在今天看見明天
熱門: 配息 玉山金 pimco esg 房地產

「我們想幹一番大事業來幫台灣!」 四位輔大資工男做白帽駭客 發現微軟伺服器漏洞名震國際

「我們想幹一番大事業來幫台灣!」 四位輔大資工男做白帽駭客 發現微軟伺服器漏洞名震國際

馬瑞璿

科技

攝影/ 陳弘岱

1271期

2021-04-28 09:46

當世界愈來愈數位化,網路攻擊只會愈來愈多,且看台灣第一家由白帽駭客組成的攻擊型資安服務公司戴夫寇爾,如何以駭客思惟阻斷攻擊,保護各式數位資料。

 

Pwn2Own漏洞研究競賽是資安圈中的重要大賽,更是全球白帽駭客心中的最高殿堂。今年4月,一隊來自台灣的白帽駭客勇闖這座殿堂,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(Master of Pwn)頭銜。他們是台灣第一家提供攻擊型資安服務的公司戴夫寇爾(DEVCORE)。

 

  • 白帽駭客:駭客(Hacker)是一種統稱,專指熟知程式設計、電腦科學的人,分為白帽駭客與黑帽駭客,前者運用程式技術發現、改善資訊安全漏洞,後者則利用這些漏洞來威脅企業、政府,謀取不當利益。

 

為何拿下Pwn2Own這個競賽的冠軍這麼困難?

 

Pwn2Own年年邀請世界頂尖白帽駭客挖掘大型企業系統漏洞,這些大型企業包括微軟、特斯拉等軟體實力強勁、資安服務完整的公司。理論上,這些企業系統設計應該健全而完整,就算有漏洞,可能也要耗費半年或1年才找得到。

 

而找到漏洞不見得就能贏得冠軍,主要原因在於競賽當天,大企業釋出的系統絕對都是最新版本,白帽駭客們原先找到的漏洞,可能在這一天就被補起來了。也因此,過去每一年比賽都會發生駭客還沒有參加比賽,就因為更新版已補好漏洞,而無法參賽、鎩羽而歸。相對的,能夠拿到這項Pwn2Own大賽冠軍的白帽駭客,無不成為駭客圈的焦點。

 

輔大資工男  合拍「幹大事業」

 

成立於2012年的戴夫寇爾,創辦人是4個輔大資工系的學長、學弟,年輕時,這群資工人就會一起組隊去各大資安網站解題、求排行榜,畢業後,個性相像的幾個人更決定攜手創業,「我們想要幹一番大事業來幫助台灣。」笑談創立初衷的,正是戴夫寇爾共同創辦人暨執行長翁浩正。

 

他們是一群白帽駭客,在電腦遭受黑帽駭客攻擊前,他們致力於提早發現漏洞,翁浩正說,「政府、企業不熟悉駭客、攻擊方會用什麼樣的手法、戰略,而我們可以跟他們說怎麼做防禦。」

 

攻擊型資安服務公司在台灣相當少見,一般來說,趨勢科技等業者都屬於防禦型資安業者,也就是駭客攻擊進來時,採取防禦守備姿態;不過,攻擊型資安服務直接提起武器攻擊企業伺服器,藉以驗證哪裡有漏洞、疏於防範,是非常不同的服務樣態。

 

一般而言,白帽駭客的主要工作是尋找漏洞、阻擋黑帽駭客入侵,問起他們有沒有跟黑帽駭客對尬過,「很少耶,做黑場的人不會浮上枱面,你根本從頭到尾都不知道他是誰。」戴夫寇爾共同創辦人暨資深專案經理徐念恩說,有一次在幫客戶做紅隊演練時,還真的在伺服器中看到駭客組織在裡面活動,「但我們不能驚擾他們,只能隱匿、蒐證。」若是做了處理,就會破壞犯罪現場,影響後續的數位鑑識。

 

  • 紅隊演練:紅隊演練(Red Team Assessment)是在不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,測試企業資安是否有漏洞。

 

找漏洞  與黑帽駭客諜對諜

 

4個30多歲的年輕人秉此初衷創業,公司在4年後、也就是16年就開始穩定獲利、走上軌道,喜歡技術的他們從不停止研究各式資安漏洞,也不斷學習最新技術,屢屢在國際舞台受到關注。

 

談起這次參賽奪冠,戴夫寇爾首席資安研究員暨研究組組長蔡政達靦腆地說,「我們也才第2次參加,沒想到拿到冠軍。」能拿獎也許有幾分運氣,不過,實力才是戴夫寇爾讓業界關注的真正原因。

 

早在今年拿到Pwn2Own冠軍前,蔡政達就以Orange Tsai在資安圈闖出名號。

 

19年,蔡政達獲駭客界奧斯卡獎Pwnie Awards提名,成為台灣首位獲此獎肯定的資安研究員,今年初更因率先通報微軟修補Exchange Server漏洞,而在國際舞台聲名大噪。

 

他們的技術備受資安圈肯定,更以「打駭高手」的紅隊演練服務吸引政府、金融、科技產業上門。

 

「台灣企業以前都只想做滲透測試,找人來檢測網站就好,但實際上駭客不是這樣打。」徐念恩分析起黑帽駭客的思惟邏輯,「他會先看你家一圈,發現其他設備沒有管好,或者帳號、密碼外洩了,就會全部拿來利用。」

 

很顯然地,黑帽駭客發動攻擊,從來不是「正面」來,而是從大家沒發現的地方慢慢侵入,「而紅隊演練的思惟就是透過不限範圍、手法、時間等方式,去幫客戶找到潛在危機。」徐念恩說。

 

戴夫寇爾的客戶很多,但能透露的很少,因政府是公開標案,須對外公告,才讓台北市政府這位大客戶浮出水面。

 

3年前,台北市政府配合中央資安前瞻計畫,決定執行一個包含全台北、連江、花蓮及金門超大型的「紅隊演練計畫」,就由戴夫寇爾執行。

 

對有防駭需求的客戶來說,要進行「紅隊演練」並不是件易事,在台北市眾多的紅隊演練服務標案中,最貴的一標就上看千萬元,是少見的高標金額。此外,除了要耗費高昂金錢資源,要不要開放程式碼讓外部人員知道,就像把密碼、鑰匙交給外人一樣煎熬。

 

「我們當時很緊張,要讓駭客熟悉你的架構缺口,會不會看到缺口隱藏不講,或者透過這個缺口擷取利益點,沒有人能保證這樣的事情不會發生。」台北市政府資訊局局長呂新科分享。

 

「我們很清楚,現在駭客攻擊行為是組合型樣態,很難用早期病毒碼方式辨識。」呂新科說,駭客沒有行動前,很多漏洞難以發現,透過紅隊演練,也讓台北市政府資安保護方式直接提升到實戰層次。

 

對於客戶的擔憂,翁浩正也不是不理解,「我們的服務樣態是做資安攻擊面,人的挑選很重要。」要有一致的道德觀、價值觀,還要自主學習、不斷精進,「這個產業變化太快了,每天都會有新的攻擊事件、技術,你要有熱情,才能驅使你不斷追尋新東西。」也難怪9年來,公司並未迅速擴編,人數迄今僅21人。

 

17年起,戴夫寇爾就以紅隊演練當作業務主力,「17年以前,接案量有90%以上是滲透式測試。」徐念恩說,這幾年耕耘下來,去年紅隊演練、滲透式測試案量已各占一半,「今年紅隊演練會首度超過一半。」已有愈來愈多客戶優先採購紅隊演練服務。

 

如今邁進第1個10年,儘管技術、客戶、能量兼備,更是市場中第一家攻擊型資安服務公司,但4個創業夥伴卻期盼能有更多攻擊型資安同業加入,唯有如此,台灣資安產業才會愈來愈蓬勃。

 

DEVCORE

Profile 從左至右排序

 

賴韋廷

 

 

 

 

 

 

 

 

 

 

蔡政達

徐念恩

 

 

 

 

 

 

 

 

 

翁浩正

 

 

 

 

 

 

 

 

 

 

許復凱

 

黑帽駭客集團化 一個安卓漏洞撈7000萬

 

最近半年,駭客組織行徑愈來愈張狂,在全球各地盜走公司資料後,轉身要脅「不給錢、就洩密」的戲碼。


台灣也是「受駭」連連。今年3月底,宏碁歐美分公司遭駭客組織REvil入侵勒索史上最高5000萬美元(約14億元新台幣)贖金,要脅宏碁若不給贖金,就要洩漏部分財務報表資料、銀行往來資訊及存款餘額,宏碁董事長陳俊聖霸氣,堅決不給贖金,直接報警處理。


時隔不到1個月,同樣的勒索場景又出現在廣達。


只不過,這次廣達被駭走的資料,竟是大客戶蘋果MacBook元件產品設計圖,在廣達拒絕支付贖金後,REvil轉而向蘋果下最後通牒,「我們正與幾個大品牌協商出售大量機密數據,建議蘋果5月1日向我們買回可用數據。」沒人知道REvil到底勒索蘋果多少贖金,蘋果態度也尚未明朗。


REvil是近來紅透半邊天的駭客組織,來歷神祕無人知曉,傳言是久未活動的駭客組織GandCrab分支,根據地可能在俄羅斯。


產業人士分析,現今的駭客組織愈來愈有規模,而且分工嚴明,已有集團化、產業鏈趨勢,「駭客就是求利益,勒索就有人付錢,代表這個商業模式行得通。」近年被駭事件變多,「這要歸咎於數位貨幣興起,因為支付方式更多,隱匿性也夠,讓整個產業鏈動起來。」


究竟,資安漏洞能為駭客賺進多少錢?據了解,一個Android漏洞最高可以賣到250萬美元(約7000萬元新台幣),更不要說,一般人常用的微軟、蘋果作業系統都有不少漏洞,若是黑帽駭客藉由漏洞竊取個人、企業資料,勒索金額動輒上看千萬美元。


正因勒索利益驚人,不具名的白帽駭客就談到,「有些漏洞不見得是黑帽駭客發現的,而是資安研究員發現後,把漏洞賣給黑帽駭客組織,其後可能在公開網站上拍賣,也可能單獨賣給政府或其他單位。」這些事情經常發生,只是都不會被公開而已。 (馬瑞璿)

 

 

▲藏金聚落 直擊大台中奢華爆買力  詳見第1271期《今周刊》

 

延伸閱讀

宏碁驚傳遭勒索14億 囂張駭客嗆:限時付款8折優惠

2021-03-20

疑遭駭客入侵 仁寶:生產不受影響 異常今晚可完全排除

2020-11-09

「所有連假都是中國駭客攻擊台灣的重要時刻!」 5月全台加油站大當機 調查局攜手FBI三個月破案

2020-09-30

台灣也遭駭!美國起訴5名中國駭客 美司法部次長「這段話」可能會讓北京當局很火大

2020-09-17

駭客為賺「2倍比特幣」...大規模攻擊政商名流推特 比爾蓋茲、馬斯克都「淪陷」

2020-07-16