近年,駭客高調攻擊政府及企業網絡,網絡安全成為全球關注的課題。國際四大會計師事務所之一普華永道(PricewaterhouseCoopers, PwC),於六月底舉行了首屆全港大學校際駭客競賽(HackaDay),吸引九隊來自本地五間大學的隊伍參賽。經過連續六小時的賽事,香港中文大學(中大)的隊伍於指定時間內破解了多條取自真實個案的難題,展現出優秀的專業知識及技術水平,以最高累積分數勇奪冠軍。

優勝隊伍由四位來自中大工程學院及理學院的學生組成,他們一直對編程及網絡安全有濃厚興趣,課餘時參加由中大工程學院學生自發組織的CUHK Open Innovation Lab (OIL)。透過參與OIL的多元化活動,他們打破學系的局限,得以向不同背景的師生、校友及業界專家請益學習,探討有關開源軟件、公開資料及網絡安全等熱門課題。

知己知彼 百戰百勝

知己知彼,百戰百勝。抵擋駭客攻擊,防守一方必先理解駭客的攻擊技倆,查找出網絡的漏洞,才可制訂出有效的修復及防禦方案,通報客戶。因此,中大隊伍於賽前兩個月積極備戰,並由中大信息工程學系劉永昌及張克環兩位教授親自指導,每星期進行兩次密集式培訓。在備戰過程中,隊友們發揮團隊精神,合作解難,同時按各自的強項,專注在網絡、萬維網應用、二進制(Binary)程式分析及加密算法四方面深入磨練,參考過往的攻擊案例,以及各地駭客競賽的試題,模擬駭客入侵,進行滲透測試(Penetration Test),提升技巧與速度。

隊伍以「WannaCry」命名,希望藉這個影響全球的網絡勒索程式,帶出防範電腦病毒的重要性。隊員曾奕輝及王獻博指出,該程式於本年5月大規模感染各國企業及政府機構,然而,針對其入侵漏洞的修復方案早於同年3月發布,卻一直被用戶端忽略,令本可避免的損失釀成肆虐全球的網絡災難,更凸顯提升網絡安全意識,是防範惡意攻擊之關鍵。

十五道難題

主辦單位PwC根據業界常見的真實個案,環繞網絡、網頁應用及二進制三個駭客技術領域,設計了十五道難題。中大隊伍嚴陣以待,採用練習時定下的策略,從各人專長的題目入手,再合作處理最艱深的挑戰;部分個案如WannaCry病毒程式,隊員準備充足,只花短短的十分鐘便完成一條難題。而擅長網頁應用範疇的王獻博則負責拆解一條關於XSS(Cross Site Scripting)的題目,他成功假扮惡意用戶,於模擬的網上留言板攻擊瀏覽者,盜取他人的登入帳號,過程非常逼真刺激。在六小時時限內,中大團隊成功完成十一條題目,於九個隊伍中脫穎而出,勇奪冠軍。主辦機構PwC表示,比賽一方面為評估參賽者的技能和知識,促進香港新一代年輕人對此專業的興趣和認知;另一方面是藉此活動喚起大眾對網絡安全的關注, 讓社會對日新月異的網絡安全挑戰和私隱風險管理作更好準備。

勝出的隊伍成員獲得PwC網絡安全部門的實習機會,其中,曾奕輝及湯湛飛計劃在來年一月展開為期半年的實習。對於首次正式參與真實的網絡保安工作,他們感到非常興奮,希望學以致用,深入認識網絡防禦的應用,例如電子取證(Digital Forensic)等專業課題。完成實習後,他們將會跟隨隊友王獻博,報讀中大工程學院碩士課程,深造網絡安全方面的知識,期望為保護網絡出一分力。而另一名隊員梁成悅則會在張克環教授的指導下,進行有關網絡安全的畢業專題研究,希望能夠繼續了解和探索這個領域。

上一篇:
下一篇: