【資安人才大聲公】讓前輩親口告訴你

「踏入資安領域一定要具備駭客精神,要保持好奇心,對一件事情要有追根究底的本能。」臺灣學生計算機年會(SITCON)共同發起人之一,現為遊戲公司資料團隊領導者的黃一晉,提醒資安新手們在學習資安時,應發揮駭客精神,勇於對未知的事情嘗試、探索,還要試著「重造輪子」,透過拆解重組的過程,追根究底的了解一項技術或工具,來精進自己的技術能力。

黃一晉對駭客精神的實踐,體現在許多地方。比如說,他曾經拆解了一款過去火紅過的交友軟體,發現該App中顯示雙方距離多遠的功能,雖然App中不會顯示對方確切位置,但實際上,這個功能會快取其他使用者的經緯度座標到手機中,換句話說,使用者的所在位置能被他人輕易取得。這個在當年資安圈火紅的事件,就是他的發現。

不只如此,他也曾開發了一個約60行程式的小工具,去探究許多開發者都在使用的版本控制工具Git,若.git版本庫不慎洩露的後果。他所開發的工具,能讓取得版本庫資訊的人,重建在遠端伺服器Git資料夾內的資料,若對方的開發習慣不良,更可能內含企業金鑰、資料庫密碼等敏感資訊。時至今日,許多CTF比賽的參加者,遇到類似題目時,還會使用這個小工具來解題。

「作為一位駭客,是否曾考慮App搜集的資料有哪些、從哪裡來?使用Git時,對其基本原理是否了解?版本庫洩漏又會造成什麼後果?」黃一晉指出,駭客精神的思維,是保持好奇心、對一件事情追根究底,還要試圖了解一件事情為何如此運作,進而去探索與實踐,這也是「重造輪子」的過程。

「在學習資安的階段,你必須要非常認真的去重造輪子,去了解每一項功能如何被實現出來、原理是什麼,而不是只會用工具,卻不知其運作原理。」黃一晉指出,尤其在進入職場後,為了追求效率,不一定有時間再深究每一項技術或工具,「總會有人告訴你,不要再重造輪子,用現成的就好,」這也凸顯了在學習過程中,每一次重造輪子過程的難能可貴。

駭客精神的思維,不只能用來精進技術,更能進一步應用於職場上。黃一晉以自己為例指出,每當接收到公司指派的一個需求,他會不斷向需求指派者提問,來釐清需求被提出的原因,「永遠要問,為什麼要做這件事情、要達成什麼目的?」唯有如此,才能回過頭來檢視,是否具有更好的方法能解決這個問題,「因為每個人都會有思考盲點,但他人可以回過頭幫他,思考其他方法的可行性。」

因此,黃一晉建議,資安人才在職場上也能發揮駭客精神,對事追根究底,而非盲目地遵循上級的命令,「不要等著被指派任務,就算被指派任務,也不要瘋狂的做,要先清楚任務發起的原因是什麼。」

從社群累積跨領域「斜槓」技能,再回頭運用於職場

黃一晉不只培養了追根究底的駭客精神,來專精技術,更「斜槓」拓展了技能的廣度,這些能力的培養,與他的社群經驗密不可分。他參與技術社群長達11年,不只是臺灣學生計算機年會的共同創辦者,更是資安社群熱心志工,更活躍於開源人年會COSCUP。從參與社群、當講者回饋社群,到後來創辦社群,他在過程中不僅磨練了演講、溝通的技能,更在從頭創辦一個社群的過程中,學會了組織管理、任務分工、社群經營的能力,甚至要懂行銷。「我就是斜槓到爆炸的人,什麼都要懂一點,這些技能就是從社群來的。」他說。

累積了許多技能後,黃一晉也回過頭來運用於職場中,「社群的人來自不同領域,公司的員工組成也一樣,一定會需要與不同領域的人溝通,所以在社群學到的技能,就能回過來對職場帶來幫助。」他舉例,在目前的工作中,他需要了解每個團隊的業務需求,並運用自己的專業技能來協助達成,比如行銷人通常不具有技術背景,但在資料的取得、搜集過程中,時常需要技術人員的協助,黃一晉正是擔任這個角色,從旁協助來提升業務流程的順暢度,過程中更要讓夥伴了解,每件事情的做法與緣由。

因此,他建議資安或IT新鮮人,都可以多參與社群,更可以試著在有能力後,反過來對社群貢獻,「當你有能力貢獻時,可以學到更多。」他也建議,每個人都有自己不擅長之處,比如學生或資安新手可能技術能力很強,但不擅長溝通,這時,就需要去找到弱項來補強,把弱項化為對自己有利的技能。

相關報導


熱門新聞

Advertisement