HKCERT 指現在有一種針對 Zoom 用戶的新興網絡攻擊 ,稱為「 Zoom-bombing 」或「 Video-teleconferencing hijacking 」,攻擊者會嘗試登入未有做好安全設定的 Zoom 會議,或者利用軟件早前的漏洞來搜尋可用的會議 ID 闖入會議,竊聽會議內容,甚至騎劫會議、散布不當信息或惡意軟件。 另外,闖入會議的惡意分子又可以利用 Zoom 將 Windows 系統的 UNC 路徑(如 \\evil.server.com\images\cat.jpg )變成可按連結的漏洞,用戶不小心點擊惡意份子散布的 UNC 連結,就會將用戶的登錄名和 NTLM 密碼雜湊( hashed password )發送到遠程伺服器,惡意份子就可以收集與會者的個人資料來進行其他攻擊。 HKCERT 向所有 Zoom 用戶和主持會議的單位發出 10 點建議: 所有Zoom用戶 使用最新版本的 Zoom 軟件和保安軟件 只在其官方網站或官方應用程式商店下載軟件 經常保持軟件至最新版本 經常更新操作系統(包括桌面電腦及流動裝置)及保安軟件 提防任何不明的 UNC 連結 不要點擊任何可疑的 UNC 連結 (適用於專業 Windows 用戶)設置 Group policy 以停止傳送…
Tag: 網絡攻擊
【國際】新加坡物聯網會議暨展覽會:業界期望過高 技術隱患仍多
物聯網技術近年日漸普及,但在第二屆亞洲國際物聯網會議暨展覽會(IoT World Asia),有專家覺得業界先前對該技術的發展預測過於樂觀,導致現時很多行業對其亮麗的增長數據未敢盡信,也因現實不如預期而心生疑慮。 物聯網技術讓迅達的升降機更上一層樓。 這屆亞洲國際物聯網會議暨展覽會去年9月在新加坡舉行,期望承接上一屆的聲勢,發展成區內不容錯過的物聯網產業盛事。近年,物聯網發展日新月異,世界各地業者交流緊密,該展會的主辦機構Internet of Things Consortium也立下雄心壯志,要把區塊鏈、網絡安全、無人駕駛汽車及工業應用等所有物聯網領域聯繫起來。 Internet of Things Consortium主席兼行政總裁Greg Kanh對實現上述目標頗具信心。他在開幕致辭中談到物聯網的前景:「2025年,全球預計會有12億部裝置採用第五代流動通訊系統(5G),當中一半位於亞洲。2017年,亞太區的物聯網支出為2,600億美元,預計到2018年年底,金額便會突破2,910億美元。以2018年而言,中國預料將佔上述支出64%,其後是韓國,佔10%,印度則佔9%。 「儘管如此,在我們調查的公司中,30%覺得目前推動物聯網進一步普及的最大障礙,是投資回報方面難以令人信服。同時,設立物聯網是一件極其複雜的事,企業不可能自行兼顧一切事宜,也沒有任何平台或服務可以單獨成事。」 新加坡物聯網專家Charles Reed Anderson認為,業界面對的另一個挑戰,是先前太高估短期前景,結果自招麻煩:「業界的期望太高了,一些分析機構現在要修訂連網裝置的數目預測。例如今年,高德納(Gartner)便把2020年的連網裝置數目預測,由2014年的250億下調至200億。另一邊廂,IDC的預測則與2014年相同,依舊是300億。 「不過,在市場機遇方面,分析機構的最新預測較原先大減86%。IDC在2014年估計,2020年物聯網市場總值將達71,000億美元,但最新修訂已銳減至10,000億美元。雖然市場規模仍十分可觀,但我們及企業管理層都要調整原先的期望。 「物聯網設置非常複雜,這是一個現實。單是提供一項技術方案,便要從不同供應商購入各種產品,而這些產品又未必可互相兼容,或在現存系統下運作。另外,亞太區的人才短缺問題嚴重,更令情況雪上加霜。」 Cindy Chua是諾基亞(Nokia)的亞太區電訊服務供應業務部市場推廣主管,她審慎評估物聯網的發展前景:「現時採用的物聯網方案都是孤立的系統,互不相通,成本效益是主要的採用誘因。不過,直到目前為止,業界仍然沒有一種普遍適用的運作方案或商業模式。毫無疑問,在很多行業,物聯網的潛力仍未完全發揮出來。 「其實,在某些領域中,物聯網的發展已步向成熟,交通視像監控系統是其中之一。根據我們的經驗,若我們能以低功耗電腦取代數據中心來進行動作統計分析,便可輕易取得及時有效的參考資料。我們也在美國進行鐵路路軌監察工作,相關路段長達32,000英里,且存在洪水泛濫風險。我們利用天氣及水文模擬技術,令脫軌所致的損失較往常減少240億美元。另外,我們正在亞洲測試一款防摔倒分析型視像應用程式,可令長者的摔倒次數減少三分之一。」 Franck Martins是日內瓦半導體巨擘意法半導體(ST Microelectronics)的亞太區微控制器策略技術市場推廣部主管。他認同依靠中央數據中心進行分析並非長遠可行之策,原因是涉及的數據量太大:「2020年,全球將有10億部視像攝錄機,但只有一半網絡的傳輸速度可達8兆比特(mbps)或以上。相比之下,單是一輛無人駕駛汽車,每日產生的數據便達4 萬億字節(terabyte)。 心臟起搏器也可能存在安全漏洞。 智能鎖也有失效風險。 「2015年,全球合共製造2.4艾字節(exabyte)數據,到2020年總數量便會增至44澤字節(zettabyte)。屆時,全球的裝置數量將達數十億,需要處理的數據量更是難以想像。有鑒於此,引入人工智能技術便變得無比重要,這樣才可促進真正的實時處理,加強安全、數據保安及私隱,而數據傳送到雲端前也可更有效地分類,藉以減低電力消耗。」 窄頻物聯網(Narrowband IoT)是一種低功耗廣域網路(LPWAN)無線電技術標準,可提供成本低、電池壽命長及連接密度高的室內網絡覆蓋。華為物聯網及5G技術方案市場推廣副總裁Abdul Memon博士相信,這種技術可為物聯網發展帶來一定幫助,且已逐漸成熟,可更廣泛應用:「全球目前有14家窄頻物聯網晶片組供應商。2017年,本公司付運的晶片組總數達1,000萬。整體而言,現時世界各地共有23家模組供應商,把這些晶片組用在3,000多款應用程式及技術方案上。 「2018年,我們的目標是把窄頻物聯網連網裝置增至4,000萬部,範圍涵蓋智慧城市、智能工業及智能生活等多個行業。現時,我們跟瑞士升降設備製造商迅達集團(Schindler)合作,至今已令預防性保養成本下降50%,而傳輸線纜改用智能電錶,則令損失減少34%,街燈使用智能視像化管理系統後,更令電力消耗大減80%。」 林德集團(Linde AG)是全球最大的工業氣體供應商,先進營運服務高級副總裁Thomas Heinzerling探討物聯網在商業環境的應用情況,包括林德的數碼設備策略,以及至今所見的裨益:「自2009年起,我們一直從旗下所有設備及生產活動中收集數據。今時今日,我們在全球有過千部設備,每分鐘可收集650,000個數據點。 「數據收集後會被傳到遙距數據中心,以模型、過濾器及高階演算法處理,從而得出有用資料。這些中心有兩家位於亞洲,它們提供的資料令我們可循多方面改善生產設備運作,包括防範出現突發性停產,改善設備效能,以及節省原材料成本等。對我們而言,業務發展的關鍵在於善用舊系統內的現有資料,而非只顧增設新硬件。」 今屆展會,雖然參加者對物聯網的應用方式、層面、成本及期望等都有不同意見,但對安全風險的看法卻頗為一致。其中,很多業者擔心,隨著物聯網的應用層面漸廣,數據保護鏈不同位置出現的安全漏洞也會越來越多。 Natalia Khudoklinova是莫斯科網絡安全產品供應商卡巴斯基實驗室(Kaspersky Lab)的嶄新技術部業務分析師,她說:「物聯網比很多人想像中複雜得多,且絕對會為網絡安全帶來影響。物聯網的結構錯綜複雜,每個節點都存在隱患,有些地方的弱點甚至相當明顯。舉例說,現時約57.5%通訊閘使用Linux作業系統。去年,Linux共識別出381個安全漏洞,而在2007年時則只有63個。過去數月,全球至少發生5宗大型殭屍網絡(botnet)攻擊,而一次分散式阻斷服務(DDOS)攻擊平均會對企業造成相當於總收入8%的財政損失。 「然而,隨著物聯網應用日趨普遍,分散式阻斷服務或勒索軟件攻擊帶來的已不只是金錢上的損失,而是足以威脅人身安全。例如,美國食品及藥物管理局最近便宣布回收多款由伊利諾伊州醫療科技公司St. Jude Medical / Abbot生產的心臟起搏器,原因是當局證實該些植入式產品有機會遭不法之徒操控。 「另一方面,製造商本身也有機會引發問題。例如,科羅拉多州智能鎖製造商Lockstate先前推出固件更新,結果卻令數百個智能鎖的鍵盤無法運作。由於物聯網的應用只會日趨廣泛,所以這類事件也很可能會不斷增加。」 亞洲國際物聯網會議暨展覽會:預料到2025年,全球物聯網裝置有半數位於亞太區。 亞洲國際物聯網會議暨展覽會2018已於去年9月18至20日在新加坡濱海灣金沙會議展覽中心舉行。 (2019年2月14日,資料來源:HKTDC)
【國際】新加坡網絡安全會議:物聯網恐成最大安全缺口
今屆RSA國際網絡安全會議亞太及日本大會(RSA Conference Asia-Pacific and Japan),有出席者表示,現時資料外洩事故每年合共為涉事亞太區企業造成17,500億美元損失。同時,隨著越來越多公司採用物聯網,網絡安全問題恐怕會大大惡化。 你的公司能抵禦黑客攻擊嗎? 戰略與國際研究中心(The Centre for Strategic and International Studies)是一個全球性的安全事務智庫,總部設於美國首都華盛頓,根據其發出的資料,在截至2018年4月為止的一年內,全球共出現90宗被定性為「嚴重」的網絡攻擊,估計合共對大型公私營機構造成近6,000億美元損失,金額較前一年報指的5,000億美元還要高得多。事實上,由於很多公司往往不願對外公布任何資料外洩事故,以上估算很可能只是實際金額的冰山一角。在上述背景下,RSA國際網絡安全會議亞太及日本大會正好配合時機,為全球業者提供一個探討網絡保安的平台。 雖然會議在名稱中特別提到日本,不過舉辦地點卻非位於東京或該國其他縣市,而是新加坡市中心,相信更能引起注意。另一方面,RSA這個縮寫也很易令人誤會是指地區安全大會,但事實上卻是指RSA Data Security公司研發的公開鑰匙加密技術,具體而言是以該技術3位發明者Rivest、Shamir和Adleman的姓氏首字母組合而成。這些資料不是人人知曉,但應該有助瞭解會議的本質。 RSA總裁Rohit Ghai是今屆開幕禮致辭嘉賓之一。他深信目前業界嚴重錯估網絡攻擊造成的損失,實際數字應遠不至此:「2017年,單以亞太區而言,網絡安全事故便為企業帶來逾17,500億美元損失。 「基於某些原因,和西方企業相比,亞洲公司成為網絡攻擊對象的機會一般高60%至80%。由於事故頻仍,當地很多網絡安全專家早已應接不暇、疲於奔命,因此約44%個案往往完全無人應對。 「基於網絡問題牽涉的範疇極廣,攻擊技倆層出不窮,商家與其展望會有甚麼牢不可破的防衛技術,還不如想想如何日積月累地加強網絡安全。其中一種方法,就是從人員、程序和系統等重要資產著眼。其實,黑客的資源有限,所以一般只會向容易攻擊的目標下手。因此,最佳的自保之道是集中做好每一細節,例如修正防守漏洞,簡單點說就是設法避免令自己成為目標。」 網絡安全問題本已極其繁複,然而微軟(Microsoft)首席安全顧問Lisa Lee認為,隨著物聯網(IoT)裝置的使用範疇日廣,情況將更加惡劣:「目前,我們基本上面對數據泛濫的問題。以全球而言,現在我們每月要分析4,000億封電郵,掃描12億部裝置,保護7.5億個雲端用家賬戶,檢查180億項網上搜尋,以及核實4,500億個身分驗證。在這些工作中,我們每月會發現9.3億個網絡威脅。一般而言,企業現時要防範12至60種網絡威脅。由於他們的數據分散,日常運作又越來越複雜,因此情況便更棘手。我認為,機器學習是解決問題的唯一方法。我們要使用機器來對抗黑客。事實上,他們很多也是利用機器來發動攻擊。 「舉例說,有公司使用普通的規則庫型網絡保安系統,監察所有賬戶登入活動,結果其中28%被歸類為可疑,也就是說他們要檢查2.8億個登入紀錄,看看當中有沒有欺詐行為。由於數量驚人,他們當然沒可能逐一分析。不過後來,他們改用機器學習技術,疑似欺詐行為的比率隨即大減至0.001%。 「另外,今年3月6日,我們更親眼見證旗下的機器學習系統一展身手,表現令人難忘。當日正午時分,系統偵測到一次大規模網絡攻擊,使用的是新種病毒Dofoil。結果,它只用了數毫秒時間,便阻擋了超過400,000次攻擊。」 業者在場內分享網絡保安技術。 會議談到現有網絡保安技術的一些缺陷。 甲骨文(Oracle)雲端運算部執行副總裁Amit Zavery同樣認為,機器學習將是大勢所趨:「現在,我們面對的是以人工智能發動的密集攻擊,依靠人手對抗根本是螳臂擋車。 「事實上,現時社會出現的網絡入侵事故中,85%涉及的漏洞在事發時已有更新檔予以修正,只是涉事公司未有安裝。一般而言,一家公司每星期會收到約17,000個安全警告,當中準確的只有19%,而有專人調查的更只有4%。正如本公司主席Larry Ellison所說,我們不能依賴人手來與電腦對撼,不然根本必敗無疑,這場必須是電腦與電腦之間的比拼。」 今屆會議,雖然不少看法覺得網絡安全工作將會日益艱巨,不過也有出席者認為,至少從目前所見,某些網絡攻擊威脅已有所緩和。Thomas Keenan博士是加拿大卡加利大學(University of Calgary)電腦科學系環保設計學教授,是有此看法的嘉賓之一。 Keenan表示,在各種網絡攻擊中,勒索軟體個案正在下降:「根據我們今年的調查結果,45%受訪者表示曾受勒索軟體攻擊,較去年的62%大幅減少。不過,這可能只是短期現象,且勒索軟體也絕對有機會轉移目標,改向物聯網裝置下手。 「例如,黑客可能會攻擊醫院的磁力共振(MRI)或電腦斷層(CT)掃描設備,以病人的性命來要脅院方支付贖金。隨著『重要基建』的定義越來越廣,企業功能中的『關鍵任務』又越來越多,這個問題影響的絕對不止醫院。 「現在,物聯網在很多範疇的重要性都與日俱增。去年10月,黑客便看準這點,利用NotPetya病毒攻擊聯邦快遞(FedEx)、馬士基航運公司(Maersk)和默克藥廠(Merck),令三者合共損失8億美元。因此,我們必須妥善管理旗下的物聯網裝置,並時刻確保它們的保安程式是最新版本。」 賽門鐵克(Symantec)亞太區技術總監Nick Savvides也認為,勒索軟體日後很有機會朝攻擊物聯網的方向發展:「隨著我們使用的科技不斷演進,勒索軟體也隨之變化。記得在2005至2008年,初代勒索軟體都是一些供用家免費安裝的詐騙程式。它們會訛稱在電腦中發現一些問題,並表示付費版本是唯一的解決方法。其後,虛假防毒程式出現,以同一手法行騙。2011年,黑客開始使用加密勒索軟體,發放病毒癱瘓受害人的電腦。2012年,這些加密勒索軟體變得更加精密,到2016至2017年更出現多宗廣為人知的事故。 「根據我們觀察,『挖礦綁架(crypto-jacking)』是勒索軟體的最新發展趨勢,意思是操控受害人的電腦來開採加密貨幣。我們估計,黑客之後會從物聯網裝置下手,入侵工商企業的電腦網絡。因此,商家對所有裝置都應抱零信任的態度,同時也要一直監察旗下系統和雲端服務,留意有沒有任何採幣活動跡象。」 Kevin Skapinetz是IBM Security的策略及設計副總裁,他集中談論亞太區面對的特有問題:「現時,區內一宗網絡安全事故平均會對受害公司造成339萬美元損失。金額如此驚人,原因是目前我們平均要花267天來尋找及處理有關攻擊。要是我們能把時間縮短100天,那麼每宗個案的平均損失就可減少110萬美元。其實,要做到這點絕非難事,關鍵在於提升網絡保安技術,加快應變速度,以及確保公司不同單位能各司其職。 「就這幾方面以言,首先我們正向旗下專有的人工智能技術Watson傳授各種網絡安全知識。目前,Watson已可在數分鐘內提供有用可行的分析,不用再花上數小時。不過,若要改善應變速度,我們便須審視網絡保安機制,為全公司制訂指引,詳述如何應對不同威脅。事實上,制訂明確步驟及清晰分工極為重要。另外,公司還要安排應變程序培訓,讓員工慢慢熟習,務求把執行時間縮至最短。」 物聯網技術日益普及,不過假如企業疏於防範,便會讓黑客有機可乘。 RSA國際網絡安全會議亞太及日本大會2018已於7月25至27日在新加坡濱海灣金沙會議展覽中心舉行。 (2018年12月3日,資料來源:HKTDC)
【科技罪案】勒索軟件猖獗 去年全球小企損失23.5億
數據洩漏和網絡安全問題偶有發生,使企業防不勝防。網絡域名註冊及網站託管公司GoDaddy公布《小型企業網站安全調查報告》,發現小型企業的網絡安全意識不足。全球每20間小型企業中有1間在過去1年受到有關攻擊影響,合共損失超過3億美元(約23.5億港元)。 GoDaddy去年協助全球小型企業客戶,處理逾65,000宗受感染網站的個案後,委託調查機構研究,並訪問1,000間超小型企業(約有1至5名員工),了解們他的網絡安全意識。當中有近半數超小型企業表示,曾遭黑客入侵而蒙受財務損失。有3成曾被網絡攻擊的小企指,需要通知客戶受影響的情況。 該報告指出,小企財政預算緊絀,容易忽略網站的保安工作。結果使商譽受損,或導致更嚴重的財務損失。 報告又指,惡意程式軟件、電腦病毒及網絡釣魚(phising)是最常見的網絡攻擊。黑客入侵網站時會設定「後門」(backdoor),即使受感染檔案被清除,之後亦可再進入,此外黑客亦會利用搜尋引擎最佳化作弊(search engine optimization),在網站關鍵字加入惡意鏈接。 報告建議,企業可選用網站安全監控服務,監察危險跡象並及時發出警告;安裝防火牆以及登記使用網站管理員工具,以保障網站安全。 (2018年11月7日,資料來源:香港經濟日報)