Browsing: 白帽黑客

    美國國土安全部 (The Department of Homeland Security) 去年啟動 Hack DHS 賞金獵人計劃,以賞金邀請有能之士找到系統的安全盲點。計劃執行近半年,DHS 方面公布已堵塞 122 個安全漏洞,當中有 27 個屬極危險級別,而整體只發放了 12.5 萬美元獎金,可見這類賞金獵人計劃的性價比極高。 針對他國發動網絡攻擊,藉此窒礙敵國的經濟發展或刺探政治軍事機密,有時比起派間諜執行更有效率。作為全球最大影響力的美國政府,單在去年已多次指控俄羅斯政府放任黑客集團攻擊,對美國市民造成能源短缺、大量企業受到勒索軟件攻擊等後果。而為了加強國家網絡安全防禦力,美國聯邦政府曾發出行政指令,要求各政府機關盡快堵塞系統漏洞,並發出指引要求各部門執行。 不過,要找出系統漏洞,單靠部門內的專家未必可行,最有效率的方法是邀請外人調查,過程才能做到不偏不倚,探查能力甚至會更大。有見及此,美國國土安全部便於 2019…

    上兩期都是環繞着「白帽黑客」(White Hat)這個題目,心想如果在港可以舉辦一個較大型的黑客 CTF 大賽,讓多一點本地及鄰近地區的「白帽黑客」能夠參賽及交流,那倒是一個不錯的做法。 發現樂趣,創造奇蹟 過去十年,黑客的意義有所改變,但是精神是一樣的。黑客們的共通點,是想知道和理解事物如何運作,在深層次研究後,他們可以創造超乎想像的奇蹟,並在其中發現樂趣。然而黑客並沒有想像中的恐怖,如果黑客發現某軟件存在漏洞並報告給相關企業,那麼企業對其進行快速修補,便會避免此漏洞帶來的危害。 「我們的」黑客大賽,培育本地人才 DEFCON 是國際知名的黑客 CTF 大賽,被譽為黑客界的「奧斯卡」,堪稱是殿堂級的安全盛會,黑客和安全專家都會慕名從世界各地趕來參加,去年參加人數更超過兩萬。我們也決定試一試,暫定於今年 10 月,在港舉行由我們公司主辦的首屆黑客大賽,希望培養業界人士對發掘網絡安全漏洞的興趣,從而提升本地的網絡安全水平。 高手相助,同場切磋 舉辦黑客大賽,我們還缺乏經驗。所以近月我也忙於跟參與過黑客 CTF 大賽的高手們請教。一提到舉辦黑客大賽這個構思,一班高手們非常樂意出手相助,運用他們過往的參賽經驗,為我們籌備一個高水平的大賽。初步構思是先舉辦初賽,給本地參賽者在線上比併。在初賽勝出的前三名會進入精英賽,再與鄰近區域的高手一起在現場一較高下。 美國取經,10 月見 雖然有高手幫忙籌劃,我亦不敢怠慢,並計劃在…

    上一期講過甚麼是「白帽黑客」(White Hat),是指在完全合法的情況下對系統進行攻擊,以求找出安全漏洞,令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面,並對網絡安全作深入交流。 這位高手是來自北京的陳宇森,現年只是 26 歲,臉上還有一點稚氣,但跟他溝通,卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外,在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名,以及在 2017 年另一個全球大型黑客大賽 Pwn2Own,獲得世界第三名。年紀輕輕已在國際大賽打響名堂,實在殊不簡單。但他跟我說:往後應不會再參與同類型的比賽了。畢竟已獲過獎項,可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客,在 2014 年已成立了安全技術公司,運用自身的專長,開發了一些高端安全產品,來應付日益複雜的黑客攻擊,並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」,以黑客的思維制訂安全方案去對付黑客攻擊,從邏輯來說,應會更有效。 除了安全產品外,陳宇森也有一套獨特的技術人員培訓計劃,可以說是比較實戰型。點解?一般網絡安全培訓機構都比較學術性,市場上的安全證書如 CISSP、CISM 等,也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」,內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏,我個人也認同實戰比證書更重要,也正考慮如何把這套實戰平台引入,來提升本地網絡安全人才應對網絡攻擊的能力。

    講到「黑客」這個名詞,一般都畀人感覺唔係咁正面,並會聯想到「網絡攻擊」、「網絡詐騙」、「資料盜竊」等負面行為。 其實黑客也大致分為三類,分別為「白帽黑客」(White Hat)、「灰帽黑客」(Grey Hat)及「黑帽黑客」(Black Hat)。白帽黑客以「改善」為目標,破解某個程序,令對方作出安全漏洞修補;灰帽黑客以「展現」為目標,透過破解、入侵去炫耀其擁有高超的技術,或者宣揚某種理念;黑帽黑客以「利慾」為目標,透過破解、入侵去獲取不法利益,或者發洩負面情緒。 白帽黑客是在這十年最熱門的職業之一,但不要以為是一件容易的工作,你必須對電腦系統、編寫程式、操作系統、網絡等有深刻的認識。白帽黑客大多是電腦保安公司的僱員,並在完全合法的情況下攻擊系統,以求找出安全漏洞。另外,也有很多大企業會聘請白帽黑客來保護其系統和訊息,薪酬也非常可觀呢。 至於電腦廠商方面,為鼓勵找出安全漏洞,也會付出豐厚獎金(Bounty Program)給予找出安全漏洞的舉報者。這個做法推至近年火熱的 ICO 市場,以進一步加強系統安全性。對白帽黑客來講,又多了一個收入來源。 再且,近年在網絡安全市場也興起黑客 Pwn 或 CTF 比賽,獎金也愈來愈吸引,勝出者亦可名利雙收。Pwn 一般讀作 Pone,自從「own」這個字引申出來的,意思是玩家在整個對戰中處在勝利的優勢,主要用於嘲笑競爭對手在整個遊戲對戰中已經完全被擊敗(例如:You just got pwned!)。CTF…