Tag: 网络安全

■■去年9月温市无党派协会（NPA）5位学务委员候选人，共同签名反对欺凌。左二为学委多米纳托。资料图片 ■■学生安全使用互联网，是被各方长期关注的话题。资料图片 星岛日报李群报道 近日社交网站“脸书”(facebook)爆出个人资料外泄丑闻，其创办人兼行政总裁朱克伯格（Mark Zuckerberg）在美国国会作证接受“拷问”，更承认犯错及道歉。为此，学生上网安全议题再度引起关注。温哥华教育局（VSB）学务委员指出，家长可参考此前公布的“学生安全上网家长指引”，并建议家长尽早与子女探讨网络安全，而非等到问题出现才匆忙应对。此外，教育局将举办两场互联网安全家长咨询会，欢迎公众积极报名。 近来“脸书”成为令人关注的焦点，据称该社交媒体8,700万用户资料确认遭流出，权益可能受到侵犯的用户或高达20亿。众所周知，脸书很多用户为青少年，学生们如何保护自我隐私、不触犯网络欺凌甚至犯罪的红线，是家长和教育工作者关注的问题。 家长应了解子女网上活动 VSB学务委员多米纳托（Lisa Dominato）周四接受《星岛日报》记者访问时表示，时下越来越多的青少年学生拥有智能手机，而且浏览网页、使用社交媒体及多种手机应用程式（APP），几乎成为他们每天必做的事情。青少年上网安全是重要议题，VSB早就做出学生安全上网家长指引，教科书中及教师在教室内，也会向学生介绍这方面的知识。 多米纳托说：“家长在教育子女时无疑也面临挑战。目前大多数中年以上父母，就读中学及成长过程中并没有互联网，不少家长对众多软件、社交媒体及手机应用程式并不了解，不知道应从哪些方面入手关注子女的上网安全。” 她建议家长，教育子女网络安全应防患于未然，即使未发现孩子存在问题也要尽早与子女沟通。在这方面家长应注意沟通技巧，在了解孩子使用社交媒体及应用软件的基本知识后，在尊重子女独立性的同时，要以开放交流方式了解子女到底上网从事哪些活动。 温哥华教育局制订的该指引，除了讲解学生浏览网页、使用社交媒体以及收发邮件的好处、危险及安全应对策略外，更提供家庭上网安全计划，以及高中生与家长互联网安全协议，供家长使用。也提供发现子女参与网上欺凌，或遭受欺凌时的应对小贴士。家长若需要这些资讯，可以前去子女就读学校或VSB索取。 举办网络安全家长咨询会 多米纳托表示，VSB已安排两场学生网络安全家长咨询会。首场为4月16日（周一）晚6时半至9时举行，地点在百老汇东街（E. Broadway）2600号温哥华工业中学（Vancouver Technical Secondary School）。 第二场将在5月8日（周二）晚6时半至9时举行，地点为温市西区威尔士亲王中学（Prince of Wales Secondary School），地址为埃丁顿路（Eddington Dr.）2250号。 有大温的华裔家长及青少年义工表示，支持VSB提供的指引，还特别指出家长与子女的上网合约帮助大。

● 加拿大互联网注册局调查报告指，有近两成加国公司及机构去年曾经被勒索软件袭击。网上图片 本报记者 加拿大约三分一机构的敏感资料遭网上盗窃。加拿大互联网注册局(CIRA)首次向.ca的网址追踪进行的调查发现，有近两成的加国公司和机构在去年曾经被“勒索软件”(Ransomware)袭击。 加拿大互联网注册局表示，网址以.ca结尾的网页，有82%是企业、非牟利和政府机构，其余是私人用途。 这些加国企业和机构在过去的12个月内，有19%被“勒索软件”入侵，有22%被受到“阻断服务攻击”(DDoS)，有32%的用户被“网络钓鱼”(Phishing)手法泄漏敏感资料。77%的小生意负责人对黑客攻击感到忧虑。 36%人无设个人电脑保护程式 不过，报告对企业和机构被“勒索软件”攻击的情况感到怀疑。 因为只有24%的受访者回应，个人或家人的电脑或手提电脑曾被“勒索软件”入侵，只有3%的人承认因为电脑瘫痪而被迫支付赎金；但当被问及是否知道有人遭受病毒攻击时，比率却大幅上升至41%。 有85%的受访者曾经收到“网络钓鱼”的电邮，但只有6%的人因此而泄漏网上银行或其他讯息；但有17%的人在过去12个月曾经遇到不实的银行帐户交易或信用卡问题，反映出黑客透过其他途径盗取个人的网上银行资料。 调查又发现，网址负责人对网络安全和个人防护的知行合一方面存有极大的差距。有36%的人从没有花任何金钱为他们的个人电脑或手提电脑安装保护程式，有32%的人每年在防病毒、防火墙和其他保安方面的花费仅是10至50元，有21%每年花50至100元，只有12%的入每年花超过100元保障个人电脑安全。 注册局副总裁Dave Chiswell指出，加拿大面对日益复杂和快速演变的网络安全威胁。 数据显示，网络安全不仅是机构电脑部门的问题00，广泛影响所有上网的加拿大人。 注册局致力为加国企业和机构提供教育和发展简单解决方法，以维护网络安全。特别是研发DNS防火墙以应付这些挑战。

■调查报告显示，全国差不多所有公司正面对网络安全威胁。资料图片   本报记者 有报告指去年10间加拿大公司中，有9间的网络安全每日至少遭攻击一次，复修费用平均高达370万元。  由IDC Canada于去年11至12月期间，透过Scalar Decisions Inc访问了加国420间资讯科技公司，及网络安全工作者所作出的一份2018年网络安全研究调查报告显示，全国差不多所有公司正面对网络安全威胁，包括敏感数据被盗取，且情况愈来愈恶劣。 报告显示，大部分加拿大公司的网络安全每年平均遭严重袭击逾450次，87%更至少一次被成功击破，近46%没有信心能抵御攻击。 Scalar Decisions安全架构师韦基（Theo Van Wyk）表示，因为网络安全漏洞似乎已变成新常规，公司再不能抱怨。他指很多公司虽然已聘用了专职的网络安全保安员，但防守仍有漏洞，这令公司不断遭网络攻击，导致复修网络安全的成本不断上升。 韦基表示，加国公司在优先考虑网络安全方面做的愈来愈好，但仍缺乏训练及计划。公司需要放眼他们的基础设施，并权衡他们面对内部及外面第三方带来的风险。如果不能在内部追踪，聘用外面的专家来支撑防御亦不失为一个有效方法。

综合报道 被外界称为“超级秘密间谍机构”的加拿大电子间谍机构CSE，昨日前所未有地向公众发布该机构开发的网络防御工具，以帮助公司和组织更好地保护自己的电脑和网络，免受恶意威胁。 据加拿大广播公司（CBC）报道，很少为外界所知的加拿大通讯安全局（The Communications Security Establishment，CSE）， 除了美国国家安全局前情报人员斯诺登泄密事件公布有关该机构的一些活动外，其行动甚少被披露。 CSE最近承认应该向加拿大民众更多解释其工作，昨日他们向公众开放一个恶意软件分析工具源代码（open-source malware）的方式，揭开了自己的神秘面纱。CSE称，这个名为流水线（Assemblyline）的恶意软件分析工具，被用于日常保护加拿大政府的庞大网络基础设施。 CSE的IT安全部门主管Scott Jones表示，开放流水线的源代码是一个很明智的公共关系行为，因为其机构正在为了摆脱“超级秘密间谍机构”的名声，而试图提高公开透明度。另方面，该机构指影响加拿大人和加拿大企业的网络威胁不断扩大，CSE在网络防御上应承担比过去更多的公众角色。 让社区网络防御更智能化 一名多年研究CSE活动的独立专家表示，CSE此举对该机构而言是一个破天荒的大变化，但对于被称为五只眼（Five Eyes）的合作伙伴，包括澳大利亚、加拿大、新西兰、英国和美国的情报分享联盟来说，这也不算新鲜。美国国安局和英国政府通讯总部（Government Communications Headquarters，GCHQ）一直在代码共享存储库GitHub上保持积极的努力。 本次CSE分享的流水线工具，被描述为类似于传送带，当文件进入系统后，就会有一些类似小助手的应用程序，自动梳理每一个文件寻找恶意线索。在出去时，每个文件都会有一个代码，这使得分析人员可以从新的攻击中排除旧的、熟悉的威胁，再用更仔细的手工的分析方法来对付它。 尽管CSE的工具也有可能被用来检测其自己或其合作伙伴设计的间谍软件，但Jones认为，无论它检测到的是犯罪集团还是国家或别的什么，都是好事情，因为这使得社区在网络防御方面变得更智能化。他也不担心向公众发布源代码将使对手更容易伤害政府，或了解CSE如何行事。他相信此举的好处远大于风险。

■IT专业人士萧振华 综合报道 美国国土安全部昨日发出警告称，比利时研究人员发现，用于给WiFi加密的WPA2（无线保护准入）协议存在漏洞，可能会允许黑客阅读加密的信息或感染恶意软件的信息，广大移动用户在使用WiFi通信系统时存在网络风险。 据加拿大广播公司（CBC）报道，美国国土安全部计算机应急小组的警报表示，由于WPA2协议的缺陷，用户在使用WiFi进行私人通讯时可能会被骇客入侵。它建议在受影响的产品，如思科系统公司（Cisco Systems）或瞻博网络（Juniper Networks）公司提供的路由器上安装供应商更新。 WPA2普遍被视为安全的WiFi加密方式，也是目前最广泛使用的WiFi加密方式。协议保证了供应商使用的现代WiFi系统在手机、笔记本电脑和其他与互联网连接的路由器之间进行无线通信。 然而，最近比利时鲁汶大学研究人员Mathy Vanhoef和Frank Piessens，发现了名为Key Reinstallation Attacks（KRACKs）的WiFi WPA2破解方法，令到WiFi加密方式再次陷入安全危机。 他们在一个网站www.krackattacks.com上说，如果用家的设备支持WiFi，那么它很有可能会受到影响。他们在该网站上提供了有关缺陷的技术信息和易受攻击的设备被攻击的方法。 目前还不清楚黑客利用这个漏洞攻击用户到底有多困难，及是否曾经使用该漏洞来发起任何攻击。 代表数百家WiFi技术公司的行业组织WiFi联盟表示，可以通过简单的软件更新来解决这个问题。该组织在一份声明中表示，它已经建议成员快速发布补丁（patches），并建议消费者快速安装这些安全更新。 IT专业人士萧振华昨日在接受本报访问时，进一步解释了本次事件对普通民众的影响。他表示，经过他对事件的初步研究，发现本次的WPA2漏洞主要是涉及使用Android和Linux系统的用户，因此大概会涉及全球范围内40%的WiFi用户。即使是使用Android 6.0以上的较新版本的用户亦有机会受影响。 他同时也指出，比WPA2漏洞更可怕的是那些可以提供免费WiFi的僵尸服务器，一旦其进入设备就可以窃取个人信息。 他提醒手机和笔记本电脑等移动设备的用户，目前能做到的，是在安全系统还没有更新前，凡是要登陆银行或购物网站等敏感信息的网站,都不要使用WiFi，而是使用4G LTE等数据流量。而家中的电脑所链接的路由器，也可询问供应商是否已经更修复了安全漏洞。相信各供应商和敏感机构的网络安全部门很快就会解决此问题。