中大新聞中心

近年，骇客高调攻击政府及企业网络，网络安全成为全球关注的课题。国际四大会计师事务所之一普华永道（PricewaterhouseCoopers, PwC），于六月底举行了首届全港大学校际骇客竞赛（HackaDay），吸引九队来自本地五间大学的队伍参赛。经过连续六小时的赛事，香港中文大学（中大）的队伍于指定时间内破解了多条取自真实个案的难题，展现出优秀的专业知识及技术水平，以最高累积分数勇夺冠军。 

优胜队伍由四位来自中大工程学院及理学院的学生组成，他们一直对编程及网络安全有浓厚兴趣，课余时参加由中大工程学院学生自发组织的CUHK Open Innovation Lab (OIL)。透过参与OIL的多元化活动，他们打破学系的局限，得以向不同背景的师生、校友及业界专家请益学习，探讨有关开源软件、公开资料及网络安全等热门课题。 

知己知彼，百战百胜。抵挡骇客攻击，防守一方必先理解骇客的攻击技俩，查找出网络的漏洞，才可制订出有效的修复及防御方案，通报客户。因此，中大队伍于赛前两个月积极备战，并由中大信息工程学系刘永昌及张克环两位教授亲自指导，每星期进行两次密集式培训。在备战过程中，队友们发挥团队精神，合作解难，同时按各自的强项，专注在网络、万维网应用、二进制（Binary）程式分析及加密算法四方面深入磨练，参考过往的攻击案例，以及各地骇客竞赛的试题，模拟骇客入侵，进行渗透测试（Penetration Test），提升技巧与速度。 

队伍以「WannaCry」命名，希望藉这个影响全球的网络勒索程式，带出防范电脑病毒的重要性。队员曾奕辉及王献博指出，该程式于本年5月大规模感染各国企业及政府机构，然而，针对其入侵漏洞的修复方案早于同年3月发布，却一直被用户端忽略，令本可避免的损失酿成肆虐全球的网络灾难，更凸显提升网络安全意识，是防范恶意攻击之关键。 

主办单位PwC根据业界常见的真实个案，环绕网络、网页应用及二进制三个骇客技术领域，设计了十五道难题。中大队伍严阵以待，采用练习时定下的策略，从各人专长的题目入手，再合作处理最艰深的挑战；部分个案如WannaCry病毒程式，队员准备充足，只花短短的十分钟便完成一条难题。而擅长网页应用范畴的王献博则负责拆解一条关于XSS（Cross Site Scripting）的题目，他成功假扮恶意用户，于模拟的网上留言板攻击浏览者，盗取他人的登入帐号，过程非常逼真刺激。在六小时时限内，中大团队成功完成十一条题目，于九个队伍中脱颖而出，勇夺冠军。主办机构PwC表示，比赛一方面为评估参赛者的技能和知识，促进香港新一代年轻人对此专业的兴趣和认知；另一方面是藉此活动唤起大众对网络安全的关注， 让社会对日新月异的网络安全挑战和私隐风险管理作更好准备。 

胜出的队伍成员获得PwC网络安全部门的实习机会，其中，曾奕辉及汤湛飞计划在来年一月展开为期半年的实习。对于首次正式参与真实的网络保安工作，他们感到非常兴奋，希望学以致用，深入认识网络防御的应用，例如电子取证（Digital Forensic）等专业课题。完成实习后，他们将会跟随队友王献博，报读中大工程学院硕士课程，深造网络安全方面的知识，期望为保护网络出一分力。而另一名队员梁成悦则会在张克环教授的指导下，进行有关网络安全的毕业专题研究，希望能够继续了解和探索这个领域。