2008年1月30日星期三

Wi-Fi Hotspot 防駭小貼士 (1) - 安全 HTTPS 連結使用 Gmail

由於無線的特性,Wi-Fi較有線網絡容易出現保安危機,特別是一些疏於管理、保安機制不完善的公眾Wi-Fi 熱點(Wi-Fi Hotspot)。皆因在這些沒有提供加密傳輸的無線網路,駭客透過封包竊聽器(packet sniffer),很容易便可監控和截取所有經過此類熱點和連線用戶電腦的封包,包括帶有登入訊息的封包,以及電腦瀏覽器的Cookie,好比特異功能中的「隔空取物」。

把重要的傳輸資料加密是一個比較安全的方法,比如網址開頭是「Https」的網站所使用的資料都是經過加密處理的,比起一般的「Http」網址的網站更安全,一般銀行或是網路交易公司也是使用這種網站。( 註: 如果是Https的,在Browser URL 的旁邊會出現一個小小的鎖,表示資料已加密 )

但很多web應用 的網站 (如 Facebook) 卻未有提供,筆者建議盡量不要在公共的Wi-Fi熱點使用這類帳戶,方能杜絕駭客的入侵,減低保安上的危機。

但大家要小心有些web應用(如 Yahoo! Mail) 只在登入時有Https加密,把密碼在透過網際網路傳送時加密,但往後的都沒有加密。你可以從Browser URL 的旁邊有沒有小小的鎖頭去判定。

Google Gmail比較特別。以正常的 http://www.gmail.com/ 登入則同上面的一樣,只在登入時有Https加密。但Google Gmail 也可讓使用者選擇是否用「Https」來做全程保護。您可透過 https://mail.google.com/ 使用 HTTPS,他們的系統依預設會提供 SSL 加密登入。登入後又會問「Do you want to display the non-secure items? 」,你必須答「No」。這樣便了使用安全 HTTPS 連結使用 Gmail 。
http://mail.google.com/support/bin/answer.py?hlrm=en&answer=8155



若要了解更多更新的無線保安資訊,減低「WiFi 危機」,請參加香港無線科技商會 (WTIA) 聯同香港互聯網協會 (PISA) 及專業資訊保安協會(ISO-HK) 於2月23日舉行的「拉闊Wi-Fi攻擊及防禦講座」,詳情請瀏覽以下的網址:
http://kencept.blogspot.com/2008/01/wi-fi.html

2008年1月28日星期一

WiFi 活動:拉闊Wi-Fi攻擊及防禦講座

Wi-Fi網絡發展至今己差不多十年。由於其部署的靈活性及極具成本效益,近年無論在家居或企業均被廣泛採用。香港政府最近更大力推行「WiFi 無線城市」,未來將會增設更多公眾無線上網熱點,Wi-Fi無線網絡正變得更加重要。但同時,過往相對安全的Wi-Fi保安設定,隨著黑客的Wi-Fi攻擊技術越來越成熟,今天有部份己變得脆弱及不安全。因此,有必要提醒業界和廣大市民,採取更安全的Wi-Fi保安設定,免除「WiFi 危機」之餘,更迎接『WiFi 無線城市』的到臨。

今次講座會提供最新及切合時宜的無線保安資訊,包括針對WLAN安全性的黑客進攻技術及如何去應付這些困難。精彩絕倫的現場演示更會說明黑客如何入侵我們的WLAN。此外我們更會討論WLAN的最新技術發展及在企業應用上的安全標準及規劃。

主題:拉闊Wi-Fi攻擊及防禦講座
/ Live! Wi-Fi Attack & Defense
日期:2008年 2月23日(週六)
時間:下午2:15 -下午5 :30
席位:只招待主辦,協辦及支持機構會員及嘉賓。座位有限,先到先得。
費用:費用全免
語文:以粵語進行並輔以英語演示幻燈片
場地:數碼港培訓劇院(免費穿梭巴士由中環接載;須另行以電話預約)
登記:請連同中英文姓名,公司名稱,職位,電郵地址,連絡電話,會員編號傳真或電郵至所屬機構
- 專業資訊保安協會 (PISA)
傳真: 2900 - 8338 電郵: registration@pisa.org.hk
- 香港無線科技商會 (WTIA) 及 香港無線發展中心
傳真: 2989 - 9166 電郵: contact@hkwdc.org
- 香港互聯網協會 (ISOC-HK)
傳真: 3520 – 2634 電郵: rsvp@isoc.hk

綱要
1. 致歡迎詞
- 香港互聯網協會主席莫乃光先生
- 專業資訊保安協會會長何志强先生
- 香港無線科技商會副主席方健僑先生

2. 香港及澳門無線局域網安全調查報告 (HK & Macau War Driving Report) 發佈會
- 專業資訊保安協會及香港無線科技商會調研小組

3. 「WiFi 危機 」–「弱」的Wi-Fi保安設定
- 專業資訊保安協會

4. 「WiFi 攻擊」現場演示
- 專業資訊保安協會,香港無線科技商會

5. 無線局域網的最新技術發展及在企業應用上的防禦策略
- 香港無線科技商會

6. 研討會
- 主持:香港互聯網協會主席莫乃光先生
- 成員:香港互聯網協會,專業資訊保安協會,香港無線科技商及應邀嘉賓

主辦機構
- 香港互聯網協會
- 專業資訊保安協會
- 香港無線科技商會

協辦機構
- e-ZONE
- 香港無線發展中心

場地贊助
- 數碼港

支持組織
- 國際資訊系統安全核准聯盟
- 電腦稽核師協會
- 資訊保案及鑑證公會
- 國際商科技犯罪調查會
- 香港零售科技商會

2008年1月27日星期日

WiFi Event : Live! WiFi Attack and Defense

Wi-Fi network has been adopted widely in Hong Kong. Its deployment is flexible and cost effective. We have seen a better Wi-Fi security awareness being developed in the past year, with the effort of the industry and government. But this effort needs to be persistent. WLAN attack technologies have been getting more mature in recent year. Defences and security protocols that have once been useful, are found to become weak security today. With the recent public Wifi initiative, the wireless networking market is becoming even more prominent. So the need need to alert the industry and the general public to adopt a stronger security today becomes more utmost than ever.The seminar will provide the most up-to-date information on the WLAN security attack technology and how to cope with them in technical and management perspective. Live demonstration is provided to illustrate how hackers can give us a surprise by compromising our WLAN infrastructure. We will discuss how enterprise should plan and implement their WLAN infrastructure to mitigate these risks.



Topic: Live! Wi-Fi Attack & Defense
拉闊Wi-Fi攻擊及防禦講座

Date: 23-Feb-2008 (Sat)
Time: 2:30pm - 5:30pm
Fee: Free of charge
Language: Cantonese with English presentation slides
Venue: Training Theatre, Cyberport
Seats: Members of organisers, co-organisers, supporting organisation and invited guests. Limited seats. First come first serve.
Registration: Please send you name, company name, title, e-mail and contact phone number to either
1. Fax to: 2900-8338
2. Email to: contact@hkwdc.org

Speakers: Speakers from ISOC-HK, PISA, WTIA and invited guests

Program Rundown

1. Opening Speeches
2. Recent WLAN Security Surveys (War Driving) in Hong Kong & Macau
3. Weak Wi-Fi Security
4. Live Demonstration on Wi-Fi Attack
5. Implementing WLAN Security Technologies in Enterprise Scale
6. Discussion Forum

Organizers
-Hong Kong Wireless Technology Industry Association
-Internet Society HK Chapter
-Professional Information Security Association

Co-Organizers
-e-zone
-Hong Kong Wireless Development Centre

Venue Sponosr
-Cyberport

Supporting Organisation
-International Information Systems Security Certification Consortium
-Information Systems Audit and Control Association Hong Kong Chapter
-International High Technology Crime Investigation Association
-Information Security and Forensics Society
-Hong Kong Retail Technology Industry Assocation

2008年1月21日星期一

WiFi新聞:公屋住戶享免費無線上網服務

香港房屋委員會今天(1月21日)宣布,轄下公共屋住戶明天開始,可在全港約120個公共屋的指定範圍內,享用免費無線上網(Wi Fi)服務。住戶未來數天,可收到用戶編號及登入資料,並可按資料指示,登記使用這項服務。

房委會表示,香港寬頻已在約120個公共屋,裝置約1,000個Wi Fi上網熱點。公屋住戶每天上午6時至晚上11時,在屋內貼有「免費上網天地」標貼的地下升降機大堂,以及其鄰近的戶外地方,享用免費Wi Fi服務。

有關服務的系統安裝、運作及相關費用,由資訊科技服務供應商直接提供,房委會則提供協助,供應電力、電纜、電槽及管道等基本公共設施。

房委會表示,正聯絡其他供應商,研究設立更多Wi Fi上網熱點,並積極探討擴服務的涵蓋範圍。房委會歡迎任何有興趣的供應商,為公屋住戶提供同類服務。

住戶可直接致電香港寬頻顧客熱線128 100,查詢服務詳情。

資料來源:香港房屋委員會
http://www.news.gov.hk/tc/category/infrastructureandlogistics/080121/html/080121tc06002.htm

2008年1月20日星期日

香港在數碼經濟時代的優勢與商機

根據香港政府統計處最新「有關資訊科技在住戶中的普及程度和住戶成員使用資訊科技的情況」調查結果顯示,電腦與互聯網在家庭住戶間已經十分普及。07年約167萬個家庭擁有電腦,佔整體戶數的74.2%;而有158萬戶的家庭可以上網,普及率達70.1%。另外調查亦顯示一年內曾經透過不同媒介,包含個人電腦、筆記型電腦、手機或是PDA等,使用網路的人口佔所有十歲及以上人口的64.8%。


圖: 掌握及使用資訊科技是企業在21世紀數碼經濟中的競爭必需條件

此外香港市民使用電子商務的情況也很普遍。約98.2%的十五歲及以上的市民一年內曾使用一種或多種電子商務服務。而使用網上購物的,亦有10.1%。市民在使用電子化政府方面亦有明顯增長,有230萬名,佔所有十歲及以上人口的37.6%。

另根據香港政府統計處「資訊科技在工商業的使用情況和普及程度按年統計調查」調查顯示,07年有63.8%的企業使用電腦,較06年增加3.2個百分點。企業使用互聯網亦由06年的55.9%增加至2007年的59.8%。整體而言,07年香港企業的資訊科技應用呈現穩定增長。

在國際上,香港的數碼城市的地位已獲得廣泛認同。07年香港在電子商貿準備程度上,位列全球第四,排名亞太區之首。此外根據07年資訊及通訊科技機會指數,香港在數碼共融方面位列全球第三。在「數碼管治」方面亦位列全球第二。

由上述的數字中,證明香港已進入一個新的數碼經濟時代, 電腦與互聯網漸漸成為日常生活的一部份, 新的經濟將會是由能夠掌握數碼科技的 "數位人" 所主導的" 數碼經濟" , 產業將由知識主導及管理, 經由數碼式的連結, 複製, 傳遞, 交流。但不同規模的公司在掌握和運用數碼經濟方面仍然有明顯的差距。以香港為例,07年香港約99.1%的大型企業有使用電腦,小型企業只有59.8%;另外93.3%的大型企業有使用互聯網,小型企業只有56.1%。可見相對大型企業,中小企在掌握及使用資訊及數碼科技的能力明顯有所不足,因而影響他們在數碼經濟時代的競爭優勢以至生存條件。

「2008數碼市場第一擊- 優勢與商機」研討會

為了加深本港中小企業對數碼經濟的認識,了解數碼市場的最新發展,培養企業管理人員在數碼時代的新思維,加強在數碼年代的競爭力,香港互聯網註冊管理有限公司(HKIRC) 將於本月舉辦「2008數碼市場第一擊- 優勢與商機」研討會。希望通過研討會這一個交流平台,讓參加者與業界精英交流數碼企業發展的第一手資訊與前瞻性分析,以及了解在數碼經濟中的潛在商機。

研討會由HKIRC董事梁偉峰先生主持。AsiaPay行政總裁陳永祥先生在研討會中會分析網上電子收費的未來發展路向。 香港無線科技商會主席趙志洋先生亦會講述無線科技在本港的最新發展及對數碼經濟的重要貢獻。香港互聯網協會主席莫乃光先生會為大家主講 Web 2.0/ 3.0 帶來的衝擊。而助理政府資訊科技總監吳超華先生會介紹香港電子政府計劃的重點和政府Wi-Fi無線上網計劃。通域存網代表會主講搜尋器在中小企市場推廣上的應用。

在研討會上,參加者除了可以獲得數碼市場的未來商機的第一手資訊外,凡完滿出席全個研討會的參加者,均可免費登記一個新的「.個人.hk」、「.idv.hk」或「.hk」中文域名一年。

研討會訂於二零零八年一月二十五日(星期五)下午二時三十分至五時五十分,假香港上環德輔道中308號安泰金融中心20樓2002-2005室,HKIRC/HKDNR會議室舉行。 剩餘座位有限,請立即於www.hkdnr.hk或https://www.hkdnr.hk/DigitalSeminar/ 報名,或致電客戶服務熱線 2319 1313。

作者: Ken Fong
原文刊載於 2008年1月19日 第114期 《資本一週》Capital Weekly 內之《數碼健談》

2008年1月5日星期六

發展本土「創意經濟」,路遙漫漫 !

於99年成立的香港首個純中文拍賣網Go2HK,終於在07年12月28日結業。由免費到要收費再回到免費,Go2HK這個本地薑,創新過亦輝煌過,但相信因為本地市場規模有限,而國際大型拍賣網站Yahoo! 、 eBay亦帶來激烈的競爭,經營者最終在未能見到前景及盈利的情況下,忍痛結束了這個本地拍賣者的「蒲點」。


圖: Go2HK是香港首個首個純中文、純本地創作的拍賣網站,結業甚為可惜

而另一個標置著本港創意工業發展的「火狗工房」,它的負責人亦於07年8月的網誌中公開指出公司會有結業的危機。作為本地其中一間最出色的電腦遊戲及漫畫製作公司,如果他們不說,我也估不到他們八年來只是艱苦經營,據說「長年下來,大概累積了等於太古城一個800呎左右單位的虧損吧」。

政府近年來一直說要搞活香港的創意工業,推動創意經濟,但上述二則新聞相信是對施政者的一大諷刺,亦為香港創意工業敲響了喪鐘。在董建華當特首的年代,曾企圖推動香港經濟轉型,調整產業結構,但遭逢金融風暴、接著是「沙士」肆虐,連基本的管治都出現問題,創新根本是奢想。其實在全球一體化的衝擊下,各先進國家的資金及生產工序早已外流,而為求保持國家及地區在經貿上的競爭優勢,英美日等早已推動經濟轉型,大力發展創意經濟 (creative economy)。他們一方面力求創新,在產品開發、經營方法和市場推銷的創新,目的是掌握商品和服務的核心及最具增值能力的部份。換句話說,就是保住產業的兩端,即開發研究和盈利兩個部份,而放棄中間低增值的生產部份。因此創意工業是以創意及才華為重的知識密集行業。

2003年中央政策組公布的香港創意產業基線研究,把創意工業分為十一個行業,包括表演藝術、電影電視、出版、藝術品及古董市場、音樂、廣告、數碼娛樂、電腦軟件開發、動畫製作、時裝及產品設計、工藝品等。 而根據貿易發展局的最新數字,香港創意工業就算連同相關的價值鏈計算在內,只僱用了160,000 名員工,佔總就業人口約5%; 其中最主要的是出版 / 印刷業及資訊科技服務業。若以GDP計算,創意工業只佔香港GDP的 4%。 主要出口輸出包括設計、廣告、資訊科技及影音服務。 可見香港經過十年的所謂努力產業結構調整,仍然是以服務業為主導,佔本地生產總值 (GDP) 90%。筆者更認為創意工業產值的相關數字中,有大部份都不是創意產業中持久高增值部份,如美國的版權產業或英國、日本的創意文化產業,而只是相關價值鏈中的服務部份。 以資訊科技及軟件服務為例,佔大多數的5,000家為資訊科技服務供應商,而以創做知識產權為主的軟件業只有700家,而且一般規模細小,僱員人數不足20名。電玩方面,香港大約有50家遊戲開發商及近20家網絡遊戲開發商;但大部分在本地僱用不足20名員工,而且主要以本地市場為主,更不用說把遊戲中的角色商品化,把產業鏈推展到電玩以外,創造多元化的出口。

隨著經濟的迅速恢復,稅收增加,政府財政大幅改善,理應是重新推動產業調整,加強創意及知識型經濟發展的大好時機。但香港人,包括施政者及市民都是善忘的。曾特首在其第二任的首份施政報告中只著重於推動基建及金融,規劃產業結構轉型方面,基本上是交了白卷。但商界及市民何嘗不是呢!大家現在都一窩蜂重投地產及股票市場的懷抱,把先前的傷痛都忘記得一清二楚。再加上租金及人工的飆升,本港創意工業的發展可說是雪上加霜,距離成功更是路遙漫漫!

作者: Ken Fong
原文刊載於 2008年1月5日 第113期 《資本一週》Capital Weekly 內之《數碼健談》

2008年1月1日星期二

WiFi 危機 – 提防店鋪信用卡資料被奪

您認為在店鋪或食肆內使用信用卡比網上使用安全嗎?大部份人的答案會是肯定的,因為他們都認為在互聯網上使用信用卡的風險比在現實世界中使用大得多。而假信用卡橫行,更有歸咎網民於上網時的保安意識參差,或是誤中網絡釣魚( Phishing ),或是引至黑客入侵電腦,因而導至有關資料被竊。

但事實證明在一間信譽良好的大型零售企業中使用信用卡而發生資料被竊的情况亦非罕見。大家也許還記得本年三月各大小傳媒都有報導一宗全球歷來最嚴重的信用卡資料失竊的事件。但不小人沒有留意引發此事件的,其實是一間美國,甚至是全球其中一間最大的特惠服飾及家居用品連鎖店。TJX信譽良好,旗下擁有八間公司,超過二千三百間連鎖店舖,在《財富》雜誌五百大企業中排名第一百三十八,二○○五年總營業額達一百六十億美元。但規模大如TJX仍被黑客入侵該公司的電腦系統,竊取至少四千五百七十萬張信用卡及扣帳卡的資料。


圖: 零售商應注重對客户信用卡資料的保護,以免被不法份子盜取犯案

經過多個月的調查,專家估計黑客很可能是透過分店的Wireless LAN無線網絡入侵TJX的中央電腦系統,從而竊取信用卡資料和交易數據。

事件不但暴露出在科技高速發展下,企業對網絡保安,尤其是無線網絡保安知識的貧乏,也揭示出企業對客户的重要資料及私隱保障不足,因而成為歹徒覬覦的犯罪目標。

由於網路威脅的本質不斷快速變化,企業的IT人員必須對於新出現的安全性問題有所警覺。就以TJX為例,它的WiFi無線網絡在案發時其實已使用了「有線等效私密」(Wired Equivalent Privacy,WEP)安全機制 。但問題是,WEP 早已被證明是一種不安全的技術,它的設計使竊聽者能夠相當簡單地解碼 WEP 加密的消息,從而獲得對網路和資料的存取,因此不適合於企業使用。而更有效更安全的無線安全機制如「Wi-Fi保護存取」(Wi-Fi Protected Access, WPA) 或WPA2 ,早已在市場推出,但明顯地TJX的IT人員未能了解及早提昇無線網路保安的重要性。此外公司亦未有加入其他保密防諜設定,例如設立無線Demilitarized Zone (DMZ) 區 ,把無線網絡放置於外部網絡上,等同互聯網,由「防火牆」及「虛擬私人網絡」 (VPN) 管理進入內部網絡的交通,避免入侵者直接入侵心臟地帶。

此外,TJX另一明顯的過失是沒有對客户的敏感資料如信用卡資料作出適當的處理及保護。信用卡認證資料只是在信用卡交易「確認過程」中供「電子轉帳終端機」(EFTPOS)使用,商户並無權把完整的資料保留在企業的數據庫。嚴格來說,TJX是違反「支付卡產業數據安全標準」(Payment Card Industry Data Security Standard, PCI DSS),未能有效保護信用卡持有人敏感的信用卡認證資料。如果TJX沒有私自保留客户的信用卡資料,相信被入侵後所引發的後果也未至如此嚴重。

TJX前後被盜去四千多萬名客戶的資料,事件持續了年半後才被發現,除了要花上逾五百萬美元調查事件外,同時亦面臨客戶和信用卡發行公司的訴訟。本港的零售商應以此為誡,在享用科技提昇營運效率的同脟時,亦應重視網絡及系统的保安及保密,尊重客户資料的私隱;同時在挑選IT或網絡設備時,亦切忌只從價格考慮,更不應以家用的設備用於商業上,以免引至「一身蟻」。

註: 倘若讀者在作出決定時仍感到猶疑,可以尋求中立的第三者意見。如對Wi-Fi無線保安設定有進一步查詢,可與香港無線科技商會(WTIA)連絡,網址 http://www.hkwtia.org/ ;如對「電子轉帳終端機」及「支付卡產業數據安全標準」的保安設定有進一步查詢,可與香港零售科技商會(RTIA)連絡,網址 http://www.hkrtia.org/

作者: Ken Fong
原文刊載於 2007年12月24日 第110期 《資本一週》Capital Weekly 內之《 數碼健談》

* 2008-01-24 TVB 新聞透視亦會有"WiFi危機"專題,大家敬請留意