中大新聞中心
中大工程学生队伍钻研网络安全勇夺首个全港大学校际骇客竞赛冠军
近年,骇客高调攻击政府及企业网络,网络安全成为全球关注的课题。国际四大会计师事务所之一普华永道(PricewaterhouseCoopers, PwC),于六月底举行了首届全港大学校际骇客竞赛(HackaDay),吸引九队来自本地五间大学的队伍参赛。经过连续六小时的赛事,香港中文大学(中大)的队伍于指定时间内破解了多条取自真实个案的难题,展现出优秀的专业知识及技术水平,以最高累积分数勇夺冠军。
优胜队伍由四位来自中大工程学院及理学院的学生组成,他们一直对编程及网络安全有浓厚兴趣,课余时参加由中大工程学院学生自发组织的CUHK Open Innovation Lab (OIL)。透过参与OIL的多元化活动,他们打破学系的局限,得以向不同背景的师生、校友及业界专家请益学习,探讨有关开源软件、公开资料及网络安全等热门课题。
知己知彼,百战百胜。抵挡骇客攻击,防守一方必先理解骇客的攻击技俩,查找出网络的漏洞,才可制订出有效的修复及防御方案,通报客户。因此,中大队伍于赛前两个月积极备战,并由中大信息工程学系刘永昌及张克环两位教授亲自指导,每星期进行两次密集式培训。在备战过程中,队友们发挥团队精神,合作解难,同时按各自的强项,专注在网络、万维网应用、二进制(Binary)程式分析及加密算法四方面深入磨练,参考过往的攻击案例,以及各地骇客竞赛的试题,模拟骇客入侵,进行渗透测试(Penetration Test),提升技巧与速度。
队伍以「WannaCry」命名,希望藉这个影响全球的网络勒索程式,带出防范电脑病毒的重要性。队员曾奕辉及王献博指出,该程式于本年5月大规模感染各国企业及政府机构,然而,针对其入侵漏洞的修复方案早于同年3月发布,却一直被用户端忽略,令本可避免的损失酿成肆虐全球的网络灾难,更凸显提升网络安全意识,是防范恶意攻击之关键。
主办单位PwC根据业界常见的真实个案,环绕网络、网页应用及二进制三个骇客技术领域,设计了十五道难题。中大队伍严阵以待,采用练习时定下的策略,从各人专长的题目入手,再合作处理最艰深的挑战;部分个案如WannaCry病毒程式,队员准备充足,只花短短的十分钟便完成一条难题。而擅长网页应用范畴的王献博则负责拆解一条关于XSS(Cross Site Scripting)的题目,他成功假扮恶意用户,于模拟的网上留言板攻击浏览者,盗取他人的登入帐号,过程非常逼真刺激。在六小时时限内,中大团队成功完成十一条题目,于九个队伍中脱颖而出,勇夺冠军。主办机构PwC表示,比赛一方面为评估参赛者的技能和知识,促进香港新一代年轻人对此专业的兴趣和认知;另一方面是藉此活动唤起大众对网络安全的关注, 让社会对日新月异的网络安全挑战和私隐风险管理作更好准备。
胜出的队伍成员获得PwC网络安全部门的实习机会,其中,曾奕辉及汤湛飞计划在来年一月展开为期半年的实习。对于首次正式参与真实的网络保安工作,他们感到非常兴奋,希望学以致用,深入认识网络防御的应用,例如电子取证(Digital Forensic)等专业课题。完成实习后,他们将会跟随队友王献博,报读中大工程学院硕士课程,深造网络安全方面的知识,期望为保护网络出一分力。而另一名队员梁成悦则会在张克环教授的指导下,进行有关网络安全的毕业专题研究,希望能够继续了解和探索这个领域。