A

我想到之所以會有今天的訪談就是因為我們有一次就是吃飯的時候然後那時候他就講說那個在座的各位就是如果要知道大家的密碼的話我現在就可以調出來然後我就大為震驚是因為我覺得現在全世界大家的密碼在網路上面都有很多份可以下載下來然後也很不幸的是很少人會記得去改密碼所以說像我自己有的時候忘記我的密碼我可能到那一包裡面去看裡面是不是有我的密碼我覺得可以引述一個就是前FBI局長他所說的話他說美國的大企業只有兩種一種是已經被中國害了另一種是他已經被害了但他不知道hiho大家好,我是志祺! 歡迎回到《牆球有朋友》! 說到駭客,你腦中浮現的畫面是什麼呢? 是不是像電影那樣,那種穿著帽T的神秘人在黑暗的房間裡面敲敲鍵盤,幾秒鐘就入侵了國防系統? 但真實世界的駭客跟電影演的,到底差多少呢?

為了搞懂這個神秘的職業今天我們邀請到DevCore的翁浩正Allen一起來聊聊Allen除了自己是駭客還是台灣第一間攻擊型資安公司DevCorp的創辦人兼執行長專門幫政府和企業模擬被駭客戶包含總統府、台積電、日月光等等不同產業的龍頭他們團隊曾經發現了微軟郵件伺服器的重大漏洞還因此拿下被稱為是資安界奧斯卡的獎項再來,他也是台灣駭客協會的理事長期推動台灣資安社群的發展那今天我們就來問Allen真實的駭客工作到底長什麼樣? 駭客都靠什麼賺錢? 那種台灣每天被中國駭客攻擊的說法,是真的嗎? 那一開始,就請Allen跟我們的觀眾簡單自我介紹一下吧! 大家好,我是Devcore的執行長Allen很高興認識大家!

好那今天一開始我們準備了一些這種電影裡面常見的駭客迷思想要請Alan幫我們快速判斷一下這些迷思到底有多少是真的好第一個是駭客打字都要超快然後電腦上面都要跳一大堆的視窗對沒錯為什麼我覺得是因為大家在電腦的使用上面很熟悉很習慣了所以說自然會操作得很快那所以說像我們可能平常在腦袋在邊想的時候我們會一邊打那電腦的反應來了之後我們就會再接續再做更多事情那這時候有時候是等電腦在跑的時候我們會再做更多指定所以說會輸入的比較快那你們會用不同的輸入法嗎因為我知道中文很多不同的輸入法那英文會有特殊的輸入法可以打超快嗎其實我有嘗試在小學有練過其他輸入法但是我覺得那學習門檻太高了第二個是駭客隨便打個幾分鐘就可以駭入整個咖啡廳人的手機嗎是當然我覺得這個東西是看情境當然在以前比較容易現在的話門檻會比較高因為開放性網路是公開的所以說其實任何人如果去假造一個無線網路的基地台是有機會讓一般其他客人點到你的惡意的無線網路這個網路的話如果他可以做一些釣魚網站或是可以放一些病毒惡意程式的話確實手機或電腦有可能被攻擊被入侵但因為現在電腦跟手機設備它的更新很快所以說不見得有那個漏洞可以被利用所以是有可能但是難度可能會比較高一點好第三個駭客可以遠端的控制電動車讓子自己失控暴衝嗎是也是是當然這個難度也是見仁見智其實在國外有個比賽叫PoundtoOwn這個比賽是說只要你能夠入侵這個設備或這台車你就可以拿走其實有專門幫車輛去辦一個比賽裡面其實也是有一些智慧車輛曾經有個例子是說某個廠牌的車子是在行進中然後他可以突然間讓那個車停住如果在高速公路上的話這個就其實蠻危險的那再第四個是駭客可以入侵嬰兒的監視器跟小孩講話然後偷拍人這個應該是真的當然有人會說嬰兒有什麼好拍的對不對但是有時候這種是攝影機買來的時候大家可能沒有設密碼然後沒有做保護然後一些壞駭客他就可能掃描全世界只要該品牌該廠牌的攝影機然後該型號他的帳號密碼是什麼他可能就直接去試了之後就可以去進入這個攝影機裡面就可以去看然後有些還可以動就發現他這個攝影機在那邊動然後也可以聽到聲音那第五個駭客會假裝成送貨員走進公司的機房然後把USB插進去然後到這個伺服器裡面去攻擊嗎雖然說當然我們可以當SAM當那個送貨員去送也可以但是很多情況下他們會當成是一個面試者例如說我假裝成要去面試然後去到這個公司的比較內部裡面可能到會議室或到主管的區域去想辦法說我去連他的無線網路或是我去故意去掉一個隨身碟那如果有員工撿起來插進電腦裡面的話有可能電腦就會因此而中了惡意程式然後就可以控制這個電腦去到公司內部的其他主機只要就是不小心弄到一個就會中了對那有一種是他們也會去故意去買這種可能用樹莓派或是用一些小的設備然後假裝成是充電的那個豆腐頭然後就插到辦公室的那個插座上面那可能一般人不會去檢查說辦公室的插座有沒有什麼可疑的設備嘛對不對那個設備就會自動去破解無線網路破完之後連上之後它就會去回報到駭客的電腦裡面去讓它成為一個中繼站去持續的去控制這個公司內部那最後一題駭客是可以入侵紅綠燈公共監視器還有電網這些基礎設備嗎是也是有機會當然我覺得這也是看情境因為我相信只要越智慧的城市越智慧的這種基礎建設它有越大的攻擊面在資料裡面講的叫攻擊面這表面積如果越大的話那就有越多的攻擊的可能性所以有些聯網的設備像我知道說有些國家的紅綠燈它可能是有個中央的控制系統在去控制它的然後他如果說有對外連到網際路上面的話他的控制後台可能就會被存取那當然就可以去控制紅綠燈去控制各種設備剛講了蠻多好像有點荒謬的迷思但雖然每個東西都可以可是我好奇一般來說駭客到底可以做到什麼樣的事情然後他是不能夠做到哪些事的我覺得其實只要你能夠連網甚至說你只要能夠讓有技術專業的人去控制碰到這個設備都有可能是被入侵的像是我們今天拿到一台電子設備我拆解它那我也有機會從裡面得到例如說記憶體裡面的資料之類的或是我今天拿到別人的筆電就算他有加密那我可能會嘗試去做破解嘗試去做各種繞過的方法所以只要能夠碰到或網路可以連到他都有機會去被找到漏洞去利用它那不能做的可能就是駭客可能不能夠駭入人心吧那他可以用社交工程用騙的方法但是說當我們人類的科技還沒有到說人腦連接到電腦還沒有到這個之前的話其實駭客能夠做的事情還是有限的那你有沒有看過哪一部電影或者是影集的描述它是比較符合真實的駭客的我之前看過一個影集叫做Mr. Robot叫駭客軍團我覺得超棒因為它其實是很寫實它有請一個資安顧問去設計所有的橋段所以他們用的電腦他們的作業系統他們下的每一個指令跟畫面都是真的他用的是一個叫KaliLinux就其實是一般在做資安的這種檢測員他們會去用的一個作業系統所以裡面其實都是跟我們的生活其實是一樣的那個系統有什麼特別的為什麼大家會使用這個系統它是一個Ubuntu的一個作業系統然後裡面其實是內建裝好很多駭客用的工具例如說你要去做情報的蒐集你要去做弱點的掃描你要去破解無線網路然後還有什麼悠遊卡等等的如數家具那個感覺越聽越覺得非常荒謬但它就是工具包啦那這個工具包其實你在網路上面下載都有只是說它把它整合在一起所以要用的話是很方便那你當初是怎麼樣開始接觸這個文化的其實我覺得我最早開始碰是小學啦其實真的是還蠻小的因為在那時候家裡面有電腦嘛然後有電腦小男孩玩電腦就是玩遊戲那在那個時候我記得小學可能三年級還是幾年級忘記了那就是我發現這個遊戲好好玩喔那我帶到朋友的我Copy一份給朋友玩應該可以吧結果我複製一份之後帶到朋友家不能玩為什麼後來發現它有防盜版這樣子然後可是他怎麼做到的我那時候因為在那時候其實沒有什麼資安的觀念就覺得說那應該是有什麼東西是我的跟他的不一樣所以他的不能用我的可以用後來就去看書去找一些指令發現說原來我在複製詞片的時候有一個隱藏檔案沒有複製到複製過去之後就可以用了然後那個時候就成功的去算是破解這個遊戲一樣但其實現在聽起來很簡單但是那個就開始說原來這叫做駭客原來這很好玩這樣子所以柯南是真的小學生也可以做得到那些事情當然比較大之後就是我覺得學得比較多像國高中的時候我高中的時候有管學校的機房那個學校其實老師非常好就是讓我們說只要都給你管你要是弄壞了沒關係你就把它弄回來就好所以在那時候就是學所有我現在示範的工具都是在那時候學的然後我覺得會踏入這個領域的起點是大概在19年吧就是在那個時候有兩岸的網路大戰所謂大戰其實超無聊就是兩邊互相的去改對方的政府或是改首頁要加個國旗什麼的放一個五星旗然後說台灣是中國不可分裂的一部分諸如此類的然後台灣的很多駭客其實我們現在都不知道是誰覺得說怎麼可以這樣子我也去幹你的中國才是台灣的一部分然後諸如此類的那時候就發現說原來入侵網站其實在那時候很容易因為在那時候網站的架設很簡單然後也有很多的漏洞然後我也無意間有發現到一些漏洞是可以直接去改別人的網站我第一次去嘗試去入侵別人的網站的時候其實是不小心的因為在那時候中國跟台灣兩邊互打我覺得很生氣我想要看一下別人的網頁是怎麼寫的因為那時候只有IE的瀏覽器我打開按一下編輯然後看到他這個網頁的原始碼剛可以打字我就打哈哈哈哈然後按存檔他就上傳了我說密碼沒有加密沒有密碼所以發現那個是一個漏洞那是一個叫做frontpageextension的漏洞所以在那時候我們還不知道這個東西但我發現可以這樣玩所以這時候很多網站都因為這樣而可以被入侵很有趣這是好玩對這是19年的事情超級久以前剛剛我們講到的這種駭客就是去改別人的比較像是傳統在定義的這種黑帽駭客因為我知道有黑帽有白帽就是這邊它是怎麼樣去定義跟區分的我覺得所謂的白帽駭客就是說以前的原生駭客這個詞它其實沒有分成好或壞它就是說我是技術很高超的專家我可能是針對電腦領域然後我可能是針對像有人說是生活駭客那其實是一個駭客的精神我今天看到什麼東西是不好的不好用的我可以動手去改變他我可以去學習他我可以去探究他的原理那後來因為很多新聞上面都有講到駭客就是什麼16歲天才駭客入侵什麼線上遊戲等等的去做犯罪所以媒體把駭客跟犯罪連在一起了所以後來網路上面大家就說那我們其實應該要區分一下駭客應該分成白帽駭客就是所謂的資安專家我今天懂駭客的技術然後我用他來去做保護做防禦那有黑帽他可能就是我比較不管我不管說我是要做好或做壞我就是可能我為了賺錢或我為了自己爽那我就去駭別人那一般來說駭客是怎麼樣賺錢的就是像我們電影上面可能看到的那種就是說整天在暗網上面打賺然後攻擊國家組織盜加密貨幣之類這個是一個常見的狀況嗎這個要分成如果說我們講的是黑帽駭客好了其實我覺得現在形成一個產業叫黑色產業它其實就是只要任何可以賺錢的東西他們都會想辦法去把它變現舉例來說像我們看到很多個資外洩然後就有人說很多的資料庫個資在網路上面賣然後販售就可以賺錢但除了那個之外還有很多的是勒索軟體像我們電腦如果被加密的超級多的對超級多或企業被揚言說你不付錢我就把你的資料公開那種是也可以賺錢所以暗網上面就有很多是賣資料的或是賣身份證賣護照賣攻擊程式或者說賣流量賣資源所以只要可以變現的東西他們其實都會去想辦法去做我好奇就是這些東西它的價值是怎麼樣就是假設說它今天在暗網上面就流出一份好了它大概會多貴我覺得是要看這個資料的珍貴性假設是一個超級有名的藝人或是重要的人物他的資料單獨拿來賣那當然是可以賣很貴可能幾百萬都有可能或者說可能是一些政府的一些官員或是重要人物他也會比較貴那有特別的是醫療的資料會是比較貴一點的因為他可能會有這個人的一些疾病或是一些一般比較難取得的他有特別的價值對有特別的價值所以他比較難取得那其他如果是一般民眾或是一般還好的人的話他可能就會以這個資料的可能例如說我去賣一整包這個網站的資料以一包一包來賣或是可能205年然後這個台灣哪一些人的資料就以一整包來賣那也有人會把資料去裡面抽出來像之前台灣一些資料外洩的時候就有人去把所有是有服軍役的有服兵役的人資料拿出來說這是台灣的所有的軍人的資料然後那個他就可以刻意的去賣比較貴之類的那你有沒有看過最有趣的攻擊案例就是這個也有人要請駭客去攻擊嗎或者是說竟然在賣這個資料你覺得這是在幹嘛我之前在暗網上面看到一些比較黑暗的例如說他們是賣個資然後看到有幾筆是在中國的暗網上面他在賣的是貴族小學的學生清單那這時候我想說為什麼誰要買這個東西後來發現他要賣的人是所謂做綁架的他就把這個名單之後就賣給這些綁架集團他就可以去綁貴族小學的學生去跟爸媽做勒索這樣子很多這種很奇怪的東西所以只要是能夠變現能夠賣他們都會想辦法去做好那我們剛講到的一些就是比較黑暗的但是你現在其實是用駭客這件事情有點像是駭客相關的一個事業嘛那你什麼時候會開始想要把這邊變成一個工作然後甚至是開始創業因為我覺得因為像是我從小其實就在碰資訊安全就在碰駭客的技術然後我就覺得駭客是全世界最有趣的一個職業因為我今天可以知道別人的系統是不安全的我可以證明它不夠安全而且我可以幫助它變得更安全那我記得我們公司在創業初期的時候就想說如果我們今天生活上面所有用的網站都是由我們自己所保護的話那很爽像我可能去買東西或者我可能去一些論壇都是我們確認他是安全的那我們這樣網路不就會變得更好那再更進一步的是如果在那個時候其實台灣很多企業很多政府單位他們其實是不重視資安的他覺得說資訊安全不會輪到我等到真的發生之後再說或者說我有裝防毒軟體應該就夠了吧但這個觀念是錯的那我們就想說那我今天我懂然後我們又有能力我們又有一群人認同這件事情那我們不是應該創業去跟大家說你們不夠安全那我可以教你怎麼樣變得更安全我覺得這個是我們創業的一個初衷因為我們在做功課的時候我看到那個DEFCOR的主要業務其實是這個紅隊演練那我相信很多觀眾可能就是第一次聽到這個詞所以可不可以跟我們用一些比較白話的方式解釋一下紅隊演練到底是什麼講一下這個名詞的由來好了因為我們是第一個在台灣做紅隊演練的公司那這個紅隊跟藍隊呢它其實是美軍的一個詞就是紅隊是攻擊方藍隊是防禦方那紅隊演練基本上就是我模擬攻擊方的一個技術跟戰略去尋找你的系統有哪一些地方是有問題的那在這個進行的方式其實就是像政府機關或是像銀行之類的他們會請我們去找他們的漏洞那麼就跟他說你現在這個防禦機制裡面哪些地方可能是不足可能是有缺口的包含說他的系統可能有漏洞不然說他人他的團隊可能是有一些缺失或是他的能力可能有些地方是不足的我們就可以知道之後去給他們建議讓他們變得更好那這叫紅隊演練有做過什麼樣子有趣的案例嗎就是怎麼樣去攻破然後就啊竟然用了這個方法有一個例子還蠻有趣的因為紅隊演員其實求是我們越擬真越好今天真的網軍就是所謂的軍隊網或者說是駭客組織他們會怎麼做我們就應該有一樣的能力去模擬這個攻擊去做做看我們之前有服務過一個網路公司然後我們是請同仁我們開一台車去到這公司的倉庫然後我們拿著比較長的指向性的天線去收倉庫的無線網路因為倉庫裡面的設備其實運算能力是比較弱的它的加密法也是比較弱它密碼就是比較好破解那麼破解完之後就可以透過倉庫的無線網路進到他的企業內部去就會形成一個可以到企業的敏感的系統的一條路徑這是一個感覺是比較戲劇化比較在電影裡面才會看到的一個例子但是是一個蠻成功的一個案例那還有嗎還有就是比較一般的嗎或者是也很酷的一般的話我覺得也跟一般民眾有關係就是大家以前有幾年大家出國的時候喜歡拿著護照合照我出國完了這樣子有段時間很流行這件事情有一次我們有一個客戶的專案那我們發現說他有一個員工的後台他是只要進去之後我們就可以得到很多資料就會達成我們的任務的目標但是我們發現我們其實不知道這個管理者的身分證字號是什麼他是他的預設的帳號我們就尋找一下原來他有Facebook原來他有出國玩原來他也拿著護照合照然後把護照那個照片放大看身份證號就在上面就因為這個而知道說他的帳號是什麼然後我們就可以進到他的企業的這個管理後台就因此而達成這個任務的目標所以你覺得你算是一個肉搜達人嗎我覺得這個對於資安的從業人員來說它算是一個內建的功能所以我們都會知道說怎麼樣去尋找資料怎麼樣去從一些蛛絲馬跡或是從一些系統去得到大家的一些資料這樣子我等一下就回去把Alan接好友覺得超可怕好那你們公司一個普通的工作日好了大家會長什麼樣子就是駭客們大家會早上進公司嗎然後就是大家在做什麼如果可以不進公司大家都不太想進公司吧我覺得我們公司比較像是一個講的比較譬喻好像是個傭兵團一樣大家的技術都超級強但是正因為這樣子所以就需要很高的紀律所以說像其實我們大家是要進公司的雖然說我們是週休三日但是我是希望說大家都在辦公室可以討論專案所以說我們以一般的員工來說我們最多人是做攻擊的檢測人員他們其實到了之後會先整理一下他可能前一天可能作戰的這個紀錄怎麼樣到哪邊然後今天我們打算要怎麼做然後當天我們以後有不同專案會有很多次的叫做像是戰略會議一樣我這專案攻擊到哪邊了然後下一步該怎麼做然後我們有沒有什麼卡關的地方該怎麼樣去做解決這樣子這是每一天會做的事情那我現在不太一樣是因為因為我創業之後我現在當老闆所以我把我最熱愛的技術交給我的團隊所以我就開始上班就跟一般的老闆一樣就是進來之後可能先開會一天開個六七個會這樣子所以到最後會先沖杯咖啡然後想一下我今天有什麼會我今天要聽什麼音樂然後開始做我這邊突然好奇就是一般這些駭客的目標到底會是什麼就是剛你有講到說可能我們一般常聽到就是DDoS好了那這個是要去癱瘓別人嗎或者是他是要取得裡面某個敏感資料嗎就有哪些不同的目標有沒有那種就大家其實會覺得說這個比較少聽見然後這個竟然是一個目標的我覺得可以看說因為現在是這樣犯罪組織好了這種壞駭客他們多半是求利益他為了要賺錢那為了要賺錢的話任何可以賺錢的方式他其實都會做那你可能會問說那DDoS這種把網站癱瘓的為什麼可以賺錢因為會有人去買這癱瘓的服務去癱瘓別人例如說他可能是競爭對手然後可能就會想要癱瘓別人又或者說可能會有其他國家他為了要去做更大的行動這行動他可能需要很隱匿他又需要一個更大規模很顯而易見的一個DDoS的行為去掩蓋掉他們真正的行動這樣子所以像這種服務也是會有人賣也會有人賣那在其他就可能是像個人資料或者是也有人賣勒索軟體賣勒索軟體對有人賣勒索軟體的產生器然後呢你可以拿這個產生器之後去產生你自己的勒索病毒然後去放到別人的電腦裡面然後呢這個錢他會去做分潤就是作者會有一部分然後你也會有一部分這樣他就行為一個很奇怪的一個商業模式那你們這樣子接到一個案子之後實際的工作流程會是什麼就是開始到結束大概會有哪些階段嗎其實因為我們在做我們都是政府或企業委託我們來去做演練所以我們其實就是去看說它整個企業裡面它的資安體質怎麼樣所以我們會先討論說你們最在意的資安的目標是什麼例如說我有哪一些資料不能夠被取得我有哪一些設備不能夠被害或者我有哪一些系統不能夠被害那討論出來之後我們就會去討論說那我們要怎麼樣去根據這個客戶的性質他們用的程式語言他們的系統來去操作我們的團隊這個好了之後我們就會討論說我們要怎麼樣去進行會先做情報的蒐集然後會去看一下他的有哪一些網站他有哪一些IP有哪一些設備那我們就會開始做真正的一個攻擊的模擬那工機有分很多種有一種是有點像是在訓練他們一樣我們就會跟他們回報說我們什麼時候幾年幾月幾日幾點分我們誰對哪一台主機做什麼事情然後去給他做核對那他們的藍隊他們資安團隊就可以去比對說我有沒有看到這些行為那有的話那當然就沒問題所以這是一種算第一階段的訓練的模式那比較成熟一點的話就會有不同的情境例如說我模擬成你們的員工他可能是惡意的就是所謂的insider他可能在裡面想要去偷資料或者說你有離職的員工或者是你的員工電腦被害了然後我們從內部出發會有哪一些危害第三階段可能就會是攻防所以我不會跟你說我打算怎麼做或是我的IP我的手法我都不會講那我在結案的時候才會講這中間你要怎麼樣去擋我去做阻擋去做預防都可以那我們就想辦法去繞過去逆走它就更像是一種攻防演練那就可以明確的知道說這個企業它所有的資安的軟體硬體服務商人員到底是不是真的符合他們的期待你們平均大概要花多少時間才能夠駭進一間公司這問題很有趣因為我們最短是專案開始的第一天就駭進去了第一天對就是專案一開始就直接進去了那最長當然是根據客戶他們的強度有一些很厲害可能我們到十幾天到二十天其實都有可是還是駭進去了十幾二十天對那我們其實之前都有整理一些數據是我們入侵成功率那之前都是百分之百那後來這個神話被破解了那其實我們同仁是很沮喪我們是不夠強了還是怎麼樣但我很開心因為我覺得如果說我們今天能夠讓台灣的企業或政府他們因為他們變得夠厲害了所以我們無法成功駭進去我覺得這是一個進步代表說我們的服務或是我們持續讓他們成長到他們變強了是好事一件所以我們同仁的壓力還是很大不過我覺得這是一個還蠻好的事情那這樣子你們是怎麼樣計費就是你成功打了進去之後會有額外的分紅嗎還是不管怎麼樣就是一個案子一個錢現在就是客戶那邊就是每個案子會我們會評估說這個案子的規模例如說這個企業是超級大企業那他需要的時間跟團隊人力就會比較多那我們當然計費就會比較貴一點或者說像是銀行他們可能就是一定的規模那麼就會有一定的計費以前我們有嘗試過就是所謂的獎金制那是很久以前了那我們就剛開始提供這個服務的時候然後就有一個網路公司他就說他們很安全他不相信我們可以打進去但他們又不想付那麼多錢他說那他可不可以就是金額他就抓比較低但是如果我們有一個漏就是一個對賭比較嚴重的漏洞他就多給多少錢比較中等就給多少錢之類的結果專案結束他付了三倍的錢從此之後就再也沒有人用這個機制就是不要挑戰自己想要成為的1%那這樣子一般企業大家最容易或是犯的錯誤會是什麼就最容易這個沒有做好所以你就很容易被喊我覺得最常見應該還是密碼吧密碼因為舉例來說因為它又很好記然後又可以去不斷的A組B組來換所以它反而是一個很容易被破解的密碼那這樣大家假如說想要避免這件事情他們可以做什麼例如說是要用1Password或Google登入之類那些我覺得密碼管理工具這一題很重要因為現在我們看到很多企業內部它除了說密碼可能過簡單或是有規律之外它的密碼還會共用比如說很多主機它的密碼可能是一樣的甚至說有人是自己的Gmail跟公司內部的Mail的密碼是一樣的這很危險因為當他自己的外面的網站密碼如果被拿走了那公司的系統也會跟著淪陷因為別人只要知道帳號一樣密碼如果一樣的話是不是一樣可以登錄所以用一些密碼管理工具我覺得是會比較好的我想到之所以會有今天的訪談就是因為我們有一次就是吃飯的時候然後那時候他就講說那個在座的各位就是如果要知道大家密碼的話我現在就可以調出來然後我就大為震驚所以他基本上的狀況是可能這些有些網站他就已經被破解被外流過了然後可是那些密碼被很重複的使用所以就會導致像這樣的問題是因為我覺得現在全世界大家的密碼在網路上面都有很多份可以下載下來然後也很不幸的是很少人會記得去改密碼所以說像我自己有的時候忘記我的密碼我可能到那一包裡面去看裡面是不是有我的密碼也可能會有所以說我覺得密碼這個問題是大家要記得的是我最好是每個網站要不一樣那要達成這個方法的話就是要用密碼管理的工具然後第二點很重要的是要使用所謂的MFA就是多因子認證我除了輸完帳號密碼之外我還要去輸一個手機的驗證碼或者說現在有更先進的是叫做passkey那就是我不用找密碼我只要可能登錄的時候按一下然後我可能在手機裡面會跳一個訊息按一下是那是我然後就可以登錄了這是要跳過不同的路徑就對了它是不是現在是我覺得未來的科技會進化到說捨棄掉密碼這件事情因為密碼始終是跟人性有綁定的那人性就是趨近於偷懶所以說只要有密碼就是不安全所以現在如果有更多不用密碼的機制例如說用生物特徵或是用一些更新的演算法那它就是比較安全所以這邊如果一般人能夠嘗試的話第一個剛講到了買一個可能onepassword這種東西或者是Apple它有自己的密碼的管理又或者是Google直接那些帳號你就不要去特別寫用Google的那個登錄都比較安全對嗎是我覺得現在的密碼管理工具有很多套有免費的然後也有付費的那像onepassword它就是付費的嘛然後免費的話其實像Firefox它也有蘋果也有GoogleChrome它其實也都有那其實都可以那只要你有用一套然後並且保護好你的MasterKey就是你的主要的那一組密碼要保護好不然你那一組掉的話就全沒了那聊完了這個職業的本身就我們來聊聊台灣的狀況因為我們常常聽到這個台灣是全球被駭客攻擊最嚴重的地區之一那以你的觀察來說這是真的嗎我覺得我不知道是不是真的但是台灣被攻擊確實是很多不管說是資安公司它其實每年都會有一些資安的調查報告台灣都是亞太區可能是第一名或是前幾名那我覺得主要有幾個原因就是其實台灣有很多重要的企業例如說像台積電或是一些重要的單位他們一定是各種不管是官方的駭客就是所謂的網路的部隊或是民間的駭客犯罪組織都是他們的目標因為他們想要賺錢的話只要是這種大企業我如果今天可以入侵進去我今天就可以去賺錢勒索可以做很多很多的事情另一方面台灣在國際上面的地理定位還有國家的政治地位又很特別所以就有其他國家他們會對於台灣是感興趣的很過度的關心我們就想知道選舉前台灣很多政府單位就會被害因為想要知道說有哪一些政見政策候選人或者說在一些大事之前他們可能就會去進攻到台灣的各個單位去偷資料講到一些大事就是我們在發生一些大事的時候我們的Google都會亮一個警告它就會說你正在遭受到受國家資助的網路攻擊這個是一個真的嗎這是真的那它是怎麼樣知道這整件事情的你會收到代表你是個咖因為Google它其實會有一個就是所謂的國家資助的攻擊者它其實就像是網路部隊一樣它其實會接受某些國家的任務去做各種入侵的行為Google它其實是有資安公司它其實就會去監控說這些組織他們的行動他們有哪些帳號是被攻擊的它就會通知這些帳號的擁有者去改密碼或是去做一些監控去做一些監控所以像以你來說你就很適合去開那個就是有它有一個進階防護的功能它就讓你的帳號的權限變得很受限就是說你只有官方許可的功能才可以用其他那種什麼第三方它其實都會把它擋掉那這些攻擊是真的大部分都來自於中國嗎還是我們自己多想我覺得可以引述一個就是前FBI局長他所說的話他說美國的大企業只有兩種一種是已經被中國害了另一種是他已經被害了但他不知道有到這麼的誇張我覺得其實不單是中國我覺得其實全世界現在只要是網路比較發達的國家每一個都有說他們有網路的部隊這應該不是秘密了當然有一些國家他們的這種部隊他們對其他國的進攻跟情報的蒐集會是比較積極的所以我們有些資安公司的報告裡面就會講說有特定的國家他們的網軍的行動有哪一些有一些可能是政府所發動的但他們沒有證據有一些可能是民間所發動的他們想要去攻擊某一些銀行去賺錢或是做一些事情這樣子這些都有很多資安的公司的報告可以看那他們會有什麼特別的手法是中國才會在用的嗎還是其實都差不多大家都是因為都是精銳用不同的方法在那邊打我覺得手法上面各國家他們現在都會有一種就是網路的軍火這個軍火就叫做ZeroDay就是0DAY那所謂ZeroDay的漏洞就是它是臨時差攻擊它還沒有被官方所知道舉例來說我如果今天有一個Windows的ZeroDay的話就是代表說我今天可以入侵Windows的作業系統但是你無法防禦因為它沒有任何的更新程式你完全不能夠做修補那像這一種漏洞它的攻擊程式就會是很珍貴的所以就有很多國家可能網軍他會去挖掘或是會去買那買了之後就可以去攻擊其他國家這樣子我剛講到可能是對於政府或是對於企業那對於一般人來說就是很多人可能會覺得說我又不是個咖或是我又沒有什麼機密資訊也沒有多少錢那這些攻擊跟大家有什麼樣的關係我覺得確實一般民眾以前都會想說我真的不是卡我帳號密碼給你都沒差但其實他忽略一個點是如果今天你的東西都可以變現的話那其實是對你有影響的我舉個例子來說曾經有人說他家電腦被駭他沒差我東西都送你但他家的網路如果被濫用的話他是會有事情的例如說他的電腦如果被駭了被駭客所控制拿來去攻擊總統府那他絕對會被調查就說我查到你家的網路的IP是你擁有的你在這個時間點來做攻擊這樣子所以說大家不要覺得說我自己的電腦或我自己的帳號被害是沒有關係的它其實是可以被拿來濫用那其實還有一個例子還蠻有趣的就是各種變現的方式像有一些網站你在瀏覽的時候你會發現它特別慢因為有人在裡面去買了一些電腦挖礦的程式所謂的挖礦就是用你電腦的CPU然後來去做運算然後去可能以前會挖比特幣挖以太幣挖門羅幣之類的那你的電腦的電力其實就會被他拿來去做運算來賺錢那你可能不知不覺你就多花了電費然後來去幫他去賺他的數位貨幣那也有些人是家裡面的這個監視器或是智慧家電被駭有一個例子我覺得超好笑但當然是真的就是國外有人買了一個智慧馬桶這個馬桶大家覺得這個為什麼要智慧很奇怪然後他被駭沒差難道你就自動幫我沖水嗎但如果這個馬桶他本身被駭他可以聯網所以如果是不是今天駭客有機會透過他去做可能攻擊別人的行為那這也是有機會的那這樣最後是警察會上門把這個馬桶收走嗎還是怎麼樣我覺得這個就要考驗執法機關的能力了因為他一定會查說是你家的網路你家的IP發動這個攻擊所以你家所有的聯網設備尤其是電腦他可能都要拿來做調查就很麻煩你的電腦可能就會被他搬走然後去做所謂的數位鑑識去查一下你的電腦你是不是懂資安的人那如果釋懷你的嫌疑就更大或者說你在那個時候你人有沒有在電腦前面然後或者你有沒有遠端控制的方法然後去逐一的判斷你是不是做這個犯罪的人而且我想到的是一般剛我們一開始講到就是那種監視器的就是那個東西如果你當下你就想說我就用它的default那真的其實蠻嚴重因為那可能會牽扯到影像聲音或是更多更多的私密的細節這樣子是而且還有一個情況是有些人喜歡在家臥室用筆電然後用筆電它用完它其實不會蓋起來它就掀開來然後在以前筆電的監視器它上面攝影機的鏡頭它是可能會被錄清的就電腦被錄清之後它的攝影機就開著所以說你在臥室在做任何事情它可能都會知道你在講什麼話你開了什麼會或者是你的作息你人有沒有在家裡全部都會知道那好像還有一個掃地機器人的例子是什麼是因為掃地機器人現在能力其實還蠻強的就是它除了掃地之外它一定會有一個攝影機然後它可以去掃出你家裡面的輪廓譬如說你的整個地形長什麼樣子或者說它的攝影的鏡頭可以看到你的人它甚至可以聽到你的聲音所以如果掃地機器人它本身它是有聯網的話那其實這個確也是一個風險我覺得聊了很多大家現在可能會聽一聽就覺得有點焦慮因為畢竟是不管是政府還是民間企業就真的是擋得住這些事情了嗎就從你的角度來說台灣現在應對這些威脅的資安能力是如何的我覺得我必須說台灣這五年下來我覺得非常好就是台灣的資安的能力進步還有資安的人才的進步是超乎我們的想像在幾年前會覺得說台灣其實是我們很需要一起來救台灣因為台灣的能力應該很強但卻沒有做很好現在逐年我們發現不管是政府或者企業他們其實絕對不會有人說資安不重要反而會問的更多的是我們還可以做什麼或者說我現在這樣做夠了嗎如果我不知道夠不夠我們可不可以請紅隊來幫我們去看一下所以我覺得這個觀念的進步是很多的我覺得民眾其實也有進步我覺得也是歸功於像全世界其實有很多的隱私的事件像之前美國有一個Facebook的案例是劍橋分析那其實就是他算是一個廣告行銷的公司他會去分析Facebook上面大家按讚留言跟點閱的行為去分析你可能支持哪一個政黨的候選人那其實也可以去根據這個來去運算說我可不可以去說服你轉換陣營那那個事件其實影響全世界因為大家發現說大家平常用的社群媒體也有機會去影響到個人甚至政治傾向甚至可以拿來做盈利那這個就很嚴重所以現在台灣人民其實有很多人也是對隱私有一些比較看重一點就是不會說像以前是有人說你給我個資我就給你給你百塊給你多少多少禮物現在大家說我寧願不要因為我不知道你會幹嘛這就是一個很大的一個進步那在台灣在職人這一塊還有什麼急需要改善的地方嗎我覺得各國家當然極權國家他們越有能力去把所有資源去投放在特定的人上面去做培育例如說假如說一個我們10倍大的國家好了假如台灣很厲害10個人裡面會有一個資安的天才那如果別人有1萬個人的話他也就10個人那台灣就被輾壓了所以我是覺得說資源的投放我覺得也是差異很大所以我們才希望說台灣其實台灣那麼小那如果更多人可以學資安的話我們應該去大力的去教育他們去幫助他們我覺得台灣的話雖然說我們這幾年進步很快但我覺得全民的資安意識還可以再往前走更多因為現在很多人會覺得說網路上面的攻擊我知道很嚴重我也知道我會被影響但我好像不能夠幹嘛那我覺得這個心態還可以再往更前面一點因為就我的觀念裡面這叫做木桶理論今天整個木桶裡面最短的木板就是那個水會漏的地方所以如果整個國家來看的話全國的人民他其實都像是那個木板我們只要大家都重視資安大家都會把自己的帳號密碼保護好大家都不會被假訊息欺騙基本上整個國家的安全就會進步很多我覺得全民的資安意識這一點還需要更多的培養我覺得這個是第一個因為你剛好是那個台灣駭客協會的理事長所以這個協會是在做這種相關的事情嗎還是在做其他的因為我看你們有辦很多的活動比賽和訓練其實台灣駭客協會是205年我們舉辦第一個研討會叫做台灣駭客年會HICOM那其實當時就是一個同好會就是說我們就是希望把學習資安學習駭客技術的人我們可以聚在一起可以去多做交流那後來變成是國際版的就是有更多各國的資安專家包含說來自美國的來自日本韓國各個國家的飛來台灣他可以演講跟我們交流他們都發現說哇台灣很棒除了東西很好吃之外台灣的能力很強然後交流可以很多後來我們就舉辦越來越多所以HITCOM他除了說變成是一個技術的國際研討會之外當然我們還多辦了比賽還多辦了資安人才的培訓我們辦了一個比賽叫HITCOMCTF叫CAPTURETHEFLAG它其實是一個攻防的一個比賽它其實就是一個有點像是駭客比賽一樣它的比賽的品質評分是10分也就是說它是全世界也就是說它是全世界評價最好的比賽之一因為我們台灣出題出得很用心而且各國的資安專家在比的時候會覺得這個比賽題目出得很棒又可以鑑別出能力然後又有很多的公平性等等所以台灣我覺得HICOM在做的事情是像辦研討會辦比賽同時也有出過比賽我覺得這就是在培育資安的人才而且也在幫台灣做行銷最核心的動力是什麼就為什麼會那麼想要積極的做這些事而且很久做好久我覺得以協會大家的角度是我們其實是從社群出來的在台灣有很多年其實有幾乎每個月都會有一個conference就像說有Python的conference有Seacon有學生的conference有CoastClub等等各種研討會它其實都代表是一個技術的社群可能是一個城市語言可能是一個族群那我們當時也是從這些社群出來的我們是資安的社群那我們今天覺得說今天我們因為社群而出聲因為社群而茁壯那我們更應該把這個力量回饋回來讓這個社群持續培育出更多資安人才讓更多可能新血或學生覺得哇資安很好玩駭客技術很有趣那我也想學我也想加入那同時我們也跟像教育部有一個資安人才培育計畫有跟他合作那每年培育出兩三百位資安人才其實台灣的駭客的排名在全世界算是很棒的真的嗎對除了我剛說像是我們有出國去比賽CTIV的比賽之外我們最高是去台灣組一個隊他其實在美國的DEFCONCTIV比他全世界第二名所以是很厲害很厲害所以台灣的資安人才很多在那邊通常是要做什麼樣的事他可能一樣就是你要拿到某一個裡面的檔案類似他就是一個攻跟防他可能會出題目然後去解或者是攻擊其他隊伍的電腦或去做防禦這樣子那是全世界第二名那我們自己公司的話其實我們也有研究人員是獲得微軟年度百大駭客他就去尋找到說像是Windows或是各種微軟的產品的漏洞找的最多然後最嚴重然後我們也得到像是駭客界的奧運叫做Pantone的比賽我們也拿過很多次冠軍其實我們公司做這事情是除了是我們研究組的一個teambuilding之外也想說其實我們可以用這個方法來去讓台灣在國際能見度可以更高台灣很厲害台灣資安很強台灣不是只有我們是受到攻擊最多的地方啊久病成良醫這樣因為我們講到培育人才就是如果有一個年輕人他想要進入資安這個領域你會給他什麼樣的建議嗎我覺得多去參與一些社群的活動然後多動手所謂動手不是說像我們以前一樣去害別人而是說我今天想要學一個技術例如說我想要學網站的安全我就要從架網站開始學然後去嘗試架一個有漏洞的網站然後我自己去攻克看看然後我自己去看可不可以去做修復我覺得動手這件事情就像是遊戲化一樣我今天有一個動能我今天訂了一個難題那我把它解開來了那我自然會有更多的動能跟成就感去持續學習所以我覺得參與社群跟動手去做多交流我覺得是很必要的事情好那剛講的主要可能是給這種有技術背景的人那如果是一般的大眾他擔心一點的資安問題他看完影片的時候就天啊有沒有什麼三個建議就是今天你看完影片馬上就可以去做我覺得第一個就是密碼因為剛講到很多次說密碼的安全性其實很重要而且它是大家包含說個人還有企業還有政府被害的主因所以密碼當然強烈建議一定要開啟MFA就是多因子的認證第二個就是密碼就是建議不要重複使用然後或者是多使用一些密碼管理工具這第一個建議是有關密碼第二個我覺得是備份大家都會覺得說勒索軟體很麻煩然後被加密了就沒救但其實你只要有備份就沒事所以說不管一般企業中華企業也是一樣你只要買一台檔案伺服器定期把你的資料備份起來並且底線它就是安全的那我覺得個人也是一樣像是我個人的照片或是我的訊息等等的都定期去做備份我覺得這個是很有幫助的第三個我覺得就是怎麼樣去識別假訊息我覺得有一個點是越緊急的訊息要越慢慢來看假如你今天收到一個可能一封信它的標題寫說你的帳號要被鎖了然後就你要趕快做你要在72小時之內趕快做什麼事情然後可能用紅色的大字這樣子越緊急的訊息要越慢下來因為他可能是讓你急了之後去做一些喪失理智判斷的一些行動那可能就被騙了越誘人的或越緊急的都要對就要去多方的去確認一下然後慢慢來然後不要被騙今天非常感謝Alan精彩的分享那最後還有沒有什麼想要跟我們觀眾說的話呢好我覺得對我來說資訊安全的技術我覺得是很有趣的那其實各位不要覺得說資安就是只有特定的人才是有幫助我覺得只要任何人對資安有興趣都可以學資安那其實每個人都會資安的話其實對台灣是很有幫助的好那今天的影片就到這個地方如果大家喜歡的話不要把它分享出去或是可以點這個地方看其他相關影片那麼今天的志祺七七就到這邊告一段落我們就明晚再見囉掰掰