1000 蚊平玩 Mesh WiFi Router NETGEAR 官方認證翻新機性價比高

Mesh WiFi Router 可說是近年興起的路由器產品,家中的無線智能產品愈來愈多,新款 iPhone、平板、智能電視、PS5 等等,現時疫情仍然嚴重,大家都需要在房間或任何角落暢順上網,無論用 Zoom 開會還是網上教學。之前可能因為 Mesh WiFi Router 價錢貴而卻步?但其實都有很多方法平玩 Mesh WiFi Router,就好像 NETGEAR 一系列官方認證翻新機,翻新機的超優惠價錢大約只是原價 6 至 7 折,而且機體性能和全新無異,更重要一點是有助環保,能夠善用資源。千多元就可玩大牌子的 Mesh WiFi 系統,確實經濟實惠。 官方認證翻新機有...

HKCERT教路:IT系統保安勿放鬆 莫讓黑客一掃行凶

【有奬遊戲】送 Samsung Wireless Charger(共 2 枚)

Techritual 推出送禮活動,贏取 Samsung Wireless Charger 。現在只需在 2021 年 10 月 15 日前完成任務,將有機會獲得 Samsung Wireless Charger 1 張,名額共 8 部。

(香港,2022年7月27日)資訊及通訊科技發展迅速,再加上新冠肺炎疫情,大家對網絡使用需求不斷上升。普羅大眾在網上購物和投資已成為生活的一部分,中小企亦會建立電腦網絡系統或使用雲端服務來處理日常業務及交易,因此很多具價值的資料都會存取於網絡上及系統裡,導致網絡罪行及黑客入侵事件變得頻繁。網絡攻擊有形形色色的手法,有些會用釣魚攻擊,亦有部分會向用戶發出惡意軟件。但往往進行攻擊前,黑客都會做一些事前準備及觀察,收集情報。今次香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)便想從Malicious Scan 方向剖析這行為。

什麼是Malicious Scan

顧名思義,Malicious Scan是指惡意網絡掃瞄。首先,黑客會使用端口掃描工具,一次過掃描大量目標公司的域名,從而知道該公司的伺服器有否公開可被用作入侵的端口。每一個端口可被視作為網絡接入口,會預設一個數字及用途,以下是一些常用例子。



  • 端口20:檔案傳輸協定(傳輸資料)(FTP)
  • 端口21:檔案傳輸協定(傳輸命令)(FTP)
  • 端口22:安全遠端登入協定(SSH)及用於安全檔案傳輸(SCP/SFTP)
  • 端口23:終端仿真協定(Telnet)
  • 端口25:簡單郵件傳輸協定(SMTP)
  • 端口80:超文字傳輸協定(HTTP)
  • 端口443:超文字傳輸安全協定(HTTPS)

當黑客成功取得有關資訊後,便會嘗試遙距連結該端口來進行攻擊,例如使用密碼暴力攻擊(Brute Force Attack)取得存取權限,或繼續搜集及攻擊系統的漏洞來入侵伺服器。以下例子就是端口掃描工具的畫面(圖1),可以看見21, 22, 25及80端口已開放,意味著黑客可以利用這些「入口」進行網絡入侵。

圖1 – 端口掃描工具


圖片來源:https://phoenixnap.com/kb/nmap-scan-open-ports

假如目標是網站伺服器(開放了80或443端口),黑客可以透過目錄掃描工具暴力破解網站伺服器上的目錄和文件名(圖2)。原理是把常用的目錄和文件(例如: /index.php, /login.php 或 /images/) 附加到網址後方,從而得知網站收藏了哪些資料。

圖2 -文件/目錄滲透測試工具


圖片來源:https://www.kali.org/tools/dirbuster/


了解暴力攻擊方法

暴力攻擊乃一種常用的密碼破解方法。黑客會透過反覆嘗試猜測用戶的登入名稱和密碼,以獲得對系統的未經授權的存取,原理非常簡單,但成功率卻很高。部份進階的黑客則會使用自動化的應用程式或指令碼作為暴力破解工具,這類型工具會快速嘗試多種密碼組合。另外,有些會試圖透過搜索正在使用中的session ID 來存取網站應用程式。黑客會藉這方法竊取信息,使用惡意軟件感染網站或中斷服務等。2021年,密碼管理公司NordPass公佈了200個電腦用戶常用的密碼,發現首10位的密碼平均使用次數竟多達9,000,000次以上,縱使有部份密碼由10個字組成,但黑客要破解這些過於簡單的密碼組合只需少於1秒。

其他與密碼有關的黑客入侵


  • 字典攻擊 – 字典攻擊是一種蠻力攻擊。此手法通過許多常見詞語及密碼來猜出系統密碼的方法。黑客會使用最常用的密碼、流行的寵物名字、虛構人物或字典中的字詞的大量列表來進行嘗試。
  • 資料外洩 – 資料外洩也是一種可以導致密碼流出的原因之一,黑客會藉此取得系統密碼用作登入,根據香港資訊安全網資料顯示,資料外洩原因可以歸立為仿冒詐騙、軟件或系統漏洞、錯誤設定、內部威脅和用戶疏忽。
  • 憑證填充 – 黑客會利用殭屍網絡以自動化方式不停使用偷來的帳號密碼嘗試登入網絡服務。此方法利用大量外洩的電郵地址和密碼,再搭配自動化程式,不斷試圖登入網絡服務,直至某一組帳號密碼成功登入為止。

由於很多人會貪方便及易記,於不同的網絡服務中重用相同的帳號名稱及密碼組合,所以黑客一旦偷得其中一組,便能很容易入侵用戶的其他帳戶。

掃描系統漏洞

攻擊機構系統的漏洞是另一種黑客常用的技倆,當中會以漏洞掃描器掃描目標機構的系統,了解其系統版本與官方的最新系統版本漏洞上的差異進行攻擊。黑客亦會使用Nmap檢查目標系統是否在線、端口是否開放、查閱系統版本資訊。另外,能透過社交媒體了解該公司正在使用那些電腦產品,例如在求職網站上獲悉該公司會使用某牌子的防火牆或儲存裝置,循產品供應商知道那一個版本易於攻擊,便可從這方向發動攻擊。

保安建議

  • 要時常更新系統及裝置的保安程式
  • 更換支援已逾期的系統或裝置
  • 關閉或封阻不使用的端口及IP 位址
  • 定期審視業務需求,儘量減少端口公開的數目
  • 減少公開非必要的資訊到互聯網上
  • 限制登入失敗次數以減低密碼暴力攻擊的影響
  • 經常審視日誌,查看有否異常的網絡流量來自不明的IP 地址
  • 使用多重身分驗證及複雜性高的密碼(例如混合使用符號、數字、大階及細階英文字母,及建議長度不少於8個字元)

詳情請參閱: https://www.hkcert.org/tc/blog/malicious-information-gathering-now-i-see-you

大家若想向HKCERT報告與資訊保安相關的事故,例如惡意程式、網絡釣魚、阻斷服務攻擊等,可以透過網上表格:https://www.hkcert.org/zh/incident-reporting報告事故。如有其他疑問,歡迎電郵至 [email protected] 或致電24小時熱線8105 6060 與HKCERT聯絡。

– 完 –

關於香港電腦保安事故協調中心

由香港生產力促進局管理的香港電腦保安事故協調中心(HKCERT),是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。

HKCERT聯絡本地的組織,負責收集、發放訊息及協調保安事故應變行動。HKCERT 亦是全球保安事故協調中心組織(Forum of Incident Response and Security Teams, FIRST) 及 亞太區電腦保安事故協調中心組織(Asia Pacific Computer Emergency Response Team, APCERT)的成員,與其他協調中心在跨境資訊保安事故上,交換情報和保持聯繫。

如欲了解更多詳情,請瀏覽HKCERT網頁:www.hkcert.org

關於香港生產力促進局

香港生產力促進局(生產力局)是於1967年成立的法定機構,致力以世界級的先進技術和創新服務,驅動香港企業提升卓越生產力。生產力局作為工業4.0和企業4.0促進者,致力加速香港再工業化發展,全面促進香港成為國際創新科技中心及智慧城市;並提供全方位的創新方案,以提升企業生產力和業務效率、減省營運成本,令企業在本地和海外市場中保持競爭優勢。生產力局積極與本地工商界及世界級研發機構合作,開發應用技術方案,為產業創優增值。透過產品創新和技術轉移,成功讓研發成果商品化,製造商機。多年來,生產力局的世界級研發成果獲得廣泛肯定,屢獲本地及海外獎項殊榮。

生產力局亦致力為中小企和初創企業提供即時和適切的支援,並提供各類未來技能發展課程,讓企業掌握最新數碼及STEM技術,以加強企業技能及提升市場競爭力。

如欲瞭解更多詳情,請瀏覽生產力局網頁:www.hkpc.org











文章未開始,先要同大家講講標題「1GB≈$0」這回事。因為這張卡的數據是「無限∞」。在數學上,「任何數」除「無限∞」都是「無限接近 0」,反之「無限∞」除「任何數」都是「無限接近無限∞」。因此當數據用量是無限的時候,$60 除 無限GB 得到的答案就是 1GB≈$0。

文章未開始,先要同大家講講標題「1GB≈$0」這回事。因為這張卡的數據是「無限∞」。在數學上,「任何數」除「無限∞」都是「無限接近 0」,反之「無限∞」除「任何數」都是「無限接近無限∞」。因此當數據用量是無限的時候,$60 除 無限GB 得到的答案就是 1GB≈$0。

5G 專題 ❙ 美國 5G 車聯網應用 7 國語音提示保障道路安全

更有趣的是,當路上出現消防車又或單車甚至突如其來的行人時,App也會作出語音提示;而當路經學校和工地時,同樣會向駕駛者作出提醒減速前行。而語音部分則支援英文、法文、德文、印度文、韓文、西班牙文、簡體中文,適合租車旅客使用。

5G 專題 ❙ 泰國曼谷 5G 醫療系統 / 救護車

有到泰國曼谷旅遊的朋友都知道,當地時常塞車水泄不通,一旦發生事故,救護車便寸步難行。因此,泰國已活用5G網絡部署5G醫療系統,即使在擠塞中的救護車內,醫護人員也可與醫生連線進行救援工作。

5G 網絡全球排名 2022,CMHK 名列前茅

Opensignal 繼去年公佈全球的 5G 測試報告後,今年再度推出 5G 測試報告,當中香港的部份我們以下與大家慢慢講解。這份報告與上文針對月份期間的不同,是 Opensignal 針對不同電訊商的年度總評,數據介乎 Jan-June 2022,全名叫:5G Global Mobile Network Experience Awards 2022。因為這個是 Awards,所以 Opensignal 將不同的電訊商分成三個等級: