14歲黑客玩殘8校
侵入內聯網盜師生資料　家中被捕

【本報訊】一名喜歡鑽研電腦技術的14歲中三男生，一個月前成為一名「Hacker」（黑客），破解所讀學校的內聯網系統程式後，再入侵另外7所中學的內聯網，將包括手機號碼在內的各校師生聯絡資料盜走後，在互聯網發放。這名少年黑客在網上搗亂了足足一個月，仍未被人發現，最後向替學校編寫程式的電腦公司發出電郵「示威」才踢爆自己。警方昨晨在香港仔一單位將他拘捕。　記者：黃曄寧　徐雲庭　張培生

警方表示，案中14歲男生姓徐，與父母同住香港仔舊大街一單位，他的學業成績一般，但喜歡鑽研電腦技術。警方暫以「有犯罪及不誠實意圖取用電腦」罪名將他拘捕；由於男生表示有關黑客技術是由同學傳授，故警方稍後可能會有進一步行動。

一個月內沒學校發現

警員從少年黑客住所撿走一部電腦調查。

警方商業罪案調查科科技罪案組總督察黃德長表示，案中共有8所學校的內聯網被入侵，當中包括男生所讀的學校，而8所學校的內聯網，均由同一家電腦技術公司提供相同的系統。
消息稱，案中男生於上月開始，分別入侵8所中學的內聯網，除了瀏覽外，更竊取「師生交流區」的師生聯絡資料，如手機電話等，然後將資料在互聯網上發放。但過去一個月，沒有學校發現電腦被黑客入侵。

發電郵示威自己踢爆

直至本月初，替上述學校設計及編寫程式的電腦公司收到留言及電郵，用示威的口踢爆自己已破解保安程式入侵了各個學校的內聯網，電腦公司立即報警。
商業罪案調查科科技罪案組稍後在電腦網絡供應商協助下，掌握該名黑客的資料。至昨清晨7時許，探員來到香港仔舊大街一單位，將剛剛起床姓徐男生拘捕，並撿走單位內一部電腦。據悉，男生的母親目睹兒子被探員拘捕，嚇得不知所措哭了起來。
消息稱，男生被捕後向警方聲稱有同學他黑客技術，然後他在網上下載過一些程式，入侵8所學校的內聯網純粹是貪玩，及想證明自己的實力。

黃德長總督察表示，初步估計案中男生並無其他不軌企圖，但強調他所做的行為已觸犯「有犯罪及不誠實意圖取用電腦」罪名，該罪名一經定罪最高刑罰為入獄5年，提醒青少年勿以身試法。

…

七成學校網絡處高危

14歲男生懷疑因為貪玩入侵8所中學的內聯網，竊取師生資料放上網後被捕，有專家認為在黑客的層次上，這只是「小兒科」，因為一所學校無可能裝置像國家或公用機構一樣的高保安電腦系統：「只要個學生有腦筋，就隨時可以hack入去。」

互聯網專業人員協會主席林永君昨晚評論今次事件時稱，一般中小學在I.T方面的資源很有限，而市面的防毒軟件日新月異而且昂貴，學校無法負擔。

林永君說，學校的電腦其實很容易遭入侵，他建議校方在學生使用完電腦後盡量結束連結及關閉電腦：「學生資料、成績表、財務數據都唔好擺內聯網度。」

中文大學香港學校網絡計劃總監黃寶財授表示：「黑客技術及程式」其實在網上都隨手可得，問題是學校及家長要育學生及子女運用電腦時的操守：「要提醒佢唔好入侵他人電腦，而且犯法一定會俾人追查到。」

他表示，去年尾，學校網絡計劃進行抽樣調查，發現有7成學校處於被黑客入侵的高危狀態、兩成處於中危，他說：「學校應該留意要經常更新保安設施，例如定時更改登入密碼。」
同樣是14歲，一名波蘭少年本月9日在家中自製「電車遙控器」，入侵波蘭第二大城市羅茲（Lodz）的電車調度系統，將該市的電車系統當作玩具調度，導致4列電車脫軌，12人受傷，這名少年黑客事後被警方拘捕。

基本上我唔認同所謂專家所講既"一所學校無可能裝置像國家或公用機構一樣的高保安電腦系統", 因為學校係 vendor 既大肥羊, 對佢地黎講係有無限銀彈既用家, 所以賣親俾學校既多數係頂級既硬件, 而 firewall 閒閒地係十幾萬一部, 至於電腦系統更係價錢頂級既 Microsoft Windows Server。所以問題唔係出係硬件同系統度, 而係軟件同管理。

跟本上好多學校內聯網同一般網站都好垃圾, 一係搵d 貴夾癈既公司做, 又或者搵d缺乏經驗既 technical support staff 黎一手包辦。其實d staff 好慘, 拎住張爛鬼 MCSE 入去做 support, 只係識半桶水電腦野, 仲要焗住攪埋個website。我未同學校合作過做網站, 因為完全冇好感。

最嚴重的入侵事件

而我見過最離譜既"誤闖" 事件, 就係有台由校內 technical support 係台頂級電腦度起個 ftp server, 結果被入侵, 而且諷刺地放 d 兒童色情圖片入去幾個月之後先知, 要知道管有兒童色情照係刑事罪行, 理論上間學校就係犯緊嚴重既罪行, 所以d14 歲細路改下網頁改下成績真係小兒科。但結果學校有冇報警處理? 當然冇, 而係盡量瞞得就瞞。

總之學校絕大多數既 adminstration staff 對 IT 既知識係零, 請返黎既 staff 只要有 MCSE 就當人萬能, 連 MCSE 張 certificate 係乜都一知半解, 唉! 見工時問人識唔識做網頁, 係人老死都話識, 但到乜程度得架。搵外面d 公司做網站, 又唔識 UAT, 更加唔識得評估收件貨安唔安全, 合約亦冇定明網站安全責任, 咁d 公司咪當學校水魚, 求其搵個 IVE 畢業 HKD 6,000個月日做12個鐘既人黎寫網站(聲明: IVE 都有出勁人的, 只係 IT 公司請人純粹以壓到幾多人工做標準, 同埋待遇…係以做你近乎死為基礎), 寫d 乜出黎大家心照啦。

另一個情況就係學校亂咁出 functional requirements, 而d 所謂既 IT sales 又為左張單乜都話得, 然後又係搵個冇料到既人寫, 最後做到天一半地一半爛尾收場。

基本上好多網站弱到唔駛用任何軟件都可以’誤闖’ (除非你當 Web Browser 都算黑客軟件吧), 簡單係 web browser 就可以玩 SQL injection。中大抽樣檢查只係睇下你部機有冇做 patch 等基本 test, 但係都有七成’高危’, 可想而知仲有幾多學校可以任人玩。

所以我認為而家出左事, 至少應該要將d 垃圾公司個名同負責人公佈, 等大家有所警惕!