參加 AWS Security Day，掌握雲端安全的未來。學習尖端策略，提高您的雲端基礎架構。

精彩內容：

• 最新 AWS 安全解決方案及最佳實踐 • 零信任架構、AI 安全及合規專家研討
• 現場示範及實踐工作坊
• 安全專家交流機會
• AWS 安全專家獨家見解

佘偉超，Victor Share，人稱佘總，高威電信（Macroview Telecom）創辦人之一，香港資訊科技界重量級前輩。

逾半世紀前的姓氏翻譯方式尚未統一，佘總姓氏的譯音為 Share，相當少有，加上代表勝利的 Victor，他笑言其姓名 Victor Share，正正是「分享勝利」的意思。人如其名，退休兩年的佘總，近日決定出山，為後起之秀RankEZ擔任名譽顧問，向其得意門生分享逾 40 年管理及創業經驗，他直言：「希望可以幫到舊夥計成功！」

棄當科學家　轉而從商

精英教育年代，每年只有 2000 人順利升讀大學，佘總從沒想過自己考不上，源於自中四起，佘總已立定決心入讀中大，寧願每星期多作一篇文，拒絕娛樂，努力且有策略地達成目標。

「冇嘢做唔到」，這句人生格言，早在求學時期已悄悄實踐。

中大畢業後，曾短暫地當教師一年，儲夠本錢又繼續升讀 MBA，所有事都是佘總計劃之內。難道計劃不會跟不上變化嗎？他強調：「你本身有目標，但做落時覺得其他目標更好，就一路調整，唔會做唔到」。佘總笑指自己小時候想做科學家，入讀中大後卻發現同學們個個臥虎藏龍，「做個普通嘅科學家冇意思，所以轉去從商」。

追溯至「IT」尚未出現之時，當時被稱為 Computer and Communications，佘總看好會改變整個世界發展，屬非常有前景的新興行業，於是果斷入行，結果一入，便是40年。

成功之道　重視服務建口碑

由 System Engineer 做起，佘總謙稱他打工的年代較為簡單，加上碰上移民潮，機會處處。扶搖直上，一直做到 Senior Consultant，獲得一定的經驗及人脈後，佘總便聯同 MBA 的同學共同創業，由佘總負責傾生意，面對眾多客戶與廠商。

IT 這行業，尤其需要與客戶要建立長期合作關係，要建立口碑、令客戶有信心，絕非一朝一夕的事。因此，佘總非常重視服務交付，「你啲嘢一定要 Work，個服務一定要到位」並視客戶與廠商為朋友，「你自然會關心對方成唔成功，最緊要令到客人一直升職，客人就唔會離開你」。

對外，佘總可謂獨當一面；對內，他亦深受同事愛戴。現在於 RankEZ 擔任 Executive Vice President & Co-owner 的周偉業（Ken），既是其前員工，更是佘總的愛徒之一，至今仍尊稱對方作「老闆」。Ken 眼中的「老闆」喜歡因材施教，擅於解決難題，「佢 EQ 好好，從來冇見過佢發脾氣。」

讀數理出身、理性得很的佘總聽罷笑言：「你嬲係解決唔到件事，不如諗方法去解決。」在他眼中，一個組織正是要有不同的人去發揮所長，「你要懂得去欣賞」。他續分享，身為創業家，既要身體健康、EQ 高、能接受失敗，更要有好的計劃，「例如開公司，未來幾年希望做到啲乜？點鋪排？點去做？要有好策略嘅諗法」。

提攜後輩　對 RankEZ 充滿信心

兩年多前，佘總展開退休生活，但依舊掌握市場最新動態。至近日他決定為成立 3 年多的 PAM 界（特權帳號管理 Privileged Access Management）新星 RankEZ 擔任名譽顧問，與舊夥計 Ken 拍住上。他笑言消息流出後，收到很多訊息問：「你唔係退休咩？」

再次出山，皆因對 RankEZ 前景非常有信心，向來有遠見的佘總分析指，RankEZ 的特權帳號管理解決方案，可保障特權帳戶的密碼、訪問、風險分析等，減少未經授權存取和濫用的風險，防止資料外洩並符合法規要求，滿足市場實際需要，無論在香港、內地及海外市場都有很大發展空間。

他續指， RankEZ 擁有強大的科研團隊，解決方案架構領先其他競爭對手；管理團隊亦相當出色，例如 Ken 便曾在多個大型跨國企業擔任高級管理層，經驗豐富，絕對有助 RankEZ 發展。

強勢加盟 RankEZ 的佘總期望，能分享更多創業及管理經驗，助 RankEZ 更進一步，「我對佢哋好有信心！」

美國 CISA 安全機構近日發佈了一份技術報告，披露美國鐵路火車系統的一個嚴重安全漏洞，有可能被黑客利用來干擾列車制動系統，不僅可能導致鐵路運營中斷，甚至威脅到乘客及貨物的安全 ，最離奇是漏洞早在 20 年前被舉報，而且至少三次，莫非要等到出事才補救？

500 美元設備即可發動攻擊

編號為 CVE-2025-1727 的安全漏洞涉及火車系統中的「車尾與車頭」通信協議，該協議負責連接位於火車尾的「車尾設備」（End-of-Train，簡稱 EoT）與火車頭的「車頭設備」（Head-of-Train，簡稱HoT）。

EoT 主要功能是向火車頭傳輸火車尾的狀態數據，並在需要時接收指令啟動尾部的制動系統。CISA 的報告指出，該協議因缺乏任何身份驗證或加密機制，導致黑客可利用軟件發送特製數據包，直接對車尾設備發出制動指令，煞停列車，最嚴重更可引發出軌，癱瘓鐵路網絡。要實行攻擊，專家指一名熟悉系統及協定的黑客，只要一部 500 美元的設備，便可以輕易攔截並模仿合法的控制指令。

研究員曾三次舉報漏洞 

CISA 在報告中表揚了兩位安全研究員，其中之一的 Neil Smith 原來在 2012 年曾向美國鐵路協會（AAR）舉報該漏洞，甚至表示在調查過程中，發現該漏洞在更早之前的 2005 年已被提出，但 AAR 方面一直冷處理，並表示這個漏洞僅在實驗室環境內測試，難以證實在實際環境下可行。

隨後數年間，研究團隊與 AAR 多次交涉，另一位被表揚的研究員 Eric Reuter 亦在 2018 年的 DEF CON 黑客大會上公開相關細節，但同樣未能引起業界重視。直到 2024 年 Smith 再次向 CISA 提交漏洞報告後，該漏洞才重新被重視，促使AAR承諾採取行動。

安全專家強調鐵路系統作為基礎設施的重要組成部分，其安全問題需要得到更高優先級的關注與處理。CISA 亦呼籲相關廠商在設計系統時，應採用 Secure by Design 原則，在開發軟件之初便要考慮到網絡安全層面，即網絡安全業界所謂的「左移」(shift left)，從基礎開始堵塞安全漏洞，否則如在後期測試時才發現存在安全漏洞，便有機會影響推出時間，甚至引發安全風險。  

其實近年鐵路系統屢次成為網絡攻擊的目標，例如 2023 年波蘭就曾發生黑客通過無線電信號煞停列車，導致 20 部列車運營受阻，可見火車通信系統的安全問題不僅僅是理論威脅，而是切實存在的風險。而今次事件的主角 AAR 則表示，計劃從 2026 年開始升級約 45,000 台 EoT 設備及 25,000 台 HoT 設備，以替代現有的通信協議和硬件。不過要何時才完成升級就未有定案，乘客只能自求多福。

資料來源：https://www.securityweek.com/train-hack-gets-proper-attention-after-20-years-researcher/