文/王若樸 | 2022-10-17發表

戴夫寇爾資深資安研究員 張亭儀

戴夫寇爾是一家年輕但知名的資安公司,不僅活躍於大型國際資安技術盛會,還2度拿下資安界奧斯卡獎Pwnie Awards。他們的資深資安研究員張亭儀,就是其中一次Pwnie Awards得獎人;她以戴夫寇爾工作5年多的經驗,來剖析資安研究員養成關鍵。

資安研究員有如打艾爾登法環,沒有明確目標和進度

「資安研究員是白帽駭客的一種職業選擇。」張亭儀點出,資安研究員專門鑽研前瞻技術和漏洞研究,一些資安公司會自行培養團隊來實踐,戴夫寇爾亦是。他們的研究團不只研究技術,也提供紅隊演練的技術資源,並在HITCON和Black Hat等國際大會上發表技術研究成果,來累積公司信譽。

但,資安研究員的工作有哪些特點?

張亭儀分享她的觀察。研究所剛畢業時,她面臨職涯選擇,將當時考慮的職缺歸納為3種,這3種也是有意從事資安職涯的學子們,畢業時會面臨的抉擇。

她第一個考慮的工作是「碼農」,也就是科技公司工程師,薪資待遇不錯,但與自己感興趣的漏洞研究不甚相關。另一種是「獎金獵人」,是一種靠發掘資安漏洞維生的職業,高度符合自身興趣,但薪資來源不穩定。最後一種是資安研究員,既符合興趣,薪資也穩定,若發現漏洞,也可能獲得回報獎金。張亭儀最後選擇了資安研究員的職業。

「做資安研究員,就像是在打艾爾登法環。」她以今年最夯的線上遊戲來比喻,這款線上動作角色扮演遊戲,沒有新手教學,也不會有循序漸進的攻略清單,玩家得靠自己看攻略、找任務和解任務。不只如此,遊戲世界的版圖遼闊,甚至沒有固定的地圖,玩家得自己拓荒。遊戲也沒有明確進度,玩家得自行掌握。甚至,遊戲中的怪物沒有等級之分,小怪也可能完勝玩家,這種面對高度未知的探索樂趣,正是這款遊戲熱賣千萬套的關鍵之一。

「這就非常像資安研究員的角色,」張亭儀解釋,資安研究員目標不明確,也很難量化工作成果。要是沒找到漏洞,得面對強大的無力感;而且,資安研究員必須有自己的目標和研究方向,一路上得承受強烈的孤獨感。「但要是你喜歡自由、喜歡自行開拓研究,並享受孤獨,那就適合資安研究員的角色,」她說。

靠打怪練等、提升裝備、看攻略和打王來修煉

對資安研究員的角色有所了解後,另一個問題是如何提升自己的技能。

張亭儀一樣以遊戲來比喻,第一步可從「刷小怪練等」開始,也就是找有興趣的小目標,或是從紅隊演練中,實際接觸的設備、軟體來進行漏洞研究。「有些小怪很強,」她認為,這些平時的小磨練,是資安研究員累積經驗和實力的最佳手段。

另一個方法是「提升裝備」,比如自行撰寫或尋找現成的漏洞偵測工具,來更順暢進行研究。戴夫寇爾的資深資安研究員,也會將研究過的工具,在GitHub上開源,來供更多人使用。

有更好的工具後,還得「查攻略」來追尋新技術,像是從Twitter、Reddit或部落格來獲得最新的資安技術資訊,來了解資安社群研究哪些漏洞、用什麼方法尋找漏洞,以及衡量自己能否跟上這些新技術。「這是資安研究員非常必要的歷程,」她強調。

最後一件資安研究員要做的事,就是「打王」,也就是挑戰高難度的漏洞研究。比如,張亭儀曾與團隊一起研究微軟商用企業電子郵件服務Exchange的漏洞,也組隊參加全球白帽駭客的漏洞研究大賽Pwn2Own。這個大賽主辦單位會開出設備清單,讓參賽者研究漏洞,並在現場展示弱點攻擊(Exploits),看能否成功攻擊該設備。他們也在一次Pwn2Own競賽中,成功將一臺印表機的螢幕字樣,改為戴夫寇爾商標。

除了提升技能,對張亭儀來說,資安研究員還有一個目標,也就是與世界各地的駭客交流。「有些人會成為直播主,」她舉例,有些人會參加國際資安盛會,如DEF CON、Black Hat等,在會議上發表自己的研究成果,有些則像她一樣成為部落客,將漏洞研究成果寫成部落文,來與全球駭客交流。「這很重要,」她解釋,作為資安研究員的願望是讓全球資安更安全,唯有堅守這個核心理念,「才能做對的事。」

熱忱、操守和努力缺一不可

但為什麼要堅守這個理念?

這與張亭儀總結的資安研究員必備三大特質有關。作為一名資安研究員,首先要高度的熱忱,特別是對漏洞研究這個漫長的旅程,充滿活力與興趣,才能承受隨之而來的孤獨和無力感。

再來,作為資安研究員必須要有操守。她分享,自己剛進戴夫寇爾的第2、3個月,就找到電子郵件軟體Exim的漏洞,且由於Exim有數十萬臺伺服器、用戶數量眾多,因此一有漏洞,就會造成重大影響。當時她沒多想,直接在Bugzilla回報平臺上,寫下漏洞解釋、附上PoC,也在部落格上發布相關技術文章。但她沒想到的是,該平臺一回報就會將訊息公開,產生不小風波外,她也因部落格文章收到購買漏洞的私訊。

比如,曾有國外駭客在Twitter傳訊息給她,開價4比特幣(約臺幣200萬元),向她買Exim的漏洞。還有另一位駭客開價更高達20萬美元(約臺幣600萬元),但她都拒絕。「因為我不知道這些人會怎麼用,會不會拿去傷害人,」張亭儀指出,這些金額雖然高,一旦接受,就違反成為資安研究員、要讓世界資安更安全的初衷。而操守,是白帽駭客該堅持的重要底線。

最後一個特質是努力。她點出,天才是靠1%的天分和99%的努力而成,對需要熟稔技術的資安研究員來說,更是如此。起初她不相信這句話,以為靠天分學習技術,就能獲得不錯的成績,直到有天,她看見自己的主管Orange,就連慶功宴時,也趁空檔獨自滑手機、研究技術文章,她才意識到,連這麼厲害的駭客並非只靠天分,而是下了非常多的努力,才有今日的成就。努力這個特質,也成為張亭儀眼中,資安研究員必備的第三特質。

更正啟事:原文另一位駭客開價更高達20萬美元(約臺幣600元)有誤,已更正為臺幣600萬元。

 相關報導  

iThome Security

熱門新聞

Advertisement