分析台、中、韓三國駭客養成文化,專訪世界級駭客團隊 HITCON 總召蔡松廷

分析台、中、韓三國駭客養成文化,專訪世界級駭客團隊 HITCON 總召蔡松廷

駭客是許多電影裡的關鍵角色。侵入建築物,控制總電源、電梯,開啟密碼門等,然後順利的把人救出現場。

真實世界中的駭客不靠拯救人質過活。他們的目標是什麼?台灣政府、企業的資安系統面對駭客是否真的束手無策?有物報告特別邀請駭客隊伍 HITCON 總召蔡松廷分析。

HITCON 由一群對資訊安全極具熱情的駭客組成。除了組隊參加駭客競賽外,他們致力發展台灣資訊安全,並定期舉辦 HITCON 駭客年會。HITCON 駭客年會今年邁入第十屆。今年五月 HITCON 217 在大陸擊敗了 400 多支隊伍,獲得百度盃駭客競賽冠軍。八月,他們又獲得全球最高等級 DEFCON CTF(搶旗攻防戰)資安大賽亞軍。

以下蔡松廷簡稱「TT」。

HITCON_2

HITCON 參與世界級 DEFCON 22 CTF 大賽,獲得亞軍
圖片來源:TT

有物:當初為何發起 HITCON 駭客年會?

TT:台灣因為政治位置,是東亞最常受到駭客攻擊的國家。HITCON 創辦人 Tim Hsu 跟我認為既然台灣飽受對岸網軍威脅,應該作些什麼,讓台灣資安人才能更加團結。因此我們打造了一個平台,先讓駭客能互相交流,再提升社會對資訊安全的危機意識。

HITCON_3

左為 TT,右為 HITCON 創辦人 Tim Hsu
圖片來源:TT

有物:駭客年會今年邁入第十屆,做了哪些改變?

TT:今年駭客年會我們也首次舉辦自己的全球駭客搶旗攻防賽(CTF ,Capture The Flag),希望透過競賽吸引更多人投入資安領域。

除了實體活動,我們正在建置回報資安漏洞的網路平台,讓技術交流能 24 小時進行。

有物:既然台灣飽受駭客攻擊,那我們該如何加強資訊安全?

TT:要壯大資訊安全有三大關鍵:駭客人才、認識敵人、以及掌握漏洞。

企業常請我訓練駭客。但駭客是訓練不出來的。要成為優秀的駭客,必須有駭客特質。

有物:駭客特質?

TT:駭客除了技術能力外,必須勇於挑戰,以及時常懷疑那些看似理所當然的理論。天份也很重要。不適合的人,訓練再多可能都是做白工。

有物:要如何才能強化駭客能力?

TT:透過比賽是最快的。我們舉辦駭客搶旗攻防賽,讓參賽者從解題中獲得成就感。若解不開,他們便知道自己缺乏的技術。一次次補強下來就能提昇實力。

我最終希望年輕人把夢想放在資訊安全上。比賽能讓人對資安更有興趣,同時提升台灣實力。

曾經有與會者對我說:「我的夢想就是在駭客年會上演講!」我們希望當駭客能成為年輕人的夢想,讓社會認為駭客、資安其實很有趣。

有物:你剛提到台灣企業需要認識敵人,是指?

TT:企業和政府每年編很多預算買軟體和設備,防禦自己。可是他們不懂資安,只能靠廠商提供的資訊做出決策。廠商說要買什麼,就買什麼。

但廠商推薦的常常只是廠商主打的產品,不一定能解決問題。結果企業買了很多防禦軟硬體,還是被駭客入侵。

根本問題是企業或政府單位根本不知道敵人是誰。例如銀行不知道駭客怎麼偷盜客戶的信用卡?怎麼入侵公司網站?是利用什麼漏洞?企業什麼都不知道,只是盲目的買軟體,結果當然不靠譜。被侵入只是早晚的事。

有物:所以企業或政府單位應該先了解駭客手法,再決定採購防禦措施?

TT:對。我們舉辦駭客年會,不僅讓駭客參與,也歡迎企業參與。

在年會裡我們揭露駭客的手法、攻擊漏洞的程式、公布最近被攻擊的受害者目標及領域、最近某批駭客的動態,以及最新的漏洞研究等等。就是要讓大家更了解敵人。

認識敵人後,才能談防禦。而且攻擊是最好的防守。負責資訊安全的白帽駭客(按:white hat,專長偵錯和分析電腦保安系統的駭客)不能只懂防禦。駭客攻防如同打架,若你不知道怎麼打人要怎麼防禦?

企業與政府應該要直接去了解敵人,而不是都聽廠商的。

有物:那麼最後一點 -- 掌握漏洞 -- 是指技術上的知識嗎?

TT:這是最重要也最容易被忽略的因素。駭客攻防根本上是對漏洞的攻擊和防禦。也就是說駭客間的勝負在於比賽對漏洞的掌握。

如果企業投入找漏洞的資源比駭客高,駭客比不過你,自然會放棄入侵。

有時這只是最簡單的「聆聽回饋」而已。有些年輕人找到漏洞,很熱心的回報給公司。但許多台灣公司都冷漠以對,甚至不處理也不修復。

這些漏洞駭客拿在手上還沒事;一旦流入地下組織或犯罪集團的手中,傷害就會開始堆積。

比聆聽更積極的是主動收集。在國外,例如 Facebook, Google, 微軟等公司都願意花大錢買漏洞。駭客回報漏洞就能領高額的獎金。甚至有企業特別舉辦比賽,懸賞 10 萬美元獎金找漏洞。

當駭客能從獎金、獎品等正面方式獲得成就感與報酬,也能在交流研討會上有發揮的空間,就可以避免更多駭客進入犯罪經濟。

有物:這些狀況難道台灣廠商不知道?

TT:知道。只是敗在台灣人凡事追求 cost down 的態度。

台灣企業或政府都想要最低的金額購買資安防護,因此資安廠商當然不計手段壓低成本,只為了贏得合約。壓低成本導致研發人員薪水低。甚至該用人工測試的滲透測試報告,就直接改用自動化弱點掃描報告充數。長期下來自然無法及早發掘漏洞。

當只有低價的廠商能存活,有抱負的人才便被打壓。一環扣一環的,整個資安生態系便瓦解。

有物:台灣政府也常受資安攻擊之苦,它們研發資安的進度如何?

TT:台灣政府開始慢慢重視資安,有些方向也是對的,例如舉辦金盾獎比賽。可惜速度還是太慢。我們可以舉韓國的例子比較。

韓國與台灣同樣面對一個明確有敵意的政府,因此韓國政府成立名為 KISA(korea information security agency) 的資安部,負責管理全國資訊安全。這個部門與台灣的科技部同位階,比台灣的資安單位高一級。南韓重視資安的程度遠超過台灣;KISA 被視為戰爭應變單位。

320 事件,可以看出南韓的快速應變能力。3 月 20 日南韓同時多家銀行遭受攻擊,導致內部網路全面癱瘓,連帶終端業務運作當機,嚴重影響到民眾生活。

這時政府與民間資安廠商聯合組成應變小組。資安部直接派人駐點應變。由於企業平時對資安投入的資源充足,他們在當天下午五點就恢復部分運作。事後我問了一些在台灣金融業的朋友,他們說若發生在台灣,大概一個月都無法修復完成。

有物:這應該也與韓國產業界對資安的投入有關。

TT:韓國在資安發展是全亞洲最強。

韓國一年大大小小的 CTF 競賽大約有 10 幾個。這次 DEFCON CTF 總決賽 20 支隊伍中,韓國就佔了 5 隊。雖然沒有得名次,但平均資安水準是很高的。

南韓的企業也非常支持員工參與 CTF 比賽。對企業來說,員工參與比賽不但可以磨練技術,還可以提昇企業的知名度。對員工來說,參加比賽不但能增進能力與獲得成就感,更能在履歷加上一筆亮眼的欄位。韓國的履歷常常看到 CTF 競賽的欄位。

有物:學術界呢?

TT:南韓有許多培育資安人才的計畫。首爾大學就有資安系。

台灣沒有資安系也找不到教授教。很多研究資安的教授只是研究密碼學或是理論的東西,在實務上相當薄弱。我們這些駭客或是資安人,幾乎都是靠網路與從書中自學。

有物:談談大陸。大陸的資安產業活絡嗎?

TT:大陸的資安學習資源非常公開。五年前很多駭客攻防的技術就大剌剌地放在網路上。甚至還有雜誌直接拿真實的網站當範例,一步一步提供教學步驟。如果照著做,最後真的可以從網站拿到資料!

政府基本上沒在管,所以有很多地下論壇能學習。台灣駭客有許多也從大陸的論壇取經,還有人會組織團購大陸資安相關的雜誌回來研究。

大陸學習的機會和資源遠超過台灣。人多、機會多、資源多,當然發展速度是台灣的倍數。

最近幾年大企業也開始投入。百度、騰訊、阿里巴巴、360 等發現有越來越多的支付詐騙或攻擊,因此開始重視挖掘弱點及漏洞。

像騰訊也有獎勵回報漏洞。雖然沒有提供高額的獎金,但有做一個英雄榜和送很多禮物。

HITCON_4

騰訊的資安漏洞回報中心,鼓勵駭客提供漏洞
圖片來源:騰訊

有物:你建議想成為駭客的人,該從何開始?

TT:先學找漏洞。研究漏洞時,你自然會發現自己的不足之處。

可以從很多論壇、研討會獲得現成的攻擊程式碼或漏洞資訊,實際去測試(當然不要拿別人測試)。開始攻防之後,自然資安意識會隨之提升,漸漸可以了解別人如何攻擊,該如何防守。

結語

無論資安產業與否,我們發現「壓低成本」是讓台灣沒有辦法往前走的原罪之一。企業應該要創造產品價值,而不該停留在壓低成本才能獲利的製造業觀念。建立有價值的產品,聘請專業人才,建立良好的循環才能加速產業發展。

HITCON 對外頻繁征戰世界各地的資安大賽,對內不斷舉辦活動、建立線上平台來加速駭客交流,就是為了創造一個完整的生態圈。在這生態圈內,駭客也可以是年輕人的夢想,而台灣的資訊安全也不再飽受威脅。

圖片來源:HITCON 提供

  • 你也想投稿?寫信至 contact [at] yowureport.com

«

»

科技島讀-你的未來趨勢嚮導

有物推出新產品囉!

由有物報告團隊製作的最新產品-科技島讀

透過閱讀科技島讀,你將能夠掌握科技趨勢,從更高的視角觀察科技將如何改變世界。

現在就前往 >> 科技島讀