分享更多
字体:

有牌黑客:港交所源码旧程式旧 披露易入侵易

http://msn.finance.sina.com.cn 2011-08-22 08:29 来源: 新浪财经

  据港媒报道,港交所“披露易”网站遭黑客袭击,暴露资讯保安漏洞。有受僱于资讯保安公司的“有牌黑客”发现,“披露易”网站自2008年以来没更新过源码(source code)及界面,使用的程式语言ASP亦已过时,容易成为黑客攻击目标,建议港交所尽早采用较新、保安较强的ASP.NET语言。

  港交所认部分页面两年无更新

  港交所首席科技总监周腾彪回应表示,已于部分新系统及程式应用ASP.NET语言,但强调保安工作不是靠更换至某一种程式语言可解决,至于源码多年均无更新,周承认部分页面因无功能和技术需要,未有改变。

  具8年资讯保安经验的赖灼东,为华尔基利信息安全研究组织(VXRL)始创人及研究员,是专业信息保安人员。赖笑言,他的工作与一般黑客无异,皆是绕过系统中的安全检查及管制,如防火墙及过滤软件,寻找保安漏洞,但他们的合法黑客行为,事前都取得有关公司同意及授权,更会详细解释攻击手法及路线,以便公司改善。

  赖灼东说,黑客的入侵工作强调创意,每次都会尝试不同路径、运用新的技巧,而业内人士更要考取不同认证,包括道德黑客认证(CEH)、网络应用程式渗入测试人员(GWAPT)证书,或资安软体开发专家认证(CSSLP)。其组织VXRL由黑客组成,于不同平台发表有关渗透测试、网络和系统安全的研究报告。

  针对港交所的“披露易”网站,赖指其编写程式语言ASP在业界公认较过时并多保安漏洞,建议港交所选择较新、保安较强的ASP.NET撰写网页。同时,他透过网站时光机(http://wayback.archive.org/web/)查阅过往的“披露易”网站,发现2008年12月10日、2009年6月23日及昨日的“披露易”网站,主页源码及用户界面均没分别。赖灼东指出,科技日新月异,黑客每日不断找寻新的攻击手段,“披露易”网站两年未改善及更新,容易成为黑客攻击目标。

  指港欠完整资讯安全法例

  曾于大型银行资讯科技部门工作的赖灼东说,作为亚洲金融中心,香港欠缺完整的资讯安全法例,以规管上市公司和金融机构的资讯系统,保障市民资讯安全。他举例,美国加州参议院第1386号法案,规定上市公司须于每年的财政预算保留一定份额提升及检查资讯系统,并于黑客入侵而资料外泄时,向受影响客户赔偿。据了解,香港现时只靠资讯科技总监办公室(OGCIO)向政府部门提供指引,但未对金融机构、银行及上市公司的资讯系统保安作硬性规定,机构毋须对外公布有否为系统作审核(IT audit)及审核次数,透明度不足。

分享更多
字体:

网友评论

以下留言只代表网友个人观点,不代表MSN观点更多>>
共有 0 条评论 查看更多评论>>

发表评论

请登录:
内 容: