据港媒报道,港交所“披露易”网站遭黑客袭击,资讯保安漏洞。有受僱于资讯保安公司的“有牌黑客”发现,“披露易”网站自2008年以来没更新过源码(source code)及界面,使用的程式语言ASP亦已过时,容易成为黑客目标,港交所尽早采用较新、保安较强的言。
港交所首席科技总监周腾彪回应表示,已于部分新系统及程式应用ASP.NET语言,但强调保安工作不是靠更换至某一种程式语言可解决,至于源码多年均无更新,周承认部分页面因无功能和技术需要,未有改变。
具8年资讯保安经验的赖灼东,为华尔基利信息安全研究组织(VXRL)始创人及研究员,是专业信息保安人员。赖笑言,他的工作与一般黑客无异,皆是绕过系统中的安全检查及管制,如防火墙及过滤软件,寻找保安漏洞,但他们的黑客行为,事前都取得有关公司同意及授权,更会详细解释手法及线,以便公司改善。
赖灼东说,黑客的入侵工作强调创意,每次都会尝试不同径、运用新的技巧,而业内人士更要考取不同认证,包括黑客认证(CEH)、网络应用程式渗入测试人员(GWAPT)证书,或资安软体开发专家认证(CSSLP)。其组织VXRL由黑客组成,于不同平台发表有关渗透测试、网络和系统安全的研究报告。
针对港交所的“披露易”网站,赖指其编写程式语言ASP在业界较过时并多保安漏洞,港交所选择较新、保安较强的ASP.NET撰写网页。同时,他透过网站时光机(查阅过往的“披露易”网站,发现2008年12月10日、2009年6月23日及昨日的“披露易”网站,主页源码及用户界面均没分别。赖灼东指出,科技日新月异,黑客每日不断找寻新的手段,“披露易”网站两年未改善及更新,容易成为黑客目标。
曾于大型银行资讯科技部门工作的赖灼东说,作为亚洲金融中心,欠缺完整的资讯安全法例,以规管上市公司和金融机构的资讯系统,保障市民资讯安全。他举例,美国第1386号法案,上市公司须于每年的财政预算保留一定份额提升及检查资讯系统,并于黑客入侵而资料外泄时,向受影响客户赔偿。据了解,现时只靠资讯科技总监办公室(OGCIO)向政府部门提供,但未对金融机构、银行及上市公司的资讯系统保安作硬性,机构毋须对外公布有否为系统作审核(IT audit)及审核次数,透明度不足。
推荐:
网友评论 ()条 查看