3月初,微軟揭露商業用電子郵件伺服器系統Exchange遭到駭客入侵,讓來自台灣的資安新創公司浮上國際舞台,戴夫寇爾(DEVCORE)在2021年1月就發現了漏洞(bug)並向微軟回報,微軟也公開向其致謝。
但後續卻傳出案外案,在微軟即將推出修正檔的前2天,有駭客利用戴夫寇爾通報的漏洞發動大量攻擊,其他資安業者也通報戴夫寇爾,懷疑駭客可能竊取其資料,微軟也為此展開調查。
戴夫寇爾則立即澄清,得知駭客可能使用其通報的漏洞攻擊後,已全面清查員工的電腦設備、公司內部系統以及基礎架構,確認系統或設備並沒有遭入侵,或是資料外洩的跡象。
微軟郵件系統遭攻擊事件尚未落幕,但可以發現戴夫寇爾相當懂得找尋漏洞,用「 愈會攻擊,就愈懂得防禦 」來形容他們的商業模式再貼切不過。戴夫寇爾提供企業滲透測試與紅隊演練等資安服務。
簡單來說,他們從駭客的角度出發,挑戰攻擊企業的網站、資訊系統、設備等軟硬體,找出潛在的漏洞,用以驗證、評估企業的資訊系統與軟硬體安全性。
從小就愛玩遊戲,「學網攻防戰」成技術養份
比起多數競業販售資安的防護「盾牌」,他們的產品是賣攻擊的「矛」,用來檢測企業的盾牌是否有足夠的防禦能力,提供顧問服務,但不包含解決方案落地。
雖然不以駭客自稱,但戴夫寇爾的共同創辦人暨執行長翁浩正,並不否認自己對於電腦與駭客技術的熱誠,「在這個圈子裡,不會有人自稱駭客啦。」一定要說的話,他更傾向把戴夫寇爾視為白帽駭客(在合法、獲得允許的情況下入侵系統,找尋資訊安全缺口)。
翁浩正對於電腦技術熱愛的啟蒙,可以一路追溯到小學時期,「一開始碰電腦一定是玩遊戲啊,但一下就全破了,我就想辦法去調參數,看能不能弄得難一點。」別人玩遊戲追求破關,他卻嫌太簡單,自此之後便著迷於0與1的世界。
到了高中,接下替學校管理網路中心的任務,負責維運各種伺服器,意想不到的是,學校網路是許多人的攻擊目標。
由於10多年前學網相對頻寬大、網速較快,常有人駭進去下載音樂等,翁浩正開始翻書、讀原始碼、找指令,釐清攻擊者的手法與防禦辦法,在高中展開了一場場資訊攻防戰。
攻擊型資安服務,技術口碑說服企業買單
大學時期,翁浩正號召了一群志同道合的夥伴成立以「研究資訊安全」為主軸的社團NISRA(Network and Information Security Research Association)並在全台征戰資安競賽,更奪得行政院資安技能金盾獎冠軍。
畢業後他到資安公司上班一段時間,還是忍不住想要「幹大事」,就像小時候嫌遊戲太簡單,翁浩正拉著幾個夥伴以個人資金成立了戴夫寇爾。當時正職員工只有兩人:翁浩正與共同創辦人暨資深專案經理徐念恩,其他夥伴則以兼職方式支援,光是第一關找客戶,就遇到難關。
戴夫寇爾用攻擊找出企業資安漏洞的做法,常令企業方有許多擔憂,像是「會不會因此造成服務停擺」、「會不會偷走機密資料」等,在初期業務拓展上難度不低。
但靠著兩人長期耕耘技術圈人脈、累積客戶與品牌名聲,隨著近來企業資安意識抬頭,戴夫寇爾逐漸打開知名度,現有客戶包含電商網站、金融業、政府機關以及半導體企業等,採用專案制或者訂閱制簽約,「有網路的地方就有資安問題存在。」 翁浩正說。
另外一個比較大的挑戰——規模化,對於戴夫寇爾來說更像是一種取捨,目前公司擁有20多名員工,預計將招募各方好手、拓展規模至60名夥伴。
徐念恩坦誠,戴夫寇爾的服務的確倚靠大量技術夥伴的能力,每一間企業需要的檢測也不相同,規模化的確不容易,「有點像是律師服務,要靠人來解決事情,我們的目標是維持高質量的服務,不會為了擴張降低品質。」
2012年成立至今,戴夫寇爾未向外部投資人或VC拿錢,曾有人表達投資意願,但就怕拿了錢會失去初衷,「成立公司不全然為了盈利,也希望為社會多做一點事情;有了投資人後,要考量的事太多了。」翁浩正有點浪漫的思想,也難怪NISRA的社團宗旨中,「愛」就是唯一信條。
創業至今的三個問題
Q:對於微軟事情的回應?
除了徹底清查公司內部系統與設備,戴夫寇爾研究團隊保持高度自律,若發現企業漏洞,成員絕對遵循責任揭露(Responsible Disclosure)原則,從未在原廠分享技術細節與公告漏洞修補前洩露任何資訊。而且,漏洞研究在我們內部是獨立編制,相關研究資料與訊息皆設置在企業內部網路,並設有稽核紀錄,僅有研究人員能夠存取。
Q:與資安品牌是競爭關係嗎?
一攻一防,很多人以為兩方是競爭對手,但其實我們的合作大於競爭。在進行各種檢測的時候,反而能凸顯資訊安全品牌的重要性,證明他們有效;而如果我們找到漏洞,也會向他們反應,讓漏洞能夠被修補起來,其實是一種雙贏。
Q:能不能「先攻擊」再提供企業服務?
這樣就是妨礙電腦使用罪了吧!的確有人會「先打掛你的網站」,再去求職或要錢。雖然現在很多大企業的心態很開放,會讓所有人去找bug(漏洞)、開出對應獎金;但在企業沒有同意的情況下就貿然攻擊,並大肆宣揚或兜售服務,這就是一種勒索,我們不會這樣做。
責任編輯:郭昱彣、張庭銉、林美欣