【一切由有趣開始】UDomain首席網絡保安分析師的分享 | 文章 – 滙豐機滙

UDomain有趣的自家白帽駭客Chris Chan,蝪談有趣的入行經歷,如何在網絡世界中找到有趣的工作動力。

故事  ·    ·  3 mins read

【一切由有趣開始】UDomain首席網絡保安分析的分享

「真係好有趣。」

如果說出這話的是一個駭客,浮現在你腦海的會否是荷里活電影中的邪惡大反派?但其實這位駭客不但不邪惡,而且他本人也的確相關有趣。他是誰?UDomain 滲透測試團隊的首席網絡保安分析師 Chris Chan。

有趣的Chris

滲透測試」團隊的工作,就是找出客戶電腦系統的漏洞,當中牽涉到利用駭客的思維和技術,模仿駭客入侵測試漏洞;測試後會向客戶呈交報告,建議客戶如何修補漏洞,未雨綢繆。而帶領團隊的Chris就曾為跨國集團、銀行、學校、NGO等不同性質機構進行測試,是香港難得一見的超級專家。

大學時並非主修電腦科學,不過從小對駭客技術感興趣,

但之所以會說Chris有趣,當然有原因。其一是他的背景:技術高超的Chris原來大學時並非主修電腦科學,因為他從小已對駭客技術很感興趣,喜歡自行研究家中的網絡設置,後來更加入駭客技術小組作深入研究,他曾發現IT巨擘如ASUS, Yahoo, eBay及Apple等網頁的漏洞並向其舉報,更獲對方確認和獎金予以嘉許。一個靠自學而得出來的天才,當然有趣。

有趣的資格試

雖然Chris並非在大學修讀相關知識,卻不代表他無專業認證;相反,他有齊「Offensive Security」全套五張OSCP, OSWP, OSCE, OSEE, OSWE證書,當中難度最高的OSEE資格,目前全港有此認證的專家為數不多,Chris就是其中一位了!

這個「Offensive Security」資格試亦相當有趣。其中以OSEE的難度最高,考試分為2部份,首先考生需要在72小時內完成專為全球頂尖Pentester而設計的漏洞試題; 完成後隨即要在24小時內整理整個入侵過程的證明(如透過cap圖),然後寫成報告交予考試機構,Chris話:「呢個認證比一般滲透測試更高要求,要考生自己修改程式入侵測試對象,過程中亦要運用到高深的解碼學同數學。」,

目前全香港真正合資格的pentester只有幾十個,所以網絡安全人才十分渴市,各大公司亦會向成功發現漏洞的pentester發放高額獎金,務求吸引人才。Chris表示:「好彩UDomain好支持我,不斷資助我及其他同事去training同考試,壯大香港網絡安全行業。」

有趣的工作

至於第三個有趣,就是Chris對工作的熱誠。

面對日新月異的科技,Chris會在工餘時間跟進行業最新動態,而且絲毫不覺得是浪費時間或者吃虧,原因是:好奇心之下,所有新發現都會成為樂趣。

「有一次去新加坡做training,有同學問trainer平時點樣搵motivation,trainer話當你好enjoy工作過程,其實就唔需要推動力。」Chris說自己正正處於這種狀態,所以每當在網上見到其他人找到的漏洞,就會建立還原整個環境親自試一次,滿足自己的好奇心。

那平時工作是否都如此有趣呢?Chris不諱言:「其實測試過程中都會有沉悶既時間,有時又會好趕急,或者要親身去客戶office做嘢,但一旦經過團隊努力及細心「搜尋」之下搵到有新漏洞,就好開心好有滿足感。」而Chris認為最辛苦的一環是寫測試報告,要逐一列出做過的工夫,又要追趕死線,不過Chris都堅持不可以「寫啲唔寫啲」,因為「個系統背後影響到客人所有寶貴資料,咁神聖嘅職責唔可以求求其其搞掂咗就算。」

將有趣傳開去

而最後一個有趣,就是Chris的心願:讓更多人感受到這份有趣。

正因如此,現時Chris除了在UDomain辦公室埋頭苦幹,還會不停穿梭各個研討會,講解最新駭客技術和網絡安全資訊,例如去年8月的數碼市場研討會、10月Information Security Summit,更到過台灣網絡安全界的盛事HITCON,分享獲批CVE編號的嚴重漏洞,還有澳門的Palo Alto網絡方案日分享,足跡遍佈兩岸三地。

Chris道:「UDomain畀到好多機會我接觸唔同界別嘅人,不過最開心其實係免費幫學校做測試,同埋去唔同NGO嘅網絡安全講座,將呢啲知識技術帶到落去最有需要嘅地方。」Chris為培植下一代pentester也不遺餘力,與外界分享交流之餘,在公司內部也一直培育新人,傳授知識技巧,務求壯大網絡安全團隊,幫助更多被網絡攻擊威脅的企業和人。

除了好有趣的Chris外,UDomain團隊內尚有其他精彩的人和事,有機會再和大家分享。


UDomain HK
UDomain HK
UDOMAIN
UDOMAIN