所屬專欄:
財經專欄
專欄名稱:
暗網潛航
作者:
龐博文

要了解「黑客術」的發展歷史,就要先了解「黑客文化」。黑客文化與黑客術,都是信息安全範疇中一個非常重要的課題,尤其影響電子鑑證調查。在課堂上,我常常教導學生使用黑客術的各種規範及理論。學習黑客術就如學習不同的武術技藝一樣,每一種黑客術技巧都有不同的步驟及規範,並有支持每一個技藝的特殊理論。如果不理解背後的黑客文化,你根本用不了。黑客的英文是...

詳細

「黑客術」是信息安全中一門非常之吸引人的神秘技藝,但要理解「黑客術」,就要知道它與「信息安全」的關係。信息安全在我的行業而言,等如軍事兵法一樣,除了有信息防禦技術外,也包括管理方法、法例法規、物理安全、人士管理、培訓技巧等等;黑客術則偏向攻擊技術發展,發掘系統漏洞,對於信息環境管理則興趣不大。打個比喻,信息安全像是司令部,而黑客術則是前線...

詳細

過去,人類都是「對稱式加密」。簡單而言,我將內容加密後,只有我才知道解密方法。我要把解密方法告知他人後,才能被他們看到真正的內容。問題是,假如有人取得解密方法,就能夠破解加密內容。在20世紀初期,所有密碼學家都面對如何安全地交換「解密鎖匙」的難題。這道難題又被稱為「第22條軍規」,是美國作家約瑟夫.海勒(Joseph Heller)寫於一...

詳細

密碼學除了研究如何不被人發現及破解重要內容外,也要察覺被人修改的痕跡。當中原理,竟然與中國古算術有關。約公元四世紀,中國數學名著《孫子算經》下卷第二十六題,記載一個影響密碼學的重要計算方法,名叫「物不知數」,又叫做「鬼谷算」。原題為:「今有物不知其數,三三數之二,五五數之三,七七數之二,問物幾何?」意思是:「求一個除三餘二,除五餘三,除七...

詳細

要保護信息,除了將信息轉成其他符號或字元加密,有意窺看信息的人只看到一堆無意義的亂碼或字符外,亦可以將信息隱藏到其他文章、文件甚至是物件之中。密碼學另一種分支是「隱寫術」(Steganography),衍生自古希臘語「隱秘」 (στεγᾰνός)及「書寫」(γραφές),窺看信息的人須在大量數據中「尋寶」,猶如「大海撈針」。隱寫術早在古...

詳細

用戶登入網上銀行所用到的「密碼」,大部份是英文及數字組合,不過在信息安全的範疇之中,我們更重視編制密碼的原理,這都屬於「密碼學」(Cryptography)的一部份。不過在中文,「密碼」與「密碼學」相似,容易令人混淆。很多人一聽到密碼學時,就以為是研究文字與數字組合的學科,其實這是錯誤的。至於英文表達比較清楚,Cryptography /...

詳細

近期大家提倡Fact check,不管是政治人物的演講視頻、失蹤案件、刑事破壞、糾紛案件涉及的CCTV及影像照片,總會有人跑出來,嘗試在社交媒體分析真偽,例如是否有移花接木或有修剪過的痕跡等。其實,鑑別電子影像的真偽,並讓法庭接納作為呈堂證供,都屬於「電子影像鑑識」(Digital Imaging Forensics) 技術,也是我們電腦...

詳細

之前與各位讀者討論信息安全風險保險的核保條件,都是與設備及技術相關,其後有人問我,是否只要吩咐我的IT部門按程序,就可以處理信息安全事故的問題?老實說,這是遠遠不夠的。坊間往往認為,信息安全只是IT部門的事情,但這個想法卻是完全錯誤!信息安全並不是電腦安全,而是如何安全保護「信息」。機器壞了可以換,但數據資料毁壞了可能回不來。就像你的智能...

詳細

信息安全隱患或會對企業造成重大損失,「信息安全風險保險」則可降低事故影響。然而,購買保險就要支付保費,企業關注這類保險保費會否成為其營運負擔。其實跟火險一樣,只要做好預防措施,降低風險,保費也會相對低廉。我們會透過漏洞掃描、攻擊測試,以及在操作環境上進行安全處理程序檢查檢查客戶系統,並會根據國際認可的標準 Common Vulnerabi...

詳細

上回提到,「信息安全風險保險」在各行業中變得普遍,尤其是需要儲存大量用戶資料及數據的企業,避免因系統出現問題致資料外洩或無法向客戶提供服務,可以籍保險公司分擔損失。雖然為信息安全風險提供保險是一種近年新興的保險項目,不過其實際運作原理與一般意外保險並無太大分別,都是先分析及了解受保人面對的風險,然後計算保費及索償上限。有部份保險公司僅要求...

詳細

信息有價。一旦出現資訊系統保安事故,所承受的損失也愈來愈高。為應付風險轉移的需求,「信息安全事故風險保險」也開始受到企業重視。美國Target百貨公司二○一三年被黑客入侵,大量信用卡資料洩露。雖然 Target 也是受害者,但因為信息安全事故錯失及違反法規而被信用卡發卡公司告上法庭,被罰款七千萬美元;其後更被美國的Visa信用卡用戶進行民...

詳細

熱門:葉Sir食經 Executive日記 巴士的點評

hd