特约内容

香港网络保安新生代夺旗挑战赛2022 培育新一代网络保安人才

撰文: 谢德勤
出版:更新:

市民日常生活和网络环环相扣,大家可以随时随地浏览各种资讯,于社交平台上分享生活,以至进行网上购物或网上缴费。互联网功能推陈出新,但在带来便利的同时,也会衍生各式各样的网络保安威胁,稍有不慎,分分钟会酿成资料外泄、身分被盗用等保安危机!有见及此,香港生产力促进局与辖下香港电脑保安事故协调中心,联同教育及网络保安机构AiTLE、Black Bauhinia、eLC、ISOHK、PISA及VXRL,携手举办“香港网络保安新生代夺旗挑战赛2022”,吸引大量本地中学生、大专生及网络保安从业员参与,以提升香港年轻人的网络保安意识,培育更多有志投身资讯保安行业的新力军。今年比赛更迈向国际,邀请多队来自不同地方的夺旗高手以客席选手身分一同交流和切磋。
摄影:苏炜然

网络保安专才求才若渴 比赛致力培育业界新血

夺旗挑战(Capture the Flag,CTF)原是西方传统运动,其后逐渐演变成全球流行的网络保安竞技游戏。自1996年DEFCON全球黑客大会举办夺旗比赛开始,世界各地亦陆续出现各式各样关于网络保安技术的夺旗比赛,活动资讯丰富,极具趣味,深受欢迎。

作为全港数一数二的大型CTF比赛,“香港网络保安新生代夺旗挑战赛2022”今年踏入第三届,并于11月圆满举行。比赛旨在提升年轻人的网络保安意识,以及吸引对网络保安感兴趣的年轻人,让他们透过比赛中掌握和实践有关网络保安的资讯和技能,持续激发其学习兴趣。从本年度“HKT香港企业网络保安准备指数”报告可见,本地企业欠缺资讯科技支援及管理专才,令网络保安管理成为企业最大的营运挑战之一。此比赛正好能培育网络保安和科技教育(TechEd)技能兼备的新力军,让年轻人在投身职场前接触相关知识及行业资讯,做足准备。

“香港网络保安新生代夺旗挑战赛2022”于11月圆满举行,并于12月19日举行网上研讨会暨颁奖典礼。

香港生产力促进局数码转型部总经理陈仲文于致欢迎辞时表示:“网络保安最重要的一环既不是防火墙,亦不是防毒软件,而是人。生产力局一直透过不同途径培育网络保安人才,让有志加入行业的下一代装备自己,举办夺旗比赛便是其中之一。今年已是本局连续第三年联同HKCERT举办这比赛,我们喜见本地参加者水平持续提升,其中公开组冠军更与国际客席选手斗得难分难解。有见及此,我们会积极考虑将这比赛升级为更高级别的国际赛事,届时将有更多顶尖队伍加入,与香港夺旗精英切磋技艺。”

香港生产力促进局数码转型部总经理陈仲文。

逾四百队参赛队伍 年青人对网络安全意识日渐提高

比赛设3个参赛组别,分别为中学组、大专组及公开组,所有对网络保安有兴趣的香港居民均可参加。今届比赛盛况空前,有近1,200名本地中学、大专院校学生及资讯科技精英选手组成434支队伍参赛,各组别参加人数皆有上升,当中公开组升幅最大,较去年增加40%,中学组及大专组亦分别增加26%及12%。

政府资讯科技总监办公室(资科办)总系统经理(网络安全)萧锦荣致辞时表示:“连续三届的‘香港网络保安新生代夺旗挑战赛’都得到学界及社会的热烈支持,本届的总参赛人数更接近1,200人,创历年新高,令人鼓舞。资科办会继续与不同持份者合作举办各项活动,吸引年青人投身资讯保安行业,为业界培育更多网络安全生力军。”

政府资讯科技总监办公室总系统经理(网络安全)萧锦荣。

题目涵盖多元网络保安范畴 本地及国际队伍同场较劲 金奖队伍:对保安漏洞时刻保持警惕

比赛是以解题模式夺分,各队伍需拆解涵盖网站保安、逆向工程、程式漏洞、密码学、电脑鉴证等范畴的题目,在48小时内运用创意思维解决问题,从中学习如密码学、编程概念、网络鉴证等网络保安知识和技能,反复试验以拆解47题挑战以获取分数。除了本地队伍互相比并,大会更邀请了中国内地、印度、印尼、伊朗、韩国、美国等世界各地的CTF好手同场较劲。比赛期间,本地CTF高手Team Black Bauhinia亦于线上为参赛者打气及提供支援,共同感受一年一度大型、刺激又紧张的CTF比赛盛事!

大会今年于题目设计及玩法上亦“搞搞新意思”,如以香港地名为题目命名,用全港最斜的街道“正街”为题,比喻于网站上有机会发生的保安漏洞off-by-slash;更设有“手把手”教学题目,透过提供不同提示,引导参赛者一步步拆解问题,以明白当中原理为目标,让较少经验的参赛者都能够参与其中。

比赛以本港地名为题。“正街”是全港最斜道路,用来比喻网址上的“/”符号和与这符号相关的网站保安漏洞。

今年比赛继续获得参赛者的正面评价,于国际知名夺旗比赛评分平台CTFTime的期待值评分连续两年上升,由25分升至55分,进一步提升比赛在国际夺旗竞赛界的名声,为我们日后再次举办夺旗比赛打了一枝强心针。

中学组金奖队伍天主教崇德英文书院江同学分享:“在这次的比赛中,我进步了很多,也开始重视以往被忽略的网络安全的重要性。同时可了解攻击者的手法,例如利用Cross Site Scripting、Man In The Middle 等,让我和队友对潜在的保安漏洞保持警惕,亦对编写程式有更多的了解。这次比赛也令我体验了一次真正的团队合作,我和队友之间互补不足,各自发挥所长。我认为任何领域的技巧和知识都是靠累积而来,我的学习心得是不要顾虑当前所学是否有用,想学就学!”

中学组金奖队伍天主教崇德英文书院分享,比赛令他们开始重视以往被忽略的网络安全的重要性,并了解攻击者的手法,对潜在的保安漏洞保持警惕。
大专组金奖得主为来自香港理工大学的队伍(T0092 - PolyU)。
公开组金奖队伍为T0003(2022)@ TWY's Temple。

得奖名单

中学组
金奖:天主教崇德英文书院
银奖:圣公会曾肇添中学
铜奖:圣言中学
最佳学校:迦密中学
最积极参与:九龙真光中学

大专组
金奖:来自香港理工大学的学生队伍(T0092 - PolyU)。
银奖:来自香港科技大学的学生队伍(T0024 - HKUST)。
铜奖:来自香港科技大学的学生队伍(T0055 - HKUST)。

公开组
金奖:T0003 (2022) @TWY's Temple
银奖:Black Banana
铜奖:NuttyShell

“香港网络保安新生代夺旗挑战赛”于每年11月中旬举办。若对不同范畴的科技及网络保安知识感兴趣,或想参考过往数届的教材,欢迎浏览香港电脑保安事故协调中心有关CTF挑战赛的网页:https://ctf.hkcert.org/zh/index.html

生产力局在培育网络保安专才方面,除与HKCERT举办夺旗比赛外,还会开办相关专业培训课程,例如(ISC)² 注册资讯系统安全师(CISSP)、EC-Council道德黑客(正派黑客)认证(C|EH)等国际认可证书课程,提升学员的网络保安知识;此外,亦会提供技术性的网络保安训练,强化学员的“实战”操作经验,让他们能更全面地应对及抵御网络新威胁。另外,生产力局与HKCERT亦会提供工作及实习机会,让有意加入网络保安行业的朋友一展所长、吸收经验。

(资料由客户提供)