PCM

標籤: 加密

  • Zoom 整合 Okta 方案 藍盾確認與會者身分

    Zoom 整合 Okta 方案 藍盾確認與會者身分

    Zoom 持續兌現提升虛擬通訊安全的承諾,最新與美國身分及權限管理供應商 Okta 推出 Okta Authentication for E2EE,付費用戶毋須整合多方的解決方案已可在點對點加密(E2EE)會議中驗證參加者身分。此合作主要回應混合模式的普及,隨時隨地工作,通過方案可簡易確認參加者身分,保障安全,並可減少用戶在應用程式之間切換所花的時間。

    Okta Authentication for E2EE 使用該公司的身分驗證技術,從驗證點對點加密會議參加者的電郵確認身分。當確認用戶的身分後,其名字在參加者列表中會顯示藍色盾牌圖標,其他參加者可以將滑鼠移至圖標,查看參加者的公司網域、 Okta 已驗證的電郵等相關資訊,確認是否與會議參加者的資料吻合。

    在 Zoom 使用 Okta Authentication for E2EE 的方法亦見簡單,帳戶管理員先在下載「 ZoomE2E 」應用程式,並且啟用「 Okta Authentication for Zoom E2E Encryption 」,便可在 Zoom 的設定頁面找到「安全性」啟用 Okta 點對點加密身分認證功能。啟用此功能後,用戶在設定中啟用身分共享功能,便可在點對點加密會議中與其他用戶共享個人資料。根據會議參加者的個人設定,用戶的個人身分認證功能會自動啟用,或者被重新連結到 Okta 網頁,然後要求使用登入資料進行雙重身分驗證。當參加者完成身分認證後,其他參加者可以點擊藍色盾牌圖標或彈出視窗,確保與真正用戶進行協作和溝通。

  • 若英國通過《網絡安全法案》 Signal 表明放棄市場

    若英國通過《網絡安全法案》 Signal 表明放棄市場

    英國議會近日對由 Boris Johnson (約翰遜)提出的《網絡安全法案》(Online Safety Bill) 進行審議。法案其中允許通訊管理局 (The Office of Communications, Ofcom) 可能會要求服務商或相關機構掃描「端到端加密」應用程式上的內容,以尋找兒童性虐待或恐怖主義等證據。即時通訊軟 Signal 主席 Meredith Whittaker 表示,若法案獲通過,絕對會 100% 放棄英國市場,停止在當地提供服務。

    根據《英國廣播公司》(BBC) 的報道,多間從事數據私隱及安全通訊業務的公司,以及通訊軟件平台表態,擔心新法案削弱訊息系統的私隱度,不單要用戶付出代價,更甚者會令手機變成為專為科技公司或政府而設的大型監控設備。另一主流即時通訊軟件 WhatsApp 較早前已就此法案表明不妥協。

    不過,政府和兒童保護慈善機構一直認為,加密技術阻礙打擊越趨嚴重的網上虐兒問題。內政部(Home Office)更強調,科技公司應盡一切努力確保其平台不會成為戀童癖者的溫床。同時,《網絡安全法案》並不代表要禁止端到端加密,而是任何科技改進都不應不削弱公共安全,尤其是兒童的網上安全。「法案的目的不是隱私或兒童安全之間的選擇,可以兩者兼顧。」

  • Zoom 免費用戶無加密 CEO:會議內容要交畀執法部門

    Zoom 免費用戶無加密 CEO:會議內容要交畀執法部門

    Zoom 早前爆出的一連串安全醜聞,罪狀之一未有如所聲稱般端到端加密。該公司正在認真開發這加密功能,但卻只會給付費用戶。創辦人袁征日前在業績會議上表明,免費用戶不設加密,因要配合 FBI 和其他執法部門,交出不法和不當用途的會議內容。

    兩個月前,The Intercept 揭發 Zoom 並不如所宣稱的為視像會議作端到端加密。公司發言人甚至表示,不能做到真正端到端加密。其後加拿大公民實驗室發現,即使視像會議個別部分有加密傳送,強度亦僅 AES-128, 不及所宣稱的 AES-256。這亦代表著,用戶之間的通訊,有機會遭第三方截取。

    Zoom 在連番安全醜聞之後,在 4 月初決定要 90 日專注解決這些漏洞。袁征在業績會議上被問到,何時會推出真正的端到端加密。他稱,正在密鑼緊鼓研發該功能,將在稍後推出,不過只限付費用戶,以及需要加密對話內容的非牟利組織和異見團體,而免費用戶不受加密保護。

    他解釋,免費用戶或會不當使用 Zoom 平台,當有需要,會配合 FBI 和其他國家的執法部門,提交相關的證據,因此內容不能夠加密。付費用戶可享端到端加密,因 Zoom 有其個人資料,執法部門需要時會交出,而免費用戶只用電郵登記使可,真實身分難以追蹤。

    該公司新聘的安全顧問 Alex Stamos 在 Twitter 上補充,公司不會主動監控會議內容,日後亦不會這樣做。

    至於付費用戶的端到端加密,袁征表示,若啟動會無法使用個別功能,例如話音電話接入、無法連接 H.323 視像會議設備,亦無法作雲端錄影。

  • 【HTTPS 新時代】 TLS 1.3 正式版出台 瀏覽器、Facebook 陸續響應

    【HTTPS 新時代】 TLS 1.3 正式版出台 瀏覽器、Facebook 陸續響應

    上周五 8 月 10 日, IETF ( Internet Engineering Task Force )公布了正式版 TLS 1.3 版本。這可說是將網絡加密連接帶進新階段,不單提升 HTTPS 連線的速度,更大大提升了保安程度。而 Mozilla 就在今日公布將會在 Firefox 版本 63 開始支援 TLS 1.3 正式版,其他網絡服務也開始展開支援工作。

    TLS ( Transport Layer Security )其實應用在防止網絡連線被攔截和竄改的 HTTPS 連線上使用的協議,而我們口中常說的 SSL 加密連線其實已經有 20 年歷史,現在的加密連線其實都已在使用更先進的 TLS 1.2 ,不過它也已經有 10 歲了,當中不少雜湊加密方法都已經被評定為過時而容易被破解, TLS 1.3 推出就是要改革連線加密。

    瀏覽《 PCM 》網站時,其實你正受到 TLS 1.2 協議的保護,而將來就會升級至 TLS 1.3 。
    瀏覽《 PCM 》網站時,其實你正受到 TLS 1.2 協議的保護,而將來就會升級至 TLS 1.3 。

    加強保安及私隱

    在保安和私隱強化上, TLS 1.3 對大部分交握過程加密。此外,TLS 1.3 廢除了過時的加密雜湊方式,例如 RSA 密鑰交換、 SHA-1 和 MD5 ,只集中使用幾款公認有效的加密措施,例如橢圓曲線迪菲.赫爾曼密鑰交換。而為了確保 TLS 1.3 的可靠性, IETF 也與不同團體合作進行驗證。

    提升加密連線速度

    隨著流動網絡普及,網絡人員發現現在每個加密連線請求都會增加超過 100 毫秒延時,加密請求增加,累積起來的延時就難以接受。 TLS 1.3 另一個重點任務就是簡化交握程序,由兩次往返減至一次往返,加快加密連線的速度。而且更加入「零往返模式( zero round-trip mode )」,讓客戶端可以早到第一組封包就開始傳送資料給伺服端。

    [row][double_paragraph]

    TLS 1.2 的交握程序,可以看到由請求到用戶收到伺服器回應共要進行七個步驟(兩次往返)(資料來源: Cloudflare )
    TLS 1.2 的交握程序,可以看到由請求到用戶收到伺服器回應共要進行七個步驟(兩次往返)(資料來源: Cloudflare )

    [/double_paragraph][double_paragraph]

    TLS 1.3 的交握程序,只要五個步驟(一次往返)就能將資料送到用戶的裝置(資料來源: Cloudflare )
    TLS 1.3 的交握程序,只要五個步驟(一次往返)就能將資料送到用戶的裝置(資料來源: Cloudflare )

    [/double_paragraph] [/row]

    瀏覽器陸續支持 Facebook 半數流量已採用

    Firefox 和 Google Chrome 等現代瀏覽器其實已經對應 TLS 1.3 的草案版,而 Mozilla 今日就表示將在 10 月推出的 Firefox 版本 63 開始支援正式版,而著名的 CDN Cloudflare 、 Google 和 Facebook 都已著手在伺服器採用 TLS 1.3 協議,而據 Facebook 表示,他們超過半數流量已經在使用 TLS 1.3 。

    作為參與制訂協議的一分子,使用 Cloudflare 服務的網站,已經預設開始使用 TLS 1.3 。
    作為參與制訂協議的一分子,使用 Cloudflare 服務的網站,已經預設開始使用 TLS 1.3 。

  • 家用 Office 365 新增多項保安功能對抗網絡犯罪

    家用 Office 365 新增多項保安功能對抗網絡犯罪

    Microsoft Office 無論工作或私人方面都是重要的文書工具,所以它也往往成為受攻擊目標。 Microsoft 剛剛就為一般家用版 Office 365 ,包括 Office 365 Home 和 Office 365 Personal ,新增了多項保安功能,以對抗網絡犯罪。

    今次 Office 365 的新功能有很多方面,包括雲端儲存 OneDrive 、網頁版電郵軟件 Outlook.com 和 Word 、 Excel 、 PowerPoint 本身。

    回遡 30 日防止惡意軟件鎖檔案

    相信大家都聽過去年多宗惡意軟件將受害者的電腦鎖住,要求付出贖金才可以解鎖。 OneDrive 就加入了最長 30 日回遡的功能( Fire Restore ),一旦用戶在 OneDrive 的檔案被惡意軟件鎖住,又或是不小心被前除,都可以回復到出事前的狀態。

    即使不小心刪了重要檔案,或者被惡意軟件鎖住,只要 30 日之內都可以回復過來。
    即使不小心刪了重要檔案,或者被惡意軟件鎖住,只要 30 日之內都可以回復過來。

    另外,OneDrive 還加入了警報功能,一旦 OneDrive 偵測到用戶的 OneDrive 受到惡意軟件攻擊,就會透過電郵和推播通知用戶,用戶只要點擊警告,就會打開檔案 Fire Restore 畫面,立即進行檔案復舊工作。

    一旦 OneDrive 發現被惡意軟件襲擊,就會向用戶發出警告。用戶點擊警告就可以進入回遡畫面。
    一旦 OneDrive 發現被惡意軟件襲擊,就會向用戶發出警告。用戶點擊警告就可以進入回遡畫面。

    檔案分享加密碼

    現在開始,大家在 OneDrive 上分享檔時,可以在檔案或資料夾的連結加上密碼,以防止「白撞」的人打開檔案。

    分享連結可以以密碼鎖上,防止「白撞」。
    分享連結可以以密碼鎖上,防止「白撞」。

    Outlook.com 點對點加密

    透過 Outlook.com 寄送電郵,現在可以選擇點對點加密功能。由於不是所有電郵服務供應商都採用加密連線,在轉送途中郵件也可能曝露在未加密的連線中。選擇點對點加密後,收信人會收到一條連到受信任的 Office 365 網頁連結,收信人須選擇接收一次性密碼,或者透過可靠的認證提供者來進行再認證,才能打開郵件。而如果收件人也在 Outlook.com 閱讀郵件的話,這些麻煩的手續就可以減省。

    此外, Outlook.com 也會在寫信時自動偵測電郵中有沒有敏感資料,如果有的話就會建議用戶加密。

    另外, Outlook.com 還加入了防止轉寄和拷貝的功能,這包括信中的 Office 文件。收件人轉寄郵件時後,內容和附件都會被加密,令第三者即使把檔案下載下來也無法打開。

    經加密和設定防止轉寄之後,郵件和附件即使被下載下來都無法打開。
    經加密和設定防止轉寄之後,郵件和附件即使被下載下來都無法打開。

    實時掃描 Office 文件內的連結

    今年稍後開始,當用戶點擊 Word 、 Excel 和 PowerPoint 文件上的連結時,都會進行實時檢查,看看連結會否去到惡意網站或下載惡意軟件。一旦發現可疑,就會重導向用戶到警告畫面。

    電郵裡的連結如果連結到可疑網站或會下載軟件,都會發出警告。
    電郵裡的連結如果連結到可疑網站或會下載軟件,都會發出警告。

  • 【齊說悄悄話】 Facebook Messenger 對話內容自爆攻略

    【齊說悄悄話】 Facebook Messenger 對話內容自爆攻略

    早於今年七月,Facebook 已預告會為其 Messenger 通訊軟件增添加密功能,而相關功能已於日前全面推出。無論是黑客、Facebook,抑或是執法機構,都無法存取經加密後的通話內容,這會否方便大家利用 Messenger 與「密友」講悄悄話?

    facebook-messenger

    與一般信息不同,秘密信息只允許在指定一個裝置查閱,亦不能套用「位置」(Locations)及連結第三應用程式(Third – party App),但仍可分享圖片及貼紙(Sticker)。另外,用家更可為訊息設定時限,令信息在閱覽後「自爆」,不留痕跡。可是,這項「秘密」(Secret) 對話功能並不是一個默認的程式功能,要為對話內容加密,用家就要參考以下啟動教學!

    Step 1 : 在 Messenger 程式頁面的右上角,點擊「新訊息」圖示。

    facebook-messenger1

     

    Step 2 : 點擊右上角的「秘密」按鈕,然後選擇進行私密對話的朋友。

     

    [row][double_paragraph]facebook-messenger2 [/double_paragraph][double_paragraph] facebook-messenger3 [/double_paragraph] [/row]

     

    Step 3 : 在此聊天室的對話將會被加密。用家可點撃打字欄旁邊的計時器(紅圈所示),選擇信息閱覽後「自爆」的時限,最短 5 秒,最長為一天。點選後,計時器圖示會變成黑色,打字欄上面亦會出現紅色提醒字句。

    [row][third_paragraph] facebook-messenger4 [/third_paragraph][third_paragraph] facebook-messenger5 [/third_paragraph][third_paragraph] facebook-messenger6 [/third_paragraph][/row]

    Step 4 : Android 與 iOS 系統的 Messenger 介面有點不同,選擇限時後,Android 版面沒有紅色提醒字句,卻有紅色計時器圖示。

    facebook-messenger7

  • 專家教路 四招防止惹上勒索軟件

    專家教路 四招防止惹上勒索軟件

    勒索軟件近期肆虐,尤其 Locky 最具威脅,有港人和企業中招。萬一不幸中招,用戶究竟束手就範繳付贖金,還是找其他解決方法?香港電腦保安事故協調中心(HKCERT)有四點建議預防,以及中招後的解決方法。
    香港電腦保安事故協調中心高級顧問梁兆昌稱,單在今年 3 月 16 日至 18 日,中心收到 15 宗勒索軟件救助,數量突然增多,而且全屬 Locky 攻擊。今年至今共收到 41 宗報告,包括 38 宗個案,分別有個人、企業和社會服務機構確認遭勒索,亦有 3 宗網站遭植入成傳播源頭。「全港中招的數字可能遠不止於此,相信有不少人受害未有向 HKCERT 報告。」

    梁兆昌稱,
    梁兆昌稱,勒索軟件在上月有增加趨勢,尤其 Locky 為主。

    Locky 只是現時最流行的勒索軟件,特別針對微軟 Windows 平台。上月外國已出現在 MacOS 平台上的勒索軟件 KeRanger
    前者主要透過啟動 Word 巨集和 JavaScript 攻擊,以電郵傳播附件。黑客設計電郵引起用戶興趣打開病毒,例如主旨用「Invoice」、「Purchase Order」等,讓用戶誤以為要付款,尤其易貿和零售公司,經常收到類似附件電郵,警覺性減低便會開啟。由於勒索軟件屬零日攻擊(Zeroday attack),一般防毒軟件未能及時發覺,從而透過電郵送到用戶手上,開啟後也未受阻止。
    透過電郵發出Locky攻擊,主旨用上「invoice」等字,令用戶方下戒心,或誤以為客戶來自客戶的發票,好奇付款內容,打開附件。
    透過電郵發出Locky攻擊,主旨用上「invoice」等字,令用戶放下戒心,或誤以為客戶來自客戶的發票,便打開附件。

    萬一遇上勒索軟件,梁兆昌提醒用戶要注意三點:
    1)即時中斷網絡連線,拔除所有 USB 裝置;
    2)不要嘗試開啟其他檔案,以免病毒加密更多檔案;
    3)不要向黑客繳付贖金。
    「向黑客繳付贖金,變相鼓勵他們繼續攻擊。實際上見到黑客走向猖狂的趨勢。由年初只索取半個 Bitcoin 贖金,到上星期收到的個案勒索 4 個 Bitcoin,反映黑客也在加價。」以現價每 Bitcoin 兌 421 美元計,要 1,684 美元(折合 13,062 港元)取回數據。不過,美國曾發生多次有警局電腦系統遭加密,即使警察亦要向黑客付 Bitcoin 解密(相關新聞)。
    他向用戶和企業建議四招防止惹上勒索軟件:
    1)定期備份數據,尤其設離線備份。因軟件會尋找所有連線的數據,若備份不分離,有機會一併遭加密。採用雲端備份是可行做法之一,即使現有備份遭加密,不少服務支援歷史記錄(Version History),找回上一備份記錄回復。
    2)更新所有patch。
    3)採用防毒軟件和防火牆等保護網。企業提供遙距登入服務,更要加強保護。
    4)提高安全意識。
    梁兆昌稱,第四點才是最重要一環,尤其勒索軟件要用戶開啟才可發動攻擊,只要提高安全意識,不開啟便能避免。「不少用戶略過內文開啟附件,便會中招。若看清楚發送者和郵件內容,大多不正常,有疑問便直接向對方查問,不要胡亂開啟附件。其次,打開附件要啟動 Word 巨集,即使正常收據和採購訂單,亦不會要求啟動巨集。用戶加強警剔,能有效防止勒索軟件。

  • WhatsApp 對話加密!大國可能因此封殺?!

    WhatsApp 對話加密!大國可能因此封殺?!

    503572810-ed

    Telegram 以保安及對私隱保密度高而流行,在推出不久就從 WhatsApp 平台上拉走了不少使用者。為了保住一哥的地位,Whatsapp 最近也推出更新,讓使用者可以選擇將對話加密。而在加密之後,所有的對話就只有你與及對方可以看到,就算 WhatsApp 和其他單位都無法截取得到對話內容。以保安性而言,這樣的措施的確可以為使用增添信心,不過正正因為這樣,某大國政府就無法監察到用戶們的對話,所以有消息指某大國將可能會封殺 WhatsApp。

    以下是將對話加密的步驟 :

    [row][double_paragraph]

    1. 在 WhatsApp 的帳號裡面。
    1. 在 WhatsApp 的帳號裡面。

    [/double_paragraph][double_paragraph]

    2. 選擇安全性。
    2. 選擇安全性。

    [/double_paragraph] [/row]

    [row][double_paragraph]

    3. 開啟安全通知把信息加密。
    3. 開啟安全通知把信息加密。

    [/double_paragraph][double_paragraph]

    4. 你和朋友的對話加密了。
    4. 你和朋友的對話加密了。

    [/double_paragraph] [/row]

    [row][double_paragraph]

    5. 可透過QR code 來認證。
    5. 可透過QR code 來認證。

    [/double_paragraph][double_paragraph]  [/double_paragraph] [/row]

  • Kingston 數字加密 USB 手指有幾堅?

    Kingston 數字加密 USB 手指有幾堅?

    如果要加密檔案,相信大家都會用軟件方式做加密,Kingston 近排出咗隻 DataTraveler 2000 USB 手指,就加入數字鍵做硬件加密,一於試下係咪真係咁堅?
    IMG_8593
    Kingston 新出呢隻 DataTraveler 2000 手指,加密方法有別於一般嘅軟件加密,皆因佢係用咗 ClevX Datalock 技術,將成隻手指進行 XTS 模式嘅 AES 256-bit 加密。
    IMG_8602
    要讀到手指內容,就要用手指上嘅數字鍵輸入正確 PIN,電腦先會認到隻手指。由於係做硬件加密,呢隻手指可以行到 Windows、Mac OS、Linux、Chrome OS 以至  Android 平台,比起軟件加密兼容到更多平台。由於隻手指要儲存個 PIN,又要預你插落電腦之前輸入 PIN,所以手指本身係有內置電池。
    萬一畀人執到隻手指又點算?原來入唔到 PIN 十次,隻手指就會觸發暴力攻擊機制,自動刪除所有資料,連 PIN 都會 Reset 做出廠果個。雖然執到果個可以 Reset 完用你隻手指,但就讀唔到你啲資料,用得呢啲手指,啲資料應該值錢過隻手指掛?
    Kingston
    規格話讀速有 120MB/s、寫入有 40MB/s,AS SSD 試出嚟持續讀寫仲快過規格數字。
    售價:$1,050(16GB);$1,550(32GB)
    查詢:Viewking(2865 2070)
     

  • 微軟法務總監:開後門等於開啟地獄之門

    ccf079ef32ba18f939c83df2078c22846ed4ed2c.jpg自從 Apple 遭法院頒令要為恐襲證物 iPhone 解鎖,業界群起撐 Apple 的堅持。微軟法務總監 Brad Smith 在 RSA Conference 2016 的主題演講上,再次開腔力撐,更表明:「開後門是通往地獄之門(The path to hell starts at the backdoor)。」

    Smith 表示,加密和網上保安,其實跟國土安全並無砥觸,現在出現分歧,只是過去一直將網上世界跟現實生活看成兩個空間。「現今沒有網絡安全,難以談到國土安全。」

    c1bbd61fbc47352317fba1c454b427750741f15b.jpg「用戶的信任很重要,是整個科技行業的基礎。爭取用戶的信任,加密技術是不可缺少的 一環。當局需要保證加密技術仍然維持高度保安。」

    他認為,要解決互聯網上的國土安全,法例要跟得上科技的發展。美國上次定立相關法律已是 1986 年,當時 Mark Zuckerberg 只有兩歲。他建議由專家組成委員會,研究加密技術與國土安全。「科技一直向前走,只有法例跟得上科技發展,用戶才可以信賴科技。」

    24cf9870b12069013da08a9092cb3a0172dd1daf.jpg