四位輔大資工男做白帽駭客,發現微軟伺服器漏洞名震國際

作者 | 發布日期 2021 年 05 月 01 日 9:00 | 分類 人力資源 , 網路 , 資訊安全 Telegram share ! follow us in feedly


當世界愈來愈數位化,網路攻擊只會愈來愈多,且看台灣唯一一家、由白帽駭客組成的攻擊型資安服務公司戴夫寇爾,如何以駭客思惟阻斷攻擊,保護各式數位資料。

Pwn2Own 漏洞研究競賽是資安圈中的重要大賽,更是全球白帽駭客心中的最高殿堂。今年 4 月,一隊來自台灣的白帽駭客勇闖這座殿堂,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客大師(Master of Pwn)頭銜。他們是台灣唯一一個提供攻擊型資安服務的公司戴夫寇爾(DEVCORE)。

白帽駭客:駭客(Hacker)是一種統稱,專指熟知程式設計、電腦科學的人,分為白帽駭客與黑帽駭客,前者運用程式技術發現、改善資訊安全漏洞,後者則利用這些漏洞來威脅企業、政府,謀取不當利益。

為何拿下 Pwn2Own 這個競賽的冠軍這麼困難?

Pwn2Own 年年邀請世界頂尖白帽駭客挖掘大型企業系統漏洞,這些大型企業包括微軟、特斯拉等軟體實力強勁、資安服務完整的公司。理論上,這些企業系統設計應該健全而完整,就算有漏洞,可能也要耗費半年或一年才找得到。

找到漏洞不見得就能贏得冠軍,主要原因在於競賽當天,大企業釋出的系統絕對都是最新版,白帽駭客先找到的漏洞,可能這一天就補起來了。也因此,過去每一年比賽都會發生駭客還沒參加比賽,就因更新版已補好漏洞而無法參賽、鎩羽而歸。相對的,能拿到這項 Pwn2Own 大賽冠軍的白帽駭客,無不成為駭客圈的焦點。

輔大資工男,合拍「幹大事業」

成立於 2012 年的戴夫寇爾,創辦人是 4 個輔大資工系學長、學弟,年輕時,這群資工人就會一起組隊去各大資安網站解題、求排行榜,畢業後,個性相像的幾個人更決定攜手創業,「我們想要幹一番大事業來幫助台灣。」笑談創立初衷的,正是戴夫寇爾共同創辦人暨執行長翁浩正。

他們是一群白帽駭客,在電腦遭受黑帽駭客攻擊前,致力於提早發現漏洞,翁浩正說,「政府、企業不熟悉駭客、攻擊方會用什麼樣的手法、戰略,而我們可以跟他們說怎麼防禦。」

攻擊型資安服務公司在台灣絕無僅有,一般來說,趨勢科技等業者都屬於防禦型資安業者,也就是駭客攻進來時,採取防禦守備姿態;不過,攻擊型資安服務直接提起武器攻擊企業伺服器,藉以驗證哪裡有漏洞、疏於防範,是非常不同的服務樣態。

一般而言,白帽駭客的主要工作是尋找漏洞、阻擋黑帽駭客入侵,問他們有沒有跟黑帽駭客對尬過,「很少耶,做黑場的人不會浮上檯面,你根本從頭到尾都不知道他是誰。」戴夫寇爾共同創辦人暨資深專案經理徐念恩說,有次幫客戶做紅隊演練時,還真的在伺服器看到駭客組織正在活動,「但我們不能驚擾他們,只能隱匿蒐證。」若是做處理,就會破壞犯罪現場,影響後續數位鑑識。

  • 紅隊演練(Red Team Assessment):不影響企業營運前提下,對企業進行模擬入侵攻擊,在有限時間內以無所不用其極的方式,從各種進入點執行攻擊,測試企業資安是否有漏洞。

找漏洞,與黑帽駭客諜對諜

4 個 30 多歲的年輕人秉此初衷創業,公司在 4 年後、也就是 2016 年就開始穩定獲利、走上軌道,喜歡技術的他們從不停止研究各式資安漏洞,也不斷學習最新技術,屢屢在國際舞台受到關注。

談起這次參賽奪冠,戴夫寇爾首席資安研究員暨研究組組長蔡政達靦腆地說,「我們也才第 2 次參加,沒想到拿到冠軍。」能拿獎也許有幾分運氣,不過,實力才是戴夫寇爾讓業界關注的真正原因。

(作者:馬瑞璿;全文未完,完整內容請見《今周刊》;首圖來源:Flickr/Blogtrepreneur CC BY 2.0)