費用全免 翻牆、隱身一鍵完成 Opera 推出 iOS 版 VPN 程式

    Opera 日前發佈對 iOS 用家設計的 Opera VPN 應用程式,用家啟動該功能後自動透過國外伺服器進行網絡連線,即使於封閉國家仍能透過 VPN 連至被封鎖的網頁上,而且使用方法簡單,加上新增廣告攔截功能,免除大量廣告所產生的額外流量及減低網頁載入時。   Opera 最新推出的 Opera VPN 應用程式已於 App Store 上開放下載,程式內建 VPN 、廣告攔截及追蹤攔截,費用全免。當用家安裝後,系統會自動進入設定畫面,讓用家選取 Opear VPN 或其他已有的 VPN ,設定後打開 Opera VPN 並啟動 VPN 功能即可完成,能達到俗稱「翻牆」的效果,其操作方便容易。   同時, Opera VPN 提供加拿大、德國、荷蘭、新加坡及美國伺服器連接,或由系統自動連接最鄰近的國家,當用家身在的國家對 Facebook 、 Google 或 Youtube 等網站進行封鎖,用家可連至以上任何一個國家進行「翻牆」連線。又例如 Youtube 上某些影片亦會限制不同地區用家瀏覽,此時 Opera VPN 大派用場。另外,因為數據要路由至國外伺服器及進行加密,所以進行 VPN 連線將會降低數據傳輸速度。   另一方面, Opera VPN 亦担提供廣告攔截功能,為用家過濾大部廣告,免除浪費流量加載廣告外,亦同時加快網頁加載速度,亦可減低惡意廣告的威脅,據早前以電腦版…

資訊安全問題 iMessage & Facetime 加入雙重密碼認證

imessage

 

 

 

Apple 13 日宣佈旗下兩款應用程式 iMessage 及 Facetime 將強保安度,加入雙重認證機制,進一步加強帳戶安全性及減輕遭受駭客入侵的事件發生。

去年 Apple 雲端服務 iCloud 出現 保安漏洞,荷里活多位明星遭黑客盜取大量資照片及資料,當中更包括多張私密照片,於網路上大量湧現,引起用家震驚。有見及止, Apple 於旗下不同的應用程式亦加上更多認證機制,以防事件重演。是次 Apple 將雙重認證機制加設至 iMessage 及 Facetime 上進一步保障用家使用時的保安性。

日後用家使用 iMessage 及 Facetime 除了必須使用帳號及密碼登入外,另外必須輸入由系統透過 SMS 或 Find My iPhone 傳送至使用者的一串密碼才能使用。除了 iCloud 外, iMessage 及 Facetime 等程式陸續加入更多保安機制確保用家個人資訊安全。

原文

Google神盾 | 保護港受攻擊網站 | 助抵禦國家級黑客 | 保障言論自由

二○一四年,香港成為分佈式阻斷服務攻擊(DDoS)的國際焦點。網絡保安公司CloudFlare透露,香港在雨傘運動期間曾錄得破世界紀錄的每秒500GB攻擊,有網站服務器更每秒接獲逾二點五億次系統查詢,相等於平日全球互聯網每秒查詢量。國家級的攻擊亦令Google等國際企業出手相助,透過神盾計劃(Project Shield)「收容」被攻擊的民間網站,保障網上言論自由。

壹傳媒計算機系統去年十月十三日被黑客入侵,令《蘋果》網站、手機程序甚至內部電郵系統都一度癱瘓。黑客其後又發動二十四小時DDoS攻擊,透過網上指令,要求數千、甚至數万部中了木馬病毒的網民計算機或電視機頂盒等網絡裝置,同時向《蘋果》網站不斷發出系統查詢( DNS requests),終令網站不勝負荷而癱瘓。

雨傘運動時受襲規模創紀錄

網絡公司CloudFlare在雨傘運動期間獲邀協助部份本地網站抵禦攻擊,行政總裁Matthew Prince去年十一月接受美媒《福布斯》訪問,直指是次攻擊規模「較以往見過最大型的網絡攻擊更加前所未見」,最高達每秒錄得達500GB的DDoS攻擊,較去年二月歐洲錄得的400GB攻擊量還要高,創下最新世界紀錄。他指有關網站在受襲期間,伺服器每秒接獲超過二點五億次系統查詢,「相等於平日全世界互聯網的每秒查詢量」。 Prince指每當佔領行動有新進展,DDoS的攻擊規模會隨即增加;例如去年十一月中旬,學聯秘書長周永康一行數人嘗試坐飛機到北京示威被拒後,攻擊規模即「劇烈上升」 。

網絡攻擊直接侵蝕言論自由,Google於二○一三年十月就啟動「神盾計劃」,協助民間獨立網站抵禦黑客攻擊。神盾仍屬試驗階段,以邀請形式向網站提供保護,現時只接受與新聞、爭取人權及監察選舉等相關網站申請,獲批網站可保留原有網址,網站內容就可直接納入擁有龐大網絡資源的Google伺服器內,令網站抵禦DDoS攻擊的能力大增,避免網站被迫關閉。

 

google

 

據了解,敍利亞的飛彈預警網站Aymta,以及肯亞一個選舉監控網站也曾接受神盾保護。本地網絡媒體《熱血時報》早前在網台節目透露,去年十月起網站遭大規模DDoS攻擊,一度癱瘓;十一月十四日學聯代表上京前夕,該網站更錄得每秒逾二億次系統查詢,後來網站獲神盾收容,才恢復正常運作。

google2

翻查《熱血時報》的伺服器資料,可見其網站現放在「googledomains.com」;親法輪功的《大紀元新聞網》的資料,亦顯示使用同一伺服器,估計亦是受惠網站之一。除了Google神盾,CloudFlare去年亦推出伽利略計劃(Project Galileo)提供類似服務,並與多間非政府組織合作,確保網站是因公眾利益被攻擊才提供協助。
互聯網協會網絡保安及私隱小組召集人楊和生指,網路技術日漸進步,網速及頻寬不斷提升,令黑客更易發動更快及更大規模DDoS攻擊,「如果最新紀錄係500GB,相信好快又會俾人破到」。他指網絡公司面對DDoS攻擊時,通常會先將大量系統查詢分流到世界各地不同伺服器,避免被「塞爆」,從中分辨出哪些屬惡意攻擊;惟黑客也同時不斷「進化」,將惡意攻擊偽裝成正常查詢,故預期防禦DDoS的工作會更困難。

fingerprint1

指紋辨識技術,哪家比較強?

 

fingerprint1

 

iPhone 5s首次為智慧型手機帶來較具實用性的指紋識別之後,Android廠商也跟進。過去一年裡市面上出現了多款配備指紋識別的手機,像是Galaxy S5,HTC One Max、華為mate 7……指紋識別這個原本小眾市場突然熱門了起來。那麼,它們所用的技術來自於哪些公司,哪家的技術又更好一點?
fingerprint1
目前最好的體驗還是出現在iPhone 6/6 Plus/5s 以及 iPad Air 2、iPad mini 3上的指紋識別。它來自於AuthenTech公司,這家公司持有「使用

單晶基底薄膜的感測器電路指紋生物感測器及相關方法」。按壓式指紋識別與iOS設備固有的實體HOME按鍵融合,讓使用者不知不覺間養成使用習慣。TouchID也成為iPhone差異化賣點。

2012年Apple收購了AuthenTech,基於公司文化的產品封閉系統想法,AuthenTech不向其它手機廠商提供類似的指紋識別技術。

於是Android廠商們只好另闢蹊徑。三星反應最快,在Galaxy S5上採用了Validity提供垂直滑動(Swipe)式指紋識別技術。一年前矽谷老牌人機互動公司Synapitcs收購Validity,借助自己和PC廠商以及手機廠商的固有合作關係推廣指紋識別技術。

Synapitcs是PC觸控板、變形筆電觸控螢幕IC、智慧型手機觸螢幕控制器領域市占率第一的供應商。因此它和聯想、三星、小米、摩托羅拉等PC、手機廠商都有密切的合作關係。在AuthenTech按壓指紋識別被Apple獨佔的時間段內,Validity幾乎成了Android廠商唯一的選擇。

昨天Synapitcs在北京舉行的記者會上,聯想透露除了和Synapitcs進行手機觸控螢幕上的合作之外,還有關於指紋識別方面的合作,暗示聯想將推出配備指紋識別技術的新款機型。

然而Synapitcs的問題在於,垂直滑動式的指紋識別用戶體驗不夠好。滑動的角度和速度容易影響成功率,而且滑動手指這個動作不太符合用戶日常的操作習慣。在記者提問時,Synapitcs CEO Rick Bergman表示他們也很關注按壓式指紋識別技術,收購Validity之後,加倍擴充了其研發團隊,年底將發佈兩款改良後的指紋識別技術。

Rick Bergman還表示在一年多之前Synapitcs押注指紋識別是「承擔風險的舉動」,而這種冒險已經有所回報,現在他們已經成為筆記型電腦/手機指紋識別領域佔有率第一的品牌。

手機上的指紋識別的市場潛力已經初步展現,不同領域的玩家也在進入這一市場。
據悉華為mate 7則使用了來自瑞典Fingerprint Cards提供的觸摸式指紋感測器。FPC之前主要用於銀行等行業,這是他們的首款行動觸摸感測器。FPC不會是唯一一家進入這一市場的企業,原本在銀行、安全等領域耕耘的生物識別公司現在都嗅到了手機指紋識別市場的風向,行業觀察者認為未來將會有10餘家公司進入這一市場。

Android指紋識別上還有一個生態難題:尚未得到Android官方系統的支援,指紋識別技術目前還不能惠及整個生態。除了用於解鎖外,手機廠商只能分別去和應用程式公司合作來推廣指紋識別的應用場景,例如三星、華為和Paypal、支付寶的合作,不能取代密碼用於Google帳號的登陸、Google Play商店的購買等。不過隨著越來越多的Android機型也配備指紋識別,獲得官方系統支援應該只是時間問題。雖然目前的方案還都比不上Apple獨佔的AuthenTech技術,但指紋識別比官方系統內建的人臉識別,效果可好太多了。

隨著我們手機的個人隱私和資料越積越多,不設防就太冒險了,而如果設置繁瑣的解鎖圖案、密碼又太麻煩。指紋識別的意義不在於完全取代密碼,而是尋求便利和安全的平衡,相比頻繁輸入密碼更便利,而且指紋可以作為一個身份ID,用於更多需要身份驗證的應用和場景。

security

HKEPC助調「不誠實使用電腦」案 網上請慎言 小心木馬黑客防中招

HKEPC 21 日公告近日接獲香港警方商業罪案調查科科技罪案組的要求,正在協助調查有關「有犯罪或不誠實意圖而取用電腦」之案件。據了解,近日有不少網民號召群眾突擊佔領區、鼓吹參與非法集會,甚至是表示會衝擊或攻擊警方,雖然網民可能只想渲不滿情緒並無實質行動,但以上行為即屬犯罪,一經循公訴程序定罪,可處監禁最高 5 年。 HKEPC 編輯部表示,有關調查主要涉及 HKEPC 討論區內之討論文章,現時 HKEPC 正在協助警方調查中,並無法透露相關案情,但 HKEPC 編輯部希望讀者們要小心網絡言論,網絡世界並非完全自由,胡亂留言可能會隨時墮進法網。 據余兆龍律師指出,網民在討論區上留言,如令人懷疑有犯罪意圖,當中涉及號召、圍攻、惡意攻擊等危險字眼,其後果會導致他人損失或影響公共安全,已干犯香港法例第 200 章「刑事罪行條例」第 161 條「有犯罪或不誠實意圖而取用電腦」,一經循公訴程序定罪,可處最高監禁 5 年。 早前警方於天水圍拘捕一名二十三歲男子,正是在討論區鼓吹他人到旺角參與非法集會、衝擊警方,並揚言癱瘓港鐵,被捕後已向警方承認所為,現時獲准保釋須下月中旬到警署報到。 據余兆龍律師指出,雖然HKEPC 會員資料受到香港法例第 486 章「個人資料 ( 私隱 ) 條例」所保障,但執法部門可以透過任何成文法則,法律規則或法院命令規定或授權要求, 勒令網絡供應商需就防止或偵測罪行作出披露。現時, HKEPC 均按照法律程序,當收到任何執法部門要求索取網民資料時,要求其證明已取得合法授權下才會移交。 HKEPC 什麼是「不誠實使用電腦」 ? 所謂「不誠實使用電腦」,正確是香港法例第 200 章「刑事罪行條例」第 161 條「有犯罪或不誠實意圖而取用電腦」,任何人有下述意圖或目的而取用電腦, (a)意圖犯罪( 不論是在取用電腦的同時或在日後任何時間 ) ; (b)不誠實地意圖欺騙( 不論是在取用電腦的同時或在日後任何時間 ) ; (c)目的在於使其本人或他人不誠實地獲益( 不論是在取用電腦的同時或在日後任何時間 ) ;或 (d)不誠實地意圖導致他人蒙受損失( 不論是在取用電腦的同時或在日後任何時間 )…

security

保護企業資料很重要、應如何有效地預防?

    毫無疑問,目前資料外洩常常發生,大型企業例如Target、eBay、JP Morgan Chase和Home Depot等公司都出現過非常嚴重的資料外洩事故。根據2014年Verizon PCI DSS 的報告顯示,只有11%的企業沒有遭遇過資料外洩等安全事件。根據資料,JP Morgan的資料外洩是由於一名員工在家中辦公引起的,攻擊者利用VPN連接從而提取資料,而Target則是因為一封釣魚郵件而洩露了超過百萬條信用卡記錄。 攻擊線上業務的方式多種多樣,而黑客可能只選取一種方式來進行網絡攻擊,但是安全和管理專家必須要掌握或考慮到各種各樣的攻擊方式來應對黑客攻擊。這並不僅僅是IT問題,而是管理的問題。Gwen Thomas在其名為Alpha Males and Data Disasters一書中對資料管理描述得非常清楚,她認為資料管理是保護企業安全的基礎。在Alpha Male部分,Thomas提到了一種典型的中層管理方式,強調管理人員在管理資料的過程中要自己來做決定,只有在沒有其他選擇的時候才可以諮詢其他主管或者企業高層。這樣的方式對主管直接管理資料非常有意義,但是也可能會危及企業的安全。 管理和治理之間有什麼分別呢?資料治理是指將企業、規範、決策權、員工責任和系統作為執行資訊決策流程的依據。資料治理有三個任務:1)定義管理規定,2)迅速解決因不遵守規定而引起的問題,3)在保護和服務於資料利益相關者時要遵守規定。 現在回到資料外洩的問題上,以上提到的資料外洩事件中又有多少與資料治理相關呢?答案是有的。基於此,可以看看企業將如何保護企業系統的安全?同時,企業要怎樣做才能停止或減低資料外洩事件的發生? 首先,企業要確保做到100%的合規,包括PCI DSS、FISMA、GLB和SOX規定。第二,訓練使用者的網絡安全技能知識,並提高使用者的網絡安全意識。據Verizon 2012年資料外洩調查報告指出,檢查漏洞最有效的辦法是用戶自己進行內部檢查。第三,企業需要每天進行測試和瀏覽,而不是每週或每年,因為網絡攻擊每時每刻都有可能發生。 對於資料外洩,企業不能坐視不理或者沒有任何改變。在如今是網絡犯罪的新時代,企業需要轉換模式,這也是一個轉捩點。企業不僅僅要有單純的應對措施,還要有長遠的考慮和戰略計畫。 最後,企業還可以參照Gartner 2014年的“自我調整安全架構”(Adaptive Secaurity Architecture)。內容總結如下:   企業網絡安全的主要挑戰   1. 企業現有的阻止和預防能力並不足以對付主動的、高級的網絡攻擊; 2. 大部分企業過度投資於防禦策略; 3. 供應商的檢查和預測能力並沒有得到良好的配合,同時也增加了成本,降低效率; 4. 企業的資訊安全管理不具備檢查較強的攻擊; 5. 企業系統可能會遭受持續的網絡攻擊,而企業僅採取“事件回應”(指安全事件發生時去解決問題,而不是對企業網絡進行持續性的監控和管理)來解決問題是不對的。   處理建議   1. 轉變態度,要從“事件回應”轉變為“持續回應” ,企業內部的系統需要持續的監控和調整; 2. 採取自我調整的安全架構來保護企業從而不受較強的攻擊; 3. 防禦上的投資要少一些,將更多的資本投入到檢測、回應和預測上; 4. 支援供應商提供的電腦和應用安全保護平台,同時配合預測、防禦、檢測和回應的能力; 5. 開發一個安全操作中心,支持持續檢測,並負責持續威脅保護流程; 6.…

500萬谷歌Gmail帳戶和密碼外洩

500萬谷歌Gmail帳戶和密碼外洩

gmail

 

據CNN Money報導,目前還不清楚這些人如何收集到如此大量的電郵用戶名和密碼。谷歌(Google)公司表示,其服務器並沒有被攻擊,也沒有證據顯示有數據洩漏出去。這份名單是此前黑客攻擊洩漏的密碼的集合——很大可能性是用戶個人電腦被攻擊後丟失的數據。

谷歌公司發言人卡羅琳‧馬修斯(Caroline Matthews)說:「沒有任何證據表明,我們的系統遭到入侵。」該公司還表示,事實上,尚未有證據證明這些洩漏的數據是真實的。

不過,為了安全起見,谷歌仍然建議那些受影響的用戶採取預防措施,進一步保護自己的Gmail帳戶。例如,設置一個更複雜的密碼,並使用被稱為「雙重驗證」(two-step authentication)的額外安全功能。

此前,針對數十位明星私密照外洩事件,蘋果公司(Apple Inc.)9月2日發表聲明稱,部份的名人賬號被人透過用戶名稱、密碼和安全性問題等相當針對性的攻擊而外洩,這種做法在網路上屢見不鮮。

針對iClound資訊安全的疑慮,網絡專家建議,不要使用易被破解的密碼、每3個月更新密碼、適時關閉電子產品的同步備份功能等都是相當必要的。