有一群名為「白帽駭客」的IT人,每天在系統中尋找安全漏洞,與黑帽黑客(俗稱「黑客」)的手法幾乎一致。但他們不為攻擊勒索,而是如神雕俠侶般左右互搏,自己hack自己,只為在黑客下手前發現漏洞,協助修補,避免悲劇發生。
虛擬世界比我們想像得要脆弱。一旦私人資料外洩,便難逃變身「透明人」的命運,被黑客扯下最後的皮囊,一絲不掛。小到電話騷擾,大到敲詐勒索,足以令社會不得安寧,人人生活在惶恐之中。今年11月14日,私隱專員公署及生產力促進局共同公布2023年「香港企業網絡保安準備指數及私隱認知度」調查,顯示本港企業網絡保安準備指數錄得歷來最大跌幅,七成受訪企業遭受最少一類網絡安全攻擊,以釣魚電郵、電話、SMS形式為主。公署截至今年10月底,收到119宗資料外洩通報,正審視修訂私隱條例。
今期Cubic Zine聚焦中大工程學院信息工程系周思驍教授及其學生團隊Doria和Cousin三位「白帽駭客」的小宇宙,看他們如何日以繼夜在虛擬世界填補漏洞,守護元宇宙的安全,化解現實生活中的資料洩露危機。
網絡安全非小事
中學時期,周教授就對網絡安全議題十分感興趣。在打打鬧鬧、惡作劇連天的歲月,還是學生的周教授就做了不少「友善的攻防」,理解了信息安全屏障的脆弱,也令他更有興趣進一步研究:「怎樣可以做好一點,幫助身邊的人,以及幫助社會上不同階層的人。」
小到遺失電腦產生的數據外洩,VPN軟件竊取公司機密,大到世界各地大機構信息洩露,尤其最近本港多間機構接連「中槍」,大企業、小市民也難以倖免。周教授閱「案」無數,深知網絡安全事件對社會帶來負面影響。一次對公共供水網絡系統的入侵,足以毀掉一個向數千戶家庭供水的水泵,或是輸出氫氧化鈉含量逾100倍的「毒水」。一次對電力公司的勒索攻擊,足以使一座城市陷入黑暗半日。一次對掌握大量數據大機構的盜竊,足以令幾百GB個人資料成為明碼標價的商品。數之不盡的「資安事件」一旦得逞,便能無差別地踐踏人們的隱私,甚至性命。(詳見副稿:高等院校作為守護資訊安全的燈塔)
在美國普渡大學(Purdue University)修畢計算機科學(Computer Science)博士課程,再在2020年到中文大學授課,周教授運用自己在信息工程領域的專業知識,帶領學生團隊捕捉網絡安全漏洞,希望快黑客一步,及時補救。
團隊協作 身負社會責任感
網絡安全研究究竟從何入手?周教授通常以宏觀的角度策劃研究方向,並根據團隊成員的長處和背景安排他們在不同範疇內(例如通訊軟件及辦公軟件等)做白帽駭客。團隊的日常工作是在個人負責的領域內做系統式調查,比較市面上的不同產品,分析產品優劣背後的原因。周教授及團隊力求調查之深入,試圖通過不同角度、層次尋找漏洞,以致研究項目都通常長達1年。除了正在探究的email和VPN,還有很多不同生態未經深入挖掘。
周教授能從發現並解決問題中獲得滿足感,直言有團隊的支持總比單打獨鬥好。與周教授並肩作戰的學生Cousin也十分欣喜自己能提供不同視角的觀點,為教授的研究項目添磚加瓦。
窮追不捨,都是本著一顆良心,一份社會責任感,只為在潛伏的駭客攻擊前搶先一步,清除漏洞的威脅。周教授也希望這份責任感能代代相傳,無論團隊成員未來選擇哪條路,都能繼續為網絡安全建設出分力。
EQ與IQ
從事網絡安全研究需要思維邏輯、密碼學等IQ底,其實EQ也極為重要。周教授認為耐性和溝通技能都必不可少。
「代碼本來不是你寫,導致你要花很多時間猜測和嘗試。這個過程非常花時間,相當考驗耐性。」不怕耐性爆棚,就怕黑客比你還有耐性,於是團隊常常沉醉於試驗中,廢寢忘食。團隊成員Doria常常尋找漏洞,一試就試到凌晨三四點,甚至一有靈感,連星期六日都會回到辦公室繼續。
一旦發現漏洞,周教授及其團隊必會盡力與存在漏洞的機構取得聯繫,但這並非一帆風順。大企業或許會透明處理,及時更正,還給予獎金感謝。「Android 和 Chrome曾接受我們的建議,發布了軟件修補程式,而 Google 給我們超過 15 萬港元的賞金。」
但中小企業的應對態度就參差不齊。團隊試過打長途電話,反而被質疑好心辦壞事;也試過傳統的通訊方式,發傳真,寄掛號信,但也石沉大海。與廠商的溝通十分考驗情商:「他們有種『家醜不外揚』的感覺,我們要說服他們:你是在幫他們提升品牌信用度,而不是害他們。這是團隊成員花了很多時間、心機、精力,出了很多血汗的過程。」
網絡安全的危機和機遇
早前中大資訊科技服務處更新VPN,原來有段故事。周教授團隊透過分析全球逾2000所高等院校的7000多份Wi-Fi 用戶手冊,發現約有86%的院校,有至少一項操作系統指示,會令用戶採用不安全的Wi-Fi 設定。研究團隊測試了全球 132 個被採用的 VPN,發現近半存嚴重漏洞。而在約 2,000 份世界各地高等院校的 VPN 用戶手冊中,研究團隊亦發現有 300 多份存在設定問題,導致用戶可能會被駭客輕易盜取密碼。
白帽駭客雙手揮揮,頓時面目全非。周教授團隊研究中大的VPN軟件後,中大因而更新了VPN軟件,為山城建立更堅固的數位堡壘。
市場上,公司、機構、醫院、學校紛紛依賴網絡安全產品去維持日常營運,大大小小的企業亦需重視網絡安全,以抗衡瞬息萬變的營商環境,這無疑是一個充滿潛力的商業機會。在中大,網絡安全研究人才與技術俱備,無疑是知識轉移、把研究造福社會的契機。
言談間,我們談及非政府機構處理大量捐助者的私隱資料,潛伏很大的危機。我們建議周教授把握先機,成立一間網絡安全相關的社企。周教授認為值得做,以實惠價錢為企業提供「顧問」服務,同時,讓學生有機會將理論付諸實踐,接觸客戶,並應用他們的知識解決現實問題。
軟件程式推陳出新,駭客入侵手段多變,網絡安全研究者也要與時並進,保持永不言敗精神。「我們整天都說attacks only get better。有新挑戰、新陷阱,就有新機遇。」
希望人人合格 爭取高分
回歸問題本質,最好的方法還是提升全社會的信息安全水平。周教授認為個人與機構都需要力爭做到最好。
「網絡安全說到底,都是人的問題 ,無論是人們開發軟件的時候出錯,或者人們使用時出錯。尤其人還常常抱有僥倖心態。」普羅大眾雖然很難完全阻止所有攻擊,但可以多關注時事,逐步提升網絡安全意識。當網站、APP詢問是否提供個人資料時,不妨考慮如何盡少提供,以保護個人隱私。「不要別人問你給不給,就全部都選『給』。」同時見到可疑的彈窗,也要在點擊「確認」前三思:是不是真的要繼續呢?不求所有人都做到100分的完美,但是「平時拿40分的,現在可以拿到60分,都是一種進步 。」
更高層面來看,無論是公司企業還是政府部門,都應該摒棄傳統思維,認真審視現時網絡安全的保護是否足夠,以應對日益嚴重的網絡攻擊,慎防因網絡安全漏洞造成無法預估的損失。同時機構也應該開通更完善的溝通渠道,制定事故應變的措施,以開放態度接受白帽駭客的善意提醒。
網絡攻擊日增,破壞人與人之間的互信,周教授認為大家更應通過提高網絡安全意識主動建立信任:「如果大家分都不會太低,攻擊者都沒那麼容易入手,其實我覺得有助在整個社會建立信任。」
頭頂「白帽」,修補網絡安全漏洞已是「黑帶」功夫。久坐玩救虛擬世界,腰痛有時。周教授和團隊成員又一次定下了那個舊目標:新的一年,要一起多做運動。但我們知道,只有當大家的安全意識提升,周教授才會離他的目標更進一步。當然,這也肯定不是他新的一年裡想達到的唯一目標。
中大工程學院信息工程系自1989年由「光纖之父」高錕教授創辦以來,一直推進香港網絡安全進步,以至全球互聯網及資訊科技的發展。在新的信息時代,相信周教授和學系師生會繼續協力研究,積極貢獻社會,建設一個安全和智能兼備的互聯世界。
文:黃翔堃、方嘉欣
歡迎透過電郵聯絡我們,分享你的讀後感:innoport@cuhk.edu.hk