「我们想干一番大事业来帮台湾!」 四位辅大资工男做白帽骇客 发现微软伺服器漏洞名震国际
成立于2012年的戴夫寇尔,创办人是4个辅大资工系的学长、学弟。(摄影/陈弘岱)
当世界愈来愈数位化,网路攻击只会愈来愈多,且看台湾唯一一家、由白帽骇客组成的攻击型资安服务公司戴夫寇尔,如何以骇客思惟阻断攻击,保护各式数位资料。
Pwn2Own漏洞研究竞赛是资安圈中的重要大赛,更是全球白帽骇客心中的最高殿堂。今年4月,一队来自台湾的白帽骇客勇闯这座殿堂,为台湾夺下有史以来第一座冠军奖杯,赢得骇客大师(Master of Pwn)头衔。他们是台湾唯一一个提供攻击型资安服务的公司戴夫寇尔(DEVCORE)。
白帽骇客:骇客(Hacker)是一种统称,专指熟知程式设计、电脑科学的人,分为白帽骇客与黑帽骇客,前者运用程式技术发现、改善资讯安全漏洞,后者则利用这些漏洞来威胁企业、政府,谋取不当利益。
为何拿下Pwn2Own这个竞赛的冠军这么困难?
Pwn2Own年年邀请世界顶尖白帽骇客挖掘大型企业系统漏洞,这些大型企业包括微软、特斯拉等软体实力强劲、资安服务完整的公司。理论上,这些企业系统设计应该健全而完整,就算有漏洞,可能也要耗费半年或1年才找得到。
而找到漏洞不见得就能赢得冠军,主要原因在于竞赛当天,大企业释出的系统绝对都是最新版本,白帽骇客们原先找到的漏洞,可能在这一天就被补起来了。也因此,过去每一年比赛都会发生骇客还没有参加比赛,就因为更新版已补好漏洞,而无法参赛、铩羽而归。相对的,能够拿到这项Pwn2Own大赛冠军的白帽骇客,无不成为骇客圈的焦点。
辅大资工男 合拍「干大事业」
成立于2012年的戴夫寇尔,创办人是4个辅大资工系的学长、学弟,年轻时,这群资工人就会一起组队去各大资安网站解题、求排行榜,毕业后,个性相像的几个人更决定携手创业,「我们想要干一番大事业来帮助台湾。」笑谈创立初衷的,正是戴夫寇尔共同创办人暨执行长翁浩正。
他们是一群白帽骇客,在电脑遭受黑帽骇客攻击前,他们致力于提早发现漏洞,翁浩正说,「政府、企业不熟悉骇客、攻击方会用什么样的手法、战略,而我们可以跟他们说怎么做防御。」
攻击型资安服务公司在台湾绝无仅有,一般来说,趋势科技等业者都属于防御型资安业者,也就是骇客攻击进来时,采取防御守备姿态;不过,攻击型资安服务直接提起武器攻击企业伺服器,借以验证哪里有漏洞、疏于防范,是非常不同的服务样态。
一般而言,白帽骇客的主要工作是寻找漏洞、阻挡黑帽骇客入侵,问起他们有没有跟黑帽骇客对尬过,「很少耶,做黑场的人不会浮上枱面,你根本从头到尾都不知道他是谁。」戴夫寇尔共同创办人暨资深专案经理徐念恩说,有一次在帮客户做红队演练时,还真的在伺服器中看到骇客组织在里面活动,「但我们不能惊扰他们,只能隐匿、搜证。」若是做了处理,就会破坏犯罪现场,影响后续的数位鉴识。
红队演练:红队演练(Red Team Assessment)是在不影响企业营运的前提下,对企业进行模拟入侵攻击,在有限的时间内以无所不用其极的方式,从各种进入点执行攻击,测试企业资安是否有漏洞。
找漏洞 与黑帽骇客谍对谍
4个30多岁的年轻人秉此初衷创业,公司在4年后、也就是16年就开始稳定获利、走上轨道,喜欢技术的他们从不停止研究各式资安漏洞,也不断学习最新技术,屡屡在国际舞台受到关注。
谈起这次参赛夺冠,戴夫寇尔首席资安研究员暨研究组组长蔡政达腼腆地说,「我们也才第2次参加,没想到拿到冠军。」能拿奖也许有几分运气,不过,实力才是戴夫寇尔让业界关注的真正原因。