端傳媒╳商業周刊

一名白帽駭客的告白:我拿同事、鄰居做實驗

資安必須不斷進修,不是比官大,是比誰玩得兇。

駭客告白張裕敏。
白帽駭客、趨勢科技資深協理張裕敏。攝:郭涵羚

「抓到你了!」張裕敏惡笑地把一張貼紙貼到同事的筆電上,這是他與其他白帽駭客同事間的「小遊戲」,只要有人離開座位時沒把筆電藏好,隨即就會被駭;誰的貼紙越多,代表他的資安漏洞越大,即便是張裕敏的筆電外殼,也難以倖免。最後,大夥兒選擇移除筆電 USB 驅動程式,以免離座時被插入隨身碟盜拷資料。

這個外型給多數人第一印象像外星人的張裕敏,是台灣駭客年會(HITCON)共同創辦人、現任趨勢科技資深協理,目前任務是帶領分布在台、美、法、捷克的16人團隊,進行駭客威脅分析。這項「駭客任務」是要在企業知情、相關單位核准下,合法研發各種可能的網絡攻擊和滲透方式,且據此預先找出防範及反制對策。

「玩這個,公司還願意付你薪水。多好!」張裕敏半開玩笑說着;但談起資安問題,他立刻嚴肅起來。張裕敏從口袋裏拿出一架拳頭大小的迷你無人機說道,「用這個跟蹤在你後面,你很難發現。它可能放出假 GPS 訊號,綁架無人駕駛車、載貨無人機;也可能裝了 WiFi 發射器,引誘你連上免費無線網路,盜取你的資料……」

大樓同事、鄰居也都是他的測試對象。「我們在一樓裝了 USB 充電孔,研究使用者行為,結果好多人來連。」他說,可見多數人都對可盜取資料的 USB 插孔不設防。

玩出來的資訊安全

為了了解駭客動態,張裕敏還苦學俄文,好看懂俄羅斯駭客在討論什麼新技術。他還記得,前幾年看到駭客刊出俄文徵人廣告:要能出差、不須訓練、以日薪支付。這豈不就是目前在各國蔓延的銀行 ATM 盜領案的車手「徵才」?

另外,為進行各種測試,張裕敏申請了兩百多個 Gmail 帳號;為研究臉書對使用者行為的運算學習方式,他曾數次更改自己的使用模式,玩到被官方鎖帳號。「資安必須不斷進修,不是比官大,是比誰玩得兇啦!」張裕敏搔搔頭說。

2015年4月,全球第二大電視網—— TV5(法國國際五台)遭駭客攻擊,駭客不只中斷了全線11個頻道的播出,還控制了電視台官網與社群媒體帳號,刊出親 ISIS 聲明。張裕敏與團隊成員30小時沒睡,領先全球最早分析出駭客手法、發布報告。

去年勒索軟件大流行,在他與同事56小時不眠不休的努力下,於5月免費釋出當時全球最完整的解鎖方案,拯救了200多萬個被鎖住的電腦檔。「我們的工作就是在跟全球駭客拚時間。」張裕敏說。

圖:端傳媒設計部

防駭招數馬虎不得

作為一名解決問題的白帽駭客,張裕敏對被駭十分在意也相當神經質。例如為了防被偷拍,張裕敏把筆電鏡頭孔用紙封了;仔細一看,竟然是他搭飛機拖運行李的憑證貼紙。問他為何如此隨興?「不不不,這是挑過的。」張裕敏說,行李貼紙黏得牢,撕下來不易留膠,用髒了很容易再換一張,可是他眼中最佳防駭素材。

至於他家的掃地機器人鏡頭則被封住,瞎了;語音對話的絨毛娃娃麥克風被拔掉,聾了;就連有線電視業者提供的機上盒,都被他加了外套——外接設備監看所有傳輸資料是否異常。看不到東西的掃地機器人,該如何才能不迷路?「我自己寫程式把掃地地圖設定好了!」張裕敏說。

由於知道任何資訊連結點都可能被駭,張裕敏一拿到裝置,第一件事就是改密碼。手冊上有預設密碼的,全改;沒載明密碼、實際上卻暗藏預設密碼的,一旦被他發現,將通報全球資安單位,提醒風險。

這麼多密碼,怎麼記?張裕敏自己數百個帳號的密碼全都不一樣。他說,「撇步」就是唱歌。用歌詞拼音當密碼,想要記住幾組密碼,就能牢記幾組!

(原稿由商業周刊提供,經端傳媒刪節、編輯,與商業周刊共同發布)

請按右上角選在「在 Safari」打開