資安沒他們不行！白帽駭客內幕大揭密，抵禦「黑魔法」、找Bug要先知法試法|數位時代 BusinessNext

資安沒他們不行！白帽駭客內幕大揭密，抵禦「黑魔法」、找Bug要先知法試法

道德駭客屬於「合法」的駭客，透過入侵電腦系統來測試安全性，並在後續充分披露研究成果，也會提出完整的資安防護策略。

在《哈利波特》的魔法世界中，佛地魔主導黑魔法的惡勢力，以至於善良的魔法師必須學會「黑魔法防禦術」來保護自己。真實世界的我們也同樣面臨黑魔法的威脅——來自網路駭客（hacker）每分每秒都在利用技術手段攻擊大眾的網路系統。

幸運的是，真實世界存在一群黑魔法防禦專家，被稱作「白帽駭客」或「道德駭客」。他們屬於合法駭客，透過入侵電腦系統來測試安全性，並在後續充分披露研究成果，也會提出完整的資安防護策略。

「我們向你展示黑魔法師是如何下咒的，這樣你就能提早修補、設下保護、學會抵抗。當你在未來遇到心懷不軌的黑魔法師，就能夠保住一命了。」攻擊型資安公司戴夫寇爾（DEVCORE）的資安研究員陳廷宇形容，日常需要時刻關注資訊安全帶來的各種風險，「聽起來好像很孤僻，但這可能是一種誤解。」

著迷魔幻世界，小學就學會C、C++、C#程式語言

成為資安研究員的契機，聽起來是一段長時間的養成。

「小時候很喜歡看一些魔幻寫實風格的東西。」陳廷宇分享：「所以會到圖書館借《牧羊少年奇幻之旅》、《魔法校車》或是探險漫畫。我也想要編寫遊戲，當時有一款叫做『RPG Maker』的軟體，可以按照一定的模板製作遊戲。」

隨著看過的遊戲愈來愈多，陳廷宇開始好奇如何製作非模板、獨一無二的遊戲軟體：「查了才發現，喔！原來要學會寫Ruby程式語言，就能讓你的遊戲變得更有趣，後來我繼續查到一個論壇叫作『飛特論壇』，上面有很多程式語言的討論，還有逆向工程、惡意軟體的撰寫跟分析，不過那時候我不知道那是什麼，都是一知半解。」

畢竟十幾年前只是小學生，很難明確掌握程式設計背後的深層邏輯，但還是靠著一台爸爸從網咖花了5,000元塊買來的二手電腦開始自學，莫名學會了C、C++、C#程式語言，「網路資料都是很末端的結論，但使用這些結論就能在電腦上做出很神奇的事情，對我來說就像魔法一樣。」

接下來的求學生活按部就班，直到進入大學，陳廷宇才逐漸對駭客、資安等概念有更多認識：「以前只知道瘋狂練肌肉，學很多伺服器的原理、學網頁程式怎麼寫、學前端跟後端怎麼互動，但不知道與駭客之間的確切關聯是什麼。」直到選修中央大學的一門課「電腦攻擊跟防禦」，才清楚認知駭客職業，以及具體需要什麼樣的條件。

陳廷宇分享，從資安相關科系畢業後有不同的職涯選擇，例如到科技大廠保護產品安全，或者到國外從事資安研究。當然也有一些處在灰色地帶的工作，即發現某知名產品的資安漏洞後回報給暗網論壇的購買者。

「有一些處在灰色地帶的工作，即發現某知名產品的資安漏洞後回報給買家，「你不會知道買家具體是誰，可能是軍方、政府，也可能是駭客組織，但找到漏洞的當下就會拿到一筆獎金，這在歐洲、韓國蠻常見的，雙方類似雇傭關係。額外的分紅，大於或等於我們現在的年薪（約新台幣120萬～180萬元），對很多人來說有吸引力。」可想而知，漏洞被不肖人士非法利用的可能性居多。

在眾多選擇下，陳廷宇決定加入DEVCORE：「既可以做自己喜歡的研究，也知道這些漏洞不會被拿去做壞事，這樣不是很好嗎？」

資安研究員要有sense！曾經代表台灣隊拿下DEFCON CTF世界亞軍

根據DEVCORE刊登的徵才資訊，資安研究員會在企業客戶正式發布產品前，協助評估與盤點資安風險，「客戶先提供產品資訊，我們再扮演駭客的角色，從各種面向攻擊入侵它的產品。假設真的能攻進去，表示產品環節設計有點問題，我們會把所有風險都告知客戶，等於做一個全面的弱點分析。」

每個安全測試專案的進行時間不同，最短需要約60天，視客戶提供的產品資訊多寡而定。

放假時間，資安研究員會針對自己選定的目標做研究：「比如研究⼀些遊戲設計、電商網站、電⼦鎖、⾨禁這種很⽣活化的產品，觀察駭客到底有沒有機會鑽漏洞，或者研究⾃⼰感興趣但可能還不夠熟練的主題。」

選題本身非常考驗資安研究員的敏銳度，工作挑戰更不少，「像我們在比賽或做專案的時候，就一定會有死線（deadline），如果靠近死線的時候還是找不到任何漏洞，就會有點壓力。」陳廷宇指出，研究⼯作有時候會碰壁、沒有任何產出結果，或者在死線前不小心踩到bug，跟其他同事硬是熬到了凌晨三點半才下班，「所以我會⼤量閱讀其他研究員的⽂章，不斷地修正⾃⼰的⽅法論還有開拓視野。」

除了日常的研究工作，資安研究員還會代表台灣戰隊參加海外比賽，最有代表性的是DEFCON CTF（搶旗攻防賽），「這是熱愛CTF的人都會想要參加的比賽，跟世界強隊搶冠軍獎盃，感覺很夢幻又不現實。」

陳廷宇回憶，台灣隊通過初賽後飛往美國拉斯維加斯，參加為期整整3天的比賽。隊友們互相盤點策略後，接著分頭防禦跟攻擊其他戰隊，「當下有十幾個戰隊互打，每5分鐘結算一次成績，比賽過程中你會看到排行榜的分數一直跑。基本上大家都沒有睡覺，專心解題到幾乎不吃不喝的狀態。」

截至目前最好的成績，是在2018年拿下世界亞軍，「重點不是獎金，而是參與比賽本身，以及擁有那個獎盃。」

現在的他在現實生活找到內心著迷的魔幻世界，練成一身黑魔法防禦術，穩穩站在資安最前線。未來呢？「可以的話，我想⼀直是資安研究員。」

責任編輯：蘇柔瑋

觀點一：深化內部資本市場創新動能，鼓勵「小金雞」早期上市

這幾年臺灣的新創趨勢，簡立峰指出一個現象：現今成功的上市櫃案例，多半是大型集團的「小金雞」（子公司或孫公司），但集團通常傾向在小金雞獲利穩定並能確保控股後，才會在市場上釋出少數股份（25%）允許其上市。此情況容易造成臺灣的資本市場動能不足，甚至讓國際以為臺灣缺乏新創的誤解。

對此，簡立峰認為創新板的價值，即是鼓勵小金雞能提早登板的腳步，一來展現創新能量、翻轉產業典範；二來邁向資本市場不只是需要募資，更重要是上市後的經營策略，知道自身優勢所在，將營運方向隨時調整更貼近資本市場的需求。

因應簡立峰的觀察，本次創新板的新制，即是讓本國公司的股票集保期間從二年縮短為一年，並免除三年的承銷商保薦。此舉有助於降低集團小金雞提早進入市場的法規門檻，讓企業能更快速、更早實現「面對市場」的目標。

觀點二：強化產業聚落思維，主動招募國際上與臺灣互補的新創

亞洲創新籌資平臺成立的重要訴求之一，便是要成為亞洲NASDAQ。簡立峰直言，「如果是以此為願景，那它就不應該只是『臺灣人的亞洲』，而是成為『世界的亞洲』，也就是主動吸引更多國家的創新企業來臺上市，那麼招商策略必須從被動等待，轉為主動積極洽談。」

至於招商的目標該如何鎖定？簡立峰認為臺灣資本市場最重要的價值，在於其聚落現象，因此建議可瞄準能與臺灣產業有高度互補的區域國家或技術領域。讓臺灣的供應鏈業者與他們成為戰略夥伴關係，共同分享這些國外企業來臺上市後所創造的利潤。

如果是區域國家，簡立峰拿「以色列」為例，該國新創擁有強大的創意和軟硬整合能力，但缺乏生產製造基地，若考慮來臺灣上市或募資，將有利於他們與臺灣的製造商建立關係，增加其信賴度，並容易找到供應商。至於前瞻技術方面，簡立峰認為矽光子、3D封裝/先進封裝、AI資料中心冷卻等，與臺灣半導體產業有緊密合作關係，可借助資本市場吸引這些企業來臺投資、上市，不僅是實體的產業聚落，更有助於形成虛擬的資本市場聚落。

簡立峰的論述，也呼應亞洲創新籌資平臺鎖定的重點產業，涵蓋半導體、人工智慧、智慧製造、數位雲端、機器人、次世代通訊等前瞻新經濟領域。另外國際企業來臺上市的門檻，證交所也優化了既有制度，針對主要營運地或股東結構均未涉及陸港澳地區之外國企業，調整臺籍董事席次過半規範，僅須設置臺籍獨立董事至少二席。

觀點三：吸引國際分析師、產業媒體，成為亞洲NASDAQ絕佳觀測站

最後，簡立峰認為一個能持續有活水挹注的國際籌資平臺，成功上市是手段，但真正關鍵的目的，是能持續獲得投資並取得市場關注的聲譽。要獲得聲量，具體的執行策略是提高國際能見度，吸引國際級分析師的關注。

簡立峰以當時Appier在日本上市為例，他提到上市對Appier的最大益處並非來自本益比，而是被國際金融機構的分析師看到，並獲得他們的分析與報導。「這些報導對於B2B企業來說，是最紮實的行銷加分，能極大化取得業界客戶的信賴。」

簡立峰認為亞洲創新籌資平臺的下一步，可主動規劃一些登板的亮點案例，形成「標竿」進而產生群聚效應。對此，證交所回應未來將以多元行銷策略，配套措施包括加強外國公司資訊揭露，提高法人說明會的召開頻率，藉此提升企業國際知名度，為國際分析師提供更充足的資訊來源，助力更多指標的企業打響全球名氣。

國家發展委員會副主任委員詹方冠在亞洲創新籌資平臺啟動典禮上提到，臺灣經濟發展已從勞動密集、資本密集階段，進入到創新驅動的全新里程。最後簡立峰肯定表示，「亞洲創新籌資平臺的成立後，期待它的角色能槓桿資本市場的力量，讓『臺灣人的產業』轉變為『臺灣人主導的產業』，仰賴國際企業壯大臺灣的人才庫，同時也為臺灣創造新的經濟發展動能。」