一名白帽骇客的告白:我拿同事、邻居做实验

资安必须不断进修,不是比官大,是比谁玩得凶。
台湾

“抓到你了!”张裕敏恶笑地把一张贴纸贴到同事的笔电上,这是他与其他白帽骇客同事间的“小游戏”,只要有人离开座位时没把笔电藏好,随即就会被骇;谁的贴纸越多,代表他的资安漏洞越大,即便是张裕敏的笔电外壳,也难以幸免。最后,大伙儿选择移除笔电 USB 驱动程式,以免离座时被插入随身碟盗拷资料。

这个外型给多数人第一印象像外星人的张裕敏,是台湾骇客年会(HITCON)共同创办人、现任趋势科技资深协理,目前任务是带领分布在台、美、法、捷克的16人团队,进行骇客威胁分析。这项“骇客任务”是要在企业知情、相关单位核准下,合法研发各种可能的网络攻击和渗透方式,且据此预先找出防范及反制对策。

“玩这个,公司还愿意付你薪水。多好!”张裕敏半开玩笑说着;但谈起资安问题,他立刻严肃起来。张裕敏从口袋里拿出一架拳头大小的迷你无人机说道,“用这个跟踪在你后面,你很难发现。它可能放出假 GPS 讯号,绑架无人驾驶车、载货无人机;也可能装了 WiFi 发射器,引诱你连上免费无线网路,盗取你的资料……”

大楼同事、邻居也都是他的测试对象。“我们在一楼装了 USB 充电孔,研究使用者行为,结果好多人来连。”他说,可见多数人都对可盗取资料的 USB 插孔不设防。

玩出来的资讯安全

为了了解骇客动态,张裕敏还苦学俄文,好看懂俄罗斯骇客在讨论什么新技术。他还记得,前几年看到骇客刊出俄文征人广告:要能出差、不须训练、以日薪支付。这岂不就是目前在各国蔓延的银行 ATM 盗领案的车手“征才”?

另外,为进行各种测试,张裕敏申请了两百多个 Gmail 帐号;为研究脸书对使用者行为的运算学习方式,他曾数次更改自己的使用模式,玩到被官方锁帐号。“资安必须不断进修,不是比官大,是比谁玩得凶啦!”张裕敏搔搔头说。

2015年4月,全球第二大电视网—— TV5(法国国际五台)遭骇客攻击,骇客不只中断了全线11个频道的播出,还控制了电视台官网与社群媒体帐号,刊出亲 ISIS 声明。张裕敏与团队成员30小时没睡,领先全球最早分析出骇客手法、发布报告。

去年勒索软件大流行,在他与同事56小时不眠不休的努力下,于5月免费释出当时全球最完整的解锁方案,拯救了200多万个被锁住的电脑档。“我们的工作就是在跟全球骇客拚时间。”张裕敏说。

防骇招数马虎不得

作为一名解决问题的白帽骇客,张裕敏对被骇十分在意也相当神经质。例如为了防被偷拍,张裕敏把笔电镜头孔用纸封了;仔细一看,竟然是他搭飞机拖运行李的凭证贴纸。问他为何如此随兴?“不不不,这是挑过的。”张裕敏说,行李贴纸黏得牢,撕下来不易留胶,用脏了很容易再换一张,可是他眼中最佳防骇素材。

至于他家的扫地机器人镜头则被封住,瞎了;语音对话的绒毛娃娃麦克风被拔掉,聋了;就连有线电视业者提供的机上盒,都被他加了外套——外接设备监看所有传输资料是否异常。看不到东西的扫地机器人,该如何才能不迷路?“我自己写程式把扫地地图设定好了!”张裕敏说。

由于知道任何资讯连结点都可能被骇,张裕敏一拿到装置,第一件事就是改密码。手册上有预设密码的,全改;没载明密码、实际上却暗藏预设密码的,一旦被他发现,将通报全球资安单位,提醒风险。

这么多密码,怎么记?张裕敏自己数百个帐号的密码全都不一样。他说,“撇步”就是唱歌。用歌词拼音当密码,想要记住几组密码,就能牢记几组!

(原稿由商业周刊提供,经端传媒删节、编辑,与商业周刊共同发布)

编辑推荐

读者评论 2

会员专属评论功能升级中,稍后上线。加入会员可阅读全站内容,享受更多会员福利。
  1. 有種東西叫USB保險套,自己做也行,斷中間第2、3條,只傳電力,不傳資料。

  2. 讀到「「我們在一樓裝了 USB 充電孔,研究使用者行為,結果好多人來連。」他說,可見多數人都對可盜取資料的 USB 插孔不設防。」現在香港所謂開始流行的高級的士,竟然以提供免費USB充電孔作賣點!那些經營者,多半對資安沒認識,有一點點資安意識的,才不稀罕他們提供的充電孔!香港落伍!