在《哈利波特》的魔法世界中,佛地魔主導黑魔法的惡勢力,以至於善良的魔法師必須學會「黑魔法防禦術」來保護自己。真實世界的我們也同樣面臨黑魔法的威脅——來自網路駭客(hacker)每分每秒都在利用技術手段攻擊大眾的網路系統。
幸運的是,真實世界存在一群黑魔法防禦專家,被稱作「白帽駭客」或「道德駭客」。他們屬於合法駭客,透過入侵電腦系統來測試安全性,並在後續充分披露研究成果,也會提出完整的資安防護策略。
「我們向你展示黑魔法師是如何下咒的,這樣你就能提早修補、設下保護、學會抵抗。當你在未來遇到心懷不軌的黑魔法師,就能夠保住一命了。」攻擊型資安公司戴夫寇爾(DEVCORE)的資安研究員陳廷宇形容,日常需要時刻關注資訊安全帶來的各種風險,「聽起來好像很孤僻,但這可能是一種誤解。」
著迷魔幻世界,小學就學會C、C++、C#程式語言
成為資安研究員的契機,聽起來是一段長時間的養成。
「小時候很喜歡看一些魔幻寫實風格的東西。」陳廷宇分享:「所以會到圖書館借《牧羊少年奇幻之旅》、《魔法校車》或是探險漫畫。我也想要編寫遊戲,當時有一款叫做『RPG Maker』的軟體,可以按照一定的模板製作遊戲。」
隨著看過的遊戲愈來愈多,陳廷宇開始好奇如何製作非模板、獨一無二的遊戲軟體:「查了才發現,喔!原來要學會寫Ruby程式語言,就能讓你的遊戲變得更有趣,後來我繼續查到一個論壇叫作『飛特論壇』,上面有很多程式語言的討論,還有逆向工程、惡意軟體的撰寫跟分析,不過那時候我不知道那是什麼,都是一知半解。」
畢竟十幾年前只是小學生,很難明確掌握程式設計背後的深層邏輯,但還是靠著一台爸爸從網咖花了5,000元塊買來的二手電腦開始自學,莫名學會了C、C++、C#程式語言,「網路資料都是很末端的結論,但使用這些結論就能在電腦上做出很神奇的事情,對我來說就像魔法一樣。」
接下來的求學生活按部就班,直到進入大學,陳廷宇才逐漸對駭客、資安等概念有更多認識:「以前只知道瘋狂練肌肉,學很多伺服器的原理、學網頁程式怎麼寫、學前端跟後端怎麼互動,但不知道與駭客之間的確切關聯是什麼。」直到選修中央大學的一門課「電腦攻擊跟防禦」,才清楚認知駭客職業,以及具體需要什麼樣的條件。
陳廷宇分享,從資安相關科系畢業後有不同的職涯選擇,例如到科技大廠保護產品安全,或者到國外從事資安研究。當然也有一些處在灰色地帶的工作,即發現某知名產品的資安漏洞後回報給暗網論壇的購買者。
「有一些處在灰色地帶的工作,即發現某知名產品的資安漏洞後回報給買家,「你不會知道買家具體是誰,可能是軍方、政府,也可能是駭客組織,但找到漏洞的當下就會拿到一筆獎金,這在歐洲、韓國蠻常見的,雙方類似雇傭關係。額外的分紅,大於或等於我們現在的年薪(約新台幣120萬~180萬元),對很多人來說有吸引力。」可想而知,漏洞被不肖人士非法利用的可能性居多。
在眾多選擇下,陳廷宇決定加入DEVCORE:「既可以做自己喜歡的研究,也知道這些漏洞不會被拿去做壞事,這樣不是很好嗎?」
資安研究員要有sense!曾經代表台灣隊拿下DEFCON CTF世界亞軍
根據DEVCORE刊登的徵才資訊,資安研究員會在企業客戶正式發布產品前,協助評估與盤點資安風險 ,「客戶先提供產品資訊,我們再扮演駭客的角色,從各種面向攻擊入侵它的產品。假設真的能攻進去,表示產品環節設計有點問題,我們會把所有風險都告知客戶,等於做一個全面的弱點分析。」
每個安全測試專案的進行時間不同,最短需要約60天,視客戶提供的產品資訊多寡而定。
放假時間,資安研究員會針對自己選定的目標做研究:「比如研究⼀些遊戲設計、電商網站、電⼦鎖、⾨禁這種很⽣活化的產品,觀察駭客到底有沒有機會鑽漏洞,或者研究⾃⼰感興趣但可能還不夠熟練的主題。」
選題本身非常考驗資安研究員的敏銳度,工作挑戰更不少,「像我們在比賽或做專案的時候,就一定會有死線(deadline),如果靠近死線的時候還是找不到任何漏洞,就會有點壓力。」陳廷宇指出,研究⼯作有時候會碰壁、沒有任何產出結果,或者在死線前不小心踩到bug,跟其他同事硬是熬到了凌晨三點半才下班,「所以我會⼤量閱讀其他研究員的⽂章,不斷地修正⾃⼰的⽅法論還有開拓視野。」
除了日常的研究工作,資安研究員還會代表台灣戰隊參加海外比賽,最有代表性的是DEFCON CTF(搶旗攻防賽),「這是熱愛CTF的人都會想要參加的比賽,跟世界強隊搶冠軍獎盃,感覺很夢幻又不現實。」
陳廷宇回憶,台灣隊通過初賽後飛往美國拉斯維加斯,參加為期整整3天的比賽。隊友們互相盤點策略後,接著分頭防禦跟攻擊其他戰隊,「當下有十幾個戰隊互打,每5分鐘結算一次成績,比賽過程中你會看到排行榜的分數一直跑。基本上大家都沒有睡覺,專心解題到幾乎不吃不喝的狀態。」
截至目前最好的成績,是在2018年拿下世界亞軍,「重點不是獎金,而是參與比賽本身,以及擁有那個獎盃。」
現在的他在現實生活找到內心著迷的魔幻世界,練成一身黑魔法防禦術,穩穩站在資安最前線。未來呢?「可以的話,我想⼀直是資安研究員。」
責任編輯:蘇柔瑋
