The reading notes record thoughts from things I read. 這網誌是我的一些閱讀後的思考和摘要記錄。My website 我的網頁: http://raympoon.playgroundhk.com

Category Archives: IT Management

網上銀行保安措施

電腦保安是一個重要課題。一直以來大家都知道除了已公開的資料外所有資料都需要保密。資料 通常是記錄在文件上,而文件檔案有各種方法收藏,不過一向以來都常有文件遺失或失竊事件發生。進入電腦時代,資料保存有了新方法,從好的方面看,資料可以保存得更好,用很少的資源就可以儲存大量資料,存取很方便,而且有很多加密方法。其缺點亦是因為方便而使資料使用者減低了介心,又一旦失竊時大量資料可同時被盜取;這個情況因為資料在互聯網上流動而更為嚴重。 資訊科技界和電腦竊匪之間有永不完結的較量。我們只能希望自己走先一步,可以使用最新的電腦保安方法。安慰的是使用電腦者數以億萬計,而不幸被竊者仍只屬少數,其或然率比家居失竊要低很多。 幾年前各國曾有數宗銀行電腦資料失竊事件,使銀行界要提升網上銀行保安措施,以挽回顧客的信心。當時並無好的方法,銀行唯有倒退到石器時代,要顧客自行攜帶一個密碼產生器 Token,用以進行網上交易。我在2005年已指出這個做法和先進網上服務的概念相反,而當時亦有更佳和更準確的保安方法。如果你有興趣,可以看看我在2005年寫的博文。有些銀行選擇用 token,其實是向電腦竊匪投降,自動將網上服務的便捷性降低。 當時銀行的錯誤信念,是以為只使用一次的密碼萬無一失,其缺點只是要顧客小心保管,和定時更換 token。事實並非如此,下面的報導說有電腦竊匪可以截取密碼,而又在密碼未失效前轉走存款。回到基本電腦保安ABC,各位有必要為電腦安裝並更新最新防病毒軟件,並要小心防範可疑的電郵和網站,不要以為有 token 就很安全。如果銀行有提供 SMS 確認服務就要從速登記使用,並要檢查所有該等訊息都是正確。既然使用網上銀行服務,大家就不妨天天都上網看看戶口活動記錄,一來可以監察是否有可疑活動,二來可以欣賞自己的銀行戶口結餘。 *************加強網上銀行服務的保安措施2009年7月13日(星期一)香港時間18時25分下稿代香港金融管理局發出:鑑於近期本港及海外網上銀行騙案所涉及的行騙手法愈來愈先進,香港金融管理局(金管局)今日(七月十三日)發出通告,要求所有認可機構加強網上銀行服務的保安措施。金管局注意到,近期騙徒的行騙手法是趁銀行客戶登入網上銀行時,透過客戶已受特洛伊木馬軟件感染的電腦來套取客戶的登入認證資料(包括用作雙重認證的只用一次的密碼)。騙徒利用這些登入認證資料進行屬高風險類別的網上銀行交易,例如轉帳至未經登記的第三方戶口。金管局發言人表示:「由於有關的行騙手法愈來愈先進,認可機構有需要加強保安措施以打擊網上銀行騙案。其中一項重要保安措施,是認可機構須在完成一宗高風 險的網上交易(如將資金轉帳至未經登記的第三方戶口)後,即時連同交易詳情以手機短訊或其他有效方式通知其客戶。金管局強烈鼓勵銀行客戶充分利用這項服務,核實交易詳情,如發現有任何未經授權的可疑交易時,則馬上通知其銀行。我們相信只要銀行客戶和銀行均採取適當的保安措施,使用設有雙重認證的網上銀行 服務仍然是安全的。」金管局將繼續與香港警務處及銀行業界合作,監察與網上銀行騙案有關的最新科技發展及趨勢。金管局會不斷加強網上銀行保安及消費者教育活動,為香港網上銀行建立一個安全及方便的環境。*************

Is it safe?

Many people ask the million dollar question all the time: Is it safe to download software from the Internet? There are so many wonderful software to be downloaded. However, they are also a major source of security breaches. How can we have the best of both worlds, downloading useful software but being immune to malicious […]

Foxy 禍

個人資料經互聯網洩漏的事件在三月又再發生,禍首又是Foxy軟件。屈指一算去年至今的同類事件,十隻手指竟然不夠用。已曝光受傳媒報導的有: 2008年4月5日:透過Foxy搜尋,可尋獲多份警察內部表格、程序手冊。 2008年5月8日:用Foxy發現入境處多份機密文件,包括監視人士名單、檢查護照的機密細節等。 2008年5月27日:有市民使用Foxy搜尋時,發現警方的機密檔案,包括臥底探員的資料。 2008年6月1日:透過Foxy找到警隊商業罪案調查科機密檔案,包括一份督察及警長辦公室電話及手提電話號碼。 2008年6月14日:有網民從Foxy搜尋,找到一份海關落馬洲管制站關員撰寫的案件口供紀錄,另 外找到三份屬於兩名公立醫院的女病人病歷。 2008年7月7日:入境處再度經Foxy洩漏多份機密文件,包括印尼及伊朗旅客使用假證的調查報告。 2008年8月8日:警方再度經Foxy洩漏六份機密文件,包括口供紙,劫案及毒品案的報告等。 2008年9月30日:有網民經Foxy發現警方內部文件,包括衝鋒隊隊員須知,嚴重案件的處理程序。 2009年2月8日:消防處內部資料在網上外洩,包括一批消防員的考核報告、月薪及職級等個 人資料。 2009年2月8日;一名警員向聚賭疑犯錄取口供的資料文件透過Foxy 流出,包括列明個人資料的會面紀錄。 2009年3月7日:上水及大埔警署的內部文件在Foxy外洩,其中多是上水警署的內部文件,包括口供紙等。 以上只是和政府部門有關的洩密事件,其實還有很多其他資料,例如律師樓內部文件、球隊出糧記錄等等,經Foxy洩漏。有同事因此十分恐慌,認為Foxy神 通廣大,世上再無私隱;他詢問我是否應該繼續上互聯網,甚至是否應該將個人資料放在電腦。我安慰他這些事件被傳媒跨大,最重要的是自己小心。 但Foxy為什麼如此神通廣大呢?這個軟件只是一個點對點檔案共享軟件;互聯網上有不少這類軟件提供點對點檔案共享服務,這個通訊模式是世界趨勢,亦是 Web 2.0重要的一環。資訊在互聯網上流通當然會有洩漏的風險,這個問題資訊科技保安人員非常了解,而各種保安措施亦已蓬勃發展,那麼Foxy出了什麼問題? 在正常操作下,Foxy只使用兩個主資料夾,一個是由用家自己設定的共享資料夾,這個資料夾內的檔案是用家放入和其他人共享,多是照片、 音樂或需要傳遞的文件。因為會和他人共享,所以用家應該不會放入私人資料或敏感資料。另一個是儲存下載檔案的資料夾,這個資料夾只用來暫時儲存下載的 檔案,不應儲存私人資料。第一個重要的問題就是這兩個資料夾的設定。如果用家不小心將敏感資料檔案放在這裡,就有機會被他人下載。第二個問題是如果用家不 熟識檔案夾架構而選擇將下載的檔案放在桌面或『我的文件』內,它們所有的子資料夾,即是電腦內所有的檔案都可以經Foxy找到。第三個問題是Foxy的基本搜 索功能,可以自動將它接觸到的檔案排序編成目錄,使所有的用家很容易就可以用一兩個關鍵字找到資料;一些敏感的字眼在互聯網上經常被搜索。第四個問題 是Foxy的標準設定是當用家開著電腦,系統就會在背景自動執行Foxy;其用意是想搜索檔案時更有效率,但當有洩密情況時危險就會被擴大。這些其實都是 可以避免的,只需在資料夾設定時小心,又不要將敏感檔案放在Foxy使用的資料夾,亦可將Foxy改為手動執行。 但Foxy的危險並不止於不小心使用。有電腦保安專家認為Foxy軟件的界面本身存有漏洞,它的設定是需要用家自行將防火牆減弱,變相打開了網絡保安的缺 口;有 人甚至為了下載檔案,而將防毒軟件暫時關閉。坊間流傳的Foxy版本,多經過 改裝,可能被混入間諜或木馬等程式;而Foxy本身並未有安全的版本下載,故無法確定用家可百分百安全使用。 互聯網和其他地方一樣,是沒有百分之一百安全。我們經常聽到有些很重要的機構都有保安事故發生,電腦保安和互聯網匪徒是經常在競賽,互有勝負。我們可以希 望專業匪徒只針對高價值目標,但我們仍需做好合理的保安措施,應付常見的滋擾。很多人說互聯網是一個森林,內有猛獸。我覺得互聯網是一條繁忙的街道,危機 四伏,馬路如虎口,路上有扒手,行人有時是劫匪,兩旁的商店有不少是黑店;但我們總要出門,只要小心謹慎,街道上其實五光十色,機會處處。

Making Web 2.0 work

Web 2.0 has been here for several years. They mainly include technologies and applications such as blogs, wikis, podcasts, information tagging, prediction markets, and social networks. Many companies have taken advantage of the trend and engaged web 2.0 in the business environment, with some degree of success. McKinsey recently conducted a study on the success […]

Phishing

Phishing is now a common source of computer crime. The trend of phishing through email and websites is growing at high speed. It has become a threat to computer users as a major source of malicious software as well as a way to steal personal information. Scientific American published an article recently on how to […]

Internet security suite

I read from e-zone this week an article on the latest trend in the Internet security scene. It is a suite of topics and many of them are well known. But the article provides the current situation which is worthy of refreshing our awareness of the problem. Statistics collected by Kaspersky Lab show that, in […]

Phone heaven in the Vatican

I read this in a hotel in Japan. It was a copy of Los Angeles Times, specially produced in co-operation with the Yomiuri Shimbun 讀賣新聞. The article was written by Sebastian Rotella in Vatican City in Rome. When I was back in Hong Kong, I read it again at the Los Angeles Times website. For […]

Insecure behaviour

You may think that it is very careless or very unfortunate to have your computer infected with virus. Shouldn’t we be very cautious in surfing the Internet, watching out for danger every step of the way, and shying away from anything dangerously attractive. What do other people do when surfing? To answer your question, Cisco […]

Seven online sins

It has always been said that the Internet is a jungle. It is full of danger with cyber-criminals looking for victims, and traps of deception everywhere. Notwithstanding that, Internet is a major source of information on everything. Many people nowadays cannot live without it. So, the danger has to be dealt with. In fact, many […]

Cybercrime of Web 2.0

We have entered the era of Web 2.0. It is a world of intensive and extensive horizontal communication with much increased free flow of information. With the freedom, there comes increased risks in a more chaotic jungle of information. CNN recently reported on the modern trend of cybercrime which is taking advantage of Web 2.0. […]