在三月 Unwire.pro 報導過「入侵五角大樓」計劃,美國的黑客可以參加並尋找國防部網站的漏洞,從而提升國家安全。美國國防部日前稱,該計劃推出後國防部網站已發現 138 個錯誤和頒發逾 71,200 美元獎金,將會拓展計劃,開放更多網絡供專業人員測試。
資訊保安
自從比特幣打響虛擬貨幣的名號,不少人也想創造虛擬貨幣,或是利用大家的焦點大肆炒作。虛擬貨幣 Ethereum 平台驚傳被駭,駭客利用程式漏洞能夠無限制提領虛擬貨幣。
網絡保安是企業營運之重要基礎,能助企業加強防護、建立信任、加速業務發展、贏得更多價值以及實現持續增長。然而,研究顯示全球網絡保安專業人才數量將於 2019 年出現 200 萬的人才短缺。為協助消除網絡保安需求及人才不足之間的差距,思科宣佈設立 1,000 萬美元全球網絡保安獎學金計劃,並進一步更新其保安認證計劃。
Intel Security 日前發佈 McAfee Labs 2016 年 6 月分威脅報告,分析流動應用程式共謀的動態,當中網絡罪犯透過操控兩個或以上的應用程式來協調攻擊智能手機用戶。McAfee Labs 針對這類行為,分別觀察 21 個應用的 5000 多個版本的活動,這些應用程式主要是提供用戶服務,如流動視頻串流、健康監測及旅遊計劃。不幸地這 21 個流動應用程式的用戶未有定期執行重要的軟件更新,以至較舊版本能夠被強徵以進行惡意活動。
卡巴斯基日前宣佈發現販賣伺服器權限的地下黑市 xDedic,最低售價僅為6美元。他們指 xDedic 在 2014 年開始營運,於2015年中快速增長,截至 2016 年 5 月的最新數字,該地下黑市總共有 70,624台伺服器的權限正在出售,遍佈 174 個國家,由 415 個不同的銷售商提供。單是香港有 529 台受感染的伺服器權限正在出售,在大中華地區,有超過 100 台較大規模的伺服器權限正在出售,當中包括 ISP 伺服器、知名大企業、政府、發電廠及醫院等機構。
繼 LinkedIn 和 Twitter 會員後, GitHub 會員亦成為不法分子的目標。GitHub 指,有人可能從其他曾被入侵的網上服務得到電郵和密碼清單,不斷嘗試登入 GitHub 會員的帳戶 ,部分帳戶亦因此成功撞破。
首款利用 JavaScript 的勒索軟件 Ransom32 在一月曝光,但它不是完全依賴 JavaScript 來破壞電腦,因為它啟動仍是靠 exe 執行檔。不過研究人員最近發現的一款勒索軟件 RAA 就不同了,他們稱這是百分百的 JavaScript 檔案,用戶把它開啟就會加密電腦檔案。
蘋果在 iOS 9 新增了 App Transport Security (ATS)並預設啟用,指定程式必須使用 HTTPS,但開發者可以把該功能關閉以允許 HTTP 連線。不過在 2017 年起,ATS 將會強制啟用,程式連線要使用 HTTPS 方能運作。
有保安專家指出,近期兩個大型的僵屍網絡似乎已停止運作,因為與惡意軟件 Dridex 和勒索軟件 Locky 有關的流量已大幅下跌,可以肯定黑客由六月一日起已停止散播惡意軟件的計劃。不過值得注意的是,假如 Locky 終止運作的話受害人可能無法付款來解密檔案。
香港生產力促進局屬下的「香港電腦保安事故協調中心」近日發表聲明,指今年五月本港的加密勒索軟件事故創新高,呼籲市民提高警覺。協調中心上月共接獲 59 宗加密勒索軟件事故報告,雖然 Locky 勒索軟件事故大幅回落,但新的勒索軟件「CryptXXX」正冒起,單在五月便錄得 32 宗個案。受害者主要為一般家庭電腦用戶、教育機構及中小企業。