所屬專欄:
財經專欄
專欄名稱:
暗網潛航
作者:
龐博文

最近內地有大學團隊透過一副具「眼部區域的特殊花紋干擾圖案」的眼鏡框,破解19台不同品牌的Android手機「人面識別」認證,以及10多款金融及政府手機軟件認證授權機制。筆者在此跟大家討論一下,「人面識別」這個機制在信息安全裏的運用。「人面識別」是信息安全內多因子驗證的其中一個部份所使用的其中一個技術,其基礎規矩是同時利用單因子、雙因子及三...

詳細

香港政府於上月宣佈開始對「電話智能卡實名登記制度」(電話卡實名制)進行公眾諮詢,網絡社群及IT業界紛紛表達意見。筆者認為,雖然電話卡實名制現時未發揮作用,但這個是全球執法機關都需要的一個設置,所以是必須推行的。首先,電話卡實名制能有效抑制及對抗罪犯,這一點的有效性並不是絕對,最低限度現在不是。罪犯使用匿名電話卡犯案的重點是「跨境」,這是一...

詳細

上周介紹三種欺詐手法,當中有訛稱能提供加密貨幣交易的中介人、從其他莊家收集加密貨幣並賺取中間差價、涉及詐騙手段騙取加密貨幣或買家金錢,以及一些路演KOL利用有問題或假的「冷錢包」騙取投資者加密貨幣,今次再介紹其餘三種詐騙手法。其中一種手法就是創造沒有人聽過的加密貨幣,例如購物幣、旅遊幣、網頁遊戲掘礦、公仔機、比特幣ATM、支持某些政治主義...

詳細

上周筆者介紹加密貨幣在交易時會出現的問題,身邊亦有很多人問我,於過去的經驗裏,曾經見過多少種不同的欺詐方式,其中最常見的有六種欺詐手法。首先第一種是廣東話常說的「賭白頭片」,有些奇怪的中介人,保證手頭上有足夠加密貨幣提供交易,其實手頭上根本沒有,只是收到要求後去找其他「大莊」收集加密貨幣,以賺取中間差價,情形就如沒有足夠的本錢去賭博。這種...

詳細

最近加密貨幣在市場上價格不斷飆升,新聞上也多了相關罪案。過去我曾接受進行加密貨幣交易包括驗證和押運委託,以及參與多次加密貨幣罪案調查及代表的專家證人,今次分享一下進行加密貨幣交易參與的一些所見所聞。大部份人將「加密貨幣」和「電子貨幣」混為一談,它們技術相同,但運作本質尤其是否「去中心化」,則是完全不同概念。一般正常的加密貨幣交易,是在網絡...

詳細

雖然「消極式防禦」只能「緩減」,卻無法根絕或逃避分散式阻斷服務攻擊(DDoS),但總比甚麼都不做好多了。絕大部份系統在在網絡上死了也不知道,他們不過是不斷輪迴,在重啟和被打死的無間地獄之間。要實行消極式防禦,但又面對以「能跑就算」的系統配置,甚至程式碼混亂,充滿Bug及邏輯錯誤時,那就安裝一道EAL等級的軟件防火牆吧!同時防火牆裏只構建白...

詳細

上周筆者跟大家介紹,用「主動式防禦」對抗分散式阻斷服務(DDoS)攻擊,要有效攔截攻擊,要在設計和建構系統時,已要開始考慮防禦。然而現實上卻很難做到,因為不少公司倚賴坊間水準不高的系統集成商或顧問,去構建他們的系統,這些機構只不過湊合一般商業或開源解決方案,系統能正常運作已算萬幸,如要具備主動式防禦的安全設計意識,基本上是天方夜譚。甚至我...

詳細

即使做足防禦工事,亦會有機會受到攻擊。面對分散式阻段服務攻擊(DDoS),我們有「主動式防禦」或「消極式防禦」兩種方法應對。主動式防禦令攻擊方失去攻擊意欲,不會選擇你的系統作為他們的攻擊目標。不過DDoS攻擊手法多樣化,攻擊者每一分鐘都會掃描各個系統,尋找漏洞及弱點。每一次出現新漏洞,不管是正式被發佈,還是在暗網上流傳的零日漏洞,網絡上很...

詳細

要預防分散式阻斷段服務攻擊(DDoS),除了須辨識其攻擊模式,防守方了解自己的系統更為重要。營運方須小心軟硬件設計邏輯錯誤、Bug和零日漏洞。過於草率或技藝不足,不知世途險惡,當中的錯誤、Bug及漏洞都會被攻擊者有效利用。大家須知道,攻擊者天性比你們聰明靈活,而且謹慎高效率。真正的攻擊者要令你系統掉線,只需要找對死穴,就會半死不活發呆。有...

詳細

經過多個星期介紹分散式阻斷段服務攻擊(DDoS),相信大家不難發現,這些攻擊手法都有共通點。防守方如果沒有認知,我敢保證將難以面對這些攻擊。到底有哪些共通點呢?首先,這些攻擊都會透過「封包製造器」,偽裝或企圖混雜在正常流量中。如果安全監控系統無法分辨,就容易被偷襲。這解釋了為何DDoS攻擊像是突如其來,令人措手不及。第二,這些攻擊用封包全...

詳細

上期提到,DDoS應用層攻擊中,「低速和慢速攻擊」是難以防範的攻擊手段,因為攻擊者利用機制漏洞,故意在正常流量封包中,製作一些低或是極高速率數據封包,並與正常流量混合,令系統無法對請求作出有效回應,從而導致斷線。由於這種攻擊奏效,因而被攻擊方發揚光大,並有新的變種「慢速DDoS攻擊」出現,並分為「Slow Read」及「Slow Post...

詳細

熱門:葉Sir食經 Executive日記 巴士的點評

hd