网站;同时亦应经由官方网站下载应用程式,以减低感染恶意程式的风险。
其次,用户必须在互联网设定上采取足够的电脑保安措施,确保应用程式或浏览器已更新至最新版本。事实上,用户不但要设置基本的防火墙,安装可靠的防毒软件、网络保安应用程式,并定时更新防毒软件的病毒库;而且应安装开放源码浏览器外挂程式,以侦测和阻截掘矿程式。
一旦用户电脑出现上期曾提及过「又热又慢」的现象,则可以利用扫瞄程式为电脑进行一次完整扫瞄,监测设备的运行情况。若发现电脑存有异常程式,用户应即时清除,以防病毒蔓延。最后,网站管理员也有责任修补网站漏洞,采取良好的编码作业模式开发网页应用程式,减低网站被入侵或嵌入可疑程式码的风险,保障用户安全。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心facebook专页。
一个不留神 随时变「挖矿工人」?(Chinese only)
近年虚拟货币日渐流行,惟不少黑客利用恶意软件,暗中骑劫电脑的运算能力,再不动声色地将受害人的电脑变成「掘矿工人」,协助他们产生虚拟货币,谋取暴利。
当中最常见的入侵方法,要数增加了挖矿功能的变种加密勒索软件。这些功能会先测试目标电脑的运算能力,再决定下一步行动:究竟是进行勒索,还是偷偷挖矿。由于挖矿收益可通过加密货币结算,即使用户有意追查入侵来源,难度亦极高,变相成为一种最有效而又不怕被追踪的「挖矿方法」。
为提高挖矿效率,黑客将主要目标锁定为高性能的电竞电脑,把挖矿程式隐藏于表面正常的软件中,用户一旦下载和执行该档案,电脑便会随即受到感染成为「挖矿工人」。值得一提的是,挖矿程式往往迅速变种,而且透过不同的入侵手段1,扩大感染的范围。
受害者是否只能永远被蒙在鼓里,误当黑客助手?只要细心留意,如果你的电脑出现以下的特征,便可监察电脑是否「中招」。首先,电脑的运行速度变慢:挖矿时电脑需要提供大量资源去支援工程,影响电脑效能;其次,电脑明显发热,温度不断增加,导致中央处理器的散热器提高转速,制造大量噪音。
部分黑客为了减低被用户发现的风险,会刻意降低挖矿速度,所以「唔怕一万,最怕万一」,用户可定期留意挖矿常用的连接埠,如3333、8008、8080等有否被占用。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心facebook专页:https://www.facebook.com/hkcert。
物联网存漏洞 运动鞋也死机 (Chinese only)
物联网(Internet of Things, IoT)与大众的日常生活息息相关,随着近年IoT设备应用快速增长,相关设备的保安漏洞风险也相应增加,可能被不法分子安装恶意程式,入侵设备并进行大规模攻击,安全问题值得社会关注。
科技进步令到运动鞋也可以使用物联网技术,用户可透过附设的流动应用程式,将运动鞋与智能手机配对,不但可以自动绑紧或解开鞋带,更可以根据用户脚掌大小而调较鞋子的松紧。产品推出市场后大受消费者欢迎,网上旋即售罄。
不过,最近有用家分享了这款运动鞋的物联网设定问题,例如应用程式在更新后,系统突然无法正常操作,出现「一只鞋郁到,另一只鞋郁唔到」的情况,用户形容就像电话「死机」变成砖头一样,未能松开鞋带,令用户变相「被卡住」了数小时。
事件反映出运动鞋的物联网技术仍存在不少漏洞,未能让用户安心使用。试想想,黑客很可能会试图控制系统,发出恶意指令来松开或绑紧鞋带;如果发生在职业篮球比赛中,这类网络攻击不但影响球员表现,甚至可能导致球员严重受伤,后果可大可小。
物联网设备已经成为新一代的网络攻击利器,市民在享受新科技所带来的好处时,必须注意网络保安。物联网开发人员要做好第一重把关,将安全问题纳入设计,而用户使用物联网设备时,亦应评估网络安全风险,详情可参考香港电脑保安事故协调中心的「智能设备购买及安装小贴士」,便能用得安心又放心。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
企业设计指引 免自携装置泄私隐 (Chinese only)
近年香港接二连三爆出航空公司和旅行社的电脑系统被黑客入侵,这类公司一般储存了客户大量个人资料,包括可识别个人身份的资料(Personally Identifiable Information, PII),例如护照号码、身份证号码、出生日期、姓名等,视为黑客的「宝藏」。如果乘客资料一旦外泄,影响范围相当广泛,引起社会密切关注。
由于个人资料「有价有市」,可用于不同类型的社交工程骗案,如身份冒认(Identity Theft)或电邮骗案,不法之徒随时使用外泄得来的资料,冒认他人身份,进行网络攻击或诈骗,最终令受害人堕进圈套,导致财物损失。
事实上,航空公司和旅行社外泄个人资料事故不断发生,除了黑客攻击外,人为因素亦是另一个主因。由于航空业竞争激烈,企业有可能为了控制成本,尝试削减网络保安的开支,引致保安系统出现很大漏洞,极有可能成为黑客的最新目标。
针对以上问题,航空业界应定期全面检查其资讯系统,确保足够保护,应做到谨慎(Due Care)及尽职调查(Due Diligence)。市民应选择信誉良好的旅行社代理和网站,购买机票和安排行程,亦可考虑直接向航空公司订票。
最重要的是,用户在订票时需要提高警觉,如果对订票网页或手机应用程式的保安有怀疑,例如连线未经加密(未有HTTPS),即使票价较低廉,也不应透过该途径购票,以免得不偿失。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
自携装置工作 更要提高警觉 (Chinese only)
大家有没有使用手机来收发公司电邮或处理公司业务?近年流动电子产品发展一日千里,无论使用智能手机或平板电脑,这种「自携装置」(Bring Your Own Device, BYOD)的新工作模式相当普及,让工作变得更灵活、更有效率,紧贴急速的市场步伐。
目前,大部分企业都会为有需要的员工添置流动电子装备,或提供与工作有关的流动应用程式,并由企业的资讯系统管理部门中央管理。不过,利用流动电子产品去提升工作效率的同时,企业管理人员又有否致力加强员工的网络保安意识呢?
「自携装置」确实是「既方便,又快捷」的政策,但同时却为企业带来不少保安隐忧,例如资料外泄、远瑞入侵等。由于使用流动电子产品时,往往涉及不少企业的商业机密或敏感的个人资料,若使用不当,公司的保安、财务、法律等风险随即增加,令企业蒙受重大经济损失,甚至声誉受损。
企业必须制定流动电子产品使用守则,以流行的即时通讯程式为例,限制员工只可使用指定的即时通讯程式,加上必须由资讯保安人员安装;员工亦不可透过即时通讯程式,传送公司的敏感资料和内部文件。
另外,企业可制定「自携设备上班」管理方案,确保员工时刻遵守公司的政策和设定。企业应定期为员工提供资讯保安培训,协助他们认识使用即时通讯程式的保安威胁,了解公司的资讯保安政策,提升整体资讯安全意识,减低发生严重保安事故的风险。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
航空公司旅行社 勿沦黑客「宝库」(Chinese only)
近年香港接二连三爆出航空公司和旅行社的电脑系统被黑客入侵,这类公司一般储存了客户大量个人资料,包括可识别个人身份的资料(Personally Identifiable Information, PII),例如护照号码、身份证号码、出生日期、姓名等,视为黑客的「宝藏」。如果乘客资料一旦外泄,影响范围相当广泛,引起社会密切关注。
由于个人资料「有价有市」,可用于不同类型的社交工程骗案,如身份冒认(Identity Theft)或电邮骗案,不法之徒随时使用外泄得来的资料,冒认他人身份,进行网络攻击或诈骗,最终令受害人堕进圈套,导致财物损失。
事实上,航空公司和旅行社外泄个人资料事故不断发生,除了黑客攻击外,人为因素亦是另一个主因。由于航空业竞争激烈,企业有可能为了控制成本,尝试削减网络保安的开支,引致保安系统出现很大漏洞,极有可能成为黑客的最新目标。
针对以上问题,航空业界应定期全面检查其资讯系统,确保足够保护,应做到谨慎(Due Care)及尽职调查(Due Diligence)。市民应选择信誉良好的旅行社代理和网站,购买机票和安排行程,亦可考虑直接向航空公司订票。
最重要的是,用户在订票时需要提高警觉,如果对订票网页或手机应用程式的保安有怀疑,例如连线未经加密(未有HTTPS),即使票价较低廉,也不应透过该途径购票,以免得不偿失。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
黑客新招 假招聘信息藏病毒
要知道「骗徒手法层出不穷」,钓鱼攻击向来是网络罪犯偷取敏感资料的常用技俩,近年攻击手法变得愈加复杂,千方百计尝试骗取用户的信任,令其下载含有病毒的档案,继而入侵用户电脑系统或盗取个人资料。
香港生产力促进局属下的香港电脑保安事故协调中心,最近发现外国有一种最新的钓鱼攻击手法,网络罪犯会在招聘平台向用户发出虚假招聘的讯息,提供心仪的工作岗位,再捉摸用家的心理,以追踪「揾工」进度为由,发送钓鱼电邮至用户的个人电子邮箱中。
此举无疑令到受害者的警觉性大大降低,用户稍有不慎就会随时「中招」,很大机会下载了一些表面上是职位申请表格或指引,惟事实上是含有病毒的文件或档案,最终受到黑客入侵,因而蒙受损失。
此外,黑客亦有可能透过社交平台发出邀请,向用户刊登招聘广告,但当中含有恶意程式的讯息,讯息内的超连结档案有可能包含病毒,导致系统陷入瘫痪,甚至潜伏在电脑中盗取个人资料,危害电脑或网络系统。
不法分子利用复杂多变的诈骗技术,想尽办法逃避侦查。互联网用户要时刻提高警惕,不要胡乱登入一些来历不明的网址,同时切勿打开来历不明的电邮附件及连结,遇到可疑电邮要立即向协调中心报告,以便尽快找出作案源头,捣截攻击避免更多人中招。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
资料外泄覆水难收 双重认证自保 (Chinese only)
以为黑客入侵与你无关?又以为黑客未必「拣中」自己? 看看最近的报导,2019年至今持续有黑客在暗网出售由入侵他人网络所得的个人资料,有个案更从多达16个网站盗取了6.2亿个账户资料,另一宗则从8间公司系统盗取了1.27亿项资料记录。
别以为这些个案远在天边,去年有本地航空公司和网络供应商相继被黑客盗取大量客户资料,风险其实已近在眼前。如果大家仍然心存侥幸,不法分子随时有机可乘,入侵系统盗取个人资料,不知何时被放在暗网出售,令你或你的机构陷入危机。
在互联网泄露个人资料,就如「泼出去的水」,难以收回,到底市民大众有何方法保护个人资料,减少被黑客盗取的机会呢?
启用双重认证能有效防止账户被入侵。所谓「双重认证」,就是除了用户名称和密码,系统更会要求用户额外提供多一重认证资料,才可登入系统。目前,额外的认证资料可能是透过手机短讯收取的认证码,或是从认证应用程式所产生的认证码。每个认证码只能使用一次,并会在短时间内失效,保障账户安全。
企业的应用系统亦应加入双重认证功能,即使员工在钓鱼攻击下泄露用户登入名称和密码,惟黑客未有额外的认证资料,亦无法入侵应用系统盗取个人资料,减低影响。
网上银行早于10多年前已采用双重认证机制,时至今日,互联网上大部份服务供应商也为用户提供双重认证服务,读者可参考《个人网络服务账号管理保安指引》查看启用双重认证的方法:www.hkcert.org/my_url/zh/guideline/16022401。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
网络安全关键 加强保护DNS (Chinese only)
当大家惯常地输入网址,浏览互联网时,有没有想过黑客可以随时入侵域名系统(Domain Name System DNS),把你带到恶意网站?
DNS可以是一部「翻译器」,替用户把较易理解的域名,转换为伺服器 IP 地址,最后连接到目标网页。试想想,一旦黑客成功胁持 DNS,骑劫「翻译」过程,变相可以伪冒机构身份,甚至恶意窜改资料,用户一不留神便会进入欺诈网站,导致财物损失。
网络保安公司 Talos 和 FireEye 相继于去年底及今年初发布警告,有关DNS的胁持攻击持续发生,情况令人忧虑。美国Cybersecurity and Infrastructure Security Agency(CISA)亦发出紧急指令,要求所有美国政府机关必须执行相关措施,以加强DNS的保护。上述指令虽然只针对美国政府机关的保安系统,但当中涉及的风险管理也适用于各大机构,保护 DNS 免受攻击。
DNS是互联网保安中的关键,加强保安系统实在刻不容缓,以下有几个小建议,帮助市民建立一个安全的数码城市。首先,用户须定期检查 DNS 的记录,再启用多重认证,确保授权人员的身份,才可进行 DNS的设定和更新。
此外,用户在更改注册商资料库中的域名时,应启用电邮或短信通知功能,但切勿以同一个域名的电邮地址作警报通知用途,避免此类警报遭截获。
用户也可在网络供应商和注册商的协助下,在网域上启用 DNSSEC,确保 IP 地址是由可信任的来源解析而来。目前,不少网域名称登记商提供「LOCK」服务,可加入额外的认证措施,进一步减低域名记录被恶意修改的机会。
要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
选购网络摄影机 「预防胜於治疗」
随着流动应用程式、云瑞服务、物联网应用的发展和普及,相关的网络安全问题也备受关注。香港家居的物联网中,较为常见的设备要数网络摄影机,经常传出私隐外洩事故。继上期分享了当中的保安漏洞,今期讲解一下网络摄影机的选购和安全使用小贴士,让大家「预防胜於治疗」。
网络安全要达到「既治标,又治本」的效果,市民必须从选购产品时入手 — 用户应从官方渠道购买设备,例如选择印有安全标籤、设有软件更新和错误修复功能的产品。安装网络摄影机後,亦应及早将软件更新至最新版本,切勿下载来历不明的应用程式,以防感染病毒。
值得留意的是,用户必须确保在安全的网络环境中使用网络摄影机,例如采用经WPA2/WPA3加密的Wifi网络,切勿将摄影机设置为监视私人或敏感区域;毋须使用时,亦应关上有关设备。此外,用户应按时检查网络摄影机设定,如果发现设定被意外更改,请立即重置账户才继续监察。
除了市民大众之外,系统开发人员亦务必加强保安风险管理,以减低网络威胁。如在开发新服务和技术时,切勿为追赶市场週期和方便使用等因素,忽视基本的资讯保安;管理员亦不应为求方便,向员工开放过多的系统权限。
开发人员可透过采用双重认證、确保配置安全、修补安全漏洞和减少系统在网络暴露等措施,於流程和技术层面加强保安。要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
网络摄影机 或沦黑客工具
网络摄影机在香港家庭日趋普及,不少人都会安装这类设备遥距监察家中的情况。正因为此,网络摄影机往往是黑客最常攻击的目标,一旦用户未有妥善安装设备,就很容易导致私隐外洩,甚至成为殭屍网络的一分子。
香港生产力促进局属下的「香港电脑保安事故协调中心」早前进行了一项网络摄影机的保安研究,分析这类产品的网络安全风险,同时提供选购和安全使用贴士,让市民做个精明消费者。
研究人员选购了10款不同型号的摄影机,当中一些型号具备手机应用程式和云端伺服器服务;调查发现,逾半接受测试的产品配有手机应用程式,可遥距管理或浏览网络摄影机的图像,惟未有要求用户在设定时,须使用英文字母、数字及特殊字元的混合密码,切勿以「123456」、「admin」或「password」等简单密码登入。
此外,部分网络摄影机的系统中未有提供安全的双重认證、抵禦暴力攻击的保护措施,更甚者可通过Telnet登录而毋须用户名称和密码,变相不法之徒随时有机可乘。
协调中心亦发现部分网络摄影机的手机应用程式和网络摄影机之间,大多数据传输并未有进行加密,更有某些摄影机预设启用了通用即插即用(UPnP)功能。倘若互联网的闸道路由器同时启用相关功能,用户可能在不知情下暴露於网络,网络保安事故亦随之而发生。
网络摄影机的选购和安全使用贴士,在下期将有更详尽的介绍。要了解更多电脑保安资讯,请浏览香港电脑保安事故协调中心网址:www.hkcert.org。
网络攻击更猖獗 勿掉以轻心
2018年,香港以至全球发生多宗影响数以百万计用户的网络安全事故,涉及航空公司、电子钱包和快速支付系统的攻击,相信大家都记忆犹新。香港电脑保安事故协调中心早前发表了年度报告,显示中心去年共处理了10,081宗保安事故,比2017年大幅上升百分之55,你和我也不可独善其身。
协调中心预计,今年网络罪犯会针对需要处理大量个人或财务资料的企业发动更多网络攻击。同时,以新兴流动支付服务和物联网设备为目标的攻击亦会增多,企业切勿掉以轻心,资料一旦泄漏便无法撤回,打击公司声誉之余,亦会面临巨额赔偿或罚款。
企业千万不要低估保安风险,无论大小公司都可能成为攻击目标。协调中心建议,企业在开发新服务和技术时,必须在「便利」和「安全」之间取得适当的平衡,切勿为了争取市场周期和一时之便,而忽视基本的资讯保安。如果在开发过程中需要外判部份工作,企业亦要小心评估合作伙伴和服务供应商的保安风险。
除此之外,企业须谨守「从设计做起」原则,加强对流程、技术和员工的管控。企业可透过采用双重认证、修补安全漏洞和减少系统对互联网的暴露等措施,于流程和技术层面加强保安。员工方面,只应向有必要的员工开放系统存取权限,时刻提高他们的保安意识。
新一年,协调中心会继续肩负向本地中小企推广网络保安的工作,包括为经常处理大量个人资料的行业,例如旅行社、酒店、零售,举行网络安全简介会。如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org,和下载由协调中心编制的《中小企网络安全七大攻略》。
第五,无论使用Android或iOS操作系统,也切勿「ROOT机」或「JAILBREAK」,此举等于关掉手机的部份保护功能,容易被恶意程式入侵,让骇客有机可乘。
第六,最后用户必须时刻保持警觉,切勿轻信钓鱼电邮或即时通讯软件可能出现的诈骗讯息。
做齐以上六招,智能手机的保障自然大大提升。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org。
保障智能手机 6 招助减风险
智能手机已经成为大家生活和工作上的好帮手,一「App」在手就可以传送即时讯息、缴费转账、订购机票酒店等,功能强大。不过,当大家都很在意为电脑安装防毒软件和防火墙的时候,又有多少用户会为智能手机进行同样的基本保安部署?
日常智能手机操作涉及许多个人资料,上至信用卡和银行账户号码,下至通讯录、相机或相簿,稍一不慎个人资料和私隐便会落入坏人手中。
最近有资讯安全机构报告指出,市面上有85款应用程式以遥控器、电视频道或游戏程式之名,诱使智能手机用户下载,实质是恶意广告程式 (Adware),不但强制「弹出」广告,更会背后持续监控手机操作。虽然这些怀疑有问题的应用程式已经从官方平台下架,但粗略估计,下载量已超过900万,个中风险不容小觑。
要做个精明智能手机用户,以下六招可以帮你减低智能手机保安风险:
第一,安装恶意软件侦测程式,预防智能手机被入侵。
第二,选用会持续提供手机安全支援和更新的厂商,并应及时更新手机操作系统。
第三,切勿从非官方平台下载手机应用程式,选用信誉良好的应用程式。
第四,正式安装应用程式前,须留意应用程式的权限要求,避免程式过度撷取个人资料。如果对开放权限有疑虑,应取消下载。
第五,无论使用Android或iOS操作系统,也切勿「ROOT机」或「JAILBREAK」,此举等于关掉手机的部份保护功能,容易被恶意程式入侵,让骇客有机可乘。
第六,最后用户必须时刻保持警觉,切勿轻信钓鱼电邮或即时通讯软件可能出现的诈骗讯息。
做齐以上六招,智能手机的保障自然大大提升。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org。
黑客勒索求财 网民两招自保
对于WannaCry加密勒索软件横扫全球的事件,大家依然记忆犹新。香港电脑保安事件协调中心也就WannaCry接获公众500多宗查询,确认超过40个感染个案。香港表面上受 WannaCry 感染个案不多,但有外国研究机构的分析显示,时至今日香港仍有大约2,000部受WannaCry感染的疆尸电脑,只是因为某种原因恶意软件没有加密电脑中的档案,用户甚至可能完全不知情,协调中心会联同互联网服务供应商跟进相关感染个案。
去年初,全球虚拟货币价格上升,有骇客开始改变策略,直接入侵他人电脑,不动声色挖鑛虚拟货币图利。骇客入侵他人电脑之后,会先测试受害人电脑的运算能力,如果电脑运算能力良好就可偷偷挖鑛。受害人可能发现电脑运作比以前稍为缓慢,但表面上没有其他异样,所以被蒙在鼓里。以往勒索赎金的手法,反而会惊动受害人。
近月,网络上开始出现勒索电邮,声称掌握受害人账户和网上活动纪录,甚至控制了网络镜头拍下不雅图像,藉以威胁受害人缴交赎金,否则会向其亲友公开资料。
无论加密勒索、偷偷挖鑛或电邮勒索等,骇客无非为诈取金钱。一般用户应当如何保护自己呢?
第一,用户必须提高警觉,警惕不同攻击手法,别堕入骇客的陷阱,例如:切勿轻信电邮的要求,更不要开启可疑的附件档案或超链结等。
第二,时刻保持系统和软件更新,避免使用没有供应商支援的软件和系统。
做到以上两点,便可以减低被骇客入侵的机会,避免损失。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org。
物联网装置存漏洞 3贴士保安全
物联网(Internet of Things / IoT)的应用日趋普及,但你又有没有担心物联网的安全风险?
自从2016年底,Mirai僵尸网络(Botnet)发起全球资讯科技史上最大型的物联网分散式阻断服务攻击(Distributed Denial of Service / DDoS)。Mirai僵尸网络病毒利用Telnet,扫描使用预设设定的物联网装置,然后尝试登入装置,并注入Mirai恶意软件,令装置成为僵尸网络,当中大部份都是闭路电视系统(CCTV System)和路由器(Router)。
2017年,一种新型物联网僵尸网络Reaper开始肆虐,部分软件基于Mirai的程式码,可通过物联网装置的漏洞来传播,至今仍在扩散中。Reaper可随时将僵尸网络变成攻击武器,向特定目标发动攻击。
最近,基于Mirai的僵尸网络也不断演进,可以进行跨平台的攻击,例如:由物联网装置攻击其他Linux平台,然后再攻击其他物联网装置。部份僵尸网络更会利用物联网装置的运算能力,执行加密货币的挖矿运算。
虽然美国执法机关在2018年取缔了一个名为VPNFilter的僵尸网络,当中涉及50万部不同品牌的寛频路由器和物联网装置,但互联网上仍存在大量有漏洞的物联网装置,对网络安全仍然存在相当威胁。
无论企业或公众,在安装物联网装置时谨记以下三大重要原则:
- 更改装置的预设密码,选用较复杂的密码;
- 除非实务需要,切勿把物联网装置暴露于互联网;
- 选择会提供修补程式的供应商,并定期更新物联网装置。
做足预防措施,便能对抗互联网的潜在威胁。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org。
高强度密码 从日常句子着手
社交网站、网上购物、网上银行、流动支付等越来越流行,加上公司内联网和个人家居网络,大家每天都需要登入不同的平台进入网络世界,所靠的就是「密码」。
密码就如一条「钥匙」,手上只要有这条「钥匙」就可登入不同的网上平台。大家每日使用的密码多不胜数,不少人为方便而使用较易记的密码。不过,如果密码强度不足,就形同一条「百合匙」,让不法之徒有机可乘。
美国网络保安方案供应商SplashData,从2018年个人资料外泄的个案中,收集了500万个密码,发现当中最常用的密码是「123456」和「password」,连续 5 年蝉联「最差密码」,而前者占约3%。其他较常用的密码还有「12345678」、「1234567」、「12345」、「qwerty」、「iloveyou」、「admin」、「welcome」、「abc123」、「123123」等。SplashData估计,大约10%用户正使用首25个「最差密码」,而且接近3%更曾经使用「123456」作密码。
香港电脑保安事故协调中心建议大家使用较安全的密码,保护个人账户,减低被骇客破解和入侵的风险。一般原则是采用八个字元或以上,包括大小写英文字母、数字和符号。
大家可能会认为,这样的密码较难记。协调中心介绍一个设定高强度密码(Complex Password)的方法,供大家参考。首先构想一句和日常生活有关的英文句子,例如「I love my dog Zipper every day」,然后把句子中每个字的第一个字母组合,再把「every day」变成「@365」,便组成一个高强度而方便记忆的密码「IlmdZ@365」。
除了设定高强度密码,用户亦可以在高风险的账户使用双重认证,设定方法可参考协调中心的指引,https://www.hkcert.org/my_url/zh/guideline/16022401。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事故协调中心网址:www.hkcert.org。
加强网络保安 迎接新年挑战
2018年香港企业网络和个人资料安全饱受挑战,网络安全事故接二连三发生,当中38万本地互联网服务供应商客户、超过500万人的借贷资料、约940万位航空公司乘客、接近5,000万个社交网站账户,存在个人资料和私隐外泄的风险。
另外,近年新兴的电子钱包和快速支付系统亦传出安全问题。有电子钱包用户怀疑因电子邮件资料外泄,被不法份子用作更改电子钱包的交易密码,取得账户的控制权,继而进行未经授权的转账交易,盗取电子钱包的存款,损失达港币 10 万元。而新推出的本地快速支付系统,亦怀疑因流程设计上的漏洞,导致银行客户被冒充身份,连结到电子钱包的直接扣账服务,涉及金额约港币 50 万元。
以上网络安全事故的起因五花八门,但大致可归纳为两类。
第一,系统设计和管理问题。企业在设计系统时,没有充份考虑网络安全,或系统运作上出现缺失,导致被黑客入侵,泄露个人资料,引发对公众的攻击。企业应投放更多资源保障网络安全,加强技术人员在网络安全的基础培训。
第二,风险管理问题。企业在设计业务流程时,对网络安全的风险评估不足,因业务上的「方便」牺牲了「安全」。企业管理层须提高网络安全风险意识,推动公司上下做好网络安全风险管理。
新一年即将来临,预计网络安全风险有增无减,企业应从去年引来全城关注的网络安全事故中汲取经验,积极加强保安工作,应对日新月异的网络安全威胁。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。
身份监察服务 无助防泄私隐
近期多间企业先后发生资讯保安事故,导致消费者或用户个人资料外泄,不少市民对事故感到无助。有涉事公司于事故发生后,为受害人提供免费第三方身份监察服务,但用户对这类服务的作用及风险存在不少疑问。
身份监察服务供应商众多,有免费的,也有收费的,所提供的监察资料对象各有不同。这类监察服务主要透过专门的搜寻技术,监察用户资料有否于暗网或其他非法网站中被公开或出售。若发现用户资料被公开,监察系统会即时通知用户,用户可根据情报采取适当的应对措施,以减低资料外泄的损失。例如:当发现信用卡资料被放售时,用户应立即通知发卡银行注销该信用卡;或当发现帐户密码被外泄时,用户应立即更改密码,同时提防相关的勒索电邮。
然而,身份监察服务只能发挥警示作用,不能预防或避免个人资料和数据外泄。即使个人资料在暗网等非法网站出现,身份监察服务供应商也不能要求网站删除当中的外泄个人资料。
另一方面,用户将个人资料交予身份监察服务供应商保管,也有机会增加资料二次外泄的风险,衍生其他问题。由于这类公司拥有大量且齐全的用户个人资料,所以往往成为黑客的攻击目标。去年七月,美国最大信用报告调查机构受到骇客攻击,导致大量客户资料外泄,建议用户在选择这类服务时,应考虑机构本身的信誉及安全,避免资料遭到二次外泄。
无论市民是否选用这类服务,也应加强保护个人资料意识。香港电脑保安事协调中心重申,身份监察服务只能减低资料外泄后的损失,而不能预防或避免资料外泄。养成良好的电脑和互联网使用习惯,时常警惕网络诈骗,才是保障个人资料、免招损失的上策。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。
网络安全7攻略 助中小企评估
香港电脑保安事协调中心(协调中心)经常建议企业应定期进行资讯安全评估(Information Security Assessment),大企业一般设有专责的审计部门或外聘顾问,由持有专业资格的审计人员,为企业进行资讯安全的审计评估,但中小企的资源相对较少,是否代表他们只能坐以待毙?
资讯安全评估需要一套完善的评估准则,分析企业的资讯安全水平孰好孰坏。在协调中心所编制的《中小企网络安全七大攻略》中,特别设计了一份简单的资讯保安风险自我评估清单,让中小企先进行初步的自我评估,再制定相应的改善方案。
自我评估清单因应七大攻略的各个范畴,包括:安全政策和安全管理、端点安全、网络安全、系统安全、安全监控、事件处理及用户意识,列出一些良好操作清单,资讯保安人员只要逐一检视企业内部的操作,是否已实践清单上的指引,然后计算得分,评估企业的资讯安全水平和风险。
做好清单上各项良好操作可得一分,分数越高代表企业的保安措施越完善。不过,高分数并不代表企业可以排除所有资讯安全风险。协调中心强调,资讯安全评估的主要目的并非要评核企业的保安程度高低,而是协助寻找企业资讯安全工作的改善空间,尽快堵塞漏洞,以应付层出不穷的网络攻击。
如欲下载《中小企网络安全七大攻略》或了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。
远端桌面连线 4招确保安全
高效率是企业致胜的关键。现时许多企业都开放远端桌面连线,方便员工在办公室以外工作,或让服务供应商遥距支援其系统,从而提高营运效率。远端存取服务虽然可以令运作更灵活,但同时却增加电脑保安风险,企业务必要小心管理。
骇客不时扫描互联网,寻找对外开放的远端桌面连线,然后尝试入侵。另外,亦有加密勒索软件会尝试经远端桌面连线入侵企业网络,然后加密数据并索取赎款。
要避免系统被骇客「看上」,香港电脑保安事协调中心建议网络管理员加强系统的保安配置,保护远端桌面连线:
- 检视开放远端桌面连线的需要。如非必要,切勿对互联网开放远端桌面连线;
- 更改远端桌面系统的预设设定,包括系统管理员账户名称和服务埠(例如:服务埠由 3389改为 23389);
- 采取防止强行破解密码的措施,包括:强制使用高强度密码、使用双重认证和设定「账户锁定原则」,若连续数次输入错误密码,便立即封锁账户;
- 限制只可在指定时段和指定IP地址使用系统,向账户只授予最少的权限。
至于资讯系统服务供应商,若需要为客户提供远端管理,必须使用安全和可信任的电脑进行远端桌面连线,确保电脑有定期更新及安装保安软件等。同时,服务供应商亦有责任妥善储存相关账户名称和密码,避免被不法存取,保障客户资料。
如欲了解更多有关远端桌面连线和电脑保安方法,请参阅香港电脑保安事协调中心网址:www.hkcert.org。
网上漏洞多 慎防外泄个人资料
「我『中』了八项, 你呢? 」
「我十项」。
航空公司,社交网站、长跑活动网上报名系统、旅游体验预订平台、旅行社、互联网服务供应商等,近日都发生个人资料外泄或系统被入侵等电脑保安事故,部份怀疑因此被不法之徒勒索,成为全城焦点,人人都着眼如何提高自身保障。
泄露个人资料等电脑保安事故时有发生,大家可有想过对用户会造成甚么影响呢?最直接的是损失金钱,尤其所泄露的资料如果包括信用卡和身份证时,不但可能被盗用,日渐流行的电子钱包更可能因而被入侵。早前,香港已有不法份子利用快速支付系统的运作漏洞,以他人的身份证副本进行非用户亲自授权的转账,多宗个案累积损失逾港币40万元。
外国亦发生许多冒充身份个案。不少互联网服务供应商或流动服务供应商容许客户透过热线电话更改个人资料,毋须亲身办理,不法之徒于是有机可乘,利用所盗取的个人资料冒充受害人,重设电邮密码或重发流动电话SIM卡,全面接管受害人的电邮或手机号码,即使网上银行等重要的应用系统采用了双重认证,不法之徒也可透过电邮或手机取得认证码,继而登入受害人的账户,盗取银行户口内的金钱。
近期,香港电脑保安事协调中心亦经常接获有关比特币勒索电邮的报告,骗徒在电邮声称掌握受害人的个人资料,藉以勒索比特币。个人资料有价,大家必须时刻保持警觉,妥善保护个人资料,经常留意骗徒的犯案手法,以免堕入骗徒的圈套。
如欲了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。
杜绝保安漏洞 由设计程式开始
最近一项长跑活动的网上报名系统怀疑遭未授权登入,导致部分参赛者的个人资料可能外泄,当中包括申请者的地址、电话、身份证首5位数字、出生日期、电邮、紧急联络人等,情况颇为严重。
事件在优先报名阶段发现,主办单位即时暂停网上系统运作,修补系统漏洞,并向个人资料私隐专员公署提交报告。有电脑保安专家估计,事件起因可能是网页保安设定不足,没有将报名资料档案加密,造成保安漏洞。
这再次响起网上应用程式的安全警号,提醒企业和程式开发人员必须慎重处理个人资料,保护私隐。香港电脑保安事协调中心敦促所有企业,由设计系统和程式的阶段开始,已经要采取网络安全和私隐保障措施(Security and Privacy by Design),并遵循个人资料私隐专员公署的资料保安原则,尽量保障个人资料不会在未经授权下或意外地被查阅、处理、删除、丧失或使用。
在开发系统的过程中,尤其是在系统发布之前,企业应尽快和定期进行安全评估,以识别和修补安全漏洞,及早解决系统设计上的缺陷。另外,企业开发任何网上应用程式,都必须将敏感资料加密,然后储存在内部伺服器,为数据提供最基本的保护。
今次的受害人和其他报名人士应小心留意可能出现的骗案,如发现个人资料被盗用或涉及诈骗等刑事罪行,应尽快报警求助。
如欲了解更多有关网络伺服器、网上应用程式和数据库伺服器的保安方法,请参阅香港电脑保安事协调中心发布的「网上应用程式保安预防措施指南」,网址:www.hkcert.org。
资料外泄 恐被用作网络攻击
最近两个星期香港资讯保安界忙个不停:航空公司泄漏大量乘客个人资料、「转数快」证实出现未获授权交易、另一间航空公司的网上应用程式出现漏洞;而香港电脑保安事协调中心亦接获多宗勒索邮件诈骗个案的报告。
个人资料泄漏犹如覆水难收,受害人只可以提高警觉,留意不法之徒会否使用已外泄的资料进行网络攻击或诈骗。目前虽然只有零星资料盗用个案怀疑与近期的事故有关系,但市民亦要提防,骇客可能只是留待事件降温后,才利用所盗取的资料发动攻击。
近期多宗电邮骗案中,骗徒都声称掌握用户的密码、网上行为等个人资料,使受害人误信系统被入侵,借此勒索赎金。有电脑保安专家估计,不法之徒所列出的个人资料,是多年前从大型社交网络中盗取,时至今天才发动攻击。
个人资料随时成为网络攻击工具,令人防不胜防;户必须时刻保持警惕,提防诈骗电话、钓鱼电邮等攻击,采取措施妥善保护个人账户,例如透过双重认证或高强度密码等,加强保安程度。
企业必须全面提升资讯安全管理,在项目管理和系统设计阶段已经加入安全风险分析,同时加强员工培训,提高公司上下的资讯保安意识,抵御日新月异的网络威胁。
企业或公众欲了解更多改善网络保安的方法,请浏览香港电脑保安事协调中心网站:www.hkcert.org。
航空公司泄私隐 企业借鉴减风险
要数这个星期的全城热话,相信大家都会想到本地一家航空公司的电脑保安事故,全球约940万名乘客的个人资料,包括姓名、出生日期、电话号码、地址、证件号码等,曾在未经授权下被取阅,影响非常广泛。
航空公司在今年3月发现事件之后,未有适时披露和通报,可能触犯了今年5月25日生效的欧盟《通用数据保障条例》(GDPR),有机会面临高达39亿港元的巨额罚款。根据欧盟GDPR规定,企业应在得悉事件后72小时内通报,否则可被罸款2,000万欧元或全球营业额4%,以较高者为准。除此之外,公司亦有机会遭事主民事索偿,商誉和经济损失难以估计。
企业应加强保障数据和资讯系统的安全,提高警惕,降低风险,否则若发生未经授权取用资料和数据泄漏等安全事故,企业将难以安枕。建议的防御措施包括:
- 推行数据保护政策,分类处理机密和敏感资料,加以监控;
- 把企业内联网和互联网分开设置在不同的网络系统,避免把数据库伺服器直接连结至互联网;
- 定期扫瞄网站或网上应用(例如电子商贸、网上支付等)程式,找出保安漏洞,尽快安装修补程式。
- 采用多重认证,保障网络或云端应用的安全;
- 考虑在网络基建添置预防数据遗失(Data Loss Prevention, DLP)的设备;
- 定期监察网络流量的异常状况,收集可疑的保安或警报资料,通报异常情况或潜在安全漏洞。
至于受影响的市民,可浏览航空公司网站查阅更多资讯,留意信用卡交易纪录,并确认信用卡交易的电话短讯或来电通知,如有怀疑应立即向银行查询。最后,市民应慎防伪冒该公司名称或个人资料的诈骗电子邮件,避免误中钓鱼攻击。
企业或公众欲了解更多改善网络保安的方法,请浏览香港电脑保安事协调中心网站:www.hkcert.org。
遇「勒索」电邮先冷静 勿乱交赎金
电邮诈骗勒索方式日新月异,最近香港电脑保安事协调中心接获多宗新方式的保安事故报告。新版本的电邮骗案内容与之前的虽然大同小异,同样宣称用户的电脑已被入侵及被安装恶意软件,可远端监视电脑设备,并透过摄录镜头拍下用户的不雅片段,要胁受害人缴交赎金。
除此之外,新版本的勒索电邮,假装由受害人的电邮地址发出,令受害人误以为自己的电邮账户被入侵,继而堕进不法分子的圈套。有骗徒更会结合两种方式,既在电邮列明用户密码,也假扮收件人电邮地址,令更多用户「中招」缴交赎款。
每逢遇到这类事故,用户首先要保持冷静,不要惊慌。你的电脑未必真正被入侵,不法分子也有可能根本没有拍下任何画面或植入恶意软件;但为何电邮会从用户的电邮地址发出?
原来,传送电邮使用的简单邮件传输协定(Simple Mail Transfer Protocol,SMTP)并没有机制验证送件人的身份,其邮箱地址可以由送件人任意定义。骗徒正利用这漏洞,将送件人的身份改成受害人的电邮地址,令受害人误信电脑被入侵。
目前国际有三大电邮安全协议,包括SPF、DKIM和DMARC,可保障电邮用户安全。协议令送件人电邮域名无所遁形,并确保邮件内容不被偷窥或篡改,有效防止骗徒伪冒送件人身份,发送诈骗勒索邮件。如果收到类似的诈骗邮件,用户可以联络电邮服务供应商,根据协议配置相关设定,阻截这类诈骗邮件及其他钓鱼攻击,以免受骗。
除了借助安全协议的防护,用户也要时刻做好保安措施,提高电脑保安意识。若怀疑「中招」,请立即向香港电脑保安事协调中心求助。
社交网资料外泄 用户需自保
大型社交网站Facebook证实,上月底系统受骇客攻击,估计多达3,000万用户的个人资料被泄,包括用户名称、电话号码和电邮地址等,当中1,400万用户的搜寻纪录、居住地点、打卡位置、生日日期、婚姻状况等资料,也被骇客掌握。庆幸的是,用户的信用卡资料未有泄露。
事件轰动全球,就连公司创办人兼行政总裁朱克伯格也公开为事件道歉,承认预防措施不足,导致被不法之徒利用。美国、英国和日本等已向Facebook施压,要求公开交代事件,提出加强保障用户私隐的方案。
据了解,事件起因是程式内的View As功能,容许骇客以特定程式码窃取用户的 Access Token,毋须密码便可登入账户,用户的基本资料顿时一览无遗。除了用户在Facebook的个人资料之外,如果用户透过Facebook账户登入其他应用软件(例如游戏、其他社交网站等),当中的账户资料也有可能被泄露。
Facebook自2004年成立14年至今,社交网站的发展已超乎当日的想像,由单纯的小圈子分享近况,到全球拥有15亿用户的网络,影响力足以左右社会发展。任何微小的系统漏洞,都可能引发大量个人资料泄露,造成私隐灾难。
除了Facebook,Google旗下的Google+社交网站早前亦公布,系统因出现软件漏洞,可能引致多达50万用户的个人资料被泄露,未来计划关闭Google+的一般用户版本。
接连发生多宗涉及社交网站的保安事件,用户是时候重新检视存放于社交网站上的个人资料,包括Instgram、LinkedIn、WeChat等,如果有关资料泄露或遗失会构成损害的话,便切勿上载到社交网站,以降低风险。
黑客入侵方式多 勿掉以轻心
勒索软件攻击无日无之,企业对网络保安也相当谨慎。2018年至今,香港电脑保安事故协调中心处理的勒索软件感染个案,数量较去年大幅下降九成,可见企业对保安意识有所提高,惟仍不可掉以轻心。
越来越多恶意软件载入广受追捧的虚拟货币「挖矿」程式,并会在所感染的电脑进行「挖矿」,根据电脑负载情况调整使用率,让用户难以察觉,骇客便可借此不动声色地赚取虚拟货币。
另外一个趋势是攻击目标由个人电脑,转为企业电脑及伺服器,有关个案数量更加显著上升。骇客主力攻击储存重要文件的企业或公共机构伺服器,以求博取更多赎金。
骇客的入侵方式亦较以往有所改变,由电子邮件内的附件或连结,向受害电脑植入恶意程式,到最近利用勒索软件(例如Cerber和GlobeImposter等)入侵企业个人电脑后,寻找开启远端桌面服务(RDP)的电脑,破解其密码,入侵系统。勒索软件亦会利用伺服器的漏洞,入侵伺服器,继而传播区域网内其他电脑,扩大感染范围。
恶意软件威胁与日俱增,用户要继续加强资讯保安,妥善保护电脑及数据安全,包括:
- 时刻警惕可疑电邮;
- 切勿随意打开电邮附件;
- 不要下载可疑程式;
- 安装保安程式,保持更新;
- 更新系统及软件,安装修补程式;
- 留意最新的恶意软件消息。
培训员工 守护网络最後防綫
根据美国权威电脑保安培训机构SANS Institute分析指出,95%的网络安全事故皆由人为。用户稍一不慎下载了可疑邮件中的恶意档案,便可能引发安全事故。
为防患未然,企业应向员工灌输最新的网络安全意识,确保员工了解自身对保护信息资产(Information Assets)的责任。若用户能成为守护网络的最後一道防线,定能减低发生网络保安事故的风险。
香港电脑保安事故协调中心建议企业定期为员工提供培训,认识最新的网络安全事故趋势,加以学习和提防。现今数码发展蓬勃,钓鱼网站肆虐,企业务必要提醒员工妥善管理电邮,尤其应该即时删除可疑电邮,还要教导员工如何分辨勒索电邮的真伪。
早前有用户收到色情网站的勒索电邮,声称其电脑透过网站感染了恶意软件,被内置摄录镜头拍下了用户的不雅照片,藉以勒索金钱。电邮上甚至披露了受害人的账户名称和密码,受害人误信被要胁便缴付赎金。然而,用户的电脑事实上未必真正被入侵,不法分子可能根本没有植入恶意软件,更没有拍下任何画面。
除了培训之外,企业亦应定期进行网络安全事故演习,测试员工是否充分準备应对常见的网络攻击,例如发出模拟的诈骗或勒索电邮,并附有可疑档案,测试员工会否「中招」,以及有多少员工会主动举报,藉以提升员工辨别及举报可疑电邮的意识。
经过一连七个星期的介绍,希望中小企都谨记「网络安全七大攻略」:资讯保安政策和管理、端点保安、网络保安、系统保安、保安监察、保安事故处理及用户意识,采取良好作业模式,以应对层出不穷的网络保安威胁。
规划前中後事故处理 保企业形象
近年企业频受电脑保安事故威胁,例如企业资料外洩、遭受勒索软件攻击等,情况岌岌可危。无论拥有强大技术团队的跨国企业,或是只有寥寥数十人的中小企,根本难以确保其电脑系统保安滴水不漏、百毒不侵;规划完善的保安事故处理程序,刻不容缓。
企业必须要做好资讯保安防禦工作,并建立危机事故处理程序,以便可以及时处理事故,免招损失。
规划危机事故处理程序时,企业务必要考虑前、中、後叁个阶段的应变安排:
- 前期工作:制定危机事故处理政策。除了把骇客犯罪行为加入处理政策外,还要制定火灾、水灾等灾难应变措施,同时要定期为系统和数据进行遥距离线备份。除此之外,企业要定期测试备份复原系统,以确保备份资料完整无误;
- 事故发生期间:即时启动应变程序。若不幸发生事故,应根据危机事故处理政策的安排,通知相关人员,即时采取应变,务求可以儘快恢复运作;以及
- 後续工作:检讨及评估。善後工作完成後,应调查及检讨事故发生的原因,评估再次发生事故的风险,同时需要审视现有系统的安全架构及危机事故处理政策,进一步加强安全措施,防患未然。
网络保安事故不但影响企业运作,更会严重打击公司声誉,甚至令企业面临巨额罚款或赔偿。立即规划完善的事故应变程序,为机构树立良好的公众形象。
企业良好保安监察 防洩密
企业要保护自己公司的电脑系统,维护自身利益责无旁贷。可是无人能够百分百确定端点、伺服器和网络的安全,日常保安监察因此变得非常重要。
企业需建立一套有效的机制,监控和侦测机构的资讯科技系统有否发生可疑事件。及早发现问题,便可即时采取行动,把潜在的威胁减至最低。
香港生产力促进局今年4月首次发表的「SSH香港企业网络保安準备指数调查」结果发现,本港企业纵然正在使用既有的保安方法及技术侦测网络威胁,惟连基本的门槛都尚未可达。
企业要实行良好的资讯保安监察,可启用网络设备(例如防火墙)和伺服器的日誌记录功能,以便详尽记录公司每位员工使用网络资源时的连接尝试及活动等日常作业;并把有关记录储存於特定的日誌伺服器,方便审查和监察。
相关保安人员应定时审核日誌,以便及早发现问题,尽快妥善处理。此外,要定期监察网络流量(例如互联网流量),以侦测流量模式是否出现不寻常的变化。
下星期我们将继续为大家介绍如何处理保安事故,请各位读者留意。
安全有效密码 保护企业电脑
上星期提到网络保安四招,减低受网络攻击的风险。除了网络,载满财务或敏感资料的企业电脑系统,也是骇客虎视眈眈的目标。因此对于中小企而言,系统保安对防止资料外泄及保持资料完整极为重要。
为方便工作,现时很多内部伺服器都可透过远端服务来存取。中小企因系统的重要档案被勒索软件加密而严重影响运作等事故,经常向香港电脑保安事故协调中心求助;而这类事故的起因,往往是远端伺服器保安出现漏洞或设定不足所致。
最基本的保护措施,是采取安全有效的密码政策。其次,还要留意伺服器的设定是否妥当,并及时更新与修补程式。
若机构提供对外的网上服务,则必须留意网站保安。提到网站保安,企业一般只会留意防火墙或HTTPS加密协定,却忽略了网站应用程式设计,而最常见的情况是并无检查用户所输入的数据,因此导致网站被插入恶意程式码,继而泄露网站资料库的所有资料。
另外,对于敏感资料,机构应留意分类及保密措施,例如为资料设定不同的保密程度,并把敏感资料加密。这样的话,即使资料外泄,骇客也难以解密,无法得到资料详情,从而减低对企业的影响。
系统维护也是保安的重要一环,却经常被人们忽略。许多企业只重视购置防火墙或防毒软件等防御措施,却忽略了定期更新系统的保安设施。现有系统或网站在操作一段时间后,可能会出现各种漏洞,故各企业应定期检查系统,掌握系统的最新问题,才能及早采取应对措施,堵塞漏洞。
下星期将为大家介绍如何加强保安监察,请各位读者留意。
中小企4招 保障网络安全
要加强保障资讯安全,除了上星期提到的端点保安外,网络保安亦是不可或缺的一环。
中小企往往因为资源有限,未能有效地保护网络,成为网络攻击的受害者,严重者更可能泄漏企业敏感资料,后果不可小觑。若企业能根据网络保安的最佳实务指引来配置网络,并定期评估网络保安水平,便可大幅减低受网络攻击的风险。以下介绍四招网络保安贴士:
- 使用防火墙 - 使用防火墙保护企业的网络服务,把公众可以存取的服务与内部网络分开,例如:使用防火墙分隔,把公司网页伺服器及数据库伺服器分开两个网络。
- 限制远端连接企业网络 - 必须妥善管理远端存取企业网络,确保于安全的情况下才启用,例如使用虚拟私有网路(VPN)或双重认证(Two factors authentication),避免成为骇客入侵企业网络的入口,切忌贪图一时之便,让资讯科技支援公司长期启用不安全的远端存取。
- 限制企业内电脑连接互联网 - 互联网并非百分之百安全,其实企业内并非所有电脑都要连接互联网,尤其是金融机构员工的电脑。因此,企业可以考虑只容许有需要的电脑连接互联网,以降低风险,以避免因开启不明超连结 (URL) 而感染勒索软件。
- 定期评估企业网络保安水平 - 企业应定期进行专业的网络保安水平评估,以避免发生网络事故,并减少因事故所造成的经济损失,同时又影响商誉。
下星期将为大家介绍系统保安的贴士,请各位读者留意。
企业端点保安 6招加强防御
在资讯泛滥的年代,电脑早成为工作上不可或缺的好助手,但同时,网络安全事件也无日无之。上星期介绍了《中小企网络安全七大攻略》的基础 -- 资讯保安政策和资讯保安管理,今个星期继续介绍第二个攻略 -- 端点保安。
何谓「端点」?员工在日常业务中所使用的电脑或设备,只要连接网络,便可界定为「端点」。最常用的电子邮件通讯、浏览网页或使用商业应用程式,也在端点上进行。
所以,端点就是网络的门户,骇客一般会从较易存取、保安较差的端点来入侵企业的网络系统。保护端点就等于守护网络系统、防止骇客入侵的第一道防线。以下六招,可加强端点的保安防护:
- 所有端点电脑都应安装防毒及防恶意程式软件;
- 网络保安软件的病毒资料库及主程式,应保持最新版本及定期更新;
- 端点电脑应适时安装修补程式,以堵塞系统漏洞;
- 电脑部门员工应监察用户电脑的更新情况;
- 用户帐号只应设有最低限度的合适权限,并与拥有管理员权限的帐号分开使用;
- 在浏览网页时,使用代理伺服器阻挡可疑网址。
在「自携装置」(BYOD)的趋势下,部份企业亦会准许员工使用自己的手提电话或平板电脑,进行公司的商业活动和通讯,以提升工作效率。企业应建议员工提高网络保安意识,包括:
- Android操作系统应安装可靠的防毒软件
- 切勿破解手机的保安设定(「越狱」Jailbreak)或获取根权限(Root)
- 切勿安装或下载任何不知名或不可信的应用程式
- 切勿浏览任何可疑网页
企业资安政策 需上下通力执行
上星期提到,生产力局及属下香港电脑保安事故协调中心最近编制《中小企网络安全七大攻略》,助中小企运用有限的资源来应付网络保安威胁。今次首先从资讯保安政策和资讯保安管理入手。
2018年世界杯已落下帷幕,法国队凭借出色的发挥夺得大力神杯。法国队能够在20年后再度捧杯,离不开主帅制定了正确的战术,并得到球员完美地执行。同样地,在资讯保安系统中,制定正确的资讯保安政策,管理员工妥善地执行政策也是重中之重,是决定保安水平的关键要素。
主帅会根据自己球队与对手的实际情况,来制定合适的战术和应变对策。相对于资讯保安政策,则由管理层策划,须因应本身的营商环境和资源,并配合业务需要和风险管理策略而制定。资讯保安政策是一个机构实现保安目标的基本指引和途径,但绝非是一成不变,机构可根据实际情况及资讯保安要求的变化,适时更新资讯保安政策。
在足球场上,球员不执行主帅的战术,所有战术只是纸上谈兵。资讯保安政策也一样,管理层制定政策之后,需要在机构上下推广和落实,并监察政策的执行情况。
推行资讯保安政策有三大方法:
- 各位员工尤其新员工,应有机会查阅及知悉资讯保安政策,了解企业的资讯保安要求,并在工作中积极遵守。
- 资讯保安政策应张贴在当眼处,以及在公司内联网上发布,方便员工查阅。
- 资讯保安政策应定期更新,并确保员工知悉,如:即时向员工发送电邮介绍新政策,更新办公室的海报及公司内联网的文件。
资讯保安政策的制定与管理是一个持续的过程,需要管理层及企业上下员工的通力合作,才能确保资讯保安政策妥善执行。
网络保安「头痛医头」港企7招自救
还记得上年年中WannaCry勒索软件横扫全球,令不少中小企闻风丧胆,不幸中招者更要被迫交赎金。
在智能科技普及应用的年代,大量业务交易透过网络进行,企业高度依赖资讯系统协助日常营运,若不做好资讯保安工作,不但有机会令业务瘫痪,甚至泄漏客户私隐资料,除影响企业形象,更可能因为未有妥善保存资料,招致被第三方索偿。
生产力促进局今年4月发表的「SSH香港企业网络保安准备指数调查」便发现,本港企业的综合保安指数只得45.6分,未达60分或以上的理想门槛。以企业规模划分的话,资源多的「大型企业」的网络保安准备指数有 58.3 分,「中小型企业」则仅得43.4分。中小企可能都察觉网络保安的重要性,但往往有欠主动,许多时头痛医头、脚痛医脚,未有定期评估保安风险,改善保安设备和管理质素。
对于长期资源紧绌,并缺乏保安技术及知识的中小企来说,从何入手提升机构的网络保安,确是令人头疼的事。
针对中小企的难题,生产力局及属下香港电脑保安事故协调中心最近编制了一份《中小企网络安全七大攻略》,从资讯保安政策和资讯保安管理、端点保安、网络保安、系统保安、保安监察、保安事故处理及用户意识七个层面,分享良好作业模式,以及自我保安风险评估的步骤,助中小企运用有限的资源,去应付日趋复杂狡猾的网络保安威胁。本栏在往后数周,将逐一解构这七大攻略。
较早前,本专栏提过7月底推出的Google Chrome 68正式版,会把没有加密的一般「http」网站一律列为「不安全」。多年来,各浏览器开发商均大力推行「https」,加密传输数据,惟至今仍有许多网站继续使用未加密的「http」。
有外国研究网站列出各地区50大仍使用「http」的网站,被点名的香港网站中,不少浏览量很高,包括财经、购物、新闻、社交网站,部分甚至是政府网站。
在浏览这些「http」网页时,内容可能会在传输中被不法分子看到,导致个人敏感资讯洩露,造成损失。为了确保传输中的资讯安全,网站管理员应正确设定「https」协定。以下是三个常见的设定步骤:
- 在伺服器上启动TLS,并把网站及网页上所有本地连结的资源都以「https」连接。
- 把网站「http」连接埠转至「https」连接埠,并设定伺服器使用HSTS(HTTP Strict Transport Security)。HSTS的作用是指示用户端(如浏览器)必须使用「https」与伺服器建立连线,确保连线内容被加密,避免第三者从中攻击。
- 把网站配置了「https」,并将网页内所有内容都 「https」化后,如何确保在「https」网页中再没有「http」的来源及连接呢?网站管理员可在Firefox和Chrome浏览器中按F12,把网站中出现红色警告的「http」连结逐一修復为「https」,然后再在多种浏览器中检查网页。
不过一般用户亦须注意,「https」只能保障你和网站之间安全地传输资料,但「https」网站亦有机会是恶意网站,例如据Phishlabs资料,有四分一网路钓鱼攻击是在「https」网站上进行。所以浏览「https」网站仍要保持警觉,切勿轻易输入个人敏感资料。
保护数据库 由安全架构设计做起
新加坡一家医疗集团的数据库最近被黑客入侵,导致约150万名病人的个人资料外泄。
调查显示,该网络入侵是针对性的攻击,透过连接互联网的机构电脑系统作跳板,逐步入侵,最后到达数据库,取得敏感资料。
事件带出「安全架构由设计做起(Security by Design)」的重要性,黑客往往把握系统的弱点,从最容易接触到的部份下手,所以机构应全盘考虑及采取相应的保安措施。
针对事件,Cyber Security Agency of Singapore向当地机构提出多项保安建议,要求时刻对可疑活动保持警惕,检查系统安全。这些建议亦值得香港机构参考,包括:
- 严格管理网域管理员帐户,移除非活跃帐户。
- 如毋须执行PS程式码,可考虑禁用电脑的PowerShell,免被攻击者利用执行恶意命令和程式码。
- 监控未授权的远端访问或数据库访问,留意可疑的SQL查询。远端访问应设有可靠的登录密码,并且仅限授权用户登录。
- 监控长时间运行的伺服器(例如24小时运作的电脑)是否存在感染迹象,并把已退役的伺服器离线。
- 采用强大的伺服器保护,考虑为普通用户提供应用程式白名单,限制执行其他应用程式。
- 保持系统于最新状态,执行软件更新和安全修补程式,修复可能被攻击者或恶意软件利用的已知漏洞。
机构数据库和伺服器的安全,与公众息息相关,也是智慧城市发展过程中,不容忽视的环节,所以不同种类及规模的机构,也必须好好保护伺服器,慎防敏感数据库被入侵。
勒索诈骗电邮 4招自保减风险
最近有一种新型电邮勒索诈骗方式,由外国开始蔓延至香港。
不法份子向用户发出电邮,宣称用户的电脑已在浏览成人网站时被入侵,安装了恶意软件,可远端监视键盘、萤幕及摄像镜头内容,获取密码和社交平台的连络人资料,并已透过摄录镜头拍下用户的不雅片段,而电邮中更会列明用户的密码,借此要胁赎金。
收到这类勒索电邮的用户,首先不要惊慌,他们的电脑未必真正被入侵,不法分子可能根本没有拍下任何画面或植入恶意软件。但如果没有被安装恶意软件,为何电邮可以准确列明用户的密码?
原来,不法分子也可从其他网站所泄露的资料库,取得用户密码及资料,然后向用户发送含有个人密码等资料的勒索邮件,令用户信以为真,坠入骗徒的圈套。
虽然电脑被入侵是虚构,但用户资料却实实在在被泄露了。用户若收到类似电邮,除应立即更改密码外,还有四招可以拆解这类勒索诈骗:
- 密码保安 - 不同网站使用不同的密码,而且组合要复杂,采用系统的双重认证功能更理想。密码应定期变换,而且新旧密码要有明显区别。
- 系统保安 - 安装防毒及防恶意程式的软件,保持电脑及安全软件更新,以堵塞电脑漏洞。
- 物理保安 - 不使用网路摄像镜头时,可以将其遮盖及离线,并要为这类装置更新软件。
- 保安意识 - 避免登录及进入不安全的网站,留意网站弹出的讯息框,避免恶意软件诱骗用户下载。
这类勒索诈骗邮件未来可能出现变种,所以用户只要忽略及删除这类电邮,并做好以上四招,就可以减低风险。若怀疑「中招」,请立即向香港电脑保安事协调中心求助。
「https」也可造假 慎防恶意网站
现在不少网站都以「https」为开首,代表用户与网站的网络传输会被加密,而一些主流浏览器也会在网址列前,以「绿色锁头」标签或「安全」字样,突显网站为安全。
国际保安测试机构NSS Labs 预计,明年将有75%的网络流量会被加密,换言之「https」网站将会成为主流。不过,使用「https」网站又是否代表用户可以安枕无忧?
采用加密传输的「https」网站,无疑可以保护数据,即使传输时不慎被黑客截获或记录,得到的也只是一堆乱码,实际得物无所用。但其实,现在只需数千元便可购得SSL证书,建立「https」网站,因为成本有限,所以不排除有不法份子会故意登记,让恶意网站也拥有加密的功能,假装成「安全」网站,误导用户登入,继而发动攻击。
用户当看到「绿色锁头」标签或「安全」字样,并登入「https」网站时,也不可以掉以轻心,必须确认网址的完整及真确性,尤其在使用电话上网时,所显示的网址列较短,用户必须格外留神,否则也很容易「中招」。
浏览器开发商也积极提高用户的安全意识。以Google为例,本月底推出的Chrome 68正式版,将会把没有加密的一般「https」网站一律列为「不安全」,并以红色字样显示提醒用户;而预计在九月推出的Chrome 69正式版,更会删除「https」网站的「安全」标示,避免用户误以为「https」网站是绝对安全,推动安全浏览。
慎防供应链攻击 保障网站安全
上期本栏为网上服务用户介绍了一系列提升资讯保安的建议。
其实除了用户要培养良好的上网习惯外,服务供应商对网站保安也责无旁贷,必须做好保安把关工作,否则用户资料亦有可能外泄,令机构声誉受损,更可能要面对用户索偿,甚至本地及海外监管机构的调查和惩处。
例如,最近有本地的旅游体验网上平台发现,用户的部分资料(包括个人及信用卡资料)可能在未经授权的情况下被读取,资料有机会外泄,估计8%用户受影响。事件的起因,与第三方网站分析供应商所提供的Java程式码内藏恶意成份有关。
事件正是近年开始肆虐的「供应链攻击」,主要是透过攻击第三方服务供应商来入侵最终目标。这类攻击有很多成功例子,归根究底,是因为机构太信任服务供应商,把工作外判后,便理所当然地将资讯保安责任也交托予供应商,缺乏适当的监管。
机构应制定对第三方服务供应商的管理政策,在条款上订明服务供应商的资讯保安责任,并定时进行检查及稽核。此外,机构亦可聘请资讯保安顾问定期进行入侵测试,确保网站安全,保障客户资料。
个人用户方面,利用信用卡进行网上交易时,必须注意安全,只使用可信任的电脑及网络。另外,对于经常用作网购的信用卡,用户可以设定最低的交易限额,避免蒙受庞大损失。
培养良好上网习惯 保障资料私隐
资料泄露事件不时发生,除非完全不使用智能电话或社交网络,否则一切网络活动也难逃追踪,若这些数据落入坏人之手,用户的交易数据、信用卡或其他敏感个人资料,便会被窃取和利用,损失可大可小。
虽然网络攻击手法层出不穷,令人防不胜防,但不等于我们只能坐以待毙。生活在网络世界的一代,只要积极养成良好的上网习惯,就可以降低被黑客入侵的风险,保障个人资料安全。
首先,要注意网络环境的安全,例如:网址如以“https”作开端并有小锁图示,代表浏览器和网络之间的通讯已加密,网站较为安全可信。
其次,定期更新密码。除交易数据外,黑客对密码也虎视眈眈,建议至少每180天更新密码一次,并最好是不易记、不易破解的,切勿使用生日日期、电话号码、车牌、宠物名称等其他人已知的个人资讯作密码。
第三,采用双重认证。进行网上交易时,无论使用信用卡或电子钱包付款,都应采用双重认证方式,以保护网上交易数据。
第四,小心核对信用卡月结单,查阅账户交易数据,并启动网上交易短讯或电邮通知功能。
最后,留意个人资料保障法规和政策的发展,采取有效行动加强保护自己的个人资料,例如:欧盟《通用数据保障条例》(简称 GDPR)于今年 5 月 25 日正式实施后,各大主要社交网络已让用户自行关闭网络追踪功能,降低黑客窃取个人资讯的风险。
未试过受网络故事影响,不代表可以独善其身。立即培养良好上网习惯,让你的个人资料也好像健康身体般「百毒不侵」。
堵路由器漏洞 7件事你要知
路由器已成为不少香港家庭必备的网络设备,但有没有想过,路由器的保安漏洞可让黑客有机可乘。
美国安全研究团队思科Talos近日透露,恶意软件「VPNFilter」已暗中入侵多款路由器和网络附加储存设备(NAS),全球至少有54个国家、50万部设备受感染。受影响的包括11个品牌的70多款网络设备,大部份亦广泛应用于香港家居、小型或家庭办公室,以及中小企。
VPNFilter背后的攻击者会利用受感染设备,建立僵尸网络来攻击他人;更可发出「kill」指令破坏受感染设备,并中断设备及用户的互联网连线。用户往往需要技术支援,才能恢復其互联网连线。
VPNFilter对网络设备的威胁,仅属恶意软件攻击的冰山一角,家庭或办公室用户必须加强防范,堵塞保安漏洞,减低风险:
- 新的路由器到手时,首先要检查出厂设定是否安全,并即时使用高强度密码取代预设密码,如有困难应向设备供应商求助;
- 定期检查路由器韧体(Firmware)有否更新,并立即更新;
- 如担心设备受恶意软件感染,而供应商并未提供保安更新,应尽快重置设备为「出厂设定」,并重新启动,并设定高强度密码。但执行前,须先进行数据备份;
- 如非必要,切勿向互联网开放管理版面或任何遥距管理服务;
- 关闭不常用或不必要的服务,例如:档案传输(FTP)、虚拟私人网络(VPN)、网页伺服器;
- 如非使用,可关闭路由器;
- 若生产商已停止支援你的路由器,应考虑更换一个较新款的。
做齐以上「开门七件事」,网路设备的保安风险自然大大降低。
快速修复系统 保护机构声誉
遇到网络保安事故,能够及时应对成功解除网络威胁,保安工作是否就此完成?
有效维持系统功能及服务正常运作,是资讯保安工作的最大目标,因此美国国家标準技术研究所的《资讯保安框架》(NIST CSF)的第五部份,以复原为主题,制定系统修复程序,儘快恢复受影响的功能及服务。
资讯保安解决方案供应商卡巴斯基实验室的调查显示,金融机构在网络保安事故中,每次平均损失接近 100 万美元。除了经济损失之外,网络保安事故也会招致敏感资料外洩,危及知识产权,甚至瘫痪业务系统,严重损害公司整体声誉。因此,复原工作也相当迫切,资讯保安人员须全力执行相关程序,保护机构的声誉。
资讯保安人员须制定完善的复原计划,不论事故期间也好、事故结束後也好,这是复原工作不可缺少的第一步。为了儘快恢复受影响的系统功能及服务,这一步称得上与时间竞赛。
系统功能及服务成功复原之後,资讯保安小组应从事故中汲取教训,检讨有关策略,藉以改善复原计划,确保机构能够儘快应对事故及恢复正常运作。
最後,资讯保安人员应与机构内外的持分者保持沟通,协调复原计划及流程等工作,并与互联网和服务供应商、科技供应商,以及其他受攻击系统的用户紧密合作,减轻事故对公司声誉的损害,免成关公灾难。
本栏一连五个星期,介绍了NIST CSF提出的辨识、保护、侦测、应对及复原五大资讯保安框架,当中的建议不但适用於美国企业,任何使用网络系统的机构都值得参考。
制定应对计划 阻网络事故蔓延
上星期本栏提到,资讯保安系统须肩负侦测网络异常或事故的重任,而资讯保安人员得悉警报之后,下一步便需要作出及时而适当的应对。
这亦即是美国NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) 资讯保安框架中的第四部份。
应对是直接解除网络威胁的工作,首要是完善的应对计划,在保安事故发生前制定周详的应对程序,并与机构上下及各持份者加强沟通,说明各自在应对计划中的角色,确保计划及时执行,达到拦截和善后之目的,阻止事故蔓延。
成功阻截了网络威胁之后,下一步便要缓和事故的影响。这一步相当关键,包括制订程序以遏制事故,防止事故扩散,从而减轻网络威胁对机构的损害。此外,如果发现任何新漏洞,资讯保安人员必须详细记录下来,并研究当中的潜在风险和应对方法,进而向全机构提出防范建议。
最后,不但资讯保安人员,各持份者也必须从应对威胁的过程中汲取经验,提出一系列改善建议,并合力将建议纳入未来的应对策略。
应对与侦测同样分秒必争,稍有延误便可能令威胁扩大,导致数据外洩、核心业务瘫痪、财务损失等严重后果。因此,一套周详有效的应对计划对机构相当重要,资讯保安人员必须确保各持份者也充份了解自己的角色和责任,专业地执行应对计划。
如应对网络事故之后发现数据受损,该如何復原呢?本栏下星期再谈。
主动侦测网络异常 更准确减误报
在美国NIST CSF 资讯保安框架之下,企业须「辨识」电脑网络风险,然后作出适当的「保护」措施。今期本栏继续介绍NIST CSF的第三部份:「侦测(Detect)」。
「侦测(Detect)」的作用是,当网络出现异常或发生事故,能够及时发现并即时发出警报。正如一辆私家车,车门锁用来提供「保护」,而防盗系统则可以「侦测」到异常震动,并即时发出声响。问题是,怎样才算恰当的「侦测」呢?是否所有「风吹草动」都应触动警报系统呢?
NIST CSF建议资讯保安人员在展开侦测工作时先要釐清何为网络「异常及事故」(Anomalies and events),了解异常情况对系统的潜在影响,并订定发出警报的门槛。
「持续监察」(Continuous monitoring)是「侦测」重要一环,除了监察系统之外,企业现场环境、操作人员和服务供应商也是监察的范围,定期扫描系统有否出现安全漏洞。
企业须制定清晰的「侦测程序」(Detection processes),包括不同人员的角色及责任,确保程序符合行业法规,不断更新和改进。
管理层有责任制定有效的「侦测」策略及计划,其中推动「主动侦测」非常重要。现时许多防御或侦测系统均具备「预测」功能,可根据过往记录,更准确地判断是否出现异常,改善侦测结果。企业亦可移除不必要的功能,或加强对特定范围的防御,从而避免过度敏感及减少误报。
当「侦测」到网络异常警报之后,该如何「应对(Respond)」呢?本栏下星期再谈。
保护企业网络 机构上下要齐心
为免着凉病倒,你会多穿一件外套保暖;同样道理,企业「辨识」了电脑网络的风险之后,下一步就要好好「保护」网络,减低发生事故的风险。
以勒索软件为例,一旦「中招」,电脑档案甚至整部电脑都会被加密,并遭黑客勒索交「赎金」,瘫痪公司的运作。
上星期本栏提到,根据美国NIST CSF 资讯保安框架,在制订资讯保安策略时,首要是「辨识」(Identify)机构面对的网络保安风险,并釐订风险管理的优先次序。「辨识」是CSF框架的基石,而「保护」(Protect)就在这基石之上,为机构提供最佳的数据保护和整体保安方式,以减低出现资讯保安事故的机会,确保核心运作不受影响。
知易行难,要保护机构的网络并不容易。要方便运作,可能导致网络保护出现漏洞;但处处限制资讯分享,则影响工作效率。所以,机构必须衡量对外连接网络的利弊风险,採取适当的存取控制(Access Control)措施,避免系统、数据及资料在未经授权下被存取或修改。
保护措施再完善,只要任何一位人员稍一松懈,黑客便有机会乘虚而入。机构应透过定期的培训(Training),提升人员的网络保安意识,确保网络保护政策得以顺利执行。
当机构上下都具备了网络保安意识,企业便可展开数据保安(Data Security)工作,管理方针应与其商业风险策略一致,并制定完善的网络保安政策和处理程序(Procedures),例如:事故协调、无间业务、灾后恢復等计划,以保护重要资料。
为确保「保护网」完好无缺,必须定期进行系统及数据维护(Maintenance),并採用适当的保护技术(Protective Technology)方案来保护数据。
当网络得到妥善的保护后,机构便需採取方法「侦测」(Detect)网络事故,本栏下星期再谈。
资讯保安策略 「辨识」为基础
早前有旅行社遭黑客入侵,盗取客户资料及勒索比特币,导致全线分店一度停业及运作瘫痪的严重後果。
其实在制订资讯保安策略时,第一个重要步骤,就是要「辨识」(Identify) 整个机构业务运作的关键要素,以及所有资讯科技系统、数据和业务功能潜在的保安风险,才能够因应本身的营商环境和资源,配合业务需要和风险管理策略,釐定网络保安的重点方向和优先次序,确保没有遗留重要的资讯系统。
上星期本专栏介绍了美国NIST CSF 资讯保安框架五大核心功能,「辨识」是NIST CSF第一个基本功能,也可说资讯保安框架的基础。
「辨识」共分五个层次:
- 资产管理:针对主要和日常业务流程,按重要性来管理当中的系统、设备、用户、数据和设施。其中特别要留意,资产不单指软、硬件,因为机构人员往往是保安系统的最大漏洞,必须评估位居要职的人员的风险。
- 业务环境:了解公司的使命、目标、持份者及流程,订下优先次序,并编配各人的资讯保安角色和责任。
- 管治:掌握机构政策和程序,对法律法规、风险、环境和营运的要求,按照NIST CSF来管理及监督。
- 风险评估:了解影响业务运作或客户的网络保安风险,并评估日常使用的系统和平台的网络威胁。
- 风险管理策略:确定机构的挑战、优先次序和风险容忍度,以作出最佳的风险管理决策。
由於企业营运环境不停转变,「辨识」不是只做一次就可安寝无忧,企业必须持续评估机构所面对的新威胁。当企业做好这工作後,便需采取方法「保护」(Protect)机构的网络保安,本栏下星期再谈。
善用NIST CSF框架 确保网络安全
号称史上最严的欧盟GDPR《一般数据保护规则》,将于本月25日正式实施。现时已经开始有企业因未能符合GDPR要求,需要停止支持欧盟用户。
GDPR要求数据控制者须采取「充足措施」确保数据安全,实际上是要求企业制订信息安全策略,并须符合公认的保安标准,例如ISO/IEC 27001/27002及美国国家标准技术研究所(NIST)的《信息保安框架》(简称 NIST CSF)等。
全球监管机构提升对企业信息保安的要求已成大势所趋,例如香港金融管理局亦推出「网络防卫评估框架」,以一套共通及「风险为本」的框架,让银行评估本身的风险状况,确保其网络防卫能力足以应付。
去年,美国总统特朗普签署网络安全行政命令,要求美国政府机构利用NIST CSF框架推行数据保护和风险管理。这框架不仅适用于美国本土的政府机构,全球企业的信息保安从业员也可参考该框架及使用其指引,为自己的机构定立信息保安的最佳作业守则。
NIST CSF框架包括五个核心功能,分别为辨识(Identify)、保护 (Protect)、侦测(Detect)、应对(Respond) 及复原(Recover),为分辨风险、防范及侦测威胁,以及应对信息保安事故和事后复原,提供了全面的路线图。
国际市场研究机构Gartner 预测,到2020年全美国有一半企业将采用NIST CSF框架,相信会成为网络安全行业的重要标准。香港计算机保安事故协调中心会在往后数周,介绍这框架的每个功能,让大家可以初步了解NIST CSF框架如何实施和改进网络安全。
钓鱼网站攻击 流动装置更猖獗
31亿美元,这是美国商务电邮诈骗金额的总数。在香港,2017 年损失金额最大的一宗商业电邮骗案涉及 5,446 万港元。
一般商务电邮诈骗往往是由钓鱼网站连结开始。根据一家美国网络保安公司在2011年至2016年期间进行的调查显示,流动装置被钓鱼网站攻击的比率,以每年85% 的惊人速度增长。调查亦指出,超过五成半的流动装置用户打开钓鱼网站的连结。
调查指出,使用流动装置的用户较其他网络用户被钓鱼网站攻击的机率超逾3倍。因此,不少网络「攻击者」纷纷转移目标,向流动装置这块「肥猪肉」入手,原因有二:
第一,流动装置为「攻击者」开启了多个新的切入点。「攻击者」过往只能透过电子邮件进攻桌面电脑,流动装置却可以由多种途径入侵,例如社交媒体应用程式、即时通讯应用程式、个人电邮帐户,以及手机短讯等。
第二,流动装置大大利便人际沟通,而「攻击者」正看中这一点。相信大家都有不少类似的经验,就是不论讯息真假,都能在各大小社交平台或应用程式迅速传播。由於讯息一般较短,加上流动装置屏幕细小,用户较难察觉讯息真伪。
企业要加强监视任何来源的网络钓鱼企图,除了为流动装置提供网络防护工具,更重要是提高员工对网络保安的认知,以及对钓鱼网站攻击的警觉性。企业可以进行钓鱼网站攻击演习,例如向员工发放模拟钓鱼电邮,找出安全意识薄弱的员工,有效降低员工受骗风险。
防禦网络威胁 中小企须主动
每天在世界不同角落,时刻都会发生大大小小的网络攻击。根据Online Trust Alliance统计,去年针对企业的网络攻击近16万宗,较2016年增加接近一倍,平均不足叁分半钟便发生一宗,当中有六成事故更导致中小企无法在半年内恢复正常运作。
不过,根据生产力局最近进行的「SSH香港企业网络保安準备指数调查」发现,面对网络威胁,本港企业特别是中小企仍然有欠主动,只达到基本的保安管理水平;其中在保安技术及企业人员的保安意识方面,更低於今次指数调查的合格水平。
勒索软件为2017年增长最快的网络保安威胁。「指数调查」发现,有26%受访者在过去12个月曾遭受网络保安攻击,当中超过一半为勒索软件。中小企未必有能力支付赎金,若不幸被勒索软件攻击,不但严重打击公司声誉,更可能面临客户要求巨额赔偿。
恶意攻击的手法层出不穷,网络防护也须不断更新。中小企虽然缺乏资源,但可以比大企业更灵活地选择适合公司规模和需求的网络安全方案。持续的网络保安培训,及进行定期演习,有助人员保持警惕,及时应对恶意攻击,减少对企业的影响。
「香港电脑保安事故协调中心」提醒中小企在容许合作伙伴连接公司的网络之前,必须评估其风险,严格控制合作伙伴的存取权。另外,缺乏资讯科技人员的中小企,也可采用自动化的网络威胁检测系统,简化网络保安管理工作。
欧盟资料保护新例 罚则高须正视
上期本栏谈到欧盟新的《一般资料保护规则》(GDPR)将於今年5月25日正式实施,无论企业或数据是否位於欧盟,任何处理欧盟居民数据的机构,都必须遵守新规则。
网上的业务或交易模式越来越多样化,香港的机构或企业应确定本身的互联网活动,是否受到欧盟新例的规範。若受到新例规範,必须及早为遵从新例作好準备。
违规最高罚款可达企业全球营业额的4% 或2000万欧元,罚则之高足以令企业管理层正视符合新例的课题。若企业在处理数据时已采取适当的保护措施,可以作为求情理由减低事故罚款的,故此值得企业加强数据保护的投资。另外,如发现违规事件,企业必须在72小时之内通知数据保护机构,若事件能影响个人权利和自由,更必须尽早通知数据的拥有者。
为加强网络和数据保安,企业必须在系统或应用开发初期,将「资讯安全」纳入要求,重视私隐设计。新例亦要求以处理客户数据为主要业务的企业,必须委任资料保障主任(Data Protection Officer),并与资讯安全团队密切合作,确保运作符合欧盟规定。若数据处理可能严重危及个人数据的安全,企业必须在处理之前评估资料保障影响。
配合欧盟新例实施,软件供应商及流动应用程式开发商必须加强防範,以保障软件及流动应用程式用户安全。
欧盟私隐新例 添港企保安压力
欧盟新的《一般资料保护规则》(GDPR)将於今年5月25日实施,新规则适用於所有与欧盟公民或机构有往来的机构,将更严格规管个人资料的蒐集、处理、储存及传输,以及数据洩露的通报。欧盟为香港第二大贸易伙伴,新例将令本地企业增添网络保安的压力。
除了於欧盟地区设有业务据点的企业须遵守其要求外,本地企业如有向欧盟地区的居民(不论有否收取费用)提供货品或服务,又或有记录及监控欧盟地区居民的活动资料,均受新例规範。
以下是一些香港企业因互联网活动而可能受欧盟规则影响的情况:
- 本港企业没有於欧盟设立据点,但透过位於美国的网站,向全世界提供免费社交媒体服务 – 受规範;
- 本港酒店预约业务,於网上利用cookies追踪世界各地客户的浏览活动以提供合适的酒店广告 – 受规範;
- 本港花店可提供网上订花及只限本地的送花服务,网上客户(包括欧盟居民)付款时可以选择欧元作货币 – 受规範;
- 本港零售网站接受网上客户(包括欧盟居民)订购货品,但货币只限港元及送货地点只限本港 – 不受规範
香港个人资料私隐专员已於4月3日发出《欧洲联盟《通用数据保障条例》2016》小册子,以助香港机构/企业了解欧盟新例可能带来的影响,以及将当中部分主要规定与香港《个人资料 (私隐)条例》作比较,让港企更容易掌握及作好準备。
提防fb应用程式 擅取个人私隐
最近Facebook 的个人资料洩漏事件引起很多人的关注。事原是2013年剑桥大学一位研究员Kogan在 Facebook 上推出了一个个性测验应用程式「thisisyourdigitallife」,当时有近 30 万人参与使用。这个 App 的使用条件是要用户提供个人及他的亲友的资料。後来Kogan将应用程式连同所收集的资料转移给了剑桥分析公司。
据了解Facebook因此禁止了Kogan的应用程式在Facebook平台上使用,同时亦要求Kogan和剑桥分析将有关资料删除。事後媒体发现剑桥分析可能根本没有删除有关资料,而且还将一部分应用在协助美国总统特朗普竞选的针对性宣传上,当中所涉及的美国使用者多逹5000万。
很多手机应用程式及Facebook应用都会索取用户Facebook上的用户个人及亲友资料。读者可以以下步骤检查Facebook上被应用程式索取了的资料:首先从个人电脑浏览器登入Facebook网页,从右上角寻找并点撃「设定」, 接著在左边选项选择「应用程式」。
在页面上读者可以看到能够读取你个人及亲友资料的应用程式。读者点撃应用程式的名字便可以检查它可以读取资料的详细範围。为了保障个人私隐,建议读者可以选择移除那些不再使用的应用程式。在页面上还有一个选项叫做「应用程式、网站和附加程式」,读者点选「编辑」後再选「Disable platform」便可以避免第叁方软件再次连结你的Facebook帐户。
网络保安 不能完全依赖AI
最近去世的物理学家霍金教授曾经说,人工智能(AI)的崛起,可能是人类最好的事情,也可能是最坏的事情。坊间有一些说法指AI、机器学习会影响未来的网络安全,不少网络安全产品也纷纷标榜采用AI技术,可对付日新月异的网络攻击。
其实AI、机器学习并非新技术。十多年前恶意及垃圾电邮横行互联网,数量曾一度多达寄出电邮总数八成之多。後来厂商们开发了电邮过滤技术,成功把恶意及垃圾电邮过滤,减至单位数的百分比。他们所使用的,正是机器学习技术,让系统分析大量恶意及垃圾电邮,找出它们的特徵,并过滤具有同类特徵的电邮,这技术今日仍继续沿用。
现时防毒软件开发商,大多也采用机器学习技术,加快及加强对恶意软件的辨识。不过,大家必须知道,这些AI或机器学习技术,没法把攻击降至零,攻击者总有办法绕过系统的侦测。
根据最新发表的《思科 2018 年度网络安全报告》,有超过叁成的受访企业高度倚赖人工智能技术来加强网络保安,不过部分受访者亦指这些系统出现误报的情况。但随著技术日後更趋成熟,未来网络保安人员将更广泛使用AI自动化工具,提高网络保安工作效率。
企业购买网络安全産品时,必须验证其産品效能。AI或机器学习只能辅助,不能取代真人。因为最终是否采取保安行动,例如隔离及删除受感染档案等等,仍需要由网络保安人员作出决定。
防禦供应链攻击 审核要从严
去年9月,免费系统清理及优化软件CCleaner的开发商Piriform透露,该软件的下载服务器遭黑客入侵,在下载包内混进恶意程式,可导致软件用户的电脑名称、IP位址、已安装软件清单表等资料外洩至黑客设於美国的伺服器,估计有227万人使用受影响的软件。
过去数年,这类迂迴形式的网络攻击日趋频密,黑客通常会透过数码供应链将恶意程式植入软件公司的安装与更新系统,利用这些受信任的管道,绕过软件用户的资讯保安机制散播病毒。
要有效应对供应链攻击威胁,必须采取完善的风险管理,建立快速回应及稳健安全的数码供应链。除了做好内部资讯科技设施的保安外,企业更要将这要求延伸至供应商、客户以至合作夥伴。
企业把软件供应商整合到内部资讯科技基础设施之前,需要进行更严格的审核。系统保安必须持之以恒,企业应要求供应商定期报告安全状态,企业也需不断更新审核程序。
虽然黑客攻击方式层出不穷,但企业仍可通过多种方式加强供应链安全。企业可审视整个供应链,建立全方位的保安视野,并针对风险特性,制定分级保安方案,才能应对新的威胁。
使用双重认证 保护电邮资料
智能手机及平板电脑日渐普及,加上云端科技一日千里,现今的电邮帐户除处理传统电子邮件外,还会储存大量的敏感资料,例如个人资料、手机联络人及云端档案等。
若电邮帐户保安出现问题,除会导致用户的敏感资料有机会外洩外,更可能殃及池鱼,令家人、朋友,甚至生意伙伴也蒙受金钱损失。故此,香港电脑保安事故协调中心经常呼籲电邮服务用户要加强帐户保安,例如采用双重认證,以减低出现此类保安事故的风险。
不过,有Google软件工程师今年1月在美国的一个资讯保安研讨会上透露,不足十分一的Google活跃用户采用双重认證功能,情况令人关注。事实上,仅使用一组密码作认證登入电邮帐户的保安风险较高。
不法份子可利用钓鱼网站等常见的攻击手法,直接取得帐户控制权以为非作歹,例如发出伪冒电邮,骗取点数卡或储值卡。Google去年11月发表有关黑客窃取帐户密码及个人资讯的研究便发现,流入黑市的资讯中有1200万项是来自网络钓鱼。
使用双重认證後,用户的电邮帐号及传统登入密码若外洩,黑客须於短时间内取得其一次性密码才可登入帐户。由於盗取难度增加了,敏感资料外洩机会亦会减低,所以电邮服务用户应立即使用双重认證登入服务。
使用虚拟银行 先看箇中风险
金融管理局最近就修订《虚拟银行的认可》指引谘询公众,当中最大的修订是除银行和金融机构外,科技公司亦可申请设立虚拟银行。新修订有助推动金融科技创新。但虚拟银行在本港仍属新概念,大众在采用前,必须瞭解箇中保安风险。
首先,虚拟银行没有实体分行,因此客户的信心完全是取决於对该银行的营办机构的信任。同时,用户要注意若虚拟银行出现技术问题而引致服务中断,银行或未必有方案可以确保交易如常。另外,虚拟银行的网络保安风险跟目前的网上银行一样,例如黑客可以入侵用户帐户,进行未经授权的转帐和交易,或偷取用户的个人资料等。
为确保虚拟银行的顺利运作,虚拟银行营办者除要跟从金管局的相关指引,亦须推行严密的网络保安措施,例如定期更新伺服器的操作系统和应用程式,并保护网站管理员的登入介面。网络和数据库伺服器亦要分开存放,更要解除不需要使用的模组和扩充应用程式。此外,要小心验證用户在网上应用程式输入的资料,以确认真伪。
虚拟银行用户亦需采取足够措施,保护登入有关服务的个人资讯科技设备,例如安装保安软件防毒软件或网络保安应用程式,并定期更新设备的作业系统、应用程式及病毒资料库;更要采用不易破解的密码及双重认證登入帐户,以及预先设定低额的转帐限额,减少风险。
提升资讯保安 3方面加强防範
上文谈及香港电脑保安事故协调中心预测,以榨取金钱为目标、针对物联网设备、流动支款应用程式及软件更新机制的网络攻击,今年将会恶化,社会各界需提高警惕,加强防範。
企业想全面提升资讯保安,除要找出哪些机构的重要数据或服务需要加强保护,并定期评估对外伺服器及经常被忽略的资讯科技服务的保安风险外,更要把有关评估的适用範围,扩大至供应链伙伴。
企业进行了以上活动後,便可从叁方面加强资讯保安,包括:
- 程序管理:企业应限制机构的数据及服务暴露於互联网及服务夥伴。同时,使用存取控制收紧权限批出,任何软件更新亦要预先经过测试才进行。资金转移控制亦要加强来应付商务电邮骗案;
- 技术控制:企业要采取措施堵塞系统的漏洞,例如安装修补程式、强化设定安全、停用不安全服务等,并控制外界对机构的访问,以及堵截对外的恶意网站的访问。此外要定期备份数据,并储存一个离线副本,以减低勒索软件袭击的影响;以及
- 提高保安意识,堵塞人为漏洞:企业应定期举办安全意识教育及保安演习,并规定员工使用其他通讯渠道验證电邮发出的交易要求,及在敏感服务上采用较强的密码及双重认證。员工亦要提防来历不明的电子邮件和网站,并避免使用公共 Wi-Fi 网络传送敏感资料。
网络攻击4预测 流动付款要小心
上期回顾了2017年的本港资讯保安状况,现续谈未来一年将有什麽新威胁,企业及个人需要留意。针对今年的网络攻击趋势,香港电脑保安事故协调中心有4大预测。
预测一:以榨取金钱为目标的网络攻击,会持续上升,攻击方式将继续以加密勒索软件、入侵敲诈、分散式阻断服务攻击敲诈,以及系统入侵为主。由於有越来越多网络罪犯会提供一站式攻击「租用」服务,让不熟悉有关技术的不法分子也可使用,将令趋势火上加油。
预测二:有上网功能的装置在不同层面的应用虽然日趋广泛,但用户的保安意识普遍薄弱,未有做好设备的保护,例如更改预设密码、定期更新、安装防火墙及防毒软件等,将製造更多机会给黑客,透过保安漏洞及设备的後门入侵,使更多「物联网」设备成为大型网络攻击的帮凶。
预测叁:随著流动付款服务盛行,交易过程中会有大量敏感资料暴露於网络世界中,若程式没有采用足够的通讯加密保安措施,将吸引更多针对流动支款应用程式的网络攻击。
预测四:经过去年的NotPetya及Bad Rabbit加密勒索软件攻击事件後,预计会有更多黑客试图入侵软件供应商的软件更新机制,以及受欢迎的合法网站,植入恶意程式码,以绕过企业及网站访客的防禦。
至於如何避免沦为以上攻击的受害者,就留待下期介绍。
恶意软件攻击增8成 企业需警惕
每年1月中,香港电脑保安事故协调中心都会与大家分享过去一年的本港网络保安状况,从中预测未来一年的网络威胁新趋势,让公众及企业提高警惕,加以防範。
协调中心去年共处理6,506宗保安事故,较2016年增加7%,已是连续五年上升,事故增加的主因与网络安全机构之间近年加强合作,互相转介保安事件;以及协调中心提升了处理大量转介个案的能力有关。
事故种类分佈方面,其中恶意软件攻击连续两年激升,数目较2016年大增79%(共2,041宗,占总事故31%),并与殭屍网络(2,084宗,占32%)及钓鱼网站(1,680宗,占26%)成为最主要的网络事故。
专家分析恶意软件事故发现,虽然去年加密勒索软件事故报告数目大幅回落(共178宗),但却有1,210宗Bot-WannaCry个案。这类事故涉及本地电脑感染了去年5月肆虐全球的WannaCry加密勒索软件,但软件内的加密程式至今仍未执行。
另外,亦有519宗手机恶意软件个案,主要来自iOS应用程式开发商用了非官方及含有XcodeGhost恶意程式码的Xcode程式库,令连带所开发的应用程式也受感染。受感染的应用程式会把用户装置的资讯自动回传至该恶意程式的指令与控制伺服器,或弹出钓鱼视窗骗取用户资料。
至於今年有什麽网络新威胁,就留待下回继续介绍。
及早更新CPU保安 防黑客攻击
最近全球多间主要晶片生产商承认,他们出品的中央处理器(CPU)因设计上的失误而有严重保安漏洞。
黑客可利用该漏洞,绕过目标系统的保安限制,偷取核心记忆体内的敏感资料。全球数十亿资讯及通讯科技产品,包括桌面电脑、笔记型电脑、云端伺服器、工业电脑、手机等,无一倖免。
根据发现这个保安漏洞的奥地利格拉兹科技大学(University of Graz Technology)资讯保安研究团队的解说,黑客可利用该漏洞进行「Meltdown」及「Spectrum」两种CPU攻击。前者旨在解除禁止应用程式任意存取系统记忆体的保护机制,使一般应用程式可存取系统核心记忆体内的内容;後者则可让应用程式存取其他应用程式内的任意记忆体位置。
若漏洞是栖身於个人电脑内,攻击者可於恶意网页上运行 Javascript 窃取用户浏览器另一个网页标籤中的数据。若是於云端服务中,攻击者则可窃取云端伺服器另一个租户正在处理的数据。
研究团队又指出,要侦测及阻挡这些攻击是十分困难,因为这类入侵是不会在电脑日誌留下任何痕迹,而且防毒软件亦很难在执行一般应用程式时,可以把「Meltdown」及「Spectrum」的攻击分辨出来,只能靠於事後通过二进制档案比对来找出这些攻击。
事件曝光後,各大软件及作业系统供应商已迅速地发出更新程式修补漏洞,但部分或只适用於特定的版本,因此用户应加紧留意相关厂商的信息,并儘早做好保安更新,以免敏感资料落入不法份子手中。
企业安全管理 架构设计做起
最近,再有本地旅行社遭黑客入侵伺服器盗取客户资料并勒索赎金,这些拥有大量个人资料的机构采用的保安措施究竟是否足够?
其实,企业若缺乏有效的资讯科技系统安全管理,当系统出现漏洞或弱点而未能及时处理,黑客便有机可乘,入侵系统进行不法勾当。当事故发生时,企业如没有妥善的备份管理,系统将无法还原。
因此企业应从保护数据、加强系统及数据存取的保安,及强化系统安全设计叁方面,妥善保护数据资料。首先,保护数据方面,企业须采用加密技术加密数据及资料,还要定期备份,并最少要有叁份备份,以至少两种不同形式存放,其中一份备份需储存於工作地点以外的地方。
至於加强系统及数据存取的保护,企业需定时更新伺服器修补程式,并限制帐户的存取权限。同时,网站管理员的登入介面及遥距存取等敏感服务,可采用双重认證。最後,强化系统安全设计方面,企业要小心验證,及确认用户在网上应用程式输入的资料;更要把网络伺服器和数据库伺服器分开存放,後者应设於内部网络及只接受从内部网络存取。
长远来说,企业须提升资讯安全管理至国际认可水平,从安全架构设计做起,除进行安全审核及培训外,还要定期审查网络安全架构和设计,以及建立并行的系统,提供无间断服务。
企业需重视 工业4.0隐忧
去年11月,香港生产力促进局一连两日举办题为「与未来的全球供应链连接」的「工业4.0」网络安全国际会议,由海外及本港专家分享供应链网络保安的最新技术、国际经验和最佳造法。获二百多家本地企业踊跃参与,会後部份参加者更表示,会重新审视机构与合作伙伴的资讯保安。
「工业4.0」智能营运的特点,是透过互联网把供应链中无数的工业系统串连起来,让众多机构高速并无间断地互相传输大量数据。互连和数码化可提升整个供应链的效率,然而相较传统的个别系统,更多网络威胁亦随之而来,企业必须正视。
美国国家标準技术研究所指出,针对供应链的网络威胁来自四面八方,例如可以实体或虚拟方式存取资讯系统、软件编码或IP地址的第叁方服务供应商;二、叁线供应商的资讯保安劣习及劣质软硬件产品;供应链管理或供应商系统的软件保安漏洞;使用冒牌或附有恶意软件的硬件、第叁方数据储存设备及聚合器等。
要万无一失,企业须全面评估供应链上各单位的网络保安水平,从软硬件设计过程、处理新型网络攻击的能力、生产过程管理及监测、配置管理实施及质量保證、网络及实体存取管理、员工背景审查机制、对上游供应商的资讯保安期望,以至分销过程的保安及存档等。
网站记录用户资料 恐遭索偿
很多大型网站皆会采用第叁方软件,追踪网站上的一切活动,务求全方位了解用户群,为他们设计更贴心的网站体验,提供更适切的服务和产品。
美国普林斯顿大学资讯科技政策中心最近发表研究报告,指出全球浏览量最高的五万个网站当中,逾480个有采用「Session Replay」插件,记录用户浏览网站时的一举一动,包括键盘敲击、滑鼠的移动、浏览行为、所停留的网页内容等,并将有关资料传送至第叁方伺服器。
「Session Replay」插件理应不会记录网站用户的敏感资料,例如密码、信用咭号码等,但该研究发现,技术供应商仍有方法取得这些资料。最令人担心的是,有关资料是在未加密的情况下被传送至第叁方伺服器。若用户资料不幸外洩,网站负责人除会被监管机构调查外,该机构的声誉更会受影响,甚至遭用户追讨赔偿。
要防止这些情况发生,网站负责人要检查及了解网站的第叁方「Session Replay」插件的功能、用途,以及数据收集种类。同时,切勿使用这类插件收集客户的敏感资料,并留意避免为其他人士收集有关资料。此外若企业已为网站采用了加密的通讯协定(HTTPS),亦要确保「Session Replay」插件一併采用HTTPS传送数据,才能万无一失。
小心佳节假电邮 骗财盗私隐
过去数周,大家应该收到很多与圣诞节及新年有关的电子邮件。
由身处世界各地的亲朋好友及生意夥伴传来的电子贺卡及祝福电邮,以至各行各业公司推出的产品及服务优惠推广,包罗万有。
佳节当前,电邮用户的资讯保安意识也絶不能松懈,因为根据过往经验很多不法份子都会利用节日的机会发动攻击,其中以骗取用户金钱或个人资料的伪冒电邮为最直接及常见的攻击手法。
英国电邮保安服务商Mimecast近日发表最新一季电邮保安风险评估报告,分析逾5,500万封电邮,发现近19,000封属伪冒电邮,比上一季大增近五成,是恶意软件电邮的七倍。所谓「桥唔怕旧」,伪冒电邮仍属资讯保安一大威胁。
用户接获任何电邮时,尤其是附有附件或超连结的电邮,应先检查电邮的发件者、来源和内容是否可靠;若存疑,应以其他方法立即联络对方核实,不要贸然打开电邮附件或连结,以免误堕钓鱼陷阱,或感染加密勒索软件及其他恶意程式。用户亦可使用免费綫上档案扫描服务,辨别档案或连结的虚实,以减低电脑中毒风险。
最後,「精Net锦囊」祝大家佳节快乐,平平安安欢渡假期!
加强浏览器保护 免被迫做「矿工」
最近有本港网站被指暗藏「掘矿」程式码,每当用户浏览有关网站时,电脑的运算能力会遭骑劫「掘矿」,被黑客利用作为赚取虚拟货币的工具。
这种「掘矿」手法早於今年9月在网络世界首度曝光,欧洲塞浦路斯资讯保安公司AdGuard随後亦发表报告,指出全球最高浏览量的首10万个网站当中,有220个网站被黑客植入「掘矿」程式码,每月有约5亿电脑用户在不知情下成为「矿工」。报告更发现逾半暗藏「掘矿」程式码的网站来自影片串流、档案分享、成人及传媒网站,这或与用户一般在有关网站的逗留时间较长,因此变相成为「掘矿」程式温床。
香港电脑保安事故协调中心过去叁个月也接到叁宗网站遭嵌入「掘矿」程式码的报告。由於大部份防毒软件不会视网页的掘矿指令为威胁,未必会发出警报,因此难於防备。若用户浏览某些网站时,电脑运作突然减慢,而中央处理器的使用量又异常高,例如达80%至100%,用户的电脑便有可能已遭挪用「掘矿」。
为免被迫成为「矿工」,电脑用户可安装一些开放源码浏览器外掛程式,例如Chrome的「No Coin」、「MinerBlock」等,侦测及阻截掘矿程式。另一方面,网站管理员要修补网站漏洞,并采用良好的编码作业模式开发网页应用程式,以及安装防火墙,减低网站被入侵或嵌入可疑程式码的风险。
域名系统双重加密 保网站安全
大家可能试过按下某常用网上服务的超连接,或於网页浏览器直接输入其正确网址後,却去了一个不明来历的网站,不独用不上有关服务,更可能令电脑感染恶意软件,影响运作。
网域名称系统(Domain Name System,简称DNS)是一项广为使用的互联网服务,透过将网域名称和IP地址相互对换,方便大家上网,不需记忆又长又複杂的IP地址。DNS於1983年面世,由於当时未有加入保安设计,自然容易成为黑客攻击的目标。
医疗行业近年广泛应用物联网技术以提升病人护理服务,从医疗数据化、身份识别、急救、远程监护和家庭护理、医疗设备和医疗垃圾的监控、血液管理,以至传染控制等,遍及不同範畴,影响深远。法国市场研究机构Reportlinker今年6月发表研究报告,估计全球医疗物联网(Internet of Medical Things,简称IoMT)装置总数将由2015年的45亿部上升至2020年的200亿至300亿部,增幅惊人。
针对这问题,部份域名管理员近年已采用「网域名称系统安全扩展」(Domain Name System Security Extension,简称DNSSEC)DNS数据验證套件。今年9月起,「.hk」顶级域名亦开始支援DNSSEC。
DNSSEC利用公/私钥匙加密技术,以数码签署方式验證DNS资料来源。情况尤如在银行提取保险箱物件一样,需同时使用两把钥匙才能打开保险箱,加强保安。网站负责人应尽快为网站域名加入DNSSEC支援,提高本身域名记录的完整性及可信性,堵塞保安漏洞。
限制远端连綫 防勒索软件攻击
上月,沙田区一所中学的电脑伺服器受到勒索软件攻击,电脑档案无法开启。传媒引述警方消息,怀疑黑客利用Crysis/Dharma变种勒索软件,透过微软视窗的远端桌面服务(Remote Desktop Protocol - RDP)取得伺服器控制权,将受害者电脑上的档案加上「.arena」副档名,再进行勒索。
香港电脑保安事故协调中心於事发前两星期已发出「高度危险」的保安警示,提醒电脑用户提防该变种勒索软件,但仍收到数宗有关感染报告。「中招」者的网络档案伺服器上的资料会受影响,而遭强行加密的档案也无法还原。
若用户的电脑遭到攻击,应即时停止网络连线以作隔离,并移除与该电脑连接的储存装置,及立即关闭网络交换器(network switch),隔离同一网络内的其他电脑及档案伺服器,以遏止大规模扩散。在未清理恶意软件前,切勿开启任何档案。
在预防方面,用户除执行基本的电脑保安措施外,更可对远端桌面服务实施多重保安限制。例如非必要,切勿对互联网开放远端桌面服务,并只允许特定的IP地址,连接启用了远端桌面服务的电脑;同时,应限制远端连线的许可时间,例如禁止在办公时间以外连线。此外采用最少权限原则规限可进行远端连线的帐户,尽量避免给予管理员权限。若需由第叁方服务供应商协助管理电脑,须要求对方以安全的渠道进行远端连线。
医疗数据化 网络安全需重视
今年5月份震动全球的「WannaCry」加密勒索软件攻击,导致英国公共医疗服务大混乱。
当地的调查报告指出,所有受这影响的医疗机构若事前已执行基本的资讯保安措施,例如适时修补系统漏洞、做好防火墙管理等,便能逃过一劫。
医疗行业近年广泛应用物联网技术以提升病人护理服务,从医疗数据化、身份识别、急救、远程监护和家庭护理、医疗设备和医疗垃圾的监控、血液管理,以至传染控制等,遍及不同範畴,影响深远。法国市场研究机构Reportlinker今年6月发表研究报告,估计全球医疗物联网(Internet of Medical Things,简称IoMT)装置总数将由2015年的45亿部上升至2020年的200亿至300亿部,增幅惊人。
医疗物联网装置越出越多,功能亦更多样化,受到网络攻击的机会亦随之上升。根据一家美国网络保安研究公司去年12月发表的医疗机构网络安全调查,针对病人资料的攻击於2014年至2016年的短短叁年间,已急升300%。
为协助本港医疗行业及早防範网络攻击,香港生产力促进局将於12月1日举办医疗及保健系统网络安全研讨会,由海外及本地专家介绍医疗器材业的最新网络保安趋势及技术,以及良好医疗设备网络风险管理,务求业者安然过渡至数据化的发展大势。
供应链宜加强保安 免火烧连环船
颠覆传统商业模式的「工业4.0」,提倡应用物联网技术,令企业内外、供应链上的所有持份者、物件和机器,无缝地紧密联系起来,即时互相沟通和协调,达到精益生产及加快业务流程,以高效益方式,制造个人化的产品。
由于当中有大量数据流动,例如涉及市场、生产、物流及客户等不同环节,并会通过网络与供应链上的相关业者分享,所以供应链的网络保安非常重要,否则有事故发生时会产生「火烧连环船」效应,涉连甚广。例如2013年震惊整个零售业的美国第二大零售百货集团Target资料外泄事件,黑客便是借着入侵集团的暖气、通风及空调系统供应商,进入集团的零售系统,窃取超过4000万个顾客信用卡资料。
美国国家标准技术研究所指出,除盗窃外,一个高度网络化的供应链的其他网络保安威胁包括插入伪造纪录及指令;非法制作、篡改、插入恶意软件及硬件;甚至产品制造及研发陋习都可衍生隐患。供应链上的所有单位皆需执行有效的安全措施,确保供应链数据完整无缺、货品安全及运作正常。
香港生产力促进局将于11月21日至22日,假该局九龙塘总部举办「工业4.0」网络安全国际会议,题为「与未来的全球供应链连接」,由十多位海外及本港专家分享供应链网络保安的最新技术、国际经验和最佳造法,企业不容错过。
物联网安全 应从选购安装入手 (Chinese only)
上文介绍了物联网设备的主要保安诟病,大家若想用得安心,可从选择产品和安装两方面着手。
选择物联网产品时,大家应先了解个别品牌的客户信任度、过去两年的产品安全事故及处理方法,以及更新产品韧体的频密度。用户亦要认清产品有否进行官方验证,例如采用ZigBee或Z-Wave这两种较新的加密通讯协定;并留意产品所使用的网络连线及管理者介面有否采用加密技术。用户更可预先下载使用者说明书,以了解设备提供的保安设定是否足够,是否容易安装及进行韧体更新。
至于安装时,用户应把设备安装在不会公开IP地址的内联网上,并将可靠及不可靠的网络隔离;若能为设备建立额外的单独网络则更佳。此外要关闭路由器上的通用随插即用功能;用户亦要确保设备韧体为最新版本,例如每年最少两次登入生产商网页,检查是否有韧体更新。紧记选用不易被猜中的密码并定期更换,若可做到「一设备一密码」则最理想。
另外,切勿向互联网开放设备的管理介面。若该设备不必连接云端,请尽量避免使用,以减低安全风险;若不使用互联网服务时,更要拔除网络连线。此外要掌握相关安全事故的最新资讯,例如定期利用网上搜寻器,输入设备的品牌及型号,查看有关信息。
物联网设备 四大保安问题
物联网设备市场近年迅速增长,据国际知名资讯保安公司思科今年8月发表的最新「视觉化网路指数」估计,2021年人均联网设备数量将达3.5部,较2016年增加逾50%。
随着物联网设备的应用越来越普及和多样化,网络黑客亦会花更多时间发掘设备的保安漏洞,发动入侵并控制系统作非法行为。例如去年初秋,黑客入侵物联网设备,组成名为「Mirai」的僵尸网络,发动大规模阻断服务攻击,足见这类网络风险已迫在眉睫。
经该次事件后,国际资讯保安机构纷纷研究全球有多少物联网设备有保安问题,结果数目远超想像。香港电脑保安事故协调中心早于两年前亦曾进行有关专题研究,当时亦发现为数不少的本地物联网设备直接向互联网开放,部份更有严重的保安问题。
目前市面上的物联网设备主要有四大保安诟病。首先,系统本身有保安漏洞,黑客可进行远端执行程式码或遥距控制设备。另外,设备在出厂时只提供少量保安设施,有些甚至没有提供任何保护。此外产品预设过于简单或不能更改的登入密码,容易被撞破。最后,很多物联网设备缺乏明显提示,提醒使用者更改密码或安装韧体更新,修补保安问题。
至于如何对症下药,让我们可以安心尽享物联网所带来的各项好处,则留待下回分解。
黑客截劫 交易勿用公共WiFi
上周,比利时荷语天主教鲁汶大学(KU Leuven)的资讯保安研究人员发表报告,指出现时一般用于WiFi网络保安的WiFi Protected Access II (WPA2)加密方法有多个安全漏洞,网络黑客可借此发动名为「Key Reinstallation Attacks」(KRACKs)的攻击,将传输中的数据解密及篡改,甚至把勒索软件及其他恶意软件注入网站,酿成严重损失。当黑客和WiFi连接点及目标装置相同的无线传输范围内,便可发动攻击。
由于今次事件影响数以亿计附有WiFi连线功能的装置,例如智能手机、手提电脑、无线路由器等,因此受影响的产品供应商纷纷推出修补程式及轫体更新,让用户尽快安装,消除威胁。不过,并非所有品牌的装置都会提供修补程式,因此用户需主动联络装置供应商查询详情。
要减低资料外泄风险,用户传送敏感资料时(例如银行交易),必须采用最新版本的安全通讯协定(SSL)或传输层安全协议(TLS)加密资料。同时,避免透过公共WiFi传输资料及执行网上交易,应以有线网络或流动数据进行。若迫不得已要采用公共WiFi传取资料,应利用虚拟私有网络(VPN)进行。
由于这漏洞不是直接针对WiFi路由器,因此更改保安设定,例如登入密码,也于事无补。不过,用户应保持良好的资讯保安习惯,更新附有WiFi连线功能的装置及无线路由器后,可一并更改WiFi登入密码,以防止其他针对无线网络的攻击。
网上交易自保 网站安全逐项数
最近有市民指以信用卡于网上缴付体育活动的报名费后,怀疑被黑客盗用资料进行交易,事件令人再次关注网上交易的安全问题。
黑客犯案的手法层出不穷,香港电脑保安事故协调中心不拟揣测或评论事件的起因,只希望借此机会提醒大家进行网上交易时,需采取安全措施自保,尽量减低中招风险及避免损失。
首先,进行任何种类的网上交易前,先要确保交易网站的安全,包括检查网站域名(URL)是否正确;留意网址前段有否显示「https」,以证明网站有采用加密的通讯协定;以及核实网站的数码证书是否有效。
同时,要留意登入过程有否异样,例如出现可疑的弹出视窗、甚至要求提供额外的个人资料等;更要注意浏览器是否运作正常,没有显示警告或错误讯息等,并在使用后马上登出网站。
此外用户不要点选电子邮件中的超连结,并需保护用以登入的电脑及手机,更切勿透过公用电脑或公共Wifi处理网上交易。使用信用卡二次认证服务,如Verified by VISA或MasterCard SecureCode,可有多一重保险。
用户亦要留意银行发出的SMS交易短讯,并定时查核交易纪录。若发现有可疑交易,应立即与银行联络。另外,要预先为信用卡设定网上交易限额,及切勿于网上储存信用卡资料。
妥善处理旧装置 免资料外泄
香港电脑保安事故协调中心经常提醒电脑用户要留意作业系统的保安更新,并要为已失却支援服务的系统,制订妥善的更换计划。
旧版本系统若不再获支援,即使发现新的保安漏洞时亦不会有修补程式,网络不法份子便能长驱直进,入侵该电脑。
智能电话及平板电脑用户亦面对同样的问题。例如Android系统开发商Google今年2月中正式终止支援Android 2.3及平板电脑专有的Android 3.0,并指出由于采用这两个旧版本系统的用户寥寥可数,所以此举对用户的影响近乎微不足道。
无独有偶,微软公司亦于今年7月宣布对其三年前推出的Windows Phone 8.1终止支援。
受影响的用户若要更换手机,升级至最新的作业系统,也要妥善处置旧机,以免资料外泄。个人用户购买附有最新作业系统版本的新型号装置后,要将旧机内的资料转移过去,再启动装置内的「安全」设定的加密功能,并利用永久数据删除工具,在电脑上覆写及清除外置记忆卡内的数据,才属稳妥。
若企业有为员工提供流动装置来处理公务,他们经手的资料较为敏感,并可能涉及客户私隐,因此必须预先制订一个良好的流动装置管理政策及方案,尽量减低保安风险。
黑客用音波功 控制智能手机
最近有外电指出,有外国领使馆怀疑遭受音波侵扰,有关人员出现轻度脑部创伤和听力减弱等征状。
网络世界,黑客也利用「音波功」,控制智能手机的一举一动。
内地浙江大学最近发表的研究报告指出,网络黑客可以利用超声波操控智能手机内的语音助手功能,暗中控制用户的手机,进行监视、启用飞行模式,甚至浏览恶意网站下载恶意程式等。
由于语音输入功能(例如:智能手机的咪高峰)十分灵敏,可以接收仅海豚能听到的超声波声频,这类攻击被称为「海豚攻击」。
不法之徒若循此漏洞入侵手机,亦难以察觉,受害人的敏感资料可能会外泄,而遭入侵的手机更有可能被用作发动网络攻击或进行诈骗等不当行为。
虽然香港电脑保安事故协调中心至今未收到涉及「海豚攻击」的本地报告,但防范于未然,智能手机用户应停用语音助手功能,直至从手机生产商获得漏洞修补程式为止。手机开发商则需替装置加设过滤超声波音频功能,减低这类攻击的威胁。
「物联网」最怕僵尸 及早处理 免成黑客傀儡
去年10月,数以千万计感染Mirai恶意程式的「物联网」装置,包括网络摄录机及家用路由器等,组成僵尸网络,向美国网域服务商DYN发动大型分散式阻断服务(DDoS )攻击,使用户无法正常浏览CNN、Twitter、Netflix等多个网站。其后数月,欧美非等地亦遭受Mirai僵尸网络攻击,导致大范围地区的网络瘫痪。
国际资讯保安研究人员当时已指出,很多感染Mirai的「物联网」装置,身处亚洲地区。据生产力局属下香港电脑保安事故协调中心今年初取得的可靠讯息,本港至少3,000部「物联网」装置感染了Mirai。协调中心亦主动透过网络供应商转告受感染的客户补救,但至今仍有约千部装置受Mirai感染。
「物联网」装置遭黑客入侵,变成网络攻击的帮凶,主要原因是装置本身存有保安漏洞。协调中心已发出指引,助公众及机构加强「物联网」装置保安及预防受Mirai 感染。若用户接获网络供应商通知装置受Mirai 感染,应尽快处理,以免继续沦为黑客傀儡。
此外,本地「物联网」装置开发商在产品推出前,应做好所有软件测试,包括确定装置是否有保安漏洞等。生产力局属下香港软件检测和认证中心提供的第三方软件测试服务,可协助装置开发商及早找出问题,令产品更安全。
工业4.0企业需做好网络保安
创新的「工业4.0」概念被喻为第四次工业革命,其精髓是利用互联网连接大量数据,「串连」各种机械及工业系统。然而,旧式工厂的生产设备之间往往缺乏防护装置,黑客一旦成功入侵,更改机器的控制参数,足以扰乱机器运作,引致生产中断或大量次货,甚至危及操作人员安全。
事实上,针对工业系统的攻击持续上升,据IBM数字显示,有关攻击去年升幅超过一倍。工业系统被黑客入侵,不单工商企业损失严重,更会影响民生,例如去年乌克兰变电站被黑客入侵,导致停电六个小时,波及23 万人。
故此,企业推行「工业4.0」,网络保安是首要任务。第一度防线是安装工业防火墙,以侦测及拦截恶意讯号,确保系统正常运作。若要进一步提升网络保安水平,可全面进行安全审核及培训,并定期审查网络安全架构和设计,以及建立同步运作的系统,从而提供无间断服务。
生产力局最近成立全港首个展示「工业4.0」智能营运的示范中心— 「智能产业廊」,便特别设立网络保安展区,以增强制造业对网络保安的认知和意识,再配合局内香港电脑保安事故协调中心的专家指导,可协助业界建立安全的网络环境,实践「工业4.0」。
连网医疗设备 保安不容忽视
一名恐怖分子,靠入侵心脏起搏器,遥远行刺美国副总统,这是美国电视剧《反恐危机》(Homeland) 中一集的桥段。电影的虚构情节随时成真。
美国联邦食品及药物管理局(FDA)早前发出通知,召回某品牌的植入式心脏起搏器,原因是网络黑客可以利用起搏器保安漏洞,将装置重新编程,停止起搏器电池运作,或更改设定,危及病人安全。事件令美国逾46万人受影响,需要往医疗中心更新装置软件,修补漏洞。
现今不少医疗装置皆具备感应、数据收集及通讯功能,更可通过互联网连接医院网络、其他医疗装置及智能手机,方便医护人员即时监察病人情况,甚至遥距设定装置。连网医疗器材日趋普及,医疗机构面对的网络保安威胁亦与日俱增。
针对医疗器材的网络安全,FDA在2016年12月公布《医疗器材网络安全之上市后管理指引》,列出了制造商应采取的风险管理步骤,有效处理医疗器材的网路威胁,指引亦为医疗机构提供实用的参考资讯。 现时,生产力局正为本港医疗设备厂商提供相关支援服务,如协助厂商符合ISO 14971医疗器材风险管理,及IEC 62304医疗软件开发生命周期等国际标准,满足海外医疗器材监管法规要求。
为提升本港医疗及保健行业的网络安全认知,生产力局获「创新及科技基金」资助,今年12月主办大型研讨会,介绍医疗器材最新网络保安趋势及技术;亦会制作网络安全技术手册,供生产商及医疗机构参考,请密切留意。
两电脑保安中心 联手抗勒索软件
今年7月,Google联同比特币交易分析公司Chainalysis及两间美国大学,在拉斯维加斯举行全球资讯保安年度盛会─ 「美国黑帽大会」(Black Hat USA)期间,发表研究报告,指出勒索软件受害者在过去两年已缴交赎金逾2,500万美元。
不法份子见勒索软件攻击有利可图,不断将攻击升级,因此近年越见频密及复杂,更成为香港网络安全的新威胁。香港电脑保安事故协调中心在2016年及今年首八个月便分别接获309宗及140宗相关报告。针对这情况,协调中心及香港特区政府电脑保安事故协调中心(GovCERT.HK)最近联手推出「齐抗勒索软件运动」,全方位协助本港企业及公众加强防范有关攻击。
这个活动的重点项目包括借助社交媒体及流动技术,在Facebook设立「勒索软件情报站」(www.facebook.com/ransomware.hk),与国际知名资讯科技及网络保安公司合作,为公众分享勒索软件的最新情报和分析、保安警示及培训资讯等,有助互联网用户于勒索软件攻击发生的初期,及早掌握全面的资讯,以作防范。
活动还会与网络保安机构合作,提供免费实时防勒索软件工具,并针对中小企及其他高风险界别,提供资讯保安培训。此外协调中心亦重整网站的勒索软件专页(www.hkcert.org/ransomware.hk),更深入及清晰介绍不同种类的勒索软件的传播途径及影响。所谓知己知彼,百战百胜,大家要从速加入面书专页,保障安全。
即时通讯软件存风险 勿传私隐
香港消费者委员会今年7月在其官方刊物《选择》月刊,转载欧洲消费者组织Euroconsumers发表的即时通讯应用程式测试报告。该组织今年首季测试了12个开发商的13款即时通讯应用程式,结果发现其中六款欠缺点对点加密传送技术,黑客可乘虚而入,中途拦截或修改传输中的数据。
即时通讯应用程式的潜在保安问题其实并不是什么新鲜事,本栏早于两年前已提及美国电子前线基金会曾进行类似的安全测试,发现测试的39个即时通讯应用程式当中,仅六款能够通过全部测试。
由于即时通讯近年已成为不可或缺的通讯方法,大家唯有养成良好的使用习惯自保。个人用户应避免利用这途径传送个人或敏感资料。若有必要传输该类资料,应先把资料加密,或预先开启讯息自动删除功能;并要移除即时讯息应用程式提供的所有网络服务、分享资源、远端执行咪高风和网络摄影机功能。
企业则应采用企业专用即时通讯方案,亦要制定内部的使用守则,例如禁止利用即时通讯传送公司的敏感资料和内部文件、发表粗俗或诽谤性的言论等。企业还可使用即时通讯管理方案,监察程式使用、管理讯息传输、过滤内容及记录所有讯息,有效管理员工使用即时通讯处理公务,保障公司的信息安全。
启动拒绝网上追踪功能 保私隐
大家可曾试过于旅游服务网站搜寻机票后,浏览其他网页时会遇上有关目的地的住宿、食肆及娱乐广告及推介?
这一切并非偶然,而是网上行为追踪(Online Behavioral Tracking)技术在背后「发功」的结果。
市民在网页上的一举一动,皆可能被网站记录下来,作其他商业用途。大数据时代下,网上购物纪录、产品或服务搜寻等资料皆被视为有价值的资讯。即使用户没有直接浏览该网页,但其他网站亦可透过第三方Cookie等技术检视用户的网上行为,推出相应的产品及服务资讯。虽然这可为用户带来方便,易于搜寻互动的网页内容及服务,但另一方面却引伸出个人私隐及网络保安等问题。
现时互联网浏览器已内置「拒绝网上追踪」功能,用户可启动该功能尽量避开网上行为追踪,必要时更可使用浏览器的私人浏览模式保护私隐。虽然私人浏览模式并不能将用户从网上完全隐姓埋名,但相关的保安功能却能加强浏览连线的安全性。
此外,大部份网站皆有列明其私隐政策,用户可详细了解。使用公用电脑或公共Wi-Fi热点上网时,市民亦应尽量避免浏览敏感资料。使用后,切记要清除浏览器内的所有缓存(cache)、浏览历史和 cookies 等历程纪录,以防暴露上网的行为。
掌握网络威胁情报 助防范黑客
今年5月,全球首个电脑蠕虫型勒索软件WannaCry现身,攻击世界各地的微软电脑。
这次攻击发生于欧洲时间周五下午,当时香港大部份企业早已下班,仅小部份电脑仍然在线,香港政府、警方、本地资讯科技及网络保安专业组织及协调中心的专家正好联手利用周末的空档,掌握更多WannaCry的情报,制定应对策略,再透过不同渠道发放防范建议,好让市民、企业及其他高危界别机构在周一上班前作好准备。
当各大小机构相继开市时,已大致做好防御准备,例如为电脑修补了WannaCry针对的保安漏洞;或安装防火墙阻挡攻击等。未及时做好防范工作的则采用其他应急方案,例如暂时将电脑离线,直至完成协调中心及本地资讯保安专家的安全建议为止。
是次事件不但再次证明各界互相合作的重要,更反映及早掌握攻击的详情是网络保安的先决条件。因此企业需在网络攻击初起时尽快取得充分的资讯,而网络威胁情报正好发挥作用。若能掌握其他地区发生的事故详情,或知悉针对其他工商业界的袭击情况,便可以迅速回应,及早防范,减低遭受新型网络攻击的风险。想了解更多最新网络威胁资讯,可浏览协调中心网站。
非官方维修手机 小心遭黑客入侵 (Chinese only)
大家的智能手机出现故障的时候,都会第一时间拿去紧急维修,期望尽快修理好,保持与外界的联系。 若手机过了官方保养期,或许会选择转用收费较便宜的非官方维修服务。不过,大家要小心这造法随时因小失大,有机会令资料外泄及手机遭黑客遥控。
最近以色列内盖夫本-古里安大学发表的资讯保安研究报告指出,若以带有恶意晶片的零件更换受损的原装零件,例如:触控式萤幕,恶意晶片附带的微控制器,可被利用来安装及执行恶意程式,协助黑客取得控制手机的权限。
由于电子零件之间的相互沟通缺乏严密的保安检查机制,若被装上恶意电子零件,除有机会泄露手机内的敏感资料外,更有可能被利用成为僵尸网络一份子,发动网络攻击,甚至成为私人监测器,窃视用户的一举一动。
智能手机及平板电脑于日常生活中越来越重要,除一般市民外,不少企业更会用它们处理公务,相关保安不能忽视。用家应选用官方的自携维修智能装置服务,以减低风险;智能装置生产商则需加强电子零件沟通的保安检查,以防止此类攻击发生,影响商誉。
勒索苹果用户软件 蠢蠢欲动
近年全球发生多宗针对微软用户的大规模加密勒索软件攻击,很多使用苹果MacOS作业系统的用户或许抱着隔岸观火心态看待事件,并以为遭受这类攻击的机会非常低。
其实此想法只是一厢情愿,很多网络不法份子正蠢蠢欲动,积极开发针对苹果电脑的勒索软件,以扩大攻击版图牟利。
今年6月初,总部设于美国加州的国际网络保安公司Fortinet表示,旗下的研究人员发现有自称是Yahoo及Facebook工程师的人士,在网络地下市场兜售针对苹果电脑的勒索软件包办服务(Ransomware -as-a-service),更向潜在客户展示勒索软件样本。
研究人员经过分析后,发现该款名为MacRansom的勒索软件主要是透过诱骗苹果电脑用户打开电邮,并执行当中的附件档案散播。它使用的档案加密方式,虽然较针对视窗的简单很多,并只会加密最多128个档案,但由于软件仅在攻击者设定的时间才会现身执行加密程序,所以难于侦测。
分析亦指出,该勒索软件开发者的解密技术粗糙,受害者就算依从指示缴付赎金,也未必可以成功回复或重新打开曾被加密的档案。
虽然MacRansom最终或因软件曝了光而未能正式发动大型攻击,但苹果电脑用户亦不应松懈,需养成良好的资讯保安习惯,例如定期备份及离线储存电脑内的重要档案;并时刻留意可疑的电邮,切勿开启当中的附件,或点撃附带的连结,以减低勒索软件攻击所带来的影响。
进阶版加密档案 发错电邮可自保
上文介绍香港电脑保安事故协调中心预计2016年香港将出现更多针对网站伺服器、销售点系统、流动装置及物联网设备的网络攻击。面对这些网络安全新威胁,企业、市民及互联网服务供应商又应如何防范?
要预防网站伺服器受攻击,企业除要定期检视其保安状况及修补系统的保安漏洞外,还要分开存放网站和数据库伺服器,并小心验证用户在网上应用程式输入的资料。若业务性质需使用销售点系统,则必需变更预设登入密码,并要限制经指定网络存取,以收窄「攻击面」。由于「自携设备」(BYOD - Bring-Your-Own-Device) 的风气已深入各行各业,企业需尽快制定使用政策;并要定期备份档案及离存放,以免受加密勒索软件影响。
市民大众则要紧记为电脑安装保安修补程式,特别是应用PDF、Flash、Doc、Xls等常用电脑档案的工具软件,以免网络罪犯巧立名目设计陷阱,例如伪冒电子支票,乘机利用软件漏洞将恶意程式植入用户电脑。此外,要切记采取足够措施保护个人流动装置,例如要从官方商店下载流动应用程式、切勿将手机解锁(jailbreak或root机)等。个人云端服务帐户保安亦要加强,包括采用更强的密码及「双重认证」功能登入帐户;更要对来历不明软件或超连结,以及索取个人资料或更改付款帐户内容的要求,打醒十二分精神。
服务提供者在维护网络安全方面亦责无旁贷。互联网服务供应商要提防网络罪犯租用网络进行非法活动,若对租用者的身份存疑,可要求对方提供身份证明文件确认。软件开发商则要紧记从官方网站下载开发工具,及扫描新开发的软件,确保没有被被植入恶意程式码。
虚拟货币有价 防黑客入侵「挖矿」
上季有多宗加密勒索软件攻击肆虐,黑客要求受害者以虚拟货币「比特币」支付赎金,令其价格飊升近五成,最高峰时更要约3,000美元(约23,400港元)才能兑换一枚比特币。纵使没有明确证据显示比特币价格上升跟勒索软件攻击有直接关系,但无可否认,市场上确实出现一群虚拟货币新投资者
虚拟货币需求炽烈,亦造就网络不法份子利用恶意程式,透过控制他人电脑为其「掘金矿」,产生虚拟货币谋利。例如总部设于俄罗斯的资讯保安服务商「卡巴斯基实验室」今年6月初表示,有黑客从四月底开始入侵存有「SambaCry」安全漏洞的Linux系统伺服器,将其改装成虚拟货币「门罗币」(Monero)的挖矿机器,短短一个月便挖出98枚门罗币,时值5,500美元(约43,000港元)。
另外,微软视窗系统近期亦出现一种名为Trojan.BTCMine.1259的恶意软件,同样攻击作业系统内的SMB服务漏洞,并把遭入侵的系统改装成门罗币的挖矿机器。
Linux及视窗两大作业平台的SMB漏洞皆被攻击,令系统伺服器成为虚拟货币挖矿机器。究竟这是否同一帮黑客所为,有待专家分析。目前最重要的是,Linux及视窗用户要及早安装系统修补程式,以免被入侵沦为虚拟货币的挖矿机器,受黑客操控。
防新勒索软件 网域管理权减帐户
电脑用户继5月遭受WannaCry加密勒索软件攻击后,最近再受到新一轮的勒索软件袭击。
多个欧美国家及机构的电脑系统失守,其中乌克兰更是重灾区,政府机关、中央银行、首都机场及地铁系统都被入侵,主开机纪录档被上锁,令系统停顿,严重影响市民的生活。
网络罪犯透过入侵会计软件供应商的伺服器发动是次攻击,用户的电脑若不幸中招,所引发的连锁反应,不容小觑。勒索软件入侵电脑后,会暗中尝试感染同一网络的其他电脑。与以往的勒索软件不同之处是,恶意程式会潜伏至一小时后,然后自行重启电脑,并现身展示勒索通告。
它会向带有早前WannaCry勒索软件攻击所针对的未修补微软视窗漏洞的电脑,发动攻击。另外,受感染的电脑若有网域管理权限,恶意软件将向其属下的同一网络的电脑发出命令,强行安装勒索软件,产生骨牌效应。
纵使香港电脑保安事故协调中心没有接获这次新勒索软件的本地报告,但由于事态严重,中心即时发出警报,唿吁企业及个人电脑用户立即採取多项防御措施,包括执行视窗及其他应用程式的最新安全更新;同时尽量减低有网域管理权限的帐户数量,以缩窄网络攻击的范围及影响,并在日常运作上使用正常权限。当然还要安装防毒及互联网安全软件,并保持更新。
用户亦要确保开启个人防火墙,阻截SMB来访的连接;更要定期备份数据,并保留离线拷贝。若收到任何可疑的电邮,切勿开启附件或超连结。若怀疑电脑已被入侵,要立即隔离电脑。
殭尸病毒变身快 难被侦测
警方最近展开为期一年打击殭尸病毒的网络安全运动,与网络安全公司合作让市民免费下载软件扫描电脑,找出电脑是否暗藏殭尸病毒。
不过,很多殭尸病毒非常狡滑,并不容易被资讯保安专家及执法机构侦测到。香港电脑保安事故协调中心今年首季的「香港保安观察报告」的本港十大殭尸网络排行榜,便有一个首次入榜就跻身第六位的Murofet。
Murofet是另一款知名恶意程式Zeus的变种。它早于2010 年首次被发现,主要是由一个恶意程式下载器,利用漏洞攻击包及被感染的档案传播。Murofet感染电脑后,会从一个随机产生的域名安装其他恶意程式。跟Conficker电脑蠕虫相似,Murofet会以域名产生算法(Domain Generation Algorithm)技术,透过每天产生大量域名来逃避侦测。
Murofet虽然会尝试辨认产生出来的域名联络殭尸网络控制中心,但当中仅得数个域名能析出控制中心的真正IP地址。要截断恶意程式跟控制中心的联繫,执法机构必须每天登记大量域名,此举十分消耗资源。因此,要透过夺取域名来成功关闭Murofet殭尸网络控制中心,极之困难
要避免成为殭尸网络的一份子,电脑用户需安装最新修补程式及紧记经常更新,还要使用有效的保安防护工具作定期扫描,并设定高强度、不易破解的帐户密码。此外切勿使用盗版及没有安全更新的视窗系统及软件。
转用新版系统 保电脑安全
香港电脑保安事故协调中心在本栏及其他不同场合屡次提醒仍使用早期微软作业系统版本的桌面电脑用户,尽快将系统升级至最新版本或转换至其他操作系统,确保电脑安全运作。最近发生的「WannaCry」勒索软件攻击便是有力的证明,本港所有受感染的电脑皆是使用早期的视窗软件。
据国际网络交通分析机构StatCounter的最新数据显示,不足四成的香港微软桌面电脑用户使用不受是次勒索软件攻击影响的视窗10版本,更有约4.4%用户仍使用微软不再支援的视窗XP及Vista作业系统,足见不少本地用户的网络保安意识非常薄弱。
由于这些用户不能从微软获得安全性更新,他们的电脑便会像一幢缺乏基本保养的大厦,因日久失修而变得千疮百孔。这些电脑会暴露于电脑病毒、间谍软件及恶意软件的侵袭威胁。综观以往经验,网络不法份子可从新版本视窗的修补程式,利用逆向工程方式找出早期版本的保安漏洞作出攻击。
由于软硬件开发商一般只会针对较新版本的视窗提供软件更新,若没有相应的官方修补及更新程式,用户遭受网络攻击的机会便会大增。市民大众要需尽早转用最新版本的电脑作业系统,定期为电脑进行安全性更新,才是上策。
物联网加强保安 免沦为黑客工具
今年初美国资讯科技服务供应商Verizon发表年度保安事故报告,提及某大学的域名伺服器曾遭受分散式阻断服务攻击,校园网络服务严重拖慢甚至中断。调查发现攻击者竟是校内的五千多部物联网装置,包括一些大家常用的设施,例如汽水售卖机、照明系统等。
随着更多智能设备推出市场,互联网应用深入生活更多环节。除了大家熟悉的网络摄录机外,很多针对不同客户群的新产品都已具备连网功能,大至智能汽车、医疗设备、雪柜、床褥,小至座厕、吸尘机、灯泡、牙刷,甚至玩具洋娃娃等。如何确保这些物品具备足够的网络安全设定,不会沦为黑客的网络攻击工具?
今年二月在三藩市举行的国际资讯保安会议RSA Conference上,不少讲者提出透过立法提升物联网安全。对智能汽车、医疗设备等高端产品,增加安全要求应不会对开发商及生产商构成太大影响,但对小型或运算处理能力低的电子产品,要实施起来,在技术及成本控制上,是很大的挑战。
虽然立法监管物联网产品安全仍处于酝酿阶段,但产品开发商及生产商应採取主动,在产品设计及生产过程中加强资讯保安,避免暴露消费者及用户于网络风险中。香港电脑保安事故协调中心亦正为物联网制定网络安全指引,协助企业一臂之力,促进本港物联网应用的发展。
工业4.0会议 专家分享网络保安
要数近年全球工商业界最热门的发展趋势,那非「工业4.0」莫属。
这个创新的发展概念又称为「第四次工业革命」,最先由德国政府提出,之后多个先进经济体都推出类似的工业升级政策,例如美国的「工业互联网」,以及国家的「中国制造2025」等,它们皆是提倡利用数码资讯整合感应器、物联网、大数据、互联网等技术,串连生产与服务,配合市场上对小批量个性化产品的需求。
高度数码化及大量数据在全球的工业供应链上频繁流动交换,同时越来越多工业系统和服务经互联网串连起来,若忽略当中的网络安全,则容易成为黑客的攻击目标。
今年5月令全球震惊的「WannaCry」勒索软件攻击,正为这类新兴网络威胁敲响警钟。例如有法国汽车生产商及其日本合作伙伴在欧洲的数间工厂便因系统受到攻击而要暂停生产。随着「工业4.0」渐渐普及,不法份子透过网络向大型工业系统发动攻击只会有增无减。>
面对「无分国界」的网络攻击,全球的网络安全专家必须紧密交流经验,联手对抗无日无之的攻击。香港生产力促进局在创新及科技基金的资助下,将于6月23日举办「工业4.0」网络安全国际会议,多位海外及本港专家将分享网络保安趋势、标准和业务守则,有意迈向「工业4.0」的本港企业不容错过。
新电脑蠕虫 渗透力较WannaCry更强
全球首只电脑蠕虫型勒索软件「WannaCry」的阴霾未散,就有更凶勐的电脑蠕虫登场。
最近,克罗地亚政府电脑保安事故协调中心的专家发现名为「永恆之石」(EternalRocks)的电脑蠕虫,它的渗透力比「WannaCry」更强。
不少人将「永恆之石」及其他电脑蠕虫归类为电脑病毒,但其实不然。虽然两者皆是能够自我复制的电脑程式,但电脑蠕虫与电脑病毒不同,不须附在其他程式或档案上,只需找到电脑系统内的保安漏洞,就可自我复制及执行,侵略性更为直接。
电脑蠕虫未必会直接破坏电脑系统,但始终是网络安全的隐患。例如,网络不法份子会使用电脑蠕虫执行恶意程式码,发动分散式阻断服务攻击,大幅度降低电脑的运算及执行效率,影响电脑的正常运作;它更可能会损毁、修改或强行加密目标电脑的档案。
「永恆之石」虽然目前还处于潜伏状态,暂未执行大规模恶意活动,但黑客稍后或会像利用「WannaCry」一样,将「永恒之石」变成网络攻击武器,发动勒索软件或木马程式攻击。要防范电脑蠕虫攻击,电脑用户需时刻做好基本保安措施,安装防火墙及启动防毒软件,定期进行电脑程式及档案的安全扫描,并确保电脑安装上最新的保安修正档。
勒索軟件千變萬化 提防陌生電郵
今年5月,加密勒索軟件「WannaCry」向全球微軟視窗電腦發動大規模攻擊,導致人心惶惶。
當本港用戶忙於防禦「WannaCry」具侵略性的來犯之際,香港特區政府的多重電腦保安系統偵測到另一款加密勒索軟件「Jaff」,企圖入侵政府電腦系統。
跟「CryptoLocker」等早期勒索軟件一樣,「Jaff」會透過大量垃圾電郵散播,電郵主題有固定格式,由一個單字及一組隨機數字組成,中間隔以「底缐」,例如:Copy_12345。垃圾電郵主題單字包括:「Copy」、「Document」、「Scan」、「File」、「PDF」等;亦有部分只以「Scanned Image」為主題。
有關電郵附件為一個附有微軟Word檔案的PDF附件。用戶開啟了PDF附件後,再按指示開啟Word檔案;開啟後,用戶將被要求啟動「允許編輯」功能以檢視檔案內容。若用戶不虞有詐跟從指示,Word的巨集功能將會執行並下載惡意軟件。「Jaff」勒索軟件感染電腦後,將加密電腦上的檔案,及要求用戶繳付時值相等於約港幣28,000元的兩個比特幣的贖金。
雖然香港電腦保安事故協調中心僅接獲一宗「Jaff」電腦感染報告,但勒索軟件千變萬化,電腦用戶要時刻保持警覺,定期為電腦備份並離線保存;不應開啟來歷不明的電郵和網絡連結;關閉巨集功能;並安裝防毒軟件及定期更新電腦,以免成為勒索軟件的獵物。
电脑纪录日志 追寻黑客行踪
香港电脑保安事故协调中心每年收到几千宗事故报告,其中企业遭黑客入侵的求助个案,不少是受袭多时才被发现。
其实,若电脑系统的日志记录管理周全,系统管理员可以更早找出系统被入侵的蛛丝马迹,不用等待事故发生后,才追究原委,亡羊补牢。
日志记录林林总总,有些只简单记录某个程序的开始和完成时间,以及执行结果;有些则与系统用户有关,例如记录登入及登出的时间的认证记录档(Authentication Log)、存根网站访客的超链结请求的存取记录档(Access Log)、记载网络连线请求的防火墙记录档(Firewall Log),又或是记载用户从家中连接到公司系统的时间及IP位址的虚拟私人网路记录档(VPN Log)等。
专业的资讯保安人员必会定时检查这些日志记录,看看有没有出现异常的情况。若企业网络不幸地被入侵,这些日志记录便是十分重要的调查线索,甚至可能成为执法机构的呈堂证供。
储存这些系统日志记录,需佔用不少空间。若要长时间保留记录,将对资讯科技部门的资源构成一定的负担;太短的话,则可能无助调查。企业需制定记录档保留政策(Log Retention Policy),根据各日志记录的重要性,订下保留期限,既方便管理同时可建立完善的资讯保安管理系统,防范黑客攻击。
WannaCry张牙舞爪 用户须自保
过去一周,全球数以亿计的微软视窗用户饱受勒索软件「WannaCry」威胁煎熬。香港作为全球互联网普及率最高的地区之一,也不能独善其身,香港电脑保安事故协调中心共接获33宗受「WannaCry」感染的报告,以及逾460个相关查询。
跟以往需要用户「自投罗网」打开钓鱼电邮附件执行指示的勒索软件不同,「WannaCry」非常具侵略性,它会透过网络扫描开启微软SMB服务的电脑作出攻击,其中以直接连线到互联网或未有安装微软今年三月份提供的保安更新程式的电脑,又没有设置防火防火墙的用户,属高危一族。
面对新型勒索软件威胁,大家必须设置防火墙或宽频路由器,以及没有开放SMB服务。另外,在不连接互联网的情况下,使用外置硬碟备份数据,完成后移除装置。同时,为同一网络的电脑执行视窗更新,安装微软保安修补程式,要先从桌面电脑做起,再逐部连接手提电脑执行。外携手提电脑则要完全确定未受恶意软件感染,才能连接办公室网络。还要紧记安装防毒软件或网络保安应用程式,并定期更新病毒资料库。
若电脑不幸被勒索软件感染,应立即停止网络连线并隔离受感染电脑,更要移除相连的储存装置;同时要关掉网络交换器(network switch)即时隔离其他电脑及档案伺服器,以防大规模扩散。在未清理恶意软件前,切勿开启任何档案。若需协助,可致电8105 6060与协调中心联络。
官方商店下载App 免DNS被「劫持」
香港电脑保安事故协调中心经常提醒大家,登入网上服务账户前,要先核实网站域名是否正确,以及留意网址列的前端或后端有否显示完整的「绿色」锁头图示,以免误堕钓鱼网站陷阱。
这些措施在一般情况下都合用,但去年底黑客又有「新招」,大家要多加防范。
国际资讯保安公司卡巴斯基去年十二月发现名为「Switcher」的木马程式,这款针对Android流动装置的恶意软件包,会先伪装成内地热门应用程式诱使用户下载,然后攻击受感染装置接上的无线网络路由器,透过密码暴力破解方式,夺取设备的控制权,更改其域名伺服器(DNS)设定。
DNS一般由互联网服务供应商预设提供,若设定被擅自修改,并重新导向至电脑黑客建立的DNS后,用户即使输入了正确的网址,也只会接上由黑客精心设计的钓鱼网站,账户的登入资料最终落入他人手中。黑客亦可利用被入侵的路由器发动大型网络攻击。
要有效防止這類「DNS劫持」攻擊發生,路由器持有人需採用強度高的密碼及更改設備的預設設定,亦可考慮關閉設備的「遠端管理」功能以盡量減少暴露於互聯網。流動裝置用戶則應緊記只從官方商店下載應用程式,並安裝防毒程式。
隐形病毒袭网店 顾客自保锦囊
去年10月,荷兰网络保安专家发现有网络罪犯利用某常用电子商务应用程式的未修补保安漏洞,入侵全球近六千个网上商店,注入JavaScript「截取程式码」,偷取网站客户的信用卡资料。香港电脑保安事故协调中心曾就此发出保安警告,并立即通知网络服务供应商联络受影响的香港网店负责人,促请他们尽快堵塞漏洞,本栏亦有报导事件,提醒大家提高警觉。
然而,事隔短短两个月,网络保安专家又在同一个应用程式发现另一种入侵方法,全球近六千七百个网店中招,本地亦有不少网店受害。跟其他资料盗录软件不同,这个名为Visbot的恶意软件会先将自己隐藏于网店伺服器的操作码内,当发现有访客于网站进行订购或输入密码时,才会现身截取用户资料,加密后存放于一个假冒图像档案,让网络罪犯稍后收集。由于被Visbot入侵的网店没有明显徵状,网店负责人需使用特别的检查工具侦测。
消息公佈后,协调中心已马上向研究人员索取受影响香港网店的资料,核实后再通知网络服务供应商联络受影响的网店负责人,敦促他们从速跟进;又推出相关的网络保安指引供网店负责人跟从。
虽然是次的保安问题需依赖网店主动出击才能解决,但消费者亦要做好本份,谨记只在网上银行或具公信力的互联网第三方支付服务商的网站输入交易资料,同时定期更新网上服务帐户登入密码,在网购前要确保所使用的电脑和智能装置已安装防毒软件及最新病毒码等。
网络勒索再现 机构宜做好保安
本栏去年初曾介绍欧洲刑警组织(Europol)逮捕了策动连串大型比特币勒索活动的DD4BC(全写:DDoS for Bitcoin)网络攻击敲诈集团的核心成员,为终极瓦解这犯罪组织迈出重要的一步。
当大家以为这类勒索活动会因此稍为收歛之际,最近又趋猖獗。今年农历新年假期过后,台湾逾60间学校及证券公司接获网络攻击敲诈集团的勒索恐吓,分别要求支付相当于港币25,000元至83,000元的比特币,否则网站会被瘫痪,或伺服器资料遭破坏。为展示实力,敲诈集团还会发动小规模「分散式阻断服务攻击」,或入侵勒索对象的打印机印出勒索信。
至于香港,香港电脑保安事故协调中心早于1月份已留意到有本地中小企收到类似的勒索信息,表示他们的资讯系统已遭受小规模的分散式阻断服务攻击,若不在限定时间内支付比特币,将会面对更大规模的攻击,令系统瘫痪更长时间。
面对这类威胁有增无减,企业及机构负责人可从多方面着手提升资讯系统安全,包括定期进行保安评估,找出及修补网络架构和软件的漏洞。同时,如非必要,避免将系统服务暴露于互联网,例如数据库等。另外,採用互联网服务供应商提供的阻截分散式阻断服务攻击及网络流量减缓分流服务。最后,当遇上此类勒索恐吓,切勿支付赎金,以免助长歪风。
做好评估扫描 保网站安全
上文提及香港电脑保安事故协调中心总结「中小企业网站免费保安检查先导计划」,指出不需花太多资源和时间,也能做好网站保安。现在续谈简单有效的网站保安措施。
首先,网站负责人需定期扫描网站,并根据具公信力的网络保安标准进行评核,例如网上应用程式安全计划(OWASP)十大保安风险、PCI安全标准等。完成网站扫描后,要跟进由扫描结果提供的补救建议修復漏洞;若超出自己的执行能力,应向所属的网页寄存公司寻求协助。
网站基础设施保护方面,除要执行网络应用程式防火墙外,网站负责人还需确保网页寄存公司有足够的保安功能。若网页寄存公司未能满足网络保安需要,可考虑转用云端寄存服务,以获得更合适及贴身的保护。
网络威胁侦测亦是网站保安的重要一环,网站负责人可利用Google网站管理员的支援工具,协助监测及修復网站。还可善用在线声誉管理工具,识别涉及恶意软件事件、欺诈活动和钓鱼网站的网址。
另外,网站负责人亦要在其办公用的电脑及装置做足基本的保安措施,例如定期更新作业系统及应用软件、安装保安程式等;并定期备份数据,及储存一个离线副本。
网站负责人亦要评估网站对业务运作的重要性。若预料网站出现问题会影响机构的日常业务,便要制定应变方案,并定期进行演习,以便一旦受到网络攻击时,可立即採取应变行动,减低服务中断所带来的损失。
中小企网站不设防 成黑客宝藏
香港电脑保安事故协调中心去年共接获485宗资讯科技系统保安漏洞事故报告,其中涉及网站伺服器的便有405宗,佔84%,可见不少网站负责人的基本保安意识不足。
针对这情况,协调中心去年推出一项先导计划,推动中小企採用「检查、行动、验证」方法提升网站安全。这计划为参与企业免费检查网站,从中找出保安漏洞,并提供改善建议;再由企业以本身资源在两个月内执行修復方案,然后进行第二次检查,以验证成效。先导计划已于去年底完成。
协调中心分析企业的检查及修復情况后,综合成为报告。当中发现,首次网站安全检查找出的保安漏洞,84%属需要即时处理的「危险」或「严重」级别漏洞。漏洞种类方面,未有适时安装保安更新佔最多(38%),其次为採用薄弱的输入确认程式(24%)。纵使如此,在第二次检查中仍有高达一半参加者没有修復任何已侦测到的漏洞,近一成更拒绝参与检查,情况令人担忧。
中小企或认为网站没甚么敏感资料,便以资源有限为藉口,将网站保安投闲置散。其实,网站本身就是一个丰富的资产,黑客可透过控制网站伺服器散播恶意软件,甚至发动分散式阻断服务攻击,因此中小企必须做好网站保安。其实很多修復措施只需少量资源和时间,便能大大提升网站的安全。至于可以採用哪些措施,下文续谈
NoSQL数据库 设定正确免被勒索
勒索软件近年肆虐,香港电脑保安事故协调中心去年便接获309宗本地加密勒索软件事故报告,较2015年上升506%,预料这类攻击会随着网络罪行「包办服务」日趋盛行而恶化。
勒索软件的杀伤力惊人,除了针对个人电脑及档案伺服器外,最近「魔爪」更伸延至一些存取控制寛松的NoSQL数据库。与传统数据库相比,NoSQL数据库简单易于部署,成本低,更可储存不同格式的数据,因此大量应用于云端服务及大数据分析上。
然而,部份NoSQL数据库因设备设定错误,在没有任何存取控制下曝露于互联网,黑客可在无需认证的情况下以特权用户身份在目标数据库上删除数据,然后要求受害者限时支付指定金额以赎回数据库。不过,海外网络保安机构的资料显示,大部分受害者就算付了赎金,也未能拿回资料,事缘黑客入侵受害者的数据库后同时删除数据,令事主蒙受双重损失。
为减低此类攻击,NoSQL数据库用户要做好基本的防护措施,包括设定网路及数据库存取控制,以及设置正确的数据库保安设定。如非必要,切勿对外开放数据库。同时,要定期备份重要数据,并离线保存。若不幸遭到勒索,受害者絶对不要就范,以免助长恶行。
特权存取 宜纳入资讯保安策略
本栏上期提及香港生产力促进局进行的「香港企业特权存取管治调查」,指出提供「特权存取」共享帐户,或将「特权存取」权限提供予资讯科技外判商或云端服务供应商的企业和机构,需面对黑客攻击或内部员工滥用权限的双重保安威胁。究竟企业如何提升「特权存取」管治?
首先,企业需将「特权存取」管治纳入机构的资讯保安策略当中,并尽量避免于日常运作採用「特权存取」共享帐户。若必须使用,则需加强保护遥距存取、虚拟私人网络、云端管理存取等主要「特权存取」服务,包括设立高强度的帐户密码及採用双重认证。同时,要限制系统管理者和用户的数量和权限领域;以及定期进行用户资讯保安意识培训。
另一方面,企业应整合和集中管理用户的身份和存取权限,例如发出「特权存取」许可前需进行全面的背景审查,以及依个别任务来发出存取权限。同时,要建立「特权存取」的活动追踪及问责机制,有系统地记录、监察和审核活动,例如可採用系统操作歷程侧录(session recording)及鑑证(forensic)等进阶「特权存取」管理方案。
此外企业还可将「特权存取」管治与入侵检测和预防系统、身份存取管理系统、数据洩漏防护、资讯安全事件管理系统等资讯保安基建设施整合,万一遇到攻击时,可以迅速找出不寻常的「特权存取」活动。
特权存取欠管理 易受黑客威胁
现时不少企业和机构都会给予旗下员工及合作伙伴特别权限,自由进出及管理它们的关键资讯科技系统及网络。
这种名为“特权存取”的操作模式,虽然可以增加机构营运的弹性,但若管理不周,会令该机构暴露于黑客攻击或内部员工滥用的双重威胁。2013年12月美国知名连锁商店Target外泄一亿一千万个客户资料,以及去年3月孟加拉中央银行的海外帐户遭黑客盗走八千一百万美元等保安事故,便是机构未有做好“特权存取”管理的例子。
为了解本港机构采用“特权存取”的情况及相关的管理措施,香港生产力促进局去年12月进行调查,结果发现有18%的受访机构曾遇到“特权存取”的相关保安问题,例如受到黑客攻击或遭内部员工滥用。另外,逾三成的受访机构把有“特权存取”权限的共享帐户开放给内部人员或外界合作伙伴,当中有25%更没有采取额外的保安措施,情况令人关注。
纵使“特权存取”在大型企业和机构的应用较为普遍,但并不等于中小企能独善其身,因为它们也会与大企业有生意来往,进行大额交易,亦会使用共享帐户处理业务,所以同样要承受保安风险。企业若不做好“特权存取”管理,会令黑客有机可乘或遭员工胡乱行使权限,引致服务中断、数据泄露、财务损失、声誉受损,甚至要承担有关法律责任等严重后果。至于有何妙法提升“特权存取”管理,留待下回揭晓。
域名不续期 或被罪犯利用
大家平时说起网站保安,着眼点多放在网站伺服器,其实网站的域名(Domain Name)保安亦不容忽视。
根据香港电脑保安事故协调中心的香港保安观察报告,在去年第四季录得的4,738宗本港“恶意程式寄存”事件当中,逾一成是使用同一个疑似正当域名。调查发现域名在到期后未获域名原持有者续期,反被其他人登记使用,并把域名导向至恶意伺服器。
由于域名一直用于正当活动,因此有问题的域名在初期亦不易被防火墙发现。若有用户不知就里尝试访问网站,他们便会被重新导向至恶意伺服器,遭受钓鱼网站及恶意软件等网络攻击。域名原持有者亦受牵连,不独声誉受损,更可能遭受害者追讨损失,后果可大可小。
为免付出沉重代价,域名持有者必须做好域名保护,例如要留意域名到期日,以防因忘记续期而让不法份子乘虚而入。另外,即使停止使用域名,亦宜定期监察其有否被用作不法用途。若发现异常情况,便需立即向域名注册商或寄存公司报告。此外互联网用户不应盲目凭域名来判断网址是否可信,登入前先确保系统及软件已采用最新版本,并安装可靠的保安软件;若存疑,应进一步查核连结。
港人用物联网设备 保安意识弱
2016年10月,Twitter、PayPal、Amazon等大型网站的网域名称系统服务供应商受到大规模阻断服务攻击,令各网站未能提供服务。
调查发现攻击涉及逾十万部僵尸电脑,是属于“Mirai”僵尸网络,主要由“物联网”设备组成,包括路由器、网络摄录机、数码录影机等。由于用户未有做好设备的设定保护,让黑客有机可乘,透过保安漏洞及设备的后门入侵。
香港电脑保安事故协调中心的“2016年第四季香港保安观察报告”显示,本港有1,932部电脑感染了Mirai,占该季的“隐形僵尸”电脑总数41%,于本港十大僵尸网络排名榜上居首。这反映本港“物联网”设备用户的保安意识薄弱,容易成为大型网络攻击的帮凶。
目前,大部分人和公司分别于家中及企业设施内安装网络摄录机及数码录影机都是出于保安或安全理由。虽然Mirai恶意软件未必影响装置的监控功能,但是Mirai所建立的“后门”会令装置遭受其他网络攻击的威胁,例如容许其他罪犯控制甚至窥看用户家中或设施内的情况。因此,受Mirai感染的网络摄录机及数码录影机的确对你的环境构成保安风险。
要减低这些“物联网”设备被入侵的机会,用户应采取足够防范措施,包括在使用设备前更改预设的设定、关闭不必连接互联网的功能、限制可连接设备的IP地址等。若要远端控制人机互动介面或连接设备,更应采用虚拟私人网络或拨号连线,并以双重认证方式登入。此外购买设备前,要先了解生产商更新产品韧体的模式及历史,确保设备能获取定期更新。
开放式Android系统 保安风险难根治
十年前,Google与全球34间手机生产商、软件开发商、电讯运营商和晶片制造商成立开放手机联盟,并发布首部使用Android作业系统的手机。
由于Android系统的程式码属公开及免费,手机生产商无需取得Google和联盟的授权,便可在原Android系统的基础上客制化,甚至于不同型号的装置上使用不同版本的系统。它的好处是可满足用户的要求,但这种百花齐放的发展亦引致Android系统版本分散,使利用Android软件开发工具包编写的应用程式,在不同设备间的互通性受到影响。
2015年夏天,这问题更扩展至网络保安层面,短短18个月内先后出现Stagefright、QuadRooter及BadKernel等多个严重保安漏洞。虽然Google已立即提供修补程式,但非其自家品牌的Android装置用户仍需待装置供应商做好系统兼容性测试后,才能获得系统更新。更糟糕的是,现时流动设备的产品周期非常短,尤其是非主流型号,推出一至两年便不再更新系统,令这些设备的用户长期处于保安危机边缘。
纵使Google 已推出多项补救措施,但始终未能根治问题,而不同的硬件及深度客制化的趋势亦令问题更难解决。要减低保安风险,用户除需选择有信誉及往绩良好的Android装置品牌外,更时刻紧记只从官方商店下载应用程式。另外,切勿将手机解锁,取消手机原有的保安机制,及开启不明来历的电邮和连结,以加强保障安全。
更换数码证书 保网站安全
西方情人节刚刚过去,相信不少情侣度过了甜蜜的时光。不过,部分网站负责人在当天则发现浏览量骤减,还以为遇上网络事故,情况更一直持续。
深究其因,原来从2月14日起,使用微软新版浏览器Microsoft Edge及Internet Explorer 11上网,探访以SHA-1杂凑演算法的数码证书核证身分的网站时,浏览器不会立即下载网站,反而展示一个“失效证书”警告,指出该网站的保安证书有问题,不法份子或会利用安全漏洞偷取用户的个人资料,建议不要造访该网站。电脑用户见此提示,自然不敢贸然登入,令网站流失大量访客。
这个做法用意是取缔黑客已有能力破解的SHA-1杂凑演算法的其中一步。去年开始,全球各地的网站核证机关只签发采用保安程度更强的SHA-256杂凑演算法的数码证书,Google、微软的新版浏览器亦相继不再对仍使用SHA-1证书的网站显示最安全级别的绿色“锁头”图示。
为免被标示为不安全,影响浏览量,很多网站已经更换以SHA-256证书核证身分。另外,若他日遭黑客入侵令资料外泄,网站负责人更有可能惹上官非。
由于取缔SHA-1杂凑演算法的行动只会不断升级,因此网站需尽快为网站更换SHA-256证书,以免增加不必要的风险及对访客带来不便。电脑用户亦应更新浏览器,才能继续安心享受上网的乐趣。
资讯保安3部曲 抗衡新威胁
上文谈及香港电脑保安事故协调中心预料网络犯罪包办服务、“假冒CEO电邮骗案”和涉及流动装置的资料外泄事件,今年将会猖獗,社会各界需做好保安准备。
企业及各电脑用户可采取“三步曲”:识别、评估,及保护,提防网络罪犯。首先大家要“识别”需要加强保护的关键及敏感资料和设备,例如企业的客户数据库、付款系统、遥距存取服务、已连接网络的控制系统;个人的网上服务帐户密码、智能家居系统、网络及个人云端储存设备等。 然后“评估”和审视上述资料和设备所面对的保安风险。
完成这些步骤后,资讯科技系统管理人便需根据保安评核结果,对症下药,采取“保护”措施,包括安装修补程式及更改出厂设定,堵塞系统的保安漏洞。同时,严格控制外来的遥距及特权存取请求,识别及界定可能的用户,并按“应知则知”的准则设定相应权限;安装恶意网站或IP地址黑名单,防止对外的恶意访问。另外,以具备自动及定期执行备份功能,及能支援流动储存媒体的数据备份工具,备份关键及敏感数据,并保持离线副本。
此外,要经常保持网络安全意识,企业须定期更新机构的资讯保安政策,特别是针对“自携设备上班”及物联网的保安;及加强员工培训识别“假冒CEO”等电邮骗案,例如规定透过其他途径核实可疑的汇款指示。使用云端服务时,大家要用较强的密码及双重认证,而利用公共Wi-Fi热点、开启电子邮件或浏览网站时,要保持警觉。
网络威胁3大预测 助趋吉避凶
这段日子各大传媒及社交平台纷纷报导鸡年运程预测,并提供各式各样的趋吉避凶方法。
香港电脑保安事故协调中心透过分析国际的网络保安趋势和数据,最近亦发表一年一度的香港网络威胁预测,并为大众及工商界提供防范建议。今年协调中心有三项主要预测:
预测一:越来越多的网络罪犯会向其他犯罪份子提供全套网络犯罪包办服务,涵盖犯案技术、基础设施及付款管理系统,更透过分享犯案收益,赚取多重回报。这些包办服务将驱使勒索软件攻击涌现,预料罪犯除了加密资料外,更会以销毁或公开被强制加密的资料作威胁,迫使勒索对象就范。另外,随着越来越多系统经互联网串连起来,更多网站和重要的物联网装置,例如关键控制系统,会面对其他敲诈性质的网络攻击。
预测二:截取个人电邮通讯科技日新月异,骗徒入侵企业电邮系统暗中监视公务通讯,再伺机假扮公司管理层,向下属发出紧急电邮指示,要求汇款至“相熟公司”的户口的“假冒CEO电邮骗案”将会增加。
预测三:涉及流动装置的资料外泄事件会增加,预料问题主要来自过度要求提供手机功能权限的可疑流动应用程式、发动钓鱼弹窗攻击的流动恶意软件、因保安不足而被黑客入侵兼控制,或虚假的Wi-Fi热点。
至于如何化解以上威胁,有待下期分解。
手机恶意软件 狙击Google用户
今时今日每个人至少拥有一部智能手机或平板电脑,以便随时处理大小公务及日常琐事。
由于Android作业平台采用开放源码开发,自然地成为黑客的攻击目标,用户亦需面对不同的资讯保安威胁。
去年11月底,总部设于以色列的国际网络保安技术供应商Check Point公布发现针对旧版本Android装置的Googlian恶意软件攻击。黑客会先将暗藏Googligan恶意码的手机应用程式,伪装成官方商店内的热门付费下载应用程式的免费版,再寄存于非官方商店,以吸引用户下载。
安装这些恶意应用程式后,Googligan便会对装置进行破解,取消原有保安机制,再盗取用户的Google帐号的登入凭证,令帐号内的所有资料落入第三者手中,包括个人档案、邮件、照片、付款方式等。更有甚者,黑客可以取得装置的管理员权限,完全控制装置,擅自安装某些应用程式或广告软件,非法图利。
至今全球已证实有逾100万个Google帐号受影响。Check Point已为帐号用户提供免费检查工具,若用户发现帐号被入侵,应尽快更改帐号密码并检查有否可疑交易,以及联络手机或平板电脑供应商,为装置的作业系统进行“Flashing”的系统清洗程序。用户要养成良好的资讯保安习惯,包括定期更改账户密码及更新装置手机的作业系统,切勿直接安装应用程式档案(.apk),并要为手机内的资料加密和备份。
“雪崩”网络攻击 港亦受累
去年11月,德美两国的执法部门联同欧洲网络犯罪中心(EC3)及多个网络保安研究组织采取联合行动,成功捣破名为“雪崩”(Avalanche) 的国际网络犯罪平台,扣查及关闭全球260台伺服器,阻截逾80万个恶意网域。
“雪崩”于2009年建立,由约600部伺服器组成,主要被用作发动针对网上银行交易的恶意软件攻击,以及对受感染的僵尸电脑发出行动指令,例如寄出诈骗电邮、进行洗黑钱活动等。为隐藏伺服器的真正位置,“雪崩”网络犯罪平台会利用代理伺服器,及每5分钟更改恶意域名的域名系统及IP地址,以逃避执法部门侦测。
行动成员提供的资料透露,香港亦有装置受累,连接至“雪崩”平台。初步资料显示,约有350个本港IP地址曾连接至由海外资讯保安研究人员设立的模拟僵尸网络指挥控制中心伺服器(sinkhole),反映使用这些IP地址进行连线的电脑或已感染寄存于“雪崩”网络内的恶意软件,并成为其僵尸网络的一分子。香港电脑保安事故协调中心已通知相关的网络供应商,转告受感染的客户作补救。
年近岁晚,又是大扫除的时间,大家不妨同时为电脑进行完整的病毒扫瞄,并安装最新版本的保安软件。有需要的话,备份重要的资料后,再重新安装作业系统。此外,电脑用户亦需检查银行帐号的交易纪录,并更改网上银行的登入密码,安心迎鸡年。
了解来电拦截App 免私隐外泄
深受智能手机用户欢迎的“来电拦截”应用程式,原意在于让使用者免受传销或来历不明的电话滋扰,不过这类程式最近竟成为泄漏用户通讯录中亲友、合作伙伴个人资料的元凶。
去年11月,有本地网上媒体发现,三款“来电拦截”应用程式涉嫌收集用户的手机通讯录,再整合成公开资料库,其他用户能利用程式的“号码反查”功能,输入电话号码,在资料库中搜寻该电话号码持有人的名称,甚至社交媒体帐户。即使电话号码持有人并非程式的用户,亦未曾授权个人资料予程式,仍可被起出身份及其他个人通讯资料。
有关媒体估计全球约30亿个电话号码用户身份经此途径被公开,当中包括香港政商、传媒、演艺界人士及普罗大众,事件引起社会广泛关注。由于相关的应用程式开发商或营运商的注册地址并非在本港,个人资料私隐专员表示会联络境外有关的个人资料保障机关跟进事件。其中一款涉事应用程式在报导曝光后亦旋即宣布,暂时关闭查询联络人功能。
智能手机用户安装第三方应用程式时,要先了解有关程式收集资料的目的及用途,并细阅其私隐政策和收集个人资料声明,以了解程式会查阅、上载或分享手机内的哪些资料。用户亦不应随便与第三者分享其他人的个人资料。用户若对程式存疑,应立即移除,以减低资料外泄的风险。
勒索软件新手法 藉网站广告犯案
过去一年,勒索软件已成为全球网络攻击的主流趋势之一。每当香港电脑保安事故协调中心收到此类攻击的本地求助个案时,总会询问受害者“中招”前做过什么,例如有否打开电邮附件或浏览网站?很多人不知道,如果电脑的操作系统或软件有保安漏洞,若用户在不知情下到访散布勒索软件的网站,即使没有点击任何连结,电脑也会受到勒索软件感染。
由于这种散播方式快捷有效,网络罪犯会入侵热门的网站并放置勒索软件,图让更多人跌入陷阱。这恶行当然逃不过保安软件开发商和搜寻引擎的“法眼”。然而,当他们加强侦测及拦截入侵网站之际,不法份子又已转用另一种方式 - 网站的嵌入式广告,继续犯案。
这种攻击手法的特点是黑客不用入侵网站,网站只要用上同一款的广告程式,便有机会展示有病毒程式码的广告,更广泛地接触访客,增加成功散播的机会。由于展示的广告属随机产生且不会持续,保安软件或搜寻器难于侦测或阻挡的,近来很多勒索软件都是利用这种方式散播。
对于用户来说,岂不是防不胜防?其实这种入侵方式是靠软件的保安漏洞进行,所以除了安装保安软件外,定期更新操作系统及常用的软件,例如浏览器、多媒体外挂程式、文书工具等,以及养成良好的备份习惯,都是有效的避险方法。
即时通讯程式 端对端加密保私隐
智能电话愈见普及,但有趣的是,大家反而愈来愈少“讲电话”,代之是利用林林总总的即时通讯应用程式,处理生活以至工作上的大小问题,当中衍生的传输安全问题亦备受关注。
市面上流行的即时通讯程式,例如WhatsApp、Viber、Line等,今年纷纷在新版本中陆续加入端对端加密技术(End-to-End Encryption),加强保护用户的通讯私隐。
传统的通讯软件并不一定加密用户讯息,即使有采用加密技术亦只在用户端与伺服器之间加密。换句话说,服务供应商可以窥探讯息的内容。端对端加密技术则可堵塞此泄密漏洞,只让指定的讯息接收者解密讯息及阅读内容,绝不容许第三者介入。
利用端对端加密技术,双方的通话讯息会直接相互加密,毋需传输公司代劳,而且仅收讯者才知悉解锁讯息的密码,所以内容的保密程度极高。即使负责传输通讯的供应商或第三方从中截取讯息,亦只会看见一串长长、毫无意思的数字和字母,不能破解被加密的讯息。
虽然端对端加密技术能提升即时通讯讯息的传输安全,但市民选用通讯程式时,仍宜多了解程式的保安功能,并要培养良好的使用习惯,例如切勿利用即时通讯程式传送个人或敏感资料。此外,企业必须规管这类电子通讯模式在工作上的应用,并贯彻执行。请参阅香港电脑保安事故协调中心的“使用流动即时通讯的保安指引”,了解更多“贴士”。
网购高峰期 勿令商机变危机
圣诞新年一向是购物旺季,近年网购大行其道,相关保安问题亦深受大众关注。网店负责人应怎样提供一个安全的网上购物环境?
今年10月,有荷兰网络保安专家发现全球近六千个网上商店有保安漏洞,网络罪犯可藉此入侵网站内未修补或过期的电子商务应用程式,放置“截取”程式码,偷取网站客户的信用卡资料。据香港电脑保安事故协调中心取得的资料,香港亦有网站在名单之中。协调中心已立即通知网络服务供应商联络相关网站的负责人,促请他们尽快堵塞漏洞,又于官方网站提醒公众注意网站及网购安全。
作为网站负责人,尤其是要管理具备交易功能的网站,千万不要小觑网站的保安漏洞。若客户资料不幸外泄,网站负责人除会被监管机构调查外,更可能被客户追讨赔偿。就算被入侵的网站最终没有资料外泄,网站浏览器及防毒软件亦可将其列入黑名单,令客户不能到访网站,生意将大受影响。
为免商机变危机,网站负责人应定期扫描网站;及按操作系统或软件开发商指引,安装修补程式。另外,不同种类的电子商务网站软件,亦有各自的漏洞扫描及侦测程式,网站负责人可自行作紧急扫描及修复。
最后,“精Net锦囊”祝大家圣诞节快乐,同时紧记做好网络安全!
木马程式变种 诱自拍盗资料
时下的电子消费产品,不断推陈出新。很多恶意程式亦同样天天新款,而且每个新版本都加入更多的恶意功能,务求扩阔攻击层面,偷取更多受害者的敏感资料。例如针对Android装置的银行木马程式Acecard,自2014年2月被首次发现后,至今已经变种十多次。
Acecard跟许多银行木马程式一样,会伪装成其他程式,例如成人影片播放器或其他观看特别影片的外挂程式,诱骗装置用户下载。安装后,恶意程式会自动把图示隐藏,并不断要求索取装置管理员权限,令人难以移除。同时,恶意程式会监察用户开启的特定应用程式,包括大家常用的即时通讯、社交网络、Gmail、PayPal及Google Play等应用程式,再以钓鱼视窗覆盖,以窃取用户的信用卡或帐户登入资料。
最近美国网络保安研究机构McAfee Labs发现Acecard又有一个新的变种版本。该新版本除要求受害用户提供信用卡资料和双重认证外,还会指示用户手持个人证件自拍来验证身分,让不法份子更易于遥距入侵受害者的银行以至社交网络帐户。
要避免误堕钓鱼陷阱,Android装置用户应仅从官方商店下载可信任供应商提供的应用程式,切勿直接安装Android应用程式套件档案(APK),更要避免使用公共Wi-Fi网络安装或更新程式。另外,要使用保安软件堵截恶意或不明来历程式,及经常更新病毒数据库。
核实优惠信息 防堕钓鱼陷阱
近日有不法分子利用即时通讯程式散播虚假讯息,声称某航空公司正举办推广活动,只要程式用户开启讯息上的连结,填写一份简单问卷及个人资料后,再将讯息转发给十位朋友,便可获得免费机票。
虽然有关航空公司随即否认举办该活动,但相信有个别用户已不虞有诈,把个人资料传送到骗徒手中,并将虚假讯息散播开去。这不独令他们的个人资料暴露于歹徒面前,甚至构成经济损失,更严重是因涉嫌散播假消息而犯上官非。
这类即时讯息骗案的犯案手法,一般是不法分子利用子网域误导网络用户造访钓鱼网站。例如他们会使用abc.com-promotion.co,误导用户以为是abc.com的官方网站,但其真正域名却是com-promotion.co。此外近年流行的缩短网址(Shortened URL)亦被用作隐藏恶意网站,因此用户应先把短网址还原,再三核证后才决定是否造访网站,有需要时应参考短网址服务供应商的说明。
除留意域名及子网域外,官方的推广活动网站通常会使用SSL或TLS等加密通讯技术,用户要看清楚网址前段显示“https”以证明网站有采用加密的通讯协定。同时,亦要核实网站是否拥有由核证机关签发的有效数码证书。有核证机关验证身份的网站,浏览器网址列的后端会显示完整的“锁头”图示。最后,切记“便宜莫贪”,世界上是没有免费午餐的!
唱K神器App存保安风险
最近一款内置混音功能,又附有扬声器的无线蓝牙咪高峰,掀起一片热潮。由于该产品可连接具卡拉OK功能的手机应用程式,使用者可随时随地大开个人演唱会,因此瞬即在坊间走红,甚至获本港歌坛天后垂青,在社交媒体上亲身“试咪”。当大家急于下载相关的手机应用程式时,仍需注意当中的资讯保安风险。
香港电脑保安事故协调中心每月发布的《香港地区Google Play商店应用程式保安风险报告》,今年10月便发现一款热门的免费卡拉OK应用程式存在保安风险,可损害手机作业系统和用户的权益。报告发现该程式向用户索取过多权限,部份更与程式功能无关,例如用户的位置资讯、Wi-Fi配置资料、手机设备资料、通过连线访问网络、已安装软件名单等。
为保障个人私隐及资讯安全,用户安装新应用程式前,需留意程式是否可信,所需的存取权限又是否恰当。 若涉及额外费用、系统工具、电话功能资料、个人资料等,就要多加注意。
当更新应用程式时,也要注意权限的改动。在官方商店更新程式时,一旦所需权限有所变更,商店便会需要用户“手动更新”,让用户重新注意权限的改动。用户若存疑应避免安装,并立即移除可疑的应用程式。如有需要,可联络协调中心求助。
木马程式活跃 电脑病毒传播力强
当谈到恶意软件,大家或会想起电脑病毒,其实,现时最常见的恶意软件是木马程式,例如近年猖獗的加密勒索软件便多属木马程式。香港电脑保安事故协调中心的最新一季“香港资讯保安观察报告”,木马程式在本地十大僵尸电脑网络中亦占七席。
电脑病毒跟木马程式的分别在于前者能自行复制传播,例如透过互网网、外置硬碟等方式感染其他电脑档案;后者则以迂回方式传播,例如需伪装成一般电邮附件、寄存于网站伺服器等,再经由受害者开启附件或浏览网站而感染。
纵使电脑病毒的活跃度今非昔比,但最近有波兰及美国网络保安专家发现两种具电脑病毒特性的新型恶意软件Bolek及Zcrypt,前者为盗取电子银行帐户登入资料的木马程式,后者则属加密勒索软件,两者皆拥有自我传播的功能,能感染在同一档案系统或USB记忆体内的其他档案。若在其他电脑打开被感染的档案,病毒亦会尝试感染该电脑,引发连锁效应。
虽然协调中心至今仍未收到本港电脑用户感染这些新型恶意软件的报告,惟大家不能掉以轻心,必须时刻保持警惕,做好资讯保安。例如切勿打开不明来历的档案或超连结,要经常更新系统及软件,以及安装保安软件等。另外,由于病毒的自我传播特性,网络内的其他电脑也可能被波及,因此若有电脑中招,便需为同一网络内的所有电脑扫描病毒,以策安全。
更新Android装置 堵塞保安漏洞
去年5月,Google发现旗下Google Chrome内的V8 JavaScript引擎有保安漏洞,黑客可以利用这个名为BadKernel的远端程式码执行漏洞,偷取用户装置内的关键资讯,例如短讯、联络人名单、位置、付款密码等。
虽然Google随即发出安全更新堵塞漏洞,但逾一年后,有内地资讯保安研究员在今年8月才发现这漏洞原来同时影响Android系统内的网络浏览(WebView)元件,任何于Android系统版本4.4.4至5.1有使用WebView元件的应用程式,均可能存在漏洞。根据Google的资料,超过六成Android装置仍使用受影响的操作系统版本。
针对这情况,WebView及使用该元件的应用程式已陆续推出新版让用户更新,不过用户仍需留意,有关安全更新未必覆盖所有旧版本的Android装置。若想检查装置是否仍存在漏洞,可到Google Play Store下载由美国流动安全公司Trustlook 提供的“BadKernel security scanner”应用程式。
即使已安装修补程式,Android装置用户仍应仅从官方商店安装及更新应用程式,以及切勿使用直接安装的Android应用程式套件档案。同时,避免透过公共WiFi网络安装或更新程式,并且要安装可靠的保安应用程式,和切记不要随便按入来历不明的超连结。
注意网购保安 免血拼变双失
今日是一年一度的全球网购盛事“光棍节”,即双11购物狂欢节。
相信不少消费者已经从午夜开始摩拳擦掌,废寝忘食地紧贴着家中的电脑或智能手机,希望能以超值价钱买到心仪的商品和服务。不过,当大家全神贯注上网血拼之际,对网络保安也不能掉以轻心,否则赔了夫人又折兵,买不到心头好之余,更要蒙受金钱损失或个人资料被盗的多重痛苦。
消费者进行网购前,要确保所使用的电脑和智能装置已安装防毒软件及最新病毒码,紧记切勿安装不明来历的软件或登入可疑网站;更要选择到官方及信誉良好的网上商店搜购。要避免误进黑店,首先要核实网站域名是否正确,网站有否采用加密的通讯协定,以及拥有有效的数码证书。
另外,很多购物网站都会使用其他网上付款平台完成交易,因此付款平台的安全及可靠性亦不容忽视。消费者亦要留意购物网站列出的条款和细则,及其索取个人资料的深入程度是否合理。进行交易时,要养成确认付款项目及备份网上收据的习惯。
此外,网购用户要避免使用同一密码登入不同的购物网站,以减低多个帐号连环被入侵的风险;亦不应随便轻信网站讨论区或意见栏上的产品留言,以及小心以非官方即时通讯程式进行交易的假卖家陷阱。大家须紧记以上保安贴士,才能避过网购黑客的魔爪,成为“光棍节”的大赢家。
汇款先核实 免堕假电邮骗局
骗徒的手法层出不穷,今时今日,他们更会利用科技犯案,而电子邮件更是他们常用的诈骗工具之一。根据警方最新数字,今年首七个月已接获529宗针对中小企的商务电邮骗案,损失金额高达12亿元,较去年同期上升76%,各中小企老板及职员要提高警觉。
常见的商务电邮骗案手法有两种,第一种是骗徒假扮合作伙伴,向目标公司的职员发出伪冒货品收据的电邮,诱使职员汇款至新的户口。第二种则是假扮公司的管理层,向下属发出紧急指示,要求汇款至“相熟公司”的户口。不法分子会用尽一切方法设局,令收件者信以为真,减低警觉性,例如他们会模仿目标公司所注册的域名,甚至事先入侵公司管理层的电邮帐户,窃阅高层与下属的电邮通讯,再模仿其用语发电邮。
要避免成为商务电邮骗案的受害者,最有效的方法是提高保安意识。当收到汇款要求的电邮时,要小心辨别电邮内容的真伪,留意做法是否符合常规程序;若存疑,应立即联络对方核实。执行转账或汇款前,要为户口启动双重认证,或经由第二位职员核实方可进行。另外,避免以公用电脑或公共 Wi-Fi 热点上网登入公司电邮帐户,以防帐户资料外泄。
此外,若公司注册了域名,系统管理员可以在其网域名称服务(DNS)中设定相关的记录来进行邮件验证,以便判断邮件是否由伪冒者发出。无论如何,只要小心紧慎,骗徒就不会轻易得逞!
3-2-1备份原则 保障资料安全
近年加密勒索软件猖獗,重要的电脑档案一旦被不法份子强行加密,受害机构随时损失惨重,分分钟倒闭收场。
为档案备份可减轻勒索事件对事主的影响,但如何备份才能万无一失呢?资讯保安专家提出了3-2-1档案备份原则,即最少要有三份备份,并使用至少两种不同形式存放,而其中一份备份更要存放于“异地”。
此项原则下,电脑用户需先将每个档案最少复制多两份,并将它们储存于不同的地方,以减低因单一事件而摧毁多个备份的风险。另外,档案备份要存放于至少两种不同的装置里,例如硬碟加光碟或云端,避免档案因装置问题而未能成功读取。最后,“异地备份”则指把一份备份储存于工作地点以外的地方,以确保即使用户的所在地发生天灾人祸,至少仍有一份备份能“幸免于难”。
除紧记3-2-1备份原则外,进行备份时还需留意其他事项,例如不少装置(例如光碟)的储存功能或会因环境或时间过久而受耗损,因此需定期检查备份是否仍能正常读取。机构方面,若情况许可,可考虑进行备份及资料还原演习,既能让员工熟悉备份程序,又可测试备份是否仍然完好。
若选用云端备份,更要小心选择服务供应商,阅读安全和私隐政策的条款,留意有否提供足够的防止资料外泄措施;还要为档案按敏感程度分级,切记敏感或机密资料要先加密才可上传至云端。
网络设备易泄私隐 成黑客工具
今年8月,英国一位艺术家于伦敦展出约六千张截取自世界各地未有做好保安措施的网络摄录机的图像,其中部分截取自香港的摄录机能清楚显示被摄者的样貌。事件引起本港广泛关注,个人资料私隐专员公署并透过英国当局要求主办单位移除载有能辨识被摄者身份的图像。最终该作品的创作者同意要求,事情始告一段落。事件反映香港市民对网络摄录机保安的意识严重不足。
其实,黑客入侵网络摄录机并不仅限于将别人的私隐公诸于世。今年6月,美国网络保安公司Sucuri接获一间饰品店网站求助,表示持续多天遭受大规模分散式阻断服务攻击。网络保安公司调查后,发现参与攻击的逾25,000个IP地址,皆来自网络监察摄录机,估计有关设备的韧体出现漏洞而被入侵,并成为僵尸网络成员,向受害者发动疯狂攻击。
随着物联网的兴起,网络摄录机等可连线到互联网的设备日趋盛行,类似的攻击事件只会有增无减。一旦设备被入侵,除了用户存于设备内的个人资料可能会外泄外,该设备更可能被用作黑客的攻击工具,当中的风险实在不容忽视。
用户购置网络设备时,除留意功能及价钱外,设备供应商的信誉亦非常重要。安装网络设备后,用户需立即更改预设的使用者名称及密码,并定期检查供应商有否推出新韧体程式以更新设备。如非必要,不应把设备连线到互联网;同时亦要更改存取设备的预设网络连接埠,以防黑客有机可乘入侵设备。
多重措施保“密” 防暴力解“码”
今年5月,有比利时资讯保安专家宣称在Facebook旗下的多媒体分享应用程式Instagram发现两个保安漏洞,让黑客能施以“暴力破解密码攻击”入侵用户帐号。
虽然Facebook随即修补漏洞,但事件再次暴露了网上服务的帐号保安问题。
用户若使用易被猜中或破解的密码登入网站,帐号内的私人照片、影片及所有个人资料皆有机会外泄,而有关网站的声誉亦会受损。因此网上服务供应商需订立完善及可行的密码政策,主动保障用户私隐及数据安全。
安全的密码措施包括:强制用户使用由字母、数字及符号组成的八个位或以上的登入密码;采用进阶的加密杂凑算法(如bcrypt及PBKDF2)储存密码,以防一旦系统数据外泄时,用户的密码亦受牵连而“原汁原味”曝光。另外,启用“密码历程记录”功能,将用户重复使用的密码登入帐号,设下次数限制。使用时,需一并设定“密码最短使用期限”,以免使用者在短时间内多次更改密码以绕过限制。
此外,采用帐户锁定保护,可暂时锁定屡次错误输入密码的帐户,以防止暴力破解密码攻击;而起用“双重认证”设定,可确保用户的个人密码即使外泄或被非法破解,仍有多一重保障。
用户方面亦需做好帐号保安管理,例如要选用自己易于记忆但不易被人猜中的密码,并要定期更改;更不要贪方便,多个帐户共用同一密码,或将密码存放于当眼、易于找到的地方。财不可露眼,密码亦要妥善保管。
正当网站掩饰 “域名屏蔽”攻击难防
本栏上文提到本港勒索软件攻击今年更趋猖獗,香港电脑保安事故协调中心除不断提醒公众要做好防御措施外,亦积极呼吁各大小机构提升网站保安,以免遭不法之徒利用散播勒索软件,令机构声誉受损之余,更可能遭受害者追讨经济损失,后果可大可小。
虽然目前大部份有关网站入侵的讨论都集中于网站伺服器方面,但以正当网站作掩护的犯案手法绝不是“独沽一味”。国际网络设备供应商思科早于数年前已提出网络罪犯会以“域名屏蔽”(domain shadowing)的攻击方式,利用正当网站域名进行不法勾当。今年3月该公司发表的报告更指出,有近万个网站子域名(subdomain)被盗用作恶意用途。
跟一般以自行设立的域名进行网络攻击不同,网络罪犯会入侵正当网站的域名设定,在域名(如example.com)上建立毫无意义的子域名(如virus.example.com),并用于钓鱼诈骗等恶意用途。由于整个过程不需入侵网站伺服器,因此很难被网站负责人发现。另外,由于域名一直用于正当活动,所以有问题的子域名在初期亦不易被防火墙发现。
针对“域名屏蔽”攻击,域名登记商或寄存公司都会提供不同程度的保安措施。基本级保安包括在发现域名设定遭更改时,会电邮通知域名用户;进阶级别则会在联络域名登记人及核实其身分后,才能更改域名设定。另一方面,域名用户亦需定期检查域名设定,以策安全。
勒索软件“商品化” 慎防可疑电邮
过去一年,加密勒索软件攻击在全球各地迅速蔓延。香港的上网能力在国际城市中一直位列前茅,自然不能幸免。香港电脑保安事故协调中心今年首八个月已接获236宗本地加密勒索软件相关事故报告,较去年同期上升476%。
个案激增并非巧合,而是经过网络犯罪集团的精心策划及纯熟运作所致。有网络罪犯甚至将勒索软件“商品化”,成立“服务平台”,向其他缺乏网络知识的罪犯提供“加密勒索软件租用服务”,借助他们之力,把勒索软件的程式扩散开去,令勒索个案拾级而上。
这类勒索软件服务十分全面,从设计恶意软件、为攻击目标地区度身订造,以当地语言编撰的垃圾电邮攻势;以至比特币赎金缴付系统,及可监察行动进展、软件感染率及赎金交付状况的管理介面都包括在内,操作亦非常简易。提供勒索软件的罪犯通常会在供应服务前先收取一笔基本的服务费,再与使用服务的不法份子以佣金形式分拆赎金图利。
面对勒索软件攻击来势汹汹,互联网用户及企业要提高警觉,做好数据保护,例如定期备份及离线储存电脑内的重要资料。同时,要经常更新保安程式、操作系统和其他软件;并时刻警惕可疑的电邮,切勿开启当中的附件,或点击附带的连结。另外,还要制定应变方案,以便一旦受到勒索软件攻击时,可立即采取适当的应变行动。
廉价无线键盘不设防 私隐无保障
无线科技日趋普及,不少资讯科技设备及电子消费产品制造商都争相开发新产品以在这庞大市场分一杯羹。不过,部分生产商为了压缩成本而忽略产品的资讯保安,令消费者暴露于网络风险中。
位于美国亚特兰大的物联网保安公司Bastille最近以自行研发的漏洞程式,测试12家知名资讯科技设备生产商的非蓝牙无线键盘的数据传输安全,结果发现当中八家的廉价无线键盘,没有采用通讯加密技术。
测试时,研发人员将漏洞程式配上总值不到100美元的无线讯号接收器及天线,发动名为KeySniffer的攻击,便可从远至250英尺(约76米)外的地方,找到具保安漏洞的无线键盘,并进行键盘监听。
若键盘本身没有采用通讯加密技术,黑客便能“原汁原味”窃取键盘用户按下的每一个动作,从而找出用户的敏感资料,例如信用咭资料、网上银行用户名称和密码、商业及个人秘密等。最无奈的是,大部份被发现有保安漏洞的无线键盘不能以韧体更新去修补漏洞,因此目前唯一的解决办法就是改用蓝牙或有线键盘。
虽然香港电脑保安事故协调中心至今没有收到有关无线键盘的本地保安事故报告,但这次发现正好提醒大家在选购以无线方式传输数据的电子产品时,不能只看价格和功能,必须要留意产品有否采用通讯加密保安措施,以保障网络安全。
黑客“度身订造” 网民易中伏
近年恶意软件及钓鱼电邮的攻击持续恶化,究其原因,有资讯保安专家指出由于网络罪犯已掌握一般互联网搜索引擎常用的地理位置定位技术(Geo-targeting),因此能从IP地址推断攻击目标身处的国家或地区,然后为受害人度身订做网络攻击,令命中率飙升。
据英国网络保安公司Sophos最近发表的网络犯罪集团攻击手法研究指出,针对富裕国家或地区的目标,网络犯罪集团会采用勒索软件直接向受害人敲诈金钱,而针对银行的电脑系统则使用恶意软件犯案;至于其他国家或地区,犯罪集团/不法份子则爱利用受害者的电脑或其他上网装置作为攻击工具,发送垃圾邮件和发动网络攻击以谋利。
不法份子会透过网络地下市场购买来自目标国家或族群的僵尸电脑作案,或利用入侵其他人的流量导向系统(Traffic Direction System),即时寻找合适目标,做法尤如网络广告商为网站访客配对广告。
为诱使目标受害者中伏,他们更会采用当地品牌和精准的用语特制诈骗电邮,以减低被识破的机会。此外近年猖獗的加密勒索软件亦有本地化迹象,无论是缴付赎金指示或电邮内容都使用当地语言和机构名称,令收件者疏于防范而开启含有恶意软件的电邮。
市民要避免堕进日趋精密的网络陷阱,在提高警觉之余,亦要做好基本的防范,包括安装保安软件、保持系统和软件更新等,才能有效堵截不同种类的攻击。
钓鱼网站创新高 上网小心
钓鱼网站问题最近在香港有再次恶化的迹象。根据香港电脑保安事故协调中心7月底公布的“香港保安观察报告”,今年第二季本地伺服器被发现用作钓鱼网站的个案较首季急升189%,达有记录以来新高的10,110宗,情况令人关注。
报告指出,此类个案的元凶主要来自境外公司寄存于本港的网站,它们因保安不足而被黑客利用作钓鱼攻击的工具。首两位分别由内地一间集成电路及半导体公司的网站,及韩国一间网上商店包办,占相关个案总数六成四。第三大钓鱼个案来源则属于一个可让用户无限量免费登记副域名的域名注册商,网络罪犯会透过注册跟真实机构域名非常相似的域名,引诱受害者点击钓鱼网站的连结而中伏。
钓鱼网站不但令访客蒙受损失,被仿冒的网站的商誉亦会无辜受影响。此外,若用户的网站寄存于被用作钓鱼攻击的网络或网站,更可能被保安软件及浏览器一并列入黑名单,令访客无法浏览网站。
为免成为钓鱼网站的俘虏,大家浏览网站时要时刻保持警觉,切勿开启来历不明的网址,并要核实网站域名是否正确,及网站是否拥有由核证机关签发的有效数码证书。若存疑,应停止浏览并寻求协助。另一方面,网站负责人要定期更新伺服器的操作系统及应用程式,并避免开启不必要的功能,以减低被入侵的风险。若发现网站遭人仿冒,可向协调中心求助。
手机新勒索软件 入侵不留痕
手机勒索软件攻击有恶化迹象,主要手法是透过引诱手机用户下载来历不明的应用程式散播勒索软件。然而,网络罪犯也不会独沽一味,会不断找寻新方法,让手机用户堕进勒索软件的陷阱。
今年4月,美国资讯保安公司Blue Coat Labs首次发现有Android手机用户浏览附有恶意广告的网页,而感染名为Dogspectus的勒索软件。该勒索软件以漏洞攻击包方式攻击旧版本Android系统,令它不知不觉地感染勒索软件,过程中受害者亦不会收到应用程式安装通知。
更令人担心的是,根据Android系统开发商Google的资料,截止今年7月,全球有逾半的Android装置用户仍在使用易受Dogspectus勒索软件感染的Android 4.4.4 或以下版本的作业系统;加上手机生产商未必会为旧型号手机更新作业系统版本,用户“中招”的风险极高。
可幸的是,受害者仍可使用电脑来读取装置内的资料,并能透过“恢复原厂设定”(Factory Reset)功能移除Dogspectus,但之后需重新下载已删除的应用程式和资料,费时失事。
要预防这类新型手机勒索软件来犯,用户除需保持更新手机系统及浏览器版本外,还要定期备份手机内的重要资料,以及安装手机保安软件,才能将风险减至最轻。
防被黑客勒索 勿乱下载App
针对视窗作业系统的电脑勒索软件今年全球大规模爆发,让一众用户提心吊胆。香港无论在固网宽频普及率和平均宽频速度,都在全球颇高位置,自然不能独善其身。香港电脑保安事故协调中心今年上半年接获193宗个案,涉及本地个人电脑用户遭受勒索软件攻击,较去年同期急增543%。
正当大家开始对这类攻击有所警惕之际,网络罪犯已将勒索软件的魔爪延伸至智能手机。据总部设于俄罗斯的资讯保安服务商“卡巴斯基实验室” 6月底发表的研究报告,逾13万名Android手机用户曾于去年4月至今年3月期间遭逢勒索软件,较对上12个月多近3倍,情况令人忧虑。
有别于透过电邮附件或浏览含恶意编码的网站散播的电脑勒索软件,针对Android系统的勒索软件主要手法是引诱用户下载来历不明的应用程式进行攻击。近年最常见的Fusob勒索软件,便是伪装成供播放色情视频的多媒体播放器xxxPlayer,引诱用户落入圈套。
Fusob入侵手机后,会先确认装置的设定语言,若采用非前苏联加盟共和国的语言,便会以勒索赎金的指示画面锁定手机桌面,要求受害者以面值100至200美元(约港币780至1,560元)的iTunes礼品卡作赎金才解锁装置。
要防止成为手机勒索软件的猎物,用户须紧记只从官方商店下载应用程式,并切勿取消手机原有的保安机制。此外要定期更新系统及应用程式,以及安装可靠的防毒应用程式。
Android漏洞已修补 有更新宜安装
今年八月初,总部设于以色列的国际网络保安技术供应商Check Point公布在Android手机及平板电脑采用的Qualcomm晶片处理器中,发现四个统称为QuadRooter的保安漏洞,黑客可藉欺骗用户下载恶意程式,继而利用其中一个漏洞以控制装置及盗取资料。全球19款约9亿部Android装置有潜在保安风险。
香港电脑保安事故协调中心就此项发现发出列为“极度危险”级别的保安公告,本地传媒亦大篇幅报导。此保安漏洞虽然有极大风险,但幸好至今未有迹象显示QuadRooter保安漏洞已被黑客广泛用作网络攻击或开发成恶意软件,因此各位Android装置用户无需太过担心。
另一方面,Qualcomm表示已修补了全部漏洞;Android系统开发商Google亦为其中三个漏洞提供修补程式,余下的一个预计在9月发放。其自家出品的流动装置料先获更新,其他品牌的Android装置则要等待相关生产商安排更新时间表,始能堵塞漏洞。若用户想检查装置是否仍存在漏洞,可到Google Play Store下载由Check Point 提供的“QuadRooter Scanner”应用程式。
在完成所有修补之前,Android装置用户安装及更新应用程式时需时刻保持警觉,切勿使用直接下载的Android应用程式套件档案(APK),并且必须紧记只从官方商店安装及更新应用程式。同时,不要使用公共WiFi网络安装或更新程式,并且要安装可靠的保安应用程式。最后,当Android装置生产商发出安全更新后,用户应尽快下载及安装,为装置及重要资料提供充分的保护。
精明使用电子钱包 免招损失
最近一家国际资讯科技企业的移动支付服务登陆香港,旗下手机的本地用户只需使用手机的指纹辨识功能确定身份,便可作信用卡付款交易。
该公司宣称不会将用户的信用卡号码存于手机内,付款时也不会把有关资料传送给商户,每次交易更会获配独有的编码,以保障私隐和交易安全。
随着越来越多电子钱包服务在香港推出,交易安全及保障私隐的问题再受关注。
香港电脑保安事故协调中心去年进行的“香港流动应用程式交易安全”研究,测试了8个本地用户常用的香港电子钱包或付款服务应用程式,结果发现有关的通讯加密保安全都属于安全或以上级别,情况令人稍为放心。
不过,使用手机电子钱包服务还有很多需要注意的保安要点,例如要了解服务供应商的背景是否可靠,及细读程式涉及的所需权限及使用条款;亦要避免存入过多电子货币,万一不幸被盗也可减轻损失。
与此同时,亦要采用较复杂的帐户登入密码,切勿透过公共WiFi网络传输敏感资料。
另外,尽量使用有加密的流动数据网络,以及从官方应用程式商店下载程式;不要在手机上安装来历不明的软件或数码证书,以免引贼入屋。
胡乱下载手游 私隐随时外泄
一款利用智能手机的位置资讯功能,以及扩增实境(AR)技术,让手机用户能在现实世界中捕捉卡通人物的手机游戏,最近席卷全球。由于该游戏推出初期仅在部分国家开放上线,其他地区的玩家只能从非官方途经下载游戏的应用程式套件档案(APK)安装,先玩为快。
不过,这样做却有极高的网络保安风险,随时乐极生悲,成为黑客的猎物。有多家网络保安服务公司先后发出警报,表示有Android手机用户从非官方商店下载了遭黑客重新打包并暗中加入木马程式的手机游戏应用程式,导致个人资料外泄。这些程式会自动开启手机录音、读取联络人或通话记录、短讯内容、访问网页浏览记录、书签等功能权限。
此外,有防毒软件研究员亦在Android官方商店找到多个伪装该“爆红”手机游戏的辅助程式。其中一个伪造程式更会将用户的屏幕锁上,只有移除电池才能解锁手机。即使手机能回复操作,在选单上亦没有显示假的程式,但仍会遭黑客暗中利用作非法行为以图利。
手机游戏固然好玩,但大家亦要注意网络安全,切勿下载非官方或来历不明开发商的手机应用程式,同时要安装手机保安应用程式,以策安全。要认识更多流动设备保安工具的资讯,可参阅香港电脑保安事故协调中心网站(www.hkcert.org)内的“手机保安工具”专页。
中小企网站保安 3方面规划
上星期提到网站在网络罪犯眼中都是宝。网站保安就等于家中的防盗措施,不能掉以轻心,但究竟要用红外线感应、24小时保安巡逻或用铜墙铁壁防盗,才有效保安全呢?
同样,坊间提供的网络保安方案林林总总,中小企要衡量收费与实用性,颇伤脑筋。其实,网站保安应按机构的业务需要作规划,在计划建立网站前要先问3个基本问题:1. 网站的主要用途是什么,是否需设立网站才能做到;2. 若网站不能正常运作,会否影响日常业务;3. 谁有权阅览从网站收集到的资料?
首先,若网站仅用作推广宣传,有关机构可考虑以其他渠道宣传,例如社交媒体等。针对第二点,若网站出现问题会影响机构的日常业务,便需衡量可承受网站失灵多久。至于第三条问题,则涉及员工的权限。这些问题都是针对业务的基本要求。
论机构规模大小,或属于哪行业,建立网站保安,应先充分了解机构的业务需要,才决定保安的要求。制定保安规划时,必须有熟悉业务的员工参与。当锁定了保安要求后,才引入资讯科技人员或服务商,对症下药,寻找合适的保安方案。总括而言,只有以机构业务行先的保安方案,才能配合业务发展,投资费用亦用得其所。
网站大小都是宝 做足防护措施
不少机构及网站负责人认为,他们的网站没有存放什么「值钱」的东西,例如个人资料或信用卡号码等,因此不用担心会遭网络罪犯光顾。然而,他们忽略了一样很值钱的东西:就是坐拥一个拥有极大价值的宝库 ─ 网站操作平台。
网站伺服器在操作上如同一部小型超级电脑,运算能力随时媲美4至5部个人电脑,而且可以一年365天不停运作。若网站保安做得不好,例如网站伺服器或网站应用程式没有定期更新,网络罪犯便可轻易入侵网站作不法行为。
据美国电脑防毒软件供应商赛门铁克(Symantec)发表的最新一期互联网安全威胁报告指出,全球近八成的网站存有保安漏洞,仅百分之三有进行加密,可见网站安全仍被忽略。
若网站被不法份子用作散播病毒,发动分散式阻断服务攻击,寄存假网站或发送垃圾邮件等,则可能会遭浏览器、防毒软件,以至防火墙及电邮伺服器列入黑名单,令客户不能到访网站,甚至影响网站的电邮收发功能。
更严重的是,在某些国家和地区,若当地的监管或执法机构发现网站的违法行为,涉事机构或网站负责人需面对刑事调查。因此不要小看网站被用作不法行为所带来的后果,亦不要以为网站没有敏感资料就无需保护,其实网站资源和访客对网络罪犯来说也是极有价值的。
网站被勒索软件「骑劫」 防不胜防
早前提到,今年五5月新冒起的加密勒索软件「CryptXXX」令香港电脑保安事故协调中心接获的勒索软件攻击报告创新高,预计将有更多且更难于侦测的加密勒索软件涌现。
言犹在耳,协调中心已收到境外网络保安研究人员的通报,表示有寄存于本港网络的网站,存放了加密勒索软件,部分将访客重新引导至载有攻击代码的网站。
针对高流量网站
这些寄存了勒索软件或被黑客用作攻击中转站的本地网站皆是普通网站,部分更有一定的访客流量。由此可见,网络罪犯会选择入侵浏览量高但保安不足的网站,并置入勒索软件,以取得最大收益。
最令人担忧的是,综合本地勒索软件受害者的报告,及协调中心的测试发现,这类透过网站散播勒索软件的攻击,可以令使用有保安漏洞的浏览器或软件的互联网用户,在没有按任何连结的情况下,亦能「中招」,令人防不胜防。
若企业和机构的网站遭放置勒索软件而间接使访客「中招」,不仅商誉及名声受损,亦有机会被浏览器及防毒软件列入黑名单,令其忠实及潜在的客户却步,影响生意。企业、机构及网站负责人必须做好网站保安,例如定期更新伺服器的操作系统和应用程式,和保护网站管理员的登入介面等,以防被网络罪犯利用散播病毒。
伺服器存取权限 黑市有「交易」
资讯保安服务商「卡巴斯基实验室」最近成功捣破一个名为「xDedic」的地下市场,非法出售来自173个国家和地区逾7万部被入侵的远端存取伺服器的使用权,价格低至每部6美元。
网络罪犯可利用这些被入侵的伺服器发送垃圾邮件、设立钓鱼网站、开采「比特币」虚拟货币和发动分散式阻断服务攻击。若伺服器装有会计软件或销售点系统,网络罪犯更可以安装恶意软件入内,盗取资料库内的个人资料及信用卡数据。
全球逾7万部中招 港涉数百
「卡巴斯基实验室」公布的资料显示,在「xDedic」地下市场内发现本港有数百部被入侵的远端存取伺服器的使用权可供出售。该机构亦向香港电脑保安事故协调中心提供了当中160部伺服器的IP地址作跟进。
协调中心已透过本地互联网服务供应商联络受影响的伺服器用户,并提供处理事故的建议,包括即时隔离涉事的伺服器,并在删除所有资料后,重新安装伺服器的操作系统。若用户在伺服器安装了处理财务或敏感资料的软件,更需评估资料外泄的风险,甚至考虑根据所属机构的电脑保安政策上报事故。
协调中心亦不时收到本地伺服器被入侵的报告,主要是由不安全的配置所致。资讯系统管理人员需加强伺服器保安,包括部署防火墙、采用最低程度的存取权限、更改预设设定、设置较强密码,及定期修补系统漏洞。
新勒索软件冒起 上网随时中招
本港加密勒索软件事故创新高!香港电脑保安事故协调中心今年5月共接获59宗有关报告,虽然「Locky」勒索软件事故大幅回落,但新的勒索软件「CryptXXX」冒起,单在上月便录得32宗个案。受害者主要为一般家庭电脑用户、教育机构及中小企业。
「CryptXXX」的传播途径有别于「Locky」,它不再依赖发送垃圾电邮,而是透过入侵有保安漏洞的网站,或在网站上带有恶意软件的广告散播。互联网用户浏览这些网站时,会被重新引导至载有攻击代码的网站。攻击代码会尝试入侵用户电脑的保安漏洞,并试图安装「CryptXXX」。
若安装成功,网络罪犯会加密锁上受害者的电脑档案,加上「.crypt」副档名,然后要胁受害者以「比特币」虚拟货币支付赎金以换取解密密码匙。受害者若迟交赎款,会被要求支付更高的赎金。
由于加密勒索软件为网络罪犯带来可观的回报,协调中心预料有更多不法集团加入犯罪行列,并要求更高的赎金。另外,更多不同的加密勒索软件会不断涌现,亦更难于侦测,而攻击目标更将伸延至Mac和Linux作业系统,以及各种流动设备。
要应对加密勒索软件的威胁,互联网用户需做好数据保护,包括定期把数据备份及保存离线副本;更新安全软件,以及修补系统和其他软件的保安漏洞。用户亦应关闭微软Office的巨集功能,仅在有需要和安全的情况下才暂时重启此功能,并删除任何可疑的电邮。
程式码凭证保安要做好 免成「帮凶」
当电脑用户从互联网下载应用程式和安装外挂程式,或使用网页应用程式时,真确及完整的程式码对维持系统的安全及顺利运作非常重要。由软件开发商提供的程式码签署凭证(Code Signing Certificate)正好为应用程式「验明正身」,用户既能利用此凭证辨识负责程式码的组织或个人的身分,又可确认程式码没有遭第三者非法篡改。
现时,随著网络安全系统已发展至信誉导向的运作模式,部份电脑系统及智能装置更只接受有程式码签署凭证的软件及应用程式,因此近年有网络罪犯窃取他人的程式码签署凭证犯案,例如最近两年冒起的Suckfly 网络攻击集团便是采用这方法来发动攻击。它利用窃取得来的有效凭证来签署黑客工具及恶意软件,然后锁定目标进行攻击。当中有九个凭证被恶意使用,而受害人公司皆不知道凭证遭窃,及被盗用后作何用途。
开发商倘凭证被盗 须即更换
若程式码签署凭证遭盗用,凭证使用机构的声誉会受损,因此需采取足够的保安措施,例如在程式开发阶段采用测试凭证,以减低正式凭证被误用的风险;同时,测试凭证和正式凭证要分开储存。此外凭证储存系统的日常保安亦需做足,以防黑客透过入侵系统漏洞盗取凭证。
若不幸发现凭证被盗,要立即通知凭证签发机构撒销和更换凭证,并且报警求助。
「打开」漏洞攻击包 后患无穷
大家应该听过「潘朵拉的盒子」(Pandora’s Box)这个著名希腊神话,漏洞攻击包(Exploit Kit)就如「潘朵拉的盒子」一样,一旦打开便后患无穷。
漏洞攻击包是一种上载及执行恶意程式码的软件系统。当受害者电脑的浏览器被引导至寄存漏洞攻击包的网站后,漏洞攻击包便会攻击浏览器及相关应用程式插件,例如:Microsoft Silverlight、Oracle Java、Adobe Flash及Reader等,使系统不知不觉地感染恶意程式,以致用户的个人资料被窃或电脑档案遭强行加密勒索,甚至成为「僵尸电脑」发动网络攻击。
以2013年年底首次被发现的Angler漏洞攻击包为例,这个散播Bedep木马程式的攻击包有高强的逃避侦测能力,并能透过不同的外挂程式散播,近年已成为网络罪犯常用的攻击工具之一。
另外,根据资讯保安研究人员分析,Angler漏洞攻击包负载的恶意软件当中,约三分之二属勒索软件,估计网络罪犯每年可从勒索软件中获利3,400万美元(约港币2亿6千5百万元),造成的威胁实不容轻视。
漏洞攻击包是根据已知的保安漏洞开发出来。为免成为此类攻击的受害者,电脑用户应时刻更新系统软件,以减低被攻击的风险。同时,亦需安装及使用有效的保安防护工具,例如防毒软件或入侵预防系统等
即时通讯Apps 进阶保安防洩密
最近某即时通讯应用程式在新版本中加入端对端加密技术(End-to-End Encryption),自动加密所有经此程式传送的讯息、照片、影片、语音信息、文档和通话内容,只有信息发送人及接收者才能解读,减低洩密风险。
端对端加密是一个加强数据传输安全的简单直接方法,大部分常用即时通讯应用程式也有为用户提供各种进阶保安功能,包括:
1. 双重认证:用户每次登入服务时,需输入两组不同性质的认证确认身份,包括「本人知道的」个人密码,以及「本人拥有的物件」作第二重认证。
2. 防止转移帐号:启动「防止转移帐号」设定后,便能防止帐号被转到另一部电话。
3. 换机密码:可建立一个换机密码来加强帐号安全。当有人以其他装置登入帐号时,除要输入电子邮件帐号及密码外,亦须输入换机密码确认身份。
4. 安全提示问题:可设定安全提示问题作为额外的安全措施,防止帐号被盗用。
5. 语音辨识锁:就像以指纹解锁一样,运用声音独特性,以语音输入辨识用户身份。
6. Secret Chat模式:在该模式下,用户的通讯内容不会经由应用程式的伺服器转发。信息亦会採用端对端加密,只有发送人及接收者才可以解读,而且不能转发他人。
除採用进阶保安功能外,即时通讯应用程式用户亦需树立良好使用习惯,避免传送个人及敏感资料,亦需定时为应用程式更新。
5. 此外,要经常查阅银行发出的手机短讯及通讯,并查核交易纪录。若发现可疑情况,应立即通知银行。
Bedep木马传染快 保安怎防范?
天气时晴时雨,大家容易患上伤风感冒,若不及早医治,会影响健康甚至传染其他人。同样地,不要轻看感染木马程式对电脑的保安威胁,最终可导致严重资讯安全危机。
近日出现的新型勒索软件CryptXXX,便是借Bedep木马程式散播。它既可加密锁上受害者的电脑档案,同时偷取个人的资料,十分可恶。
欺骗广告点击 伪造流量
Bedep在2014年11月首次于美国发现。在香港电脑保安事故协调中心的「2015年第四季香港保安观察报告」中跻身本港十大殭尸网络排行榜的第八位。它主要透过恶意广告中用作入侵系统的漏洞攻击包散播。当电脑被感染后,会暗中建立隐藏的虚拟桌面,并会开启Internet Explorer COM视窗,进行多种不法行为,例如受害者电脑会被安排暗中浏览由网络罪犯建立的广告网站,以提高网站点击率。这些网站能同时显示多个广告,使不法份子可从网络广告商骗取极大回报。
Bedep还会为一些视频片段伪造网络流量,以提升它们的受欢迎程度。有部份视频分享网站会以视频观看次数决定视频排名,而这些伪造流量能令目标影片获得更高排名,更易于让访客搜获观看。此外,它亦会连结至寄存了漏洞攻击包的网站,令受害者的电脑感染更多恶意程式。
要防止Bedep及其他木马程式来犯,电脑用户要做好基本保安外,同时利用防火墙拦截来歷不明的网络连接,并定期查阅防火墙的日志记录,留意异常的网络活动。更多关于防范及处理殭尸网络建议,可参考协调中心的《殭尸网络侦测及清理》网上指引。
电子银行帐号 5贴士保安全
香港电脑保安事故协调中心经常透过本栏唿吁大家使用网上服务时,要做好保安,以防被盗用帐号,不久前更介绍了最近发表的「个人网络服务帐号管理保安指引」,帮助大家加强认识及採用指引的建议。
金融管理局表示,最近有银行通报,发现有客户的电子银行帐户有未经授权的股票交易。虽然事件中并无发现有任何未经授权的资金转拨,但这些个案已对电子银行保安敲响警号。
密码太简单 易被黑客「撞破」
协调中心专家估计,这次事件起因不外乎客户设定的密码过于简单,易被电脑黑客「撞破」;或是客户误堕钓鱼陷阱而洩露个人密码所致。因此,使用电子银行服务时,用户需要从这两方面入手加强帐号保安。
1. 首先,用户需设定较难猜破的密码,更避免使用与自己的个人资料有关的密码组合,亦不应多个不同帐户用相同的密码;
2. 密码要定期更新,至少每1至3个月更改一次,并切勿将密码记录在电脑手机或当眼位置;
3. 要为电脑及智能手机安装和更新保安软件,并切记不要下载或开启来歷不明的超连结及附件;
4. 市民亦应避免透过公用电脑或公共 Wi-Fi 热点登入电子银行帐户,免遭窃取资料、误堕钓鱼陷阱或感染恶意程式。
5. 此外,要经常查阅银行发出的手机短讯及通讯,并查核交易纪录。若发现可疑情况,应立即通知银行。
网站加密安全 4招从头设置
本栏上周提及企业可透过「检查、修正、验证」3个简单步骤,提升网站的通讯加密安全。但若要由零开始,建立良好的网站通讯加密安全方案,可参照以下做法。
首先,网站负责人绝不能忽视基本的保护措施,包括定期更新系统,修復已知的安全通讯协定(SSL)技术漏洞;并要使用最新版本的电脑软件及通讯协定,确保网站能支援以保安程度更强的保安运算法(SHA)签发的数码证书及採用更安全的加密套件(Cipher Suites)。
另外,由于电脑的运算能力愈来愈强,黑客已能破解用作核证网站身分的早期版本SHA。针对这问题,核证机关从今年开始只签发採用进阶版SHA-256的数码证书,新版本的网页浏览器亦只会支援验证这类数码证书。若网站仍使用较旧版的SHA-1签发的数码证书,新版本浏览器会视该证书无效,并显示网站为不安全。所以网站负责人应尽快改用SHA-256的数码证书,以免影响服务或网站运作。
另一方面,网站亦可配置远期保密(Forward Secrecy),以加强通讯内容的保密性。此设定确保每次通讯加密使用的密钥只可一次应用,而且仅于特定时间内有效,即使攻击者侥倖成功破解或盗取密钥,也无法解读过去的加密通讯内容。要达致远期保密,网站需採用最新版本的SSL技术,并停止向后兼容早期版本的SSL。
网站负责人亦可採用HTTP强制安全传输技术(HSTS),令用户的浏览器只使用HTTPS与网站进行加密通讯,以减少连线劫持风险。不过,这项设定也需要用户使用更新版浏览器配合,否则浏览器将会显示错误信息。
检查修正验证 堵塞SSL漏洞
用作加密通讯及协助鉴定网站身份的安全通讯协定(SSL)技术已面世20年。随着电脑的运算能力不断提升,早期版本的SSL v2.0及SSL v3.0技术的保安漏洞近年陆续出现。
香港电脑保安事故协调中心最近分析了国际网络保安研究机构Trustworthy Internet Movement每月进行的SSL使用调查,针对2012年4月至2015年3月的数据结果,发现逾75%参与调查的网站在配置SSL上「保安不足」,情况令人关注。
每半年测试SSL配置
要堵塞漏洞,企业及网站负责人可根据「检查、修正、验证」三个步骤,提升网站的通讯加密保安。
首先,要评估网站的SSL安全水平及设定是否恰当,电脑用户可利用网上的自助检查服务,按指示输入网站的网址,再点击同意条款及按下「开始」按钮,便可自动执行检查。
检查完成后,用户不但能立即知悉网站的SSL安全评级,还会获得改善建议,方便技术人员跟进,执行「修正」方案。
用户在「修正」SSL配置之后,可进行检查以确定成效,「验证」网站的SSL安全评级是否有所改善,如果尚未达标,可再依改善建议继续跟进。网站SSL配置的测评,可以每半年进行一次,持续保持高安全水平。
如要认识更多常用的SSL配置网上检查工具,可参考协调中心的「SSL/TLS通讯保密协议保安指引」。
堵塞加密漏洞 停用SSL v2.0
今年三月,国际加密通讯技术组织OpenSSL.org发佈修补名为DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) 的保安漏洞。黑客可利用该保安漏洞破解伺服器及用户浏览器之间的加密连线,当中包括採用安全通讯协定(SSL)或传输层安全协议(TLS)等加密通讯及网站身份鑑定技术。
OpenSSL.org估计全球近三分一的网站伺服器都有此保安漏洞,当中逾半来自仍支援早已过时,且加密保安程度薄弱的SSL v2.0的伺服器;其余则是SSL v2.0共用同一私钥的其他SSL/TLS协定版本的伺服器。
据悉,黑客会先监视存有DROWN保安漏洞的网站伺服器与用户之间的连线,然后选取一条连线解密,窃取甚至窜改传输中的敏感数据和交易资料,或诱骗用户至恶意网站,感染其他恶意程式,造成更多破坏。
黑客破解加密连线 成本低
最令人忧虑的是,执行这类攻击的成本并不高,例如以亚马逊弹性云端运算(Amazon EC2)网上服务破解一条加密连线,只需440美元(约港币3,400元)。
企业若不及时堵塞漏洞,除可能遭受金钱损失外,更会打击客户的信心,影响公司的声誉。因此网站负责人要尽快採取措施加强保障资料传输,包括将加密技术版本升级至TLS 1.0.1s或1.0.2g,并立即停止支援SSL v2.0,以及利用网上检查工具,检查伺服器是否存在DROWN保安漏洞。
7招提升帐号安全 防被盗用
近年不少中小企及个人电脑用户转用云端网络服务处理日常公事,以节省开支及增加灵活性。大家要切记做好保安,以防被不法分子盗用帐号作非法用途。香港电脑保安事故协调中心最近编写的「个人网络服务帐号管理保安指引」,提出七项提升帐号安全的建议,包括:
1. 使用双重认证/两步认证:用户需输入两组不同性质的认证确认身份。使用网络服务时,用户需输入帐号和密码,再透过用户所拥有的实物认证工具,例如由保安编码器产生的一次性密码;
2. 使用应用程式密码/短暂性密码:愈来愈多第三方应用程式会支援 OAuth (开放授权)协定登入,用户只需以一个常用的个人网络服务帐号,便能登入应用程式。为免密码外洩,不少常用的个人网络服务会提供应用程式密码或临时密码,为用户产生单次密码,用于指定应用程式;
3. 启动监察可疑登入活动功能:部分网络服务会提供可疑登入活动的通知功能,若系统发现有可疑的登入,便会发送电邮或短讯提醒用户;
4. 切勿以同一密码登入所有服务:用户应使用不同密码登入不同网络服务,以免黑客成功偷取其中一个帐号的密码后,能同时登入其余的服务;
5. 谨记登出帐号:若用户以他人的电脑登入帐号,使用后需登出服务,以免留下记录。此外建议启用「无痕模式(incognito)」或「隐私浏览 (private)」功能造访网站;
6. 永久删除不使用的帐号:如用户停用某网络服务,应永久删除帐号,以减低帐号被盗用的风险;以及
7. 输入密码前要三思:用户每次输入帐号密码前,应提高警觉。若存疑,应先核实网络服务的真伪。
弹出式登入窗口 慎防被「钓」密码
开放授权协定OAuth,让用户可以Facebook、Google、Microsoft、Twitter等常用的个人网络服务帐号登入电脑桌面、移动装置或网络上的第三方应用程式,毋须另外申请帐号,非常方便。
愈来愈多第三方应用程式支援这种简易登入方式,以招揽更多用户,当中的资讯保安风险也不容忽视。
当用户使用OAuth方式登入,第三方应用程式只会得知由个人网络服务发出的认证编码(authentication token),并不会知道用户原本的登入帐号及密码。
真实网址 诱往「易容」后连结
由于每个认证编码就好比一张有条件的通行证,只让第三方应用程式于规定的时段内存取特定的资料,例如相片、视频、联系人清单等,而非所有内容,本应较为安全。
然而,新加坡资讯保安研究人员在2014年发现,OAuth授权介面的网站存在隐蔽重新导向(Covert Redirect)的保安漏洞。黑客利用该漏洞可允许在真实网址上建立一个自订的弹出式钓鱼登入窗口,然后诱导用户登入「易容」后的常用网络服务网址连结,以骗取登入帐号及密码。
现时,支援OAuth的常用个人网络服务也有提供应用程式密码,或临时密码给用户使用,以保安全。为免帐号密码外洩,用户只应授权给可靠的第三方应用程式作特定个人资料存取,并切记不要存取来歷不明的超连结。
IoT时代 工业控制系统风险大
现代生活繁忙,大家有否稍停一下想想,究竟由食水供应、污水处理、石油钻探、天然气开採、发电、交通信号控制、以至大厦管理等各种基础设施及大型关键系统运作井然有序,背后有何「跷妙」?原来幕后英雄是工业控制系统(Industrial Control System – ICS),以硬件和软件监控运作。
经过不断的技术发展和演进,ICS现在已经进入第四代。受惠于物联网的发展,ICS可以更灵活运作,而且功能亦越来越强,例如透过无线网络技术可以将交通灯连接至控制中心,中心遥距分析由道路上传感器收集的数据后,再向个别交通灯发出指令,以迅速回应任何交通突发情况。
随着物联网逐渐普及,连接互联网的系统和设备愈来愈多,攻击ICS的经济诱因大增,攻击手法亦日趋精密。网络攻击者可根据ICS的应用功能造成不同程度的破坏,例如瘫痪大厦保安系统的警报、切断整个城市的电力和食水供应,甚至干扰军方的控制系统发动导弹攻击亦非天方夜谭。
香港电脑保安事故协调中心去年12月透过Shodan互联网服务搜寻器,发现全港共有106个ICS设备连接互联网,其中79个可从控制器的回应中获取制造商的资料。一旦黑客取得这些资料,便可寻找保安漏洞发动攻击。由于用户不会经常更新有关设备,黑客成功控制系统的机会也大增。
要防患于未然,ICS管理员不要将设备直接连接互联网,如有必要,切记使用防火墙管理存取来源。如要远端控制人机互动介面或连接设备,应採用虚拟私人网络或拨号连线,并以双重认证方式登入。同时,用户要保留完整的ICS活动记录,亦要启动媒体存取控制(Media Access Control - MAC)地址锁定功能,以防止入侵者伪冒IP地址,拦截并篡改数据。
网络伺服器安全 4招增防御
上星期提到黑客经常利用网络伺服器及网络应用程式的保安漏洞入侵网站,进行SQL注入攻击。要避免受袭,网站管理员除要定期更新伺服器的操作系统和应用程式外,加固网络伺服器及网络应用程式亦是有效方法。
1. 验证输入资料
首先,网络应用程式开发商在设计系统时必须验证用户输入的资料,以防不法份子输入恶意内容,进行SQL注入或跨网站指令码攻击。
2. 权限设置清楚
网站管理员应避免以管理员权限执行网络应用程式,并须移除不需要的应用模组及扩充程式,更要分开存放网络和数据库伺服器,以及限制非授权人士连接网络管理介面。
3. 设置应用程式防火墙
可在伺服器前设置网络应用程式防火墙,过滤部份攻击,及为关键应用程式进行源码扫描及渗透测试等深入的网络安全评估,找出漏洞并及早修补,以防后患。
4. 採用先进加密法
若网站需要处理用户的敏感资料,则必须採用SSL通讯加密技术,保护用户的私隐。由于黑客已能破解大部份早期的加密杂凑演算法,令网站身份认证及数据传送加密失效,因此建议採用更先进的加密杂凑算法,例如AES及SHA2。现时网上亦有免费服务,可简单测试网站是否採用良好的SSL通讯加密技术及进行安全评级,并提供改善建议,让用户参考和执行。
黑客侵港伺服器 每季逾万宗
去年11月香港一间知名大型儿童电子学习产品公司的客户数据库及网络伺服器被黑客入侵,超过500万个家长的帐户以及660万个儿童的资料外洩,令大家再次关注储存及处理大量个人资料的网上服务平台的资讯保安。
事后有自称入侵行动的主脑向网上媒体透露,他透过受害公司网络应用程式的保安漏洞入侵网站,取得系统管理员(root)权限后控制整个系统。
这种入侵手法司空见惯。香港电脑保安事故协调中心发表的《香港保安观察报告》发现,由去年第二季开始,每季皆有逾一万部本地网络伺服器遭黑客入侵,进行网页涂改、寄存恶意程式及钓鱼网站等恶意网络行为。当中最常用的攻击手法是利用网络应用程式的保安漏洞注入数据查询语言SQL代码。由于注入的代码会根据网络应用程式的权限执行,若应用程式是以管理员权限执行,黑客便能完全控制伺服器,以管理员身分输入命令,为所欲为。
先导计划 助中小企检查保安
要防止这些情况发生,网站管理员需经常检视伺服器的保安状况,一旦发现漏洞,便应马上修补。市场上有多种网络安全扫描器能侦察一些常见的网络保安风险,并提供建议修补未更新的伺服器及应用元件的资料连结。网站管理员应利用这些工具检查网站保安,提升系统安全。
为了提升本地中小企业网站的保安意识,香港电脑保安事故协调中心正进行一项先导计划,免费协助本港中小企检查网站的安全状况,并推行改善措施,以及验证措施成效。协调中心期望计划能让中小企了解网络安全的重要,并积极应对有关风险。计划详情可浏览中心网站。
旧手机电脑存风险 宜快更换
今年元旦日有市民上网时未能成功连接部分网站,网页甚至弹出警告讯息。数天后,情况依然未有改善,反而蔓延至更多网站。元凶原来是「中古」智能手机及个人电脑。
去年底法国、荷兰及新加坡三地的网络保安研究人员发表联合报告,揭露黑客已掌握新技术,能轻易破解用作核实加密网站数码证书签署的SHA-1杂凑演算法,从而为伪冒网站骗取核证机关签发数码证书,令网站身份认证及数据传送加密失效。
负责订立互联网加密政策的核证机关/浏览器论坛(CA/Browser Forum)随后宣佈,核证机关从今年开始只签发採用保安程度更强的SHA-256杂凑演算法的数码证书。由于机龄超过5年的智能手机及个人电脑的浏览器一般都不能识别SHA-256证书,有美国网络安全公司估计,全球逾3,700万互联网用户将受影响,当中以中国内地用户最多,约佔220万人。
受影响的用户如果仍继续使用不支援新版本作业系统及应用软件的旧款智能手机或电脑,除不能上网外,还要承受越来越大的保安风险。因为当供应商停止支援旧版本,黑客有可能以逆向工程方式,从新版本的安全修补程式找出攻击旧版本漏洞的方法,令设备遭恶意程式感染及入侵的机会大增。因此尽快更新设备,并安装保安软件,方为上策。另外,用户丢弃旧款智能手机及电脑前,亦应先利用永久数据删除工具,覆写及清除记忆卡内的数据,以免敏感资料外洩。
网上勒索变本加厉 不要就范
欧洲刑警组织(Europol)今年1月初宣佈,在代号“Operation Pleiades”的多国联合调查行动中,逮捕了策动近年连串大型比特币勒索活动的DD4BC(全写:DDoS for Bitcoin)网络攻击敲诈集团的核心成员,为终极瓦解这犯罪组织迈出重要的一步。
DD4BC敲诈集团于2014年7月首次「亮相」,初时以勒索线上游戏及货币兑换平台为主,后来扩大敲诈对象至金融服务、媒体娱乐及零售产业。本港两间银行亦曾于去年5月成为该组织的勒索目标。
该犯罪集团会以电邮警告目标机构,将向其网站发动小规模分散式阻断服务(Distributed Denial of Service - DDoS)攻击,经一轮攻击后,再要求勒索对象在指定时间内以比特币支付赎金,否则发动更大型的DDoS攻击,令其网站瘫痪。为迫令目标就范,该犯罪组织更威胁在社交媒体公开有关机构的重要资讯,破坏其声誉。
纵使是次联合行动已严重打击DD4BC敲诈集团的不法活动,但类似的勒索事件依然有变本加厉的迹象。有外国资讯保安专家指出,近期的DDoS攻击勒索活动已蔓延至其他规模不大的网上服务平台,例如讨论区、小型电子商贸网站等。
企业和网站负责人若不幸遇到这类勒索威吓,絶对不要就范,以免助长恶行。事实上支付了赎金并不代表能「一劳永逸」。受害者应立即向执法部门及所属互联网服务供应商求助。另外,亦要未雨绸缪,预先制定相关应变计划及做好网站保安,例如以防火墙分辨并过滤攻击流量、使用反DDoS服务等。
网络新威胁 各方用户怎防范?
上文介绍香港电脑保安事故协调中心预计2016年香港将出现更多针对网站伺服器、销售点系统、流动装置及物联网设备的网络攻击。面对这些网络安全新威胁,企业、市民及互联网服务供应商又应如何防范?
要预防网站伺服器受攻击,企业除要定期检视其保安状况及修补系统的保安漏洞外,还要分开存放网站和数据库伺服器,并小心验证用户在网上应用程式输入的资料。若业务性质需使用销售点系统,则必需变更预设登入密码,并要限制经指定网络存取,以收窄「攻击面」。由于「自携设备」(BYOD - Bring-Your-Own-Device) 的风气已深入各行各业,企业需尽快制定使用政策;并要定期备份档案及离存放,以免受加密勒索软件影响。
市民大众则要紧记为电脑安装保安修补程式,特别是应用PDF、Flash、Doc、Xls等常用电脑档案的工具软件,以免网络罪犯巧立名目设计陷阱,例如伪冒电子支票,乘机利用软件漏洞将恶意程式植入用户电脑。此外,要切记採取足够措施保护个人流动装置,例如要从官方商店下载流动应用程式、切勿将手机解锁(jailbreak或root机)等。个人云端服务帐户保安亦要加强,包括採用更强的密码及「双重认证」功能登入帐户;更要对来歷不明软件或超连结,以及索取个人资料或更改付款帐户内容的要求,打醒十二分精神。
服务提供者在维护网络安全方面亦责无旁贷。互联网服务供应商要提防网络罪犯租用网络进行非法活动,若对租用者的身份存疑,可要求对方提供身份证明文件确认。软件开发商则要紧记从官方网站下载开发工具,及扫描新开发的软件,确保没有被被植入恶意程式码。
港网络保安 2016年4大趋势
踏入新一年,各行各业都有来年预测。每年一月,香港电脑保安事故协调中心都会回顾过去一年的本港网络保安情况,并综合不同数据分析今年的攻击趋势,让大家早作防范。今年协调中心预测有4大趋势:
趋势一:网络罪犯将继续瞄准有严重保安漏洞的网站及销售点系统,尝试入侵并盗取个人资料及信用卡号码以图利。去年有本港大型儿童电子学习产品公司,以及在香港设有分店的国际知名酒店连锁集团先后爆出网站客户资料库及酒店销售点系统遭入侵事件,为此类攻击爆发敲响警号。
趋势二:由于有网络罪犯提供「加密勒索软件租用服务」,包办可攻击不同作业系统及管理赎金交付等服务,让不熟悉有关技术的不法分子也可使用,将造就更多加密勒索软件攻击。同时,以发动分散式阻断服务攻击作威吓的敲诈活动亦会持续,对象亦会由金融机构扩展至其他网上服务。
趋势三:经过去年官方iOS应用程式被大规模植入XcodeGhost病毒事件曝光后,预计会有更多黑客试图在开发工具植入恶意程式码,使由有关工具开发的应用程式也受感染,有机会绕过官方应用程式商店的检测,令更多用户「中招」。因此针对流动装置的恶意软件攻击,也会日趋猖獗。
趋势四:智能穿戴、智能家居等在香港日见流行,同时越来越多工商业运作趋于依赖互联网应用进行,因此物联网的保安风险,不容轻视。海外资讯保安专家的实验亦证明利用恶意软件可感染Android 作业系统的穿戴设备,并能入侵及摇距控制行驶中的智能汽车。
至于防范措施,就留待下期介绍。
假内银钓鱼网增 祸延港用户
网络钓鱼又有新手法,狡猾的「快闪」攻击去年肆虐。香港电脑保安事故协调中心去年共处理1,931宗钓鱼网站个案,较2014年激增233%。个案上升的主因是有网络罪犯利用本港的网页寄存服务发动「快闪」钓鱼攻击,相关报告佔钓鱼个案69%,涉及22,576个网址。
这批钓鱼网站以伪冒内地银行为主,每隔数天便会转移至其他IP地址继续运作,以避开侦测。由于很多银行都遭到伪冒,而且有关攻击活动能持久进行,所以内地网络保安及金融监管机构非常关注事件,他们联同受影响银行将涉事的香港IP地址资料即时转介协调中心跟进。由于很多涉事的网络服务供应商使用虚假的联络资料租用本地网络犯事,令个案难以跟进。
大家或会问既然这些「快闪」钓鱼网站主要是针对内地网上银行用户,与香港的互联网用户又有何关系?首先,若用户的网站或电邮伺服器寄存于被用作「快闪」钓鱼攻击的网络,便有可能被Google及Firefox等浏览器一併列入黑名单。浏览器会拦截其他用户连接网站,并发出安全警告。
另外,若本地或外地执法部门或监管机构决定採取行动,关闭整个涉事网络,其他守法用户寄存的网站或电邮伺服器也会被迫停止运作,这将影响用户的日常业务。同时,由于用户的网站或电邮伺服器与网络罪犯的伺服器寄存于同一个网络,一般都没有防火墙阻隔,因此也可能遭到直接攻击。网站或电邮伺服器寄存用户应小心选用网络服务供应商,并举报任何怀疑不当使用网络资源行为,以免遭无辜牵连。
WiFi蛋受捧 「孵」出新网络风险
每逢长假期或旅游旺季,俗称「WiFi蛋」的流动WiFi热点装置,租赁服务常有供不应求的情形,可见它备受大众欢迎。但近期多个外国网络保安研究皆显示,Wi-Fi蛋已成为威胁网络安全的其中一个新源头,所以大家使用此「蛋」时不能掉以轻心。
现时不少流动电讯服务营办商都会兼售WiFi蛋,但一般只预设支援由该营办商提供的SIM卡,用户如欲使用其他供应商的SIM卡,要先在电脑上安装特定解锁软件,惟这些软件可能被黑客预先改动甚至加入恶意程式,当使用者安装软件时,会不知不觉将恶意程式一併装入装置及WiFi蛋内,黑客便可入侵及控制设备,作出不法勾当。
另外,网络上亦常出现非官方的WiFi蛋韧体,声称可为装置带来更多功能。这些由第三方编写的韧体,其来源不清楚,质量亦没有保证,更危险之处是可能会在用户不知情下开啓装置上没有密码保护的远端连线功能及使用权限,又或会将用户引导至钓鱼网站,增加网络攻击和资料外洩的风险。
要确保安全使用WiFi蛋,使用前必需要更改登入密码,还建议停用SSID无线网络识别码广播功能和已知存有保安漏洞的WiFi保护设置(WPS)功能,以及启动装置内设的防火墙;更要採用WPA2加密通讯协定传输资料及开启可以防止未登记的流动装置连接的媒体存取控制地址过滤功能;亦不要使用非官方的解锁软件及韧体。市民亦切记不要使用公共WiFi网络登入网上银行服务,应利用具备加密功能的流动数据网络进行交易,确保安全。
外游免费WiFi勿乱用 易堕陷阱
上文介绍了大家出发外游前要预先做好的资讯保安措施,现在续谈在旅程中要留心的网络安全陷阱及防范方法。
现时不少酒店及机场都设有公用电脑供旅客免费上网,但这些电脑保安防护状况参差;而且使用者身份不明,有可能被用心不良的人设下恶意软件陷阱。同样地,使用公共 Wi-Fi 热点上网亦要小心,因为这些免费的热点名称容易遭人冒认,用户一旦登入虚假的 Wi-Fi热点,其网络通讯会被拦截,甚至被引导至钓鱼网站以套取个人资料。因此,大家应尽量避免透过公用电脑或公共 Wi-Fi 热点登入帐户、输入敏感资料或下载软件,免遭窃取资料、误堕钓鱼陷阱或感染恶意程式。
另外,即使网站已使用加密技术,如https,也要留意浏览器的提示,若网址旁的锁头图标是红色,或出现警告符号,例如“X”或“!”,即表示加密和认证用的数码证书无效或有问题,用户切勿登入该网站或输入资料。使用公用电脑上网后,切记要清除浏览器内的所有缓存(cache)、浏览歷史和 cookies 等歷程纪录。而使用公共 Wi-Fi 热点后,亦要删除在无线装置「惯用网络」设定内的Wi-Fi存取点。
此外,近年不少人外游时,都会用上俗称「Wi-Fi蛋」的流动Wi-Fi热点装置(Pocket Wi-Fi),以便同行人士共享数据上网。要用得安心,切记要登入装置的管理介面,更改登入密码及关闭SSID (Service Set Identifier)无线网络识别码的广播功能,以防止被黑客入侵,或成为其发动网络攻击的帮凶。
外游「3件事」做妥数码装置保安
大家出外旅行或公干,如果只能带两件随身用品,相信大部分人都会选择智能手机,及有上网或无线连接功能的流动装置,例如数码相机、智能手錶或路由器等。由于这些设备储存了大量个人资料,大家在出发前,必须做好设备保安,若不幸失窃,也可减低损失,不至被盗取设备内的敏感资料作其他不法用途。
要加强智能电子装置的资讯保安可从系统安全、数据保护及网络连接三方面着手。系统方面,用户需更新装置软件及韧体至最新版本;并要设定屏幕锁定功能,缩短闲置锁屏时限,及使用较强的解锁密码。同时,用户可预先安装遥控追踪位置、遥控锁机及遥控删除资料的应用程式,或启用手机内的「寻找我的手机」功能。至于数据保护方面,用户出门前应删除或加密装置上的敏感资料;亦要备份数据,并储存一份离线副本,以便当未能寻回遗失的装置时,也可復原数据。
至于网络连接方面,用户应取消装置上的Wi-Fi自动连接设定,改为每次以手动确认Wi-Fi连接;亦要关闭档案共享、Wi-Fi热点共享等功能。出差时若要连接公司的网络系统处理公务,应在出发前测试公司的遥距网络存取服务。另外,若使用的网上服务提供双重认证功能,应预先启动并试用,以策万全。
以上的准备工夫都能减低资料被盗或因遗失智能电子设备而带来的损失。想出门旅行安心又写意,旅途中还有一些需要注意的地方,留待下期分解!
佳节网购陷阱多 勿送黑客「厚礼」
近日大家或会为张罗圣诞或新年礼物而大伤脑筋。在佳节选购礼物是一门「高深学问」,既要符合自己的心水和身分,又要顾及收礼者的感受,更要在有限的时间内完成,绝对是一项「非常任务」。
近年不少人已由商场「转战」至日渐普及的网上购物平台,以节省时间和金钱。除光顾官方及具规模的购物网站外,部分消费者更会透过不同途径搜索一些非官方的网站格价和购物。很多不法份子便看准这种消费心态而佈下网上陷阱,等待不小心的消费者堕进。
最近有出售冒牌手錶的网站便被揭发透过社交媒体以卖广告形式代替开设专页招揽顾客,以逃避执法部门的侦测系统。消费者光顾这些购物网站固然会助长侵权行为,更随时会遇上钓鱼网站,被不法份子盗取敏感的个人资料。
消费者进行网购时,除了要选择官方及信誉良好的购物网站外,还要核实网站域名的真伪,网站有否採用加密的通讯协定,以及有效的数码证书等。用户亦要留意购物网站列出的条款和细则,及其索取个人资料的深入程度;并要尽量使用不同密码登入不同的购物网站。若不慎向欺诈网站提供了电邮帐户登入密码,应尽快更改所有使用相同登入密码的网上服务。此外,更要适时更新操作系统及浏览器,以便能获取最新的有效证书列表,并切勿打开来歷不明的电邮及连结。
最后,「精Net锦囊」祝大家佳节快乐,2016年上网零事故,做个资讯保安精叻人!
逾百程式「有毒」 关注iOS安全
苹果 App Store 的应用程式上架审核程序一向较为严格,因此一般认为在iOS系统手机安装应用程式较为安全。但今年9月,有内地及海外资讯保安研究机构在App Store发现过百款iOS应用程式受XcodeGhost恶意程式感染,当中包括多款受欢迎的应用程式及游戏程式,令人关注iOS系统的安全问题。
Xcode是iOS 应用程式的开发工具。除了App Store外,一些内地网站也会提供 Xcode下载。是次有部份从非官方渠道下载的 Xcode被黑客植入了XcodeGhost恶意程式码,连带所开发的应用程式也受感染,并能成功绕过App Store的检测。受感染的应用程式会自动连线到该恶意程式设计者建立的指令与控制伺服器,然后回传该应用程式和装置的资讯。有些个案更会弹出钓鱼视窗以套取用户的帐号资料。
本港方面,自10月起,香港电脑保安事故协调中心从国际网络保安组织Shadowserver Foundation取得相关数据作分析,发现在该月首个星期每日平均有14,147个本地IP地址仍连接至XcodeGhost的指挥控制中心,数量是其他殭尸电脑的30倍。虽然在第四个星期数字已大幅回落,但每日平均仍有7,151个本地iOS系统用户还未为其装置「解毒」。
虽然App Store及程式开发者在事件被揭发后,已分别即时下架及更新受感染应用程式,但若用户没有及时移除或更新程式,仍有资料外洩的风险,因此应尽快为其装置及应用程式进行更新。若想了解所用的应用程式是否存有XcodeGhost,可联繫苹果公司。
港「隐形僵尸」电脑 上季增9%
本栏上期引述香港电脑保安事故协调中心的「2015年第三季香港保安观察报告」有关「恶意程式寄存」事件的部分,现在继续分析关于僵尸电脑的调查。报告显示香港的「隐形僵尸」电脑在过去一季增加了9.2%至5,945部,当中首次进入本港十大僵尸网络排名榜甫占第二位的Bamital,便感染了1,623部本地电脑。
Bamital于2009年被首次发现,是一种点击诈骗 (click fraud) 的恶意程式,透过「路过式」下载(drive-by-download)及以点对点(P2P)网络散播。电脑受感染后,Bamital会监视其浏览器搜寻查询,透过窜改搜寻结果,将用户带至恶意网站或网络罪犯指定的网上广告,籍著推高广告点击率而获取利润。此举不但对网络用户构成不便,还会增加他们感染其他恶意程式的风险。此外,网络广告商亦会因有关行为而承受严重的金钱损失。
针对这问题,微软及网络保安公司Symantec于2013年2月联手取缔Bamital僵尸网络的基础设施和控制及指挥中心伺服器,并重新引导受感染的电脑至一个有清除Bamital方法的网页。至于为何本港在今年第三季突然冒出大量的Bamital僵尸电脑,协调中心估计可能是有网络保安研究机构承接了警告网页域名的使用权后,将曾连线该网页的IP地址发布给相关机构跟进有关。
归根究柢,企业及网络用户要避免沦为僵尸网络的一份子,除要定时更新修补程式外,还要安装有效的保安防护工具等。详情可参考协调中心的《僵尸网络侦测及清理》网上指引。
小心网站 成电脑病毒传播器
最近天气骤凉骤暖,大家稍不留神便容易中招,染上流感,最令人头疼是很多时病菌不知从何传来,令人防不胜防。香港的网络世界在近半年也进入「流感」活跃期,根据香港电脑保安事故协调中心最新一季的「香港保安观察报告」,本港的「恶意程式寄存」事件大幅上升,由今年首季的1,329宗跃升至第三季的8,374宗,反映恶意程式的杀伤力正迅速上升。
顾名思义,「恶意程式寄存」是指黑客成功入侵保安不佳的网站后,暗中将恶意程式存放于伺服器内。当互联网用户浏览被入侵的网站时,会不知不觉下载恶意程式,令其系统受感染中招。若网站负责人未能及时处理,恶意程式会像流感般散播开去,更多网络用户受感染,网主的声誉亦会受损。同时,被入侵网站或会被部份保安软件或网络服务供应商列入黑名单,令访客无法连接网站及存取内容。更有甚者,黑客可能进一步入侵伺服器,进行其他攻击。
为免成为入侵目标,网站负责人须做足保安措施,包括定期更新伺服器的操作系统和应用程式,并为伺服器安装最新修补程式;亦要按照最佳实务守则管理使用者帐户和密码,以及在控制界面使用周详的认证方案,例如双重认证等。此外,网站必须核实客户在网上应用程式的输入及系统的输出,避免遭黑客插入恶意程式码。
电子钱包涉私隐 切勿乱下载
最近有电子钱包服务以手机应用程式推出市场,声称可代客缴付本地公用事业公司费用,有关公用事业公司机构随即否认授权该公司提供服务,事件引发公众讨论。
电子钱包服务近年于香港急速发展,为市民提供一个新的电子支付途径,但当中却衍生新的保安危机,用家需要权衡利弊。撇开电子钱包服务供应商与公用事业公司之间的争议,以手机应用程式支付费用,由于涉及敏感个人资料,所以用户必须格外小心。
细阅权限 设定复杂密码
用户在下载程式时,需同意向服务供应商提供手机内多个项目的存取权,当中大部分是涉及用户的个人资料,例如相片、短讯及通讯录等。若服务供应商的资讯保安不足,便会增加资料外洩的风险,甚至可能被不法份子盗用作虚假交易图利。
大家下载电子钱包手机应用程式前,应细心阅读程式涉及的所需权限及使用条款。另外,需採用较复杂的密码登入,例如至少8个位,及由数字、符号、大细阶英文字母混合组成。
选用受法例监管供应商
用户选用有信誉及受法例监管的电子钱包供应商也非常重要,以免日后服务突然停止运作而未能取回钱包内的余款;同时亦要小心防范假冒或来歷不明的应用程式;更不要为了获得价格折扣或赠品等「着数」优惠,而随意下载电子钱包服务,以致因小失大。
加强国际合作 利保网络安全
网络世界无边无际,要确保资讯安全,除了市民及企业须经常审视及维护本身的保安措施外,跨境的资讯保安协调工作就需由相关的国际组织通力合作。今年首10个月,香港电脑保安事故协调中心处理的近四千宗个案中,便有八成是由海外的资讯保安机构转介过来。
为加强与海外机构的协作,协调中心今年九月派员到马来西亚吉隆坡出席亚太区电脑保安事故协调组织的年度大会及研讨会议。大会今年主题为「Bridging the World - Go Cyber Green」,透过加强国际之间合作,构建更安全、更健康的网络生态系统。与会者讨论了多个近年热门的资讯保安议题,包括严重保安漏洞的事故处理、物联网普及的保安挑战,以及云端技术的安全使用。协调中心亦借此机会介绍自资开发的全球网络保安资讯收集及分析系统(IFAS),并获得海外专家的好评。
协调中心透过参与这些活动,掌握网络保安的新趋势及与其他电脑事故应变组织交换心得,加强合作。除了海外分享外,协调中心亦会定期与普罗市民分享这些最新保安资讯,例如本月27日在中央图书馆举行的「共建安全网络2015:网络保安 四面八方」研讨会,便会分析本地网络罪案的最新趋势,亦会探讨网上及流动银行、云端服务及无线网络和流动装置等热门资讯科技保安议题,与大家分享实用的网络保安「贴士」,适合大小商业机构及市民参考和应用。
安全管理fb 审慎界定使用权
近年不少公众人物、企业,甚至政府机构纷纷设立Facebook专页,透过定期发布文章、相片和短片等,主动与支持者、网民及市民大众,分享机构资讯以至生活的点滴,加强沟通和交流,这既可贴近市场及市民心声,同时又可突出品牌或机构的形象。
与推行任何网上推广计划一样,用户必须小心管理帐户,才能达致理想的宣传效果,否则适得其反,令形象受损。例如早前便有政界人士按入由Facebook友人传来、暗藏恶意病毒的推介软件连结,而遭黑客盗名向其数千名Facebook好友传送同一条连结,累及「粉丝」遭受恶意软件攻击的威胁。
用户在建立及管理Facebook专页时,需作多方面的安全考虑。除要留意发布的内容是否可以公开,以及会否招致其他人反感外,还要审慎界定访客的使用权限,包括能否在用户的Facebook专页上发布或回应贴子、限制不雅用语、标注专页上的相片等。另外,用户亦不要随便按下其他Facebook好友传来的推介软件连结,以防受到恶意攻击。
用户若不是亲自打理Facebook专页,应找值得信赖的人士担任专页的管理员。此外亦要做足帐户保安,例如定期更改登入密码,并且建议启用Facebook的「登入许可」双重认证功能,以防黑客入侵帐户,肆意破坏及篡改Facebook内容。
NFC拍卡付款 小心资料被盗
最近香港金融管理局公布,多间本地银行发行的具有拍卡付款功能的信用卡有保安漏洞,引起全城关注。这类感应式信用卡无须使用读卡器或“刷卡”传输数据,只需以近场通讯技术(Near Field Communication,简称NFC)透过短距离无线传送数据,进行付费交易,十分方便,因此近年越来越普及。
不过,利用NFC付款也存在保安风险。据金管局的公布指出,若不法份子利用某些流动应用程式靠近这类感应式信用卡时,就有机会读取持卡人姓名、信用卡号码、有效日期及部分交易纪录等敏感资料。他们取得有关资料后,可随时盗用他人身份,在不须输入验证码的购物网购物图利。
虽然金管局已要求有关银行采取一系列的补救措施,包括停止发行有问题的感应式信用卡、尽快通知受影响的客户,以及安排更换和补发,但持卡人本身亦可以采取方法自保。例如市民可使用附有金属薄膜的卡套/金属卡片盒,或以锡纸制成保护套存放;同时不要将感应式信用卡放在接近钱包外层的间隔。此外,消费者要定期翻查交易纪录,并启用银行提供的交易通知短讯服务。若发现可疑交易,应致电信用卡中心或商户查询。要了解更多NFC的保安方法,可参阅香港电脑保安事故协调中心的《近距离无线通讯(NFC)保安指南》。
危机处理:电脑保安应变小组立即出动
近年大型企业资讯保安事故频生,加上网络攻击的手法层出不穷,企业即使已拥有先进的网络安全设备,亦不能制止系统遭入侵或其他恶意行为攻击。另外,许多企业在日常营运中亦未有充分考虑资讯保安的风险管理,当发生事故时便手忙脚乱,不知从何入手化解危机。
针对这情况,有些机构会成立电脑保安事故应变小组专责处理。当发生事故时,这些应变小组会即时启动,除协助识别和分析事故外,亦会执行适合企业本身的缓解及应对策略,以减低对企业的损害。
一个完善的电脑事故应变小组需具备三方面的能力,包括:
- 组织能力 - 当事故发生时,能在短时间内分流、调查及解决问题,同时要懂得协调内外各方和服务供应商。此外,亦需取得管理层信任执行应变策略;
- 技术操作 - 分析入侵者如何攻击系统和他们的动机,熟悉网络协议、操作系统及服务,以及侦测和收集攻击信息的能力;以及
- 法律知识 - 由于应变小组的工作范围很大机会会触及与网络保安相关的法律问题,以及需与执法机构联系,因此需具备数据保护、滥用电脑、网络监控、收集证据等基本认识。
随着网络攻击介面及模式愈趋多样化,企业及机构应尽快设立电脑保安事故应变小组。想了解更多这方面详情,可与香港电脑保安事故协调中心联络。
采用网络储存设备 保安要正视
为方便存取或分享电子档案,越来越多的企业及个人电脑用户都会采用预载有管理系统的网络储存设备[NAS - Network-attached Storage]代劳。不过,有些用户为了能随时随地存取或分享网络储存设备内的档案,将设备“暴露”于互联网,未有充分考虑当中暗藏的保安风险。
为了进一步了解本港网络储存设备的应用安全情况,香港电脑保安事故协调中心今年8月选取7个较热门的小型网络储存设备品牌,利用互联网服务搜寻器分析。结果发现全港目前约17,500部网络储存设备连接到互联网,而当中大部分更可直接进入设备的预设管理介面通讯埠并找出设备的所属品牌,令黑客有机会由此猜出预设管理介面的登入名称及密码。
若用户在安装设备时未有更改管理介面的预设设定,攻击者可轻易破解密码进入系统,取得管理员帐号,更改网络储存设备的所有设定及安装恶意程式,例如加密勒索软件等,进行不法勾当。
网络储存设备用户若要防范黑客攻击,除要留意使用的设备有否足够的保安设施外,亦要紧记如非必要,切勿将设备向互联网开放存取及开启不必要的附加功能。此外亦要修改预设的网页管理介面通讯埠,并定期更新管理员密码。为免遭加密勒索软件攻击后未能复原档案,设备用户更需定期为档案备份,详情可参阅协调中心的「数据保护指引」。
嵌入式系统遇袭 随时致命
照相机、交通灯、家庭电器、饮品售卖机、磁力共振成像装置,这些设备看似互不相干,其实它们共通之处是皆具备感应、数据收集及通讯功能的嵌入式系统,使用者才能顺利操作。
这些嵌入式系统连接互联网后配合流动技术、云端运算、社交网络及大数据等分析一并使用,便组成“物联网”。例如一名工厂的技术人员只需利用智能手机或平板电脑,便能随时随地监控生产线,提升工作效率;他又可以同样方式操作家中的电器,令生活更便捷。
这些新兴资讯科技的融合虽然为用者提供多姿多采的新体验及更丰富的功能,但同时也令数码及实体世界的分野变得模糊。各种数据,由个人资料、交易资料以至重要系统的环境数据等,都可以在相对开放及不受监管的互联网上传送,大大增加了保安风险。
例如任何系统故障或黑客入侵事故,都会影响有关设备的运作,更有机会波及相连的系统设施,影响日常生活或商业运作,造成沉重经济损失,严重者甚至危及性命。今年7月,有美国网络保安专家便成功示范入侵一架正在行驶中的汽车的智能系统,遥距控制軑盘转向、煞车系统、引擎开关等重要系统。这次示范正好反映针对网络嵌入式系统的攻击再不是无稽之谈。
要有效防范网络黑客入侵嵌入式系统,无论各行各业都必须定期评估其系统,及审视周边环境的网络保安威胁,并经常保持系统更新,以策万全。
官方App商店 暗藏恶意程式
智能手机越来越普及,功能亦越来越多,系统处理能力已可以媲美个人电脑。近年不少黑客亦已着手编写专门针对智能手机的恶意程式,并伪装成一些受欢迎的免费应用程式,放在Play Store或App Store等官方应用程式商店,吸引智能手机用户下载。
由于Play Store的上架程序较宽松,而应用程式的权限过于繁复,没有提供官方设定页面让使用者停用个别应用程式的不需要权限,令恶意软件开发者易于发放恶意程式,攻击Android 系统手机。自2013年7月起,香港电脑保安事故协调中心每月会从香港 Play Store下载约200款热门及新上架的免费应用程式,检测当中的恶意及可疑行为,过去一年便发现63款保安风险较高的应用程式。
至于App Store,程式的上架程序虽然较为严格,亦没有太繁复的应用程式权限需要手机用户自行选择开放与否,并且可以独立停用程式的部份权限,所以在iOS系统手机安装应用程式看起来较为安全。不过由于平台政策不容许第三方的防护程式上架,用户只能依赖系统所提供的保护。
无论使用任何一款作业系统的手机,都须注意所安装的应用程式是否可信,所需的存取权限又是否恰当。此外,恶意程式往往通过手机系统和应用程式漏洞发动攻击,因此必须持续更新系统及应用程式,及切勿将手机解锁(jailbreak或root机),解取手机原有的保安设定,让黑客有机可乘。
Android揭漏洞 勿自动下载MMS
今年7月下旬美国网络安全公司Zimperium透露,在Android作业系统的媒体程式库发现一个名为StageFright的保安漏洞。黑客只需向目标手机发出含有恶意程式的多媒体短讯(MMS),再利用智能手机的自动预载MMS 影片功能,无需用户开启讯息或安装程式,便可令手机自动执行恶意程式码。这消息迅速令全球近10亿的Android手机用户陷入一片恐慌。
Android系统开发商Google随即为自家出品的智能手机提供修补更新,不过其他品牌的Android手机则要等待相关生产商安排更新时间表,始能堵塞漏洞。由于不同品牌手机生产商的系统更新时间表不一,需花上一段时间,才能完成所有修补。部份系统版本较旧或入门级的Android手机更可能无法更新,用户可能需承受极大的保安风险。
作为临时解决方法,Android手机用户可关闭“设定”下“SMS/多媒体信息”部分的“自动撷取”选项。他们亦可考虑启动“设定”内的“阻挡所有不名发送者的短讯”选项;且不要开启来历不明的MMS短讯,以及移除手机网络存取点名称内所有MMS相关设定。这些方法或会令用户接收不到部分重要资讯,因此采用前需先评估本身可承受的风险。
Apps开发商 宜设通讯加密保护
本栏上周介绍由香港电脑保安事故协调中心及专业资讯保安协会进行的「香港流动应用程式交易安全」研究,并为一般用户提供交易安全「贴士」,现续谈对提供应用程式的机构及开发商的启示。
是次研究的130个应用程式根据服务性质分为七类,当中以电子钱包/付费服务及流动银行服务应用程式的通讯加密保安较为良好,87%以上属「安全」及「最安全」;戏院订票及外卖落单服务的交易安全属中等水平;逾半以上金融证劵、网上商店/团购及旅游订位服务应用程式属于「存有漏洞」或没有加密的「严重」级别。研究人员认为,这可能与相关程式开发商对通讯加密保护认识不足,或不了解没有验证数码证书的保安问题有关。
协调中心已把研究发现的34%有保安漏洞的应用程式个案,转交拥有该程式的机构或相关的监管机构跟进,他们的反应亦非常正面,愿意积极跟进或改善。
要堵塞交易安全的漏洞,提供应用程式的机构可要求开发人员或开发商设计程式时,必须采用通讯加密保护,并将此要求纳入招标规格,以及在推出程式前进行独立验证。程式开发商也可主动提出类似建议。
协调中心及专业资讯保安协会亦编制了《流动应用程式(SSL实施)最佳行事指引》,提供应用程式的机构及开发商可从协调中心网站(www.hkcert.org)下载作参考。
Apps无加密保安 黑客乘虚而入
大家都习惯利用流动应用程式及Wi-Fi无线上网处理日常生活的大小事务,例如银行财务、股票交易、以至外卖、订票旅游等,过程中会有大量敏感的交易资料暴露于网络世界中,让网络罪犯有机可乘。
通讯加密及网站验证是进行安全网上交易的两大重要保安措施。若以浏览器进行网上交易,这些保安措施显而易见,例如网址开端所显示的「https」,表示网站有采用加密连线;而有核证机关验证身份的网站,网址列的前端或后端亦会显示完整的「锁头」图示。但若以流动应用程式进行网上交易,则没有这类安全标志提示。
香港电脑保安事故协调中心及专业资讯保安协会最近进行的「香港流动应用程式交易安全」研究,测试了130个本地用户常用的香港网上交易服务流动应用程式,结果发现34%应用程式没有采用通讯加密技术(Secure Lockets Layer,SSL),或没有验证数码证书,情况令人关注。
若流动应用程式没有采用足够的通讯加密保安措施,黑客可设立虚假的Wi-Fi存取点,并利用伪冒数码证书,中途拦截或修改传输中的数据作不法勾当,令用户资料外泄或蒙受经济损失。
要进行安全的网上交易,切勿透过公共Wi-Fi网络传输敏感资料。若对应用程式的安全存疑,可采用能显示网站数码证书真伪的流动浏览器,或利用有加密功能的流动数据网络进行交易;并且只在官方网站下载应用程式,更不要在流动设备上安装来历不明的软件或数码证书。
“官方机构”来电 小心核查防骗
虽然近期电话骗案的数字稍为回落,但市民不幸受骗而引致损失的报导,仍时有所闻。报导指骗徒会利用电脑通讯软件结合自动拨号程式,短时间内打出大量网络电话,电脑再透过互联网连结手机应用程式,假冒内地或本港不同机构的电话,再配合事先准备好的假冒官方机关网站行骗。
香港电脑保安事故协调中心最近亦收到两个相关查询,并第一时间为谘询人提供处理建议,以及联络网络服务供应商,停止该假网站的对外运作。
互联网拉近了世界各地的距离,应用也越来越广,甚至可提供通话服务。骗徒便看准一些对电讯公司监管不足的国家,利用当地电讯商拨出假冒电话号码的拨号连线。由于电讯商之间是互信的,所以打进香港的电话会显示当地电讯商传出的电话号码。
一般普罗大众根本无法辨别所显示的来电的真确性,因此只能依赖电讯供应商提供更好的识别方法,例如早前电讯管理局提议当境外致电到本地时的来电电话号码加入识别附号,增加使用者确认来电者的真伪。
至于假冒官方机关的网站,其实只要使用网络搜寻器搜寻骗徒所说的机构名称,应不难找到相关机构的官方网页网址作对比。若存有疑问,亦可致电该机构查询,以策万全。
恶意程式加强版 巧避保安侦测
不少中小企印象中认为Linux 作业系统成本低廉、较少受恶意软件针对,因此租用或购置有关伺服器以分享档案或设立网站。然而,跨国资讯保安公司ESET今年4月底宣布发现一款专门针对Linux系统,并已活跃至少五年的恶意软件Mumblehard。
据了解,用户的伺服器感染该恶意软件后,会暗中联系其指挥中心,并接受指示发出大量垃圾邮件。若是电邮伺服器,则可能会被其他电邮伺服器列入黑名单,继而无法正常传送邮件,严重影响公务运作。更有甚者,用户的伺服器或会感染其他恶意软件,而被用作进行非法活动,例如参与网站攻击等。据香港电脑保安事故协调中心获得的资料,全球有逾3,000部Linux伺服器感染了Mumblehard恶意软件,其中约1%来自香港。
尤如其他作业平台或装置一样,若不做足相关保安措施,Linux系统都会轻易成为不法份子的猎物,用户可能因而蒙受金钱或其他商业利益损失,甚至在不知情下参与网上非法活动。因此,对于一般的Linux 伺服器,保持系统及软件更新永远重要,而需对外开放的伺服器则要使用进阶的资讯保安方案,例如次世代防火墙(Next-Generation Firewall)、入侵预防系统(Intrusion Prevention System)。若伺服器设有内容管理系统,或是由外聘的设计公司编写网页,用户必须确保系统经常更新,以及为编写的网页进行漏洞扫描并修复程式漏洞才可上线,防止不法份子透过网页程式漏洞入侵伺服器。
恶意程式加强版 巧避保安侦测
为侦查及了解最新的恶意程式,资讯保安研究人员普遍会采用名为“沙盘”的安全机制,在隔离的模拟作业环境下,执行恶意程式,以作分析。此举可避免恶意程式有机会破坏其他系统,影响编制新的保安软件定义。
然而,据香港电脑保安事故协调中心发表的最新一季《香港保安观察报告》,两款能侦测沙盘兼针对网上银行的变种恶意程式Tinba及Dyre,竟挤身本地十大僵尸网络排行榜,分别排第七及第九位,情况令人关注。
经漏洞入侵工具及垃圾电邮散播的Tinba恶意程式于2012年首次于土耳其发现,它会趁电脑用户与目标银行进行连线时,暗中截取受害者的登入凭据,再将资料传送至僵尸网络控制中心。为免在沙盘上败露踪影,它会先检查用户的滑鼠位置和现用视窗,若发现长期不变更,便不会执行主程式;此外亦会侦测电脑硬盘的大小,若容量太少,该环境很可能是个沙盘,程式便会自动关闭。
Dyre恶意程式则会监察被入侵用户的网站浏览纪录,然后不法份子会利用假网页及冒充“获授权人士”,哄骗受害者的重要资讯,再进行虚假交易。当进行入侵时,该程式会检查电脑处理器的核心数目。若被入侵的电脑仅有一颗核心,程式会马上关闭,这是由于大部份沙盘只会模拟单核心处理器,而现今电脑处理器则是多核心,因此这反侦测技巧虽然简单但却非常奏效。
面对恶意程式越来越难于被侦测,电脑用户除了要做好基本的保安措施外,亦应主动参与僵尸网络清除行动,确保自己电脑没有被恶意程式感染及控制,详情可参阅协调中心的《僵尸网络侦测及清理》网上指引。
视窗伺服器2003停支援 须尽快升级
继视窗XP后,微软今年7月14日起亦停止支援企业过往常用作储存网站伺服器及数据中心伺服器的视窗伺服器2003作业系统,不再提供修补程式。企业若仍运行有关作业系统,其伺服器将不获安全防护而极易遭受外界攻击。
综观以往经验,网络不法份子一般会从新版本作业系统的修补程式入手,从中找出攻击旧版本系统漏洞的方法,然后入侵他人电脑。据了解,不少加密勒索软件事故的受害者,正正因为使用了没有官方支援服务的作业系统而中伏。
部分仍使用视窗伺服器2003的企业及个人用户或会在官方终止支援后,选择采用第三者提供的修补程式,以延长系统的安全使用期。然而,这些程式的开发者对系统内部结构的认知,以及处理各种环境和应用的经验,始终不及官方的全面,程式的可用性及兼容性皆存疑。他们亦没有任何合约义务,用户难以问责。更有甚者,黑客或可藉机以暗藏木马程式的伪冒修补程式作招徕,令用户在不知底蕴下安装恶意软件,最终得不偿失。
香港电脑保安事故协调中心呼吁仍使用视窗伺服器2003或一些旧有应用程式的本地企业,将系统尽快升级或转换至其他操作系统,这才是确保电脑继续安全运作的唯一有效方法。
免费保安工具 防卫网络大门
香港电脑保安事故协调中心经常收到市民及企业查询,市面有哪些既免费又有效的电脑及网络保安工具。以下介绍一些实用的免费保安资源及工具给大家作参考。
在防恶意程式软件方面,除了有网络保安公司提供最新保安软件的试用版供用户免费下载外,一些具公信力的独立保安软件测试组织,例如AV-TEST、AV-Comparatives等,会定期测试市面上的保安软件,并从保护力、性能表现和可用性等多方面评分,然后公开测试结果,方便用户选购适合个人或公司保安需要的软件。
此外,网上也有一些免费在线保安侦测工具,例如Google开发的VirusTotal恶意程式扫瞄服务,可即时分析可疑档案、手机软件和网址,有助快速侦测病毒、蠕虫、特洛伊木马及其他恶意软件。国际网络保安机构NoVirusThanks设立的恶意网站搜寻平台URLVoid,则透过不同的搜寻引擎黑名单(search engine blacklists)和在线声誉管理(online reputation management)工具,协助大家识别涉及恶意软件事件、欺诈活动和钓鱼网站的网址。
不过用户使用时需注意,这些免费服务大多利用已知的恶意软件的特征码作侦测,至于针对还没有修补程式的保安漏洞发动的攻击,或新爆发的网络攻击则未必奏效,因此只能视作辅助保安工具。虽然这些保安工具可提供防御大门的作用,但电脑用户仍需时刻保持警觉,当收到可疑的档案和网址时,切勿点击开启或输入个人资料;并要定期更新作业系统、应用软件和保安软件的资料库,方为上策。更多保安工具的资讯,可参阅协调中心网站(www.hkcert.org)的“保安工具”专页。
Ramnit僵尸网络 连根拔起
今年二月,欧洲网络犯罪中心(EC3)联合多个国家的执法部门及网络保安公司发起名为“Operation Rubly”的联合行动,瓦解一个名为Ramnit的僵尸网络,捣破它操控他人电脑以窃取银行网站登入资料及电脑系统敏感资料档案的不法行为。
Ramnit是一种针对视窗系统的恶意程式,透过感染硬碟上的exe、dll、htm和html档案来迅速自我繁殖,于2010年被首次发现。经过多年的演变,现在已能透过多种方法进行攻击,包括利用被入侵网站和社交媒体网页托管软件的漏洞攻击组件、透过公共FTP伺服器分发恶意软件及捆绑式安装来历不明的闲置应用程式。根据国际网络保安公司Symantec估计,全球逾320万部电脑已被Ramnit恶意程式感染。
香港电脑保安事故协调中心虽然没有参与是次联合行动,但亦从行动成员收到本港电脑被Ramnit僵尸网络感染的报告,约有150个本港IP地址曾连接至由海外资讯保安研究人员设立的模拟僵尸网络指挥控制中心伺服器(sinkhole),反映使用这些IP地址进行连线的电脑或已感染Ramnit恶意程式,并成为其僵尸网络的一分子。协调中心获得有关名单后,已立即通知涉及的本地互联网服务供应商,转告受感染的用户作补救行动。
电脑用户可为电脑执行完整扫描,以确定其电脑有否被Ramnit恶意程式感染,详情可参考协调中心的《僵尸网络侦测及清理》网上指引。另外,由于受害者的银行登入资料或已被窃取,因此建议在清除恶意程式后,立即变更登入密码。
转卖手机前 资料须“永久”清除
大家在卖掉、转赠或丢弃智能手机前,都会使用机内的“恢复原厂设定”(Factory Reset)功能,删除手机及外置记忆卡内的所有个人资料、图档及应用程式,防止数据外泄。但英国剑桥大学最近进行的研究指出,这项功能存在应用缺陷,不法份子仍然可以偷取Android手机用户的敏感资料。
该研究测试了五家公司共21款热门二手Android手机,系统版本由v2.3.x至v4.3,结果发现即使完成“恢复原厂设定”程序,仍然能够读取部分资料,例如帐户资料、曾安装的手机程式、联络人资料、浏览记录、Wi-Fi设定、多媒体数据、通讯内容等。研究人员认为这可能是手机生产商没有妥善应用清除指令,因此存有敏感资料的数据分区未能完全删除。据估计高达5亿部Android手机存在这安全漏洞,情况令人忧虑。
要防止敏感资料外泄,Android手机用户应时常更新作业系统,并启动装置内的“安全”设定的加密手机功能[Full Disk Encryption (FDE)],以及采用高强度的密码,以增加黑客破解手机的难度。若要清除手机数据,可利用永久数据删除工具,在电脑上覆写及清除外置记忆卡内的数据,详情可参考香港电脑保安事故协调中心网站(www.hkcert.org)内的“保安工具”专页。
网购寻着数 小心假卖家陷阱
上文介绍网上骗徒会利用官方网店的讨论区及意见栏布下钓鱼圈套,引君入瓮。其实针对网购用户的骗案手法,也经常涉及其他通讯渠道。
不少网购用户为取得更多产品资讯或「着数」优惠,会利用官方即时通讯程式与卖家直接联络。骗徒便会趁机假扮卖家与用户联络,以折扣优惠及送赠品作饵,要求对方登入其在即时通讯程式上所提供的超连结。若用户不为意,便会堕进钓鱼陷阱,蒙受金钱损失或帐号被盗用之苦。
以非官方即时通讯程式进行交易是另一种常见的网购欺骗手法。骗徒通常会使用跟网店相似的帐户名称,以非官方即时通讯程式联络买家,要求对方将交易金额存入指定银行户口,令买家货财两失。更有什者,黑客在买家的电脑暗中植入恶意软件,让不法之徒掌握其交易资料及网购喜好,再为用户度身订做骗局行骗。
要避免成为这类骗案的受害者,网购用户的资讯保安「基本功」不能或缺。例如为进行网购的电脑和智能装置安装防毒软件,定期更新病毒码,及紧记切勿安装不明来历的软件或登入可疑网站等。此外,用户应只透过官方网店购物及使用官方即时通讯程式进行交易,并需留意网店提供的最新防诈骗贴士。大家最重要记住「便宜莫贪」这四个字,才不会因小失大。
常见的网购保安陷阱 (上)
今时今日,网上购物已经非常普遍,由生㓉的必需品至奢侈品都可以在各大网站订购。网购固然能让消费者可以足不出户地享受购物的乐趣,但同时也为不法分子制造机会,进行各种网上罪行,例如最近便有市民因网购而误堕钓鱼圈套,被骗徒从其内地银行户口盗走43万多元人民币。
针对网购用户的网络攻击近年层出不穷,本栏将一连两篇介绍这方面的常见攻击技俩及防范方法,以提升网购用户的保安意识。
首先,很多网购平台会设有讨论区或意见栏让用户就产品抒发己见,不法分子便会利用消费者「先看评论后购买」的习惯来进行钓鱼攻击。他们会先在网上评论某产品,再讹称在购买后始发现有其他网店正以更便宜的价格发售该产品,并提供超连结或二维码(QR Code),方便其他消费者前往购买。若用户信以为真,进入有关超连结或扫描二维码,便会被带到一个钓鱼网站,不法分子则乘机窃取用户的信用卡或支付帐号、密码等资料。
另外,该钓鱼网站甚至会以不同理由诱骗网购用户安装一些不明来历的软件,例如提出只有安装A软件才能以优惠价购买B产品等。若用户不虞有诈,其电脑及智能手机可能会感染恶意软件,沦为僵尸网络的一份子。
因此网购用户不应盲目相信网站讨论区或意见栏上的留言。若发现一些可疑留言,要立刻通知讨论区或意见栏负责人,第一时间处理,以免其他用户中招。
保安政策知会员工增客户信心
本栏早前简单介绍了制定基本电脑保安政策的规管范围。既然有政策,便需认真落实和执行,绝对不能束之高阁,直至进行稽核或发生事故后,方才让它重见天日。
企业一旦拟定电脑保安政策后,要先让使用者确认内容。例如很多公司会将政策文件上载至内联网网站,及以电邮方式把政策复本送至各员工。员工须签署声明,确认已阅读政策并了解内容,该声明亦会存入其个人档案。至于新入职员工,电脑保安政策则可纳入其迎新文件内。
若政策有所修订或更新,公司需透过电邮、内联网网站、文件传阅等方式发布;同时亦要为员工定期举行内部讲座,解释政策细节,令员工清楚知道政策内容及在何处查阅有关文件。有关档案能证明公司已尽力把政策传达给全体员工。
无可否认,执行电脑保安政策在技术上有一定困难,因此公司可引入企业网络监控系统,以便更有效地管理员工在公司网络上进行的活动;亦可使用代理伺服器,防止员工透过公司网络浏览不良网站。
一间公司如何制定和执行电脑保安政策,需视乎本身的企业文化及有赖公司管理层的支持。若能让员工充分明白政策内容、通报机制和罚则并遵从,将有助提高公司的资讯保安,增加客户信心。
电脑保安4招 企业防网络攻击
随着员工「自携设备」(Bring-Your-Own-Device,简称BYOD)已成大势,企业亦意识到要加强资讯保安,以防范层出不穷的网络威胁。
列使用指引 限远端存取
不过,他们很多时只会着眼投资于保安软件方案,而忽略为公司制定一套完善的电脑保安政策。
基本的电脑保安政策一般包含电脑使用、远端存取、使用者帐户和密码及防火墙四方面,现简介如下:
- 电脑使用政策会清楚列明可在公司网络或系统内进行的活动及应用指引,例如电邮使用、免费软件和硬件使用、公司数据保安和自携设备使用等。公司更可特别提醒员工,一切有关活动皆受到监察。
- 远端存取政策则需列出员工进行远端存取活动的各种责任,包括应用公司资讯时需注意的事项、公司系统的远端使用权限和保安措施等。公司也可规定员工只能使用公司提供的电脑进行远端存取。
管理帐户密码 设定防火墙
- 使用者帐户和密码政策,顾名思义就是关于密码设定,例如密码的最小长度,应包含的字元和更改频率等。这政策亦可包括对管理使用者帐户的建议,例如申请新帐户和帐户权限的审批程序。
- 最后,防火墙政策会介绍设定防火墙规则的守则和审批程序。例如在作任何改动前,须先经过资讯保安管理人员研究有关改变对保安架构的影响,再得到行政人员的审批,才可实行。
「加密勒索软件」一中招自救法(Chinese only)
上文介绍了「加密勒索软件」攻击在本港的最新情况及一些基本的预防措施,但若网络用户不幸「中招」,是否只能无奈地向恶势力低头,缴付赎金以换取解密密钥?其实,也不是完全没有其他拯救方法。
电脑系统一旦落入加密勒索软件的陷阱,用户首先要立即将受攻击的电脑离线,以防止恶意程式入侵内联网络档案;跟着利用保安软件为电脑进行完整扫描,并清除恶意程式。若在感染加密勒索软件之前已为系统或数据建立备份,用户便可即时复原系统和数据。
一般来说,如没有备份系统,便无法复原被强行加密的档案。但在以下两个特殊情况下,用户仍有机会复原档案:
- 若感染较早期的加密勒索软件,用户可尝试透过磁碟区阴影复制服务复原档案。不过,新一代的加密勒索软件都会把磁碟区阴影删除,让档案无法透过此途径复原。
- 「白武士」提供解密密钥:部份资讯保安机构当成功捣破加密勒索软件的指令及控制伺服器,及找获解密密钥后,会将之放在特设平台上。 「中招」用户可上载被加密的档案至该平台,系统会尝试寻找适合的解密密钥以复原档案。此外,部分变种的加密勒索软件采用较弱的对称加密算法,资讯保安专家可透过逆向工程分析重建解密密钥,向用户发放解密程式码。
要防范于未然,香港电脑保安事故协调中心再次提醒互联网用户提高警觉,为重要系统及软件备份,免令黑客得逞。
「加密勒索软件」事故上升网络安全响警号
今年五月下旬发生了一宗耐人寻味的网络攻击事件。一名自称是加密勒索软件Locker的幕后主脑,在软件启动后的第五天,突然在网上撰文,宣称是次袭击纯属意外,并立即无条件提供解密密钥给遭勒索的网络用户,以解封被强行加密的电脑档案,又承诺于6月2日自动解密档案。该承诺据说亦如期兑现。
事件虽然戏剧性收场,但却反映加密勒索软件依然令人束手无策,而网络罪犯采用的技术亦日趋隐蔽,难以侦测。
加密勒索软件事故在本港亦趋恶化。香港电脑保安事故协调中心今年首五个月已收到逾30宗的相关求助个案,跟去年下半年7宗相比,情况已响起警号。同时,涉及的加密勒索软件亦非常广泛,包括CyptoLocker、CryptoDefense、CyptoWall及CTB-Locker等。由于加密勒索软件严重影响中小企及机构的业务运作,造成庞大经济损失,因此必须加强防范。
互联网用户应留意可疑电邮,不要随便打开附件,特别是压缩档(zip)或执行档(exe)。用户亦需要确保电脑系统安全,例如安装保安程式及更新保安定义,并要定期更新作业系统及软件,修补保安漏洞。
此外,用户必须定时备份重要档案,并将备份存放在安全、免受恶意程式影响的地方。若以云端备份,应采用提供版本纪录(version history)功能的云端服务,若不幸「中招」,用户也可轻易复原档案,不受勒索威胁。
忽视SSL保安漏洞 网站双重损失
去年10月,Google发表了一个令全球数以亿计的网站负责人及网上服务用户震惊的消息:用作加密通讯及协助鉴定网站身份的安全通讯协定技术(Secure Lockets Layer,SSL),其v3.0版本出现严重的保安漏洞。黑客可利用该保安漏洞破解网站伺服器及用户浏览器之间的加密连线,窃取甚至修改传输中的敏感数据和交易资料。
随着SSL v3.0保安漏洞曝光,使用此安全协定进行加密连线已不再安全。然而,国际网络保安研究机构Trustworthy Internet Movement每月进行的安全通讯协定使用调查却显示,现时全球最多人浏览的15万个网站当中,仍有四成支援SSL v3.0,反映不少网站负责人忽视这保安漏洞的影响。
对企业来说,若客户个人资料不幸被盗,除引致金钱损失外,更会打击客户对网站的信心,影响企业的长远发展。因此网站负责人必须尽快采取措施加强保障资料传输,包括转用新一代加密连线技术- 传输层安全协议(Transport Layer Security,TLS),并停止TLS向下支援旧版本SSL的功能。
香港电脑保安事故协调中心网站(www.hkcert.org)亦从今年6月1日起停止支援SSL v3.0。电脑用户想继续安全地浏览网站内容,需使用能支援TLS v1.0版本或以上安全协定的浏览器,例如Internet Explorer 11、Chrome 40及FireFox v35或之后的新版本等。
流动即时通讯程式保安 - 企业篇
上文介绍了个人用户在使用流动即时通讯程式时需要注意的地方,以及可采用的资讯保安措施。企业方面,流动即时通讯程式在对内及对外的沟通上,应用范围也十分广泛,例如联络客户和工作伙伴、提供顾客支援、接收即时知会、管理和协调项目等。
由于这种通讯当中涉及不少企业的重要资料,企业员工若不当地使用流动即时通讯程式,也会大大增加公司要承受的保安、财务、法律等风险,令企业蒙受重大损失。因此企业必须规管这类电子通讯模式在工作上的应用,并贯彻执行。
企业首先要制定流动即时通讯系统的使用守则,例如员工只能用指定的即时通讯程式;不能利用即时通讯传送公司的敏感资料和内部文件、发表粗俗或诽谤性的言论;及员工的流动装置需设定萤幕锁等。企业还需就违反规定订立明确的罚则,让员工明白这些守则并非「冇牙老虎」。
此外企业应采用能支援自设讯息伺服器的流动即时通讯程式,以确保讯息的安全传输及储存,还要定期为通讯内容及纪录备份及离线储存,以减低资料外泄的风险。企业亦可制定「自携设备上班」(BYOD - Bring Your Own Device)管理方案,以确保员工时刻遵守公司的政策和设定。
最后,企业需定期为员工提供资讯保安培训,协助他们了解使用即时通讯程式的保安威胁及公司政策,有助提升资讯安全意识,减低发生严重保安事故的风险。
流动即时通讯程式保安 - 个人篇
随着智能手机普及化,大家单纯以「讲电话」的方式沟通反而减少,而兼具语音、图文及短片等多元化传讯功能的WhatsApp、LINE或WeChat等流动即时通讯程式则大行其道。
不论你的手机使用哪个操作系统,只要下载程式及进行简单登记,便可利用流动装置与亲友即时通讯,例如收发讯息、网页连结、相片或其他类型档案等十分方便。不过这些即时通讯程式的资讯保安风险也不容忽视,例如钓鱼讯息或连结、散播恶意程式、敏感资料外泄、帐户遭盗用及软件存在漏洞等。
美国电子前线基金会(Electronic Frontier Foundation)去年曾经测试39款即时通讯程式,测试范围包括在传送讯息时有否加密、服务供应商能否读取讯息、用户能否辨识对方身分、有否清楚说明加密设计及程式码是否可供独立审核等。结果发现仅六款能够通过全部安全测试,对用户的保障亮起红灯。
因此,大家在安装流动即时通讯程式前,需充分了解其保安功能,例如讯息加密、私隐设定等,然后按照需要进行适当设定。另外,还要留意不明来历讯息的连结和附件,以及切勿打开可疑的网页和档案。
流动设备用户亦要避免利用即时通讯程式传送个人及敏感资料。若程式有提供桌上或网页版登入功能,用户需妥善管理帐号,在每次使用后,应即时登出,以及避免使用记住帐号密码功能。此外,用户应为流动即时通讯程式保持更新,以确保程式的稳定性及修补已知的保安漏洞。
善用网络保安资讯
利用流动设备、个人电脑或企业的资讯科技基础设施连接至互联网,已成了大家日常生活的一部分,但若保安不足,便有机会成为网络攻击的目标,甚至被不法份子利用作网上攻击或犯罪活动的工具。政府资讯科技总监办公室及香港警务处已推出两个全新资讯入门平台,加强普罗大众的网络保安意识,提防日趋猖獗的网上攻击及相关罪案。
由政府资讯科技总监办公室设立的「网络安全资讯站」,内容包括供电脑用户、中小企和学校参考的实用资讯保安建议及按部就班的指引;还可为电脑、流动通讯设备及网站进行安全检测,并传授防御网络攻击贴士和技巧。此外更有最新的资讯保安公众活动消息、专家之言,以及由专业机构提供的资讯保安故事。
「童叟无欺」则是香港警务处建立的综合资讯平台,透过其流动应用程式、YouTube频道和网页,发放预防各种网上诈骗的信息,例如电子邮件诈骗、加密勒索软件、社交媒体的诈骗和网上裸聊敲诈等。
除浏览上述网站外,大家亦可随时登入香港电脑保安事故协调中心网站,以获得最新的网络保安资讯和防范建议;若发生重大的网络威胁或保安漏洞,中心更会发出保安警报和与相关的机构协调及协作保安措施。
利用代理伺服器的钓鱼骗案
钓鱼攻击一直是网络罪犯偷取敏感资料的常用技俩,攻击手法亦层出不穷。香港电脑保安事故协调中心最近发现有网络罪犯利用「代理伺服器」(Proxy Server)作掩饰,以妨碍遭入侵的电脑用户及调查人员找出钓鱼网站。
代理伺服器是互联网用户和网站之间的中间人,一般被用作暂存曾经浏览的网站内容,以加快回应;代理伺服器一般亦用于办公室及校园网络内以禁止浏览不良网站。
协调中心发现一些浏览器的「自动代理伺服器设定」因用户的电脑感染恶意软件而被骑劫,令网络罪犯可集中更改代理伺服器设定,并自动传到受感染的电脑。当受害者浏览网上银行或电邮服务网站时,尽管输入了正确的网址,有问题的代理伺服器就会把用户带到钓鱼网站,因此比一般钓鱼网站更难防范,所以安装防毒软件、保持操作系统及浏览器更新是最佳的预防措施。
此外电脑用户切勿在浏览器设定来历不明的代理伺服器作「翻墙」之用,因为此举会「引狼入室」,让黑客借着骑劫代理伺服器,而将该电脑连接到恶意网站,损失难以估计。
本港僵尸电脑新趋势
本栏之前引述了香港电脑保安事故协调中心发表的2014年第四季香港保安观察报告,介绍本地钓鱼网站攻击的最新状况,现续谈僵尸电脑的趋势。报告显示香港的「隐形僵尸」电脑轻微减少了2.8%至6,172部,感染Conficker、Zeus及ZeroAccess近年三大僵尸网络的本地电脑更连续两季下跌。
然而,被Pushdo僵尸网络控制的本港电脑却急升544%至406部。 Pushdo恶意程式于2007年被首次发现,主要用于发送垃圾邮件、发动分散式阻断服务攻击,及下载其他针对银行网站的恶意程式,例如Zeus等。它一直是全球最大的僵尸网络之一,亦曾经在本港非常活跃,其后渐趋淡静。近期有关个案数字急升,估计与去年九月发现的新版本Pushdo僵尸网络有关,虽然资讯保安研究人员并未发现它的新功能及威胁,但该新版本有可能被黑客改装成为攻击工具。
要避免成为僵尸网络的一分子,电脑用户必须安装及定期更新最新修补程式,还要使用有效的保安防护工具及设定强度高的登入密码,并切勿采用盗版及没有安全更新的作业系统、多媒体档案及软件,详情可参考协调中心的《僵尸网络侦测及清理》网上指引。
严防黑客 小心.tk及.pw顶级域名
黑客入侵电脑的手法层出不穷,往往令受害的电脑用户在不知不觉中蒙受损失。利用隐形「僵尸」电脑发动的网络攻击,便是当中的明显例子。
为了提高公众对本港电脑入侵状况的「能见度」,香港电脑保安事故协调中心每季发表香港保安观察报告,让公众掌握保安风险,改善资讯保安策略。
在2014年第四季的报告中,整体网络安全事件的总数大幅减少,较之前一季下跌31%,更是自2013年第三季以来首次回落。
虽然这消息可喜可贺,但报告亦同时指出本地电脑被以.tk作为顶级域名的钓鱼网站入侵的事件大幅增加272%,主要是针对淘宝网或支付宝意图盗取资料及款项。
.tk是纽西兰属地托克劳(Tokelau)的顶级域名,但由于该域名可免费供公众及小型企业使用,所以实际上世界各地的电脑用户都可申请应用。正因如此,这顶级域名便经常被用作发送垃圾邮件及寄存钓鱼网站,根据国际反网络钓鱼工作组报告,在2013年下半年的恶意域名登记当中,22%使用了.tk域名。
另一个顶级域名.pw 遭滥用的情况亦有显著增加。.pw原为太平洋岛国帛琉(Palau)的顶级域名,但后来也跟.tk一样,以“Professional Web”之名,开放给所有人使用。.pw也早已因被用作发放垃圾邮件而声名狼藉,而最近滥用该域名作恶意程式寄存的事件亦有恶化趋势。因此,大家要加倍留意附有这两个顶级域名的网络资讯。
Android「安全模式」 恶意程式克星
大家有没有试过为移动设备安装程式后即「死机」,或不能正常运作?很不幸你的设备可能感染了恶意程式。
一般来说,只需透过解除安装,就能把它删除。可是,一些恶意程式会在移动设备启动后自动执行,令用户不能解除安装任何应用程式,最终可能要被迫重置系统,恢复原厂设定,才能回复正常。若用户没有为手机或平板电脑备份,设备内的所有资料更加会烟消云散。
针对此问题,Android从版本4.1起,加入「安全模式(Safe Mode) 」。以这模式进入,系统不会载入第三方应用程式,设备可以正常启动。这方法最大的好处是可给予用户进行系统检测、修复错误,或解除安装有问题的应用程式,而同时保留设备内的任何应用程式和个人数据。
虽然「安全模式」在Android流动设备已存在好一段时间,但不少用户对此功能仍感陌生。此外不同牌子或型号的Android移动设备的「安全模式」进入方法都有差别,因此建议用户请教销售人员,或到有关官方网站搜寻对应的操作。
归根究底,要避免误装有问题的应用程式,需格外留神,小心选择,及切勿下载非官方商店及来历不明的程式。用户亦可参考香港电脑保安事故协调中心(www.hkcert.org)每月发布的《香港地区Google Play 商店应用程式保安风险报告》,掌握最新的恶意及可疑行为程式资讯。
流动设备保安工具
去年香港电脑保安事故协调中心处理的保安事故当中,有154宗是涉及智能手机及平板电脑等流动设备,比2013年大幅上升3.4倍。随着针对流动设备的网络攻击日趋猖獗,相关的保安工具也相继推出。本文将介绍各种保安工具的基本功能,以便读者选择。适用于流动设备的保安工具大致上可分为五类功能,包括:
- 防恶意程式:提供实时保护,例如在安装程式时,能进行即时扫描;亦可定时或按需要扫描程式或档案;以及利用「私隐顾问」功能列出已装设的应用程式的潜在私隐问题。
- 网络保护:能提供安全浏览,以防止恶意网站和钓鱼网站;以及家长控制浏览,避免儿童及青少年接触不当内容。
- 过滤或监控保护:提供电话号码或短讯过滤;以及通话、短讯、数据使用量监控。
- 数据备份:除备份个人资料,例如联络人名单、短讯、通话纪录等之外,还能为应用程式及云端作备份。
- 防盗保安:可透过即时通讯或产品供应商的网页系统,找寻遗失设备位置或遥距删除设备内的个人资讯。
要避免恶意软件入侵流动设备,除安装保安工具并定时更新修补程式外,还要谨记切勿开启或安装来歷不明的软件或应用程式。无论是否从官方商店下载软件,亦需注意它们要求的权限是否合理。更多流动设备保安工具的资讯,可参阅协调中心网站(www.hkcert.org)内的「手机保安工具」专页。
网站广告恶意程式
中国数据研究机构易观智库最近指出,去年内地互联网广告市场的规模预计高达1565.3亿元人民币,较2013年增长56%。
庞大的互联网广告市场吸引不少大型入门或免费内容网站在网页嵌入广告以赚取利润。不法分子也瞄准这些网站可以接触大量访客的机会,暗中将恶意程式渗入广告内容,从而入侵访客电脑,进行非法勾当。近期,美国资讯保安公司Malwarebytes便发现多个常用的入门网站,例如Yahoo!、AOL、Match.com等,曾被植入广告恶意程式,估计每个月受影响的网站访客多达1.5亿名。
不法分子主要透过3种方法将恶意程式植入网站内的广告,包括:(1)攻击广告内容供应商伺服器的保安漏洞,入侵后将广告内容掉包;(2)将恶意广告交到广告供应商的交换平台上,利用复杂的自动分发方式将恶意广告刊登在採用这个平台的网站,令执法机构难以追查;以及(3)伪装成正当机构直接购买网站广告栏位,并在临近刊登时才购买,以绕过内容检测程序。
广告恶意程式会利用网页浏览器、Adobe Flash等软件的漏洞入侵访客的电脑,因此互联网用户必须定期更新这些软件及安装保安防护软件。有关预防恶意程式的保安资讯,可参阅香港电脑保安事故协调中心的《恶意程式的防御指引》。
「比特币」的保安挑战(下)
本栏较早前曾探讨以比特币作交易及相关交易平台的资讯保安风险。其实针对比特币的价值不断攀升及匿名交易的特性,不法分子亦特别设计针对比特币操作的恶意程式。恶意程式大致可分成三类,包括:
- 比特币挖矿程式:由于生产比特币需用上大量电脑运算资源,以俗称"挖矿"方式产生,因此有不法分子会利用恶意程式,透过控制他人电脑或流动设备为其挖矿牟利。
- 从比特币钱包盗取比特币:恶意程式会透过盗取用户储存比特币私密金钥的电子钱包档案,以获得比特币交易控制权;又或者监视受害者输入比特币收款地址,再暗中掉包成恶意程式作者的收款地址。
- 作为支付加密勒索软件赎金的方式:不法分子将用户的电脑或流动设备内的档案强行加密后,再利用比特币的匿名交易模式,要求受害者以比特币缴交赎金换取解密密钥,令执法机构难以追查收款人的身份。
若要以比特币作交易,须小心核实收款地址;更要避免一个电子钱包储存大量比特币,及定期备份至少一个安全的离线电子钱包档案。此外要为使用电子钱包的电脑及流动设备安装保安软件,并保持操作系统和软件更新,以减低感染恶意程式的风险。
「比特币」的保安挑战(上)
最近本港有「比特币(Bitcoin)」虚拟货币交易平台突然停止运作,令投资了这种虚拟货币的人无法提取及买卖户口内的比特币,最终要报警求助。事件暴露了利用比特币作交易的风险。
事实上,虽然部分机构接受比特币支付商品和服务交易,以至实体货币兑换等,但本港金融监管机构亦曾屡次提醒市民,比特币并非法定货币,只是于虚拟世界创造的「商品」,其价值没有实物或发行人支持,加上价格波幅非常大,不能视作支付媒介或电子货币。从资讯保安角度分析,以比特币作交易亦有颇高风险。因为它是一种毋须经银行及中介机构发行,以分散形式管理的加密虚拟货币系统,交易都是以匿名进行,因此交易资料并不列出买卖双方的身份,令交易难以追查。网上罪犯借着入侵这虚拟货币交易平台,从事诈骗、偷窃、勒索等罪行。
此外,随着比特币交易愈来愈多,提供比特币买卖服务的交易平台涌现。近年这些交易平台接二连三发生被黑客入侵的保安事故,当中以去年2月全球最大比特币交易平台Mt. Gox的窃案最为瞩目。黑客借入侵其系统漏洞盗取市值约5亿美元的比特币,最后导致该平台申请清盘。这些虚拟货币交易平台的系统保安,实在不容忽视。
加强家居网络设备安全
经家居网络连接到互联网的设备愈来愈多,如网络摄录机、电视机顶盒、网络储存设备等,若因使用上的需要或设定上的错误而将保安漏洞暴露于互联网,不但有机会被网络攻击者利用作为网络攻击的武器,更有可能要负上法律责任。
香港电脑保安事故协调中心去年底便接获一间本地互联网服务供应商报告,怀疑其网络内的一些家居宽频路由器被入侵,并用作发动分散式阻断服务攻击,被黑客控制的路由器会针对目标网站发出大量查询,意图耗尽目标网站的域名系统(Domain Name System,简称DNS)伺服器资源,令网站服务瘫痪而无法回应正常查询。这些路由器亦会对所连接的网络服务供应商的DNS伺服器发出大量查询,使供应商的其他用户也无法使用互联网服务。
要妥善保护家居网络设备,除可关闭设备的「远端管理」功能以尽量减少暴露于互联网外,还要采用强度高的密码及更改设备的预设设定。用户切记只安装由设备制造商及可靠来源(例如产品支援网站)所提供的最新韧体版本及软件。大家亦可使用协调中心网站(www.hkcert.org)提供的方法,测试家居网络设备是否暴露于互联网。
加强网络储存设备保安
香港电脑保安事故协调中心过去曾介绍过加密勒索软件攻击电脑和某品牌网络储存设备(Network-attached Storage,简称NAS)的手法,亦预测其他网络设备也不能幸免,这个预言不幸应验。
在过去大半年,针对加密勒索软件攻击频生,有部分用户以为将网络储存设备内的数据同步上载至网上服务供应商提供的云端储存服务储存,便等于为自己的财产买了保险,可以安枕无忧。然而,这个做法可能得不偿失,反而增加数据失泄风险,因网络罪犯可透过钓鱼网站或攻击服务的保安漏洞等方法,偷取云端帐户内的数据。
因此,做好网络储存设备的保安,方为上策。用户除要采取最基本的保安措施,例如定期备份资料、更新系统软件或韧体、设定较强的密码外,亦要留意设备上的共享资料夹,因为部分会预设开放读写权限,若用户不慎在电脑上开启可疑档案,便有机会感染恶意软件或病毒,沦为僵尸电脑。如非必要,应限制开放这类资料夹。
此外,若使用云端储存服务备份网络储存设备上的数据,必须清楚地界定同步的数据范围,减少敏感数据外泄风险;并留意帐户容量的限额,以免部分数据因为帐户超额而无法备份或需要支付额外的费用。
小心诈骗电邮
最近有政界人士接到欺诈电邮,被冒名盗去50万元的新闻,再次唤醒大家要提防网络罪案。根据报导,事主是接到「朋友」的「求助」电邮后,不虞有诈下开启了怀疑附有恶意程式的超连结而「中招」。
根据警方数字,去年共有6,778宗科技罪案,较2013年急升逾3成;其中涉及盗用网上户口资料、入侵系统及电邮骗案等「非法进入电脑系统」案件便有1,477宗,损失金额逾10亿元,可见问题十分严重。
不想成为下一位诈骗电邮的受害者,市民需彻底做好资讯保安。当收到自称亲友或生意伙伴发出的「求助」电邮时,不要胡乱开启电邮上的附件或超连结,应立即联络对方确认内容的真伪;另外,必须使用不易破解的密码及双重认证方式登入网上服务,还要定期更改密码;同时亦要经常更新电脑保安软件。
一旦误中钓鱼网站陷阱,应立即更改所有网上服务的登入密码,并即时通知服务供应商,以防网络罪犯趁机进行虚假交易。此外亦要留意银行及电邮服务商发出的警示,更可考虑调低转帐额的上限,以减少损失。若有其他疑问,亦可向香港电脑保安事故协调中心寻求协助。
慎防Facebook诈骗圈套
Facebook是本港目前其中一个最普及的社交网络,现时全球每月活跃用户已超过1.2亿,单单是香港也有逾400万用户。庞大的用户群资料对广告营销人员固然有莫大的吸引力,但同时也令网络罪犯垂涎,他们会透过安装恶意软件、发放垃圾广告信息及伪冒身份等手法进行诈骗活动。
欧洲防毒软件公司Bitdefender早前进行一项Facebook诈骗手法的研究,分析过去两年逾85万宗的相关骗案,结果发现,逾四成半的个案是由于受害人的好奇心作祟,想知道哪些人曾查阅其个人档案,而不慎安装了恶意软件,将帐户的个人资料传送至攻击者的伺服器作不法用途,或遭冒认身份张贴信息。
骗徒亦会利用用户贪小便宜及「八卦」的弱点犯案。该研究发现以「想增加额外功能」及「想获取优惠」作饵的恶意软件在Facebook平台上也非常活跃,分别占近三成及一成七。此外以声称展示名人私隐及残暴行为的影片作招徕其实暗藏恶意编码的诈骗手法亦榜上有名。
Facebook用户勿因一时好奇而误堕圈套,及不要开启来历不明的连结或应用程式。要认识更多相关保安措施,可到香港电脑保安事故协调中心网站(www.hkcert.org)下载《预防间谍程式及其他不明软件指南》。
安全使用近场通讯付款
大家对近场通讯技术(Near Field Communication,简称NFC)或会感到陌生,其实这技术已在本港的公共运输系统广泛应用近20年,大家熟悉的「八达通」便是一个好例子。
NFC是一种无线快速数据交换技术,当两个具备有关功能的装置相距于10厘米内,其中一方就会即时收到无线电频率并进行自动辨认,再把资料显示于屏幕或在目标装置写入资料。随着内设NFC收发器的智能手机及电子设备日趋普及,NFC付款方式近年亦变得多样化,例如有本地银行与电讯服务供应商合作推出相关手机付费服务,及有支援相关技术的新信用卡等。
使用NFC付款,带来很多方便,但却同时伴随了一定的保安风险。以手机付款为例,手机若感染恶意程式,交易资料随时会被盗用或修改;此外,若手机上的电子钱包有保安漏洞,更可能被伪造交易,令使用者蒙受损失。由于八达通、信用卡及储分卡不需要任何确认便可作小额交易,若不妥善保管也容易遭人盗用。
現时NFC付款尚未有统一格式,不同的银行、信用卡及系统采用的方法各异,故最好依相关机构保安指示使用,以策安全。要了解更多NFC基本保安方法,可参阅香港电脑保安事故协调中心网站内的「近距离无线通讯(NFC)保安指南」。
2015资讯保安前瞻 (下)
上星期分析了今年的网络攻击规模将更大,针对的设备种类更广泛,现续谈攻击的模式。
香港电脑保安事故协调中心预计,僵尸网络及加密勒索软件会继续肆虐,后者更可能以电脑病毒形式散播,令更多人在短时间内中招。网络罪犯会透过入侵零售业常用的销售点(Point of Sale,简称POS)系统、流动设备及互联网服务偷取顾客的个人资料;或强行加密受害者的电脑数据以勒索赎金等方式犯案。另外,网络罪犯引诱市民参与作为帮凶的「一按攻击」也值得关注。
企业面对这些网络威胁新趋势,应定期更新机构的重要资讯科技系统,修补漏洞,并订立「自携设备上班」(Bring-Your-Own-Device,简称BYOD)政策;零售业更要加强POS系统的保安,例如不要将系统直接连接互联网或公开的无线网络,更改出厂预设密码。市民大众则需采取足够措施保护个人流动设备,应只从官方商店下载安装应用程式,并切勿将手机解锁(jailbreak或root机);使用互联网服务时采用不易破解的密码及双重认证,以及切勿参与任何网络攻击。
此外要定期备份数据,并储存离线副本,以减低遭勒索软件袭击的影响;更要时刻提防来历不明的软件或网站连结,或一切不寻常的索取个人资料或更改付款户口要求。想了解更多资讯保安的资讯,可登入协调中心网站(www.hkcert.org)。
2015资讯保安前瞻 (上)
香港电脑保安事故协调中心每年都会总结过去一年的本港资讯保安状况,从中推算新一年的网络威胁新趋势,让公众有所防范。去年协调中心共处理3,443宗保安事故,较2013年增加103%。个案上升的主因是协调中心加强了主动揭发及处理「隐形僵尸」电脑个案的能力,因此僵尸网络事故较前年增加357%(1,973宗)。
从综合的数据分析,协调中心预料今年网络攻击的力度会增强。事实上,攻击者有能力引发数据流量达400Gbps的分散式阻断服务攻击,即等于香港互联网交换中心一天的网络数据交换高峰流量;亦能同时攻击多个网站,甚至殃及池鱼,令同一网络内的其他用户受到牵连,瘫痪网络服务。
另一个趋势是攻击者的目标不再局限于个人电脑,针对流动和互联网设备,及伺服器的攻击也陆续涌现。攻击者入侵网络摄录机盗取个人资料、骑劫宽频路由器及电视机顶盒来发动网络攻击等个案预料会上升。
随着「物联网」概念的兴起,互联网应用深入生活更多环节,更多智能设备推出市场,预料这类攻击将会更加频密,影响的层面亦会因网络频宽提升而变得更濶。因此,企业及互联网用户必须提高警惕,加强资讯保安。
档案分享要审慎
不少人喜欢利用档案分享软件把心仪的影音及创意作品公诸同好,亦有人为求方便,用此方法把公务带回家处理或传送大批文件给工作伙伴。机构的机密资料被人利用档案分享软件,在互联网上流传的事件近年屡次发生,令人关注这类软件的安全应用。
根据香港电脑保安事故协调中心分析,不少外泄的机密资料其实是在资料拥有者不知情下,被分享软件的预设自动分享功能上载。用户就算只是使用分享软件接受档案,亦要承担风险,因为可能会有黑客借档案分享平台发放恶意程式,入侵他人的电脑。另外,档案即使不含恶意程式,亦可能含有触犯法例的内容,例如受版权保护的影音作品或儿童色情物品等。
要安全使用档案分享平台,用户应小心选择会被分享的档案,亦要仔细检查分享软件的设定,以避免敏感资料被自动上载至互联网。若只想分享档案给指定人士,宜先加密档案,并仅与对方分享密码。
开启从档案分享平台下载的档案时亦需格外小心。首先要确保电脑已安装或更新保安软件,并为档案进行安全扫描。若不慎下载含有非法或淫秽内容的档案,应立刻删除,并向版权持有人或警方举报。
「万物互联」与资讯保安
现时大部分电子装置及仪器,从人手一部的智能电话及平板电脑,以至具有特别用途的心脏植入监测器、汽车内置感应器及生命探测器等,都具备连接互联网的功能,甚至能与其他智能设备沟通,令应用范围更广阔,形成一个「万物互联」(Internet of Everything)的新时代。
事实上,愈来愈多工商业活动须依赖互联网应用进行,用户受到网络攻击的风险亦相应增加。由于市场竞争激烈,部分智能设备开发商为控制成本和急于应市,没有周详考虑产品的资讯保安设计,让黑客有机可乘,透过保安漏洞入侵设备,进行不法活动,例如使用智能电视的摄像镜头监视他人的家居生活、摇距控制行驶中的智能汽车及发动网络攻击等。
要提升智能设备安全,开发商固然需要改善产品的资讯保安设计,但用户亦应采取防范措施,包括在使用智能设备前更改预设的设定、关闭不必连接互联网的功能,以及限制可连接设备的IP地址,以减低被黑客入侵的机会。现时「万物互联」技术仍处于起步阶段,共通的通讯协定及平台将会陆续出现,用户要充分留意这技术的安全使用方法。
资料来源:香港生产力促进局