離開
進入台灣駭客年會 資安專家分享抓漏洞甘苦
資安廠商戴夫寇爾(DEVCORE)公司的顧問Orange Tsai在台灣駭客年會中,以「那些年我回報過的漏洞」為題,分享自己過去回報過的臉書、Yahoo、蘋果、Google、甚至Uber漏洞經驗,Orange二週前剛從替代役退伍,相當年輕。(記者陳炳宏攝)
〔記者陳炳宏/台北報導〕台灣最大駭客與資安技術研討會昨天中研院上場,來自資安廠商戴夫寇爾(DEVCORE)公司的顧問Orange Tsai以「那些年我回報過的漏洞」為題,分享自己過去回報過的臉書、Yahoo、蘋果、Google、甚至Uber漏洞經驗,鼓勵駭客可以透過幫大企業找漏洞計劃(Bug Bounty Program)除提升自己資安實力外,也能賺取名聲、成就感、與額外獎勵,日前Orange也因為發現臉書漏洞,而登上英國BBC網站科技頭條。
Orange表示,自己是在2013年才開始接觸Bug Bounty Program(抓蟲計畫),那是由國際大型企業提供,在一定規則與範圍下讓資安研究人員通報漏洞的獎勵計畫,至今已經賺進第一桶金,不過Orange表示,自己是業餘駭客,在窮極無聊時才會找些大公司網站研究漏洞,但有些名人堂上有名的專業駭客,每年光是靠大公司抓蟲計畫找漏洞,就可賺進四百萬到六百萬台幣的年薪。
Orange指出,對於大企業而言,推出抓蟲計畫其實有許多正面積極的優點,包括可以讓資安研究人員(白帽駭客)通報,避免漏洞流入地下市場,讓不法人員拿來為非作歹,其次也能彌補網路架構龐大漏洞難防的宿命,進而提升企業形象,甚至吸引更多優秀資安高手,而最重要的是告訴駭客們,有更簡單的方法可以做好事。
Orange表示,世界級的網路公司從1995年就開始推行抓蟲計畫,因為來自全球的駭客,可以提供與企業不同角度的資安思維,找出自家人絕對想不到的資安漏洞,近年來包括Google、臉書、微軟、Yahoo、推特、甚至LINE與Uber,都推出自己網站的抓蟲計畫,而LINE公司去年推出抓蟲計畫後,一個月就收到超過200個不同漏洞回報,達到不錯的成效。
另外,Orange也提到,現在更有許多科技公司聯合推出「The Internet Bug Bounty」,懸賞找出可以影響整個網際網路世界的漏洞,前一陣子著名的的HeartBleed(心臟淌血)網路漏洞,就曾被駭客提出而獲得獎金。
Orange也分享許多自己抓蟲經驗,其中年初分析臉書網域後,發現有一部網路設備過去有資安漏洞記錄,再繼續追查後,發現該設備更新韌體時,似乎便宜行事,提供了一個不用密碼的帳號權限,這時駭客就可拿到管理者權限,Orange說,這時他發現其實已經有其他人先入侵了,之後向臉書舉報後,拿到1萬美元獎金,且被BBC所報導。
Orange說,有時抓蟲就是要認命做苦工,找出所有的設備,一一分析,從中找出破綻,他也鼓勵在場的駭客,雖然台灣參與抓蟲計畫起步有點晚,但是漏洞是永遠都有也抓不完,有趣的不是獲得多少獎金,而是自己從中吸取經驗後,自己寫出更好用的抓蟲工具,成為更頂尖的駭客(資安專家)。
