央視網|中國網絡電視臺|網站地圖
客服設為首頁
登錄

中國網絡電視臺 > 經濟臺 > 財經資訊 >

有牌黑客:港交所源碼舊程式舊 披露易入侵易

發佈時間:2011年08月22日 08:31 | 進入復興論壇 | 來源:新浪財經


評分
意見反饋 意見反饋 頂 踩 收藏 收藏
channelId 1 1 1

  據港媒報道,港交所“披露易”網站遭黑客襲擊,暴露資訊保安漏洞。有受僱于資訊保安公司的“有牌黑客”發現,“披露易”網站自2008年以來沒更新過源碼(source code)及界面,使用的程式語言ASP亦已過時,容易成為黑客攻擊目標,建議港交所儘早採用較新、保安較強的ASP.NET語言。

  港交所認部分頁面兩年無更新

  港交所首席科技總監周騰彪回應表示,已于部分新系統及程式應用ASP.NET語言,但強調保安工作不是靠更換至某一種程式語言可解決,至於源碼多年均無更新,周承認部分頁面因無功能和技術需要,未有改變。

  具8年資訊保安經驗的賴灼東,為華爾基利信息安全研究組織(VXRL)始創人及研究員,是專業信息保安人員。賴笑言,他的工作與一般黑客無異,皆是繞過系統中的安全檢查及管制,如防火墻及過濾軟體,尋找保安漏洞,但他們的合法黑客行為,事前都取得有關公司同意及授權,更會詳細解釋攻擊手法及路線,以便公司改善。

  賴灼東説,黑客的入侵工作強調創意,每次都會嘗試不同路徑、運用新的技巧,而業內人士更要考取不同認證,包括道德黑客認證(CEH)、網絡應用程式滲入測試人員(GWAPT)證書,或資安軟體開發專家認證(CSSLP)。其組織VXRL由黑客組成,于不同平臺發表有關滲透測試、網絡和系統安全的研究報告。

  針對港交所的“披露易”網站,賴指其編寫程式語言ASP在業界公認較過時並多保安漏洞,建議港交所選擇較新、保安較強的ASP.NET撰寫網頁。同時,他透過網站時光機(http://wayback.archive.org/web/)查閱過往的“披露易”網站,發現2008年12月10日、2009年6月23日及昨日的“披露易”網站,主頁源碼及用戶界面均沒分別。賴灼東指出,科技日新月異,黑客每日不斷找尋新的攻擊手段,“披露易”網站兩年未改善及更新,容易成為黑客攻擊目標。

  指港欠完整資訊安全法例

  曾于大型銀行資訊科技部門工作的賴灼東説,作為亞洲金融中心,香港欠缺完整的資訊安全法例,以規管上市公司和金融機構的資訊系統,保障市民資訊安全。他舉例,美國加州參議院第1386號法案,規定上市公司須于每年的財政預算保留一定份額提升及檢查資訊系統,並於黑客入侵而資料外泄時,向受影響客戶賠償。據了解,香港現時只靠資訊科技總監辦公室(OGCIO)向政府部門提供指引,但未對金融機構、銀行及上市公司的資訊系統保安作硬性規定,機構毋須對外公佈有否為系統作審核(IT audit)及審核次數,透明度不足。