顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2021-04-30 01:15:14
看板 Gossiping
作者 CryptoNTU (newBorn)
標題 [新聞] 「我們想幹一番大事業來幫台灣!」四位
時間 Thu Apr 29 14:37:41 2021


「我們想幹一番大事業來幫台灣!」 四位輔大資工男做白帽駭客 發現微軟伺服器漏洞名
震國際

財訊 馬瑞璿

當世界愈來愈數位化,網路攻擊只會愈來愈多,且看台灣唯一一家、由白帽駭客組成的攻擊
型資安服務公司戴夫寇爾,如何以駭客思惟阻斷攻擊,保護各式數位資料。

Pwn2Own漏洞研究競賽是資安圈中的重要大賽,更是全球白帽駭客心中的最高殿堂。今年4月
,一隊來自台灣的白帽駭客勇闖這座殿堂,為台灣奪下有史以來第一座冠軍獎盃,贏得駭客
大師(Master of Pwn)頭銜。他們是台灣唯一一個提供攻擊型資安服務的公司戴夫寇爾(D
EVCORE)。

白帽駭客:駭客(Hacker)是一種統稱,專指熟知程式設計、電腦科學的人,分為白帽駭客
與黑帽駭客,前者運用程式技術發現、改善資訊安全漏洞,後者則利用這些漏洞來威脅企業
、政府,謀取不當利益。


為何拿下Pwn2Own這個競賽的冠軍這麼困難?
Pwn2Own年年邀請世界頂尖白帽駭客挖掘大型企業系統漏洞,這些大型企業包括微軟、特斯
拉等軟體實力強勁、資安服務完整的公司。理論上,這些企業系統設計應該健全而完整,就
算有漏洞,可能也要耗費半年或1年才找得到。

而找到漏洞不見得就能贏得冠軍,主要原因在於競賽當天,大企業釋出的系統絕對都是最新
版本,白帽駭客們原先找到的漏洞,可能在這一天就被補起來了。也因此,過去每一年比賽
都會發生駭客還沒有參加比賽,就因為更新版已補好漏洞,而無法參賽、鎩羽而歸。相對的
,能夠拿到這項Pwn2Own大賽冠軍的白帽駭客,無不成為駭客圈的焦點。


輔大資工男 合拍「幹大事業」

成立於2012年的戴夫寇爾,創辦人是4個輔大資工系的學長、學弟,年輕時,這群資工人就
會一起組隊去各大資安網站解題、求排行榜,畢業後,個性相像的幾個人更決定攜手創業,
「我們想要幹一番大事業來幫助台灣。」笑談創立初衷的,正是戴夫寇爾共同創辦人暨執行
長翁浩正。

他們是一群白帽駭客,在電腦遭受黑帽駭客攻擊前,他們致力於提早發現漏洞,翁浩正說,
「政府、企業不熟悉駭客、攻擊方會用什麼樣的手法、戰略,而我們可以跟他們說怎麼做防
禦。」


攻擊型資安服務公司在台灣絕無僅有,一般來說,趨勢科技等業者都屬於防禦型資安業者,
也就是駭客攻擊進來時,採取防禦守備姿態;不過,攻擊型資安服務直接提起武器攻擊企業
伺服器,藉以驗證哪裡有漏洞、疏於防範,是非常不同的服務樣態。


一般而言,白帽駭客的主要工作是尋找漏洞、阻擋黑帽駭客入侵,問起他們有沒有跟黑帽駭
客對尬過,「很少耶,做黑場的人不會浮上枱面,你根本從頭到尾都不知道他是誰。」戴夫
寇爾共同創辦人暨資深專案經理徐念恩說,有一次在幫客戶做紅隊演練時,還真的在伺服器
中看到駭客組織在裡面活動,「但我們不能驚擾他們,只能隱匿、蒐證。」若是做了處理,
就會破壞犯罪現場,影響後續的數位鑑識。

紅隊演練:紅隊演練(Red Team Assessment)是在不影響企業營運的前提下,對企業進行
模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,測試企業
資安是否有漏洞。


找漏洞 與黑帽駭客諜對諜

4個30多歲的年輕人秉此初衷創業,公司在4年後、也就是16年就開始穩定獲利、走上軌道,
喜歡技術的他們從不停止研究各式資安漏洞,也不斷學習最新技術,屢屢在國際舞台受到關
注。

談起這次參賽奪冠,戴夫寇爾首席資安研究員暨研究組組長蔡政達靦腆地說,「我們也才第
2次參加,沒想到拿到冠軍。」能拿獎也許有幾分運氣,不過,實力才是戴夫寇爾讓業界關
注的真正原因。


早在今年拿到Pwn2Own冠軍前,蔡政達就以Orange Tsai在資安圈闖出名號。
19年,蔡政達獲駭客界奧斯卡獎Pwnie Awards提名,成為台灣首位獲此獎肯定的資安研究員
,今年初更因率先通報微軟修補Exchange Server漏洞,而在國際舞台聲名大噪。
他們的技術備受資安圈肯定,更以「打駭高手」的紅隊演練服務吸引政府、金融、科技產業
上門。

「台灣企業以前都只想做滲透測試,找人來檢測網站就好,但實際上駭客不是這樣打。」徐
念恩分析起黑帽駭客的思惟邏輯,「他會先看你家一圈,發現其他設備沒有管好,或者帳號
、密碼外洩了,就會全部拿來利用。」

很顯然地,黑帽駭客發動攻擊,從來不是「正面」來,而是從大家沒發現的地方慢慢侵入,
「而紅隊演練的思惟就是透過不限範圍、手法、時間等方式,去幫客戶找到潛在危機。」徐
念恩說。


戴夫寇爾的客戶很多,但能透露的很少,因政府是公開標案,須對外公告,才讓台北市政府
這位大客戶浮出水面。
3年前,台北市政府配合中央資安前瞻計畫,決定執行一個包含全台北、連江、花蓮及金門
超大型的「紅隊演練計畫」,就由戴夫寇爾執行。
對有防駭需求的客戶來說,要進行「紅隊演練」並不是件易事,在台北市眾多的紅隊演練服
務標案中,最貴的一標就上看千萬元,是少見的高標金額。此外,除了要耗費高昂金錢資源
,要不要開放程式碼讓外部人員知道,就像把密碼、鑰匙交給外人一樣煎熬。


「我們當時很緊張,要讓駭客熟悉你的架構缺口,會不會看到缺口隱藏不講,或者透過這個
缺口擷取利益點,沒有人能保證這樣的事情不會發生。」台北市政府資訊局局長呂新科分享

「我們很清楚,現在駭客攻擊行為是組合型樣態,很難用早期病毒碼方式辨識。」呂新科說
,駭客沒有行動前,很多漏洞難以發現,透過紅隊演練,也讓台北市政府資安保護方式直接
提升到實戰層次。


對於客戶的擔憂,翁浩正也不是不理解,「我們的服務樣態是做資安攻擊面,人的挑選很重
要。」要有一致的道德觀、價值觀,還要自主學習、不斷精進,「這個產業變化太快了,每
天都會有新的攻擊事件、技術,你要有熱情,才能驅使你不斷追尋新東西。」也難怪9年來
,公司並未迅速擴編,人數迄今僅21人。

17年起,戴夫寇爾就以紅隊演練當作業務主力,「17年以前,接案量有90%以上是滲透式測
試。」徐念恩說,這幾年耕耘下來,去年紅隊演練、滲透式測試案量已各占一半,「今年紅
隊演練會首度超過一半。」已有愈來愈多客戶優先採購紅隊演練服務。


如今邁進第1個10年,儘管技術、客戶、能量兼備,更是市場中唯一的一家攻擊型資安服務
公司,但4個創業夥伴卻期盼能有更多攻擊型資安同業加入,唯有如此,台灣資安產業才會
愈來愈蓬勃。


https://www.wealth.com.tw/home/articles/31345
「我們想幹一番大事業來幫台灣!」 四位輔大資工男做白帽駭客 發現微軟伺服器漏洞名震 | 財訊- 掌握趨勢 投資未來 | 最懂投資的財經媒體
[圖]
當世界愈來愈數位化,網路攻擊只會愈來愈多,且看台灣唯一一家、由白帽駭客組成的攻擊型資安服務公司戴夫寇爾,如何以駭客思惟阻斷攻擊,保護各式數位資料。 Pwn2Own漏洞研究競賽是資安圈中的重要大賽,更是全球白帽駭客心中的最高殿堂。今年4月,一隊來自台灣的白帽駭客勇闖這座殿堂,為台灣奪下有史以來第一座冠 ...

 

真滴強

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 193.29.106.20 (羅馬尼亞)
※ 文章代碼(AID): #1WYbGtGD (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1619678263.A.40D.html
SUMPO: 戴夫&史提夫1F 04/29 14:38
ME13: 綠帽可以上名人堂2F 04/29 14:38
alexru03: 五樓綠帽駭客3F 04/29 14:39
ianlin1216: [新聞]演習駭侵竟遭送辦 國軍「駭客戰士」被迫出走4F 04/29 14:40
marktak: 原來除了法律醫學還有這個系5F 04/29 14:40
gwenwoo:   溫馨6F 04/29 14:41
ymsc30102: Taiwan can hack7F 04/29 14:41
bseiqwkbk:   記得不要加入國軍8F 04/29 14:43
dafeichai: 資工 法律 醫學都幾9F 04/29 14:43
testutw 
testutw: 當黑的比較能幫助台灣吧10F 04/29 14:44
Kobelephants 
Kobelephants: 台灣之光11F 04/29 14:45
arumi416: 台灣需要更多這樣的人才12F 04/29 14:48
brabra: 原來是Orange Tsai13F 04/29 14:51
xaxa0101: 在軍中搞這個會被法辦14F 04/29 14:55
michaelwu: attack from Taiwan15F 04/29 14:56
xzcb2008 
xzcb2008: 在光明面的駭客 沒什麼值得喝采16F 04/29 14:57
BHrabal: Cool17F 04/29 15:00
histing: 強18F 04/29 15:03
bloodashih: 好厲害19F 04/29 15:06
krit1009: 不是台企業只想滲透 是台企業只想省錢20F 04/29 15:07
EDDIEHA: 帥21F 04/29 15:09
BBKOX: 帥22F 04/29 15:12
jackycheny: 綠帽駭客23F 04/29 15:13
wcmwcm: 真的強24F 04/29 15:20
offdensen: 讚讚25F 04/29 15:29
kpier2: 抓到了,做賊還嚷嚷26F 04/29 15:29
info1994: 記得加入國軍 然後幫忙修復漏洞後被告27F 04/29 15:32
Nonegrame: 什麼時候要招攬F12駭客進去28F 04/29 15:33
odddriver: 讚爆29F 04/29 15:35
no1361: 讚讚30F 04/29 16:08
pupuputtt: 推推31F 04/29 16:09
sbflight: 強者32F 04/29 16:24
kenshin333: 前瞻計畫怎麼沒上色33F 04/29 16:24
coolron: 綠帽駭客是竹科那群ㄅ34F 04/29 16:28
bookseasy: 推35F 04/29 16:29
transient: 厲害36F 04/29 16:37
soccer103: 推強者37F 04/29 16:46
noodle2389: 也太強38F 04/29 16:48
MW1220: 推強者39F 04/29 17:05
fytnship: Hacker 跟 Cracker 是有差別的40F 04/29 17:06
tomcop: 看標題讓人很想酸,看內容讓人很敬佩。41F 04/29 17:15
newwer: 輔大屌打四大42F 04/29 17:21
KhePri: 超強者43F 04/29 17:25
johnko64665: 綠帽駭客 應該很多都在台GG跟竹科當MIS44F 04/29 17:31
YeaPa: 推 Orange Tsai 真強者45F 04/29 17:34
amethystboy: 值得栽培46F 04/29 17:56
sunluna: 駭客元年47F 04/29 17:57
Recard109: 這等級超高的48F 04/29 18:29
fufugirl: 帥耶49F 04/29 18:31
rXIN: 這真的很強!50F 04/29 18:44
cake: 高手51F 04/29 18:55
Neap: 推52F 04/29 19:03
Sylph: 112資工表示:53F 04/29 19:19
TakiDog: 神神神54F 04/29 19:21
dolphan: 推55F 04/29 19:23
tin989: 推56F 04/29 20:11
domon0525: 推57F 04/29 20:28
Lorran: 大推58F 04/29 20:30
pida5566: 帥爆59F 04/29 21:03
appleball200: 資安的預算不如民進黨網路蟑螂60F 04/29 21:08
Meticulos: 猛61F 04/29 21:21
manyu30: 好猛62F 04/29 21:48
t214312004: 猛!63F 04/29 23:24

--
※ 看板: Gossiping 文章推薦值: 1 目前人氣: 0 累積人氣: 499 
分享網址: 複製 已複製
( ̄︶ ̄)b Sifox 說讚!
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇