目錄
🖊 本周重點
- 美國達拉斯警方丢失 8TB 罪犯資料
- 專家警告大規模公開重定向釣魚攻擊
- 手提電腦配備 OLED 顯示器——淺淡顯示器類型
🗞 News 1: 美國達拉斯警方丢失 8TB 罪犯資料
係 21 年 4 月,美國達拉斯市嘅警方發生咗一宗大型數據遺失事件。有約莫 22 TB 嘅數據由雲端服務遷移(Migrate)至城市嘅數據中心個陣唔見咗。當中唔見咗嘅數據,包括唔少以往案件嘅證據同線索。
當局表示已經搵翻其中 14 TB 嘅數據,而其餘嘅 8 TB 就應該搵唔翻啦。
警方係 4 個月後先至同地方檢察官(Willis 理解應該係當地警方最大嗰個?)通知事件。有律師同政客對警方嘅緩慢反應表示不滿。
ICT 重點
係一個月前嘅「每周速報」到,Willis 講過數據遷移會帶嚟操作上同安全上嘅問題。今個星期嘅呢單新聞就真係一個最好例子,說明一個組織缺乏正確嘅 IT 管理會發生乜嘢事。(都講咗話要睇「每周速報」架啦,喇,出事啦)
有讀過我精讀班嘅同學都知道,我第一堂第一個 point 就講一個資訊系統由邊幾部分組成。不過,好多同學唔明,點解 Willis 要將數據擺係第一位。其實原理好簡單,先想像下突然間天災人禍、死人冧樓,令到某某公司嘅資訊系統做唔到生意。某嘅時候,如果我哋想 Recover 翻個系統,要點做呢?我哋逐 part 嚟諗:
- 硬件:理應唔難搵。就算公司本身無後備嘅硬件都好,網上有唔少可以入手二手硬件嘅平台。求其執住啲零件,頂住先;
- 軟件:更應該唔係問題。依家裝軟件唔再洗用 CD,只要有網絡下載到就得;
- 網絡:比較麻煩,但係依家手機、流動網絡咁穩定,最多俾貴啲用衛星網絡,就住先。
咁樣睇嚟,至少硬件、軟件同網絡都唔係大問題。咁數據呢?
如果係場天災入面,個系統嘅數據壞咗,而且間公司無數據備份,咁點算?
答案係:無得點算。間公司可以直接摺埋。(除非間公司唔洗靠數據生存,但係淨係要計翻以前嘅銷售記錄去報稅都有排你頭痕,我建議你都係摺咗間公司佢。)
所以,點解數據咁重要?**因為無咗數據,你有硬件、軟件同網絡都無用。**所以所以,數據備份真係好重要。
(By the way,啱啱我哋 FF 緊天災人禍、死人冧樓嘅時候間公司要做啲乜嘢,呢件事其實有個名,叫 Business Continuity Planning,中文譯做「業務連續性計畫」。呢一點係商界同科界,因為疫情嘅緣故多咗好多人討論。)
相關課題
- 必修部分第 1 課:關於資訊系統嘅組成
新聞來源/詳細閱讀
🔖 News 2: 專家警告大規模公開重定向釣魚攻擊
微軟嘅專家警告,最近有唔少黑客透過「公開重定向(Open Redirects)」呢項技術進行釣魚網站嘅攻擊。
呢啲黑客會設立一啲已認證嘅網域名稱(Domain Name),然後重定向用戶去到一個假嘅登入網站,去呃用戶嘅賬戶同密碼。有啲黑客甚至會係重定向嘅過程加入一個 CAPTCHA 頁面,嚟降低用戶嘅戒心。
已認證嘅網域名稱令到大部分電郵服務供應商無法識別出呢封係釣魚郵件。黑客亦會假扮係 Office 365 或者係 Zoom 發送呢啲郵件。
呢啲嘅攻擊結合咗社交工程(Social Engineering)、偵察規避(Detection Evasion)同大型攻擊基建,令攻擊甚為成功。專家建議企業要為電郵攻擊設立多層防禦機制。
ICT 重點
先講下「公開重定向」。係學 Networking 嘅時候,我哋講過一樣嘢叫「客戶/伺服網絡 Client/Server Network」。係一個網絡入面,會有一部勁啲嘅電腦叫做「伺服器 Server」,負責去 Server 啲「客戶 Client」。平時我哋講嘅「上網」,其實就係用一部電腦或者手機(客戶),去問一個伺服器攞 File:
係某啲情況下,個伺服器可能會同你講:「Sorry,呢個 File 去咗第二個 Location,你去嗰到攞啦。」呢件事就叫做「重定向 Redirect」:
「公開重定向」係一個利用重定向嘅機制,將客戶由一個已認證嘅網站重定向去一個釣魚網站,從而去偷用戶嘅 Credential 。
講起釣魚網站,Willis 諗起有一條 DSE 題目問,如果收到釣魚郵件,㩒咗落去條 Link 到,但係唔入自己嘅個人資料,會有乜嘢威脅。當時嘅一個 Model Answer 話:「因為嗰個人㩒咗落條 Link 到,會令到黑客知道你會肯㩒,咁遲下個黑客就會特登 Target 你。」有啲同學仔會覺得:乜黑客做釣魚攻擊嘅時候,唔係漁翁撒網式咁搵受害者嘅咩?
Well sort of. 要記得,佢嘅目標係想偷到人哋嘅 Credential,只要呢個方法更有效嘅話,佢就會去用。釣魚網站嘅攻擊,唔係攻擊某個系統嘅安全漏洞,而係攻擊人嘅無知。只要個 victim 有一次唔小心㩒咗落條 Link,又好乖咁入咗自己嘅 detail 落去,黑客就贏。所以,就算你㩒咗入條 Link,就係提高更自己俾黑客贏嘅機會。所以,呢個都算係一個威脅嚟。
相關課題
- 必修部分第 16 課:關於客戶/伺服網絡
- 必修部分第 28 課:關於釣魚(仿冒詐騙)
新聞來源/詳細閱讀
- 2016 年 1B 卷第 2(c)題
- Microsoft Warns of Widespread Phishing Attacks Using Open Redirects
📱 News 3: 手提電腦配備 OLED 顯示器——淺淡顯示器類型
華碩推出咗最新嘅手提電腦 Zenbook 14X。呢部電腦配備咗 14 吋 4K OLED HDR 顯示器,可以顯示整個 DCI-P3 色域(Colour Gamut),令到畫質比以往嘅型號更好。
整部電腦約重 1.4 kg,厚 1.7 cm,大大提升可攜帶性(Portability)。做高配嘅版本會用 Core i7 嘅 CPU、16 GB RAM 同 1TB 嘅輔助存貯(Secondary Storage)。
記者擔心 OLED 嘅顯示器會令到電腦嘅續航能力降低。
ICT 重點
揀呢篇新聞,唔係想討論呢部電腦值唔值得買,而係純粹因為 Willis 睇唔過眼,我哋套書(2025 DSE 前、舊 Syllabus 個套)仲係停留係 CRT 同 LCD 嘅年代。
依家市面上最常見到嘅顯示器,有 LCD、LED 同 OLED 三種。
- LCD
- 採用螢光燈管(CCFL,類似學校課室嘅光管)作為背光(Backlight),經過液晶層去改變唔同像素(Pixel)嘅顏色。
- 無法令到某個像素完全變做黑色。
- 比較便宜。
- 唔算出色嘅畫質。
- LED
- 原理同 LCD 一樣,但係背光變成 LED (發光二極體)。
- 比 LCD 顯示器更薄。
- 比 LCD 顯示器更高對比(Contrast)。
- 比 LCD 顯示器用更少電。
- 比 LCD 顯示器貴。
- OLED
- 唔需要背光,而係每個 Pixel 可以分別發光。
- 比 LED 顯示器有更高嘅對比、更高嘅光度(Brightness)、同更廣嘅觀看角度(Viewing Angle)。
- 比 LED 顯示器更貴。
- 壽命可能比 LED 顯示器短。
相關課題
- 必修部分第 12 課:關於顯示器
新聞來源/詳細閱讀
- Asus’s new Zenbook 14X is the latest thin and light laptop with an OLED screen
- LCD, LED, Plasma, OLED TVs as Fast As Possible
問題回顧
- 點解數據備份咁重要?
- 根據「客戶/伺服」模型,我哋平時「上網」係指啲乜嘢?
- OLED 顯示器有乜嘢好壞處?
鐘意篇文嘅話,麻煩係下面個 IG Post 上面俾個 Like ❤️ 感謝感謝