身為臺灣資安之光的Orange Tsai,不只近日在Pwn2Own比賽中獲得破解大師(Master of Pwn)的桂冠殊榮,2019年也獲得漏洞界奧斯卡獎Pwnie Awards「最佳伺服器漏洞獎」的肯定。這些斐然的成績,使他成為許多年輕學子的榜樣,演講現場更擠滿了人潮,爭相一睹這位駭客界大神級人物的風采。

圖片來源: 

圖/iThome

「雖然說我的成就看似光鮮亮麗,全世界可以相比的人也屈指可數,但我也有自己的課題要面對。」今年剛率領戴夫寇爾(Devcore)資安研究團隊,在全球頂尖白帽駭客比賽Pwn2Own中奪冠的戴夫寇爾首席資安研究員Orange Tsai,近日在臺灣資安大會上,分享自己一路成長為世界頂尖駭客的心路歷程。

他大方揭露,自己也經歷所謂的「萌新」時期,從找不出錯誤的程式碼,一步步學習、成長、歷練,才能達到現在的成就;而在各大比賽中嶄露頭角後,頂著資安新星的光環,卻也有遭遇挫折的時候,這時就需要重新找到動力,才能堅定的持續前行。這些一路走來面臨的轉捩點與課題,都是他不斷精進自我的關鍵。

以數碼寶貝的進化5階段,回顧自己14年駭客學習歷程

Orange Tsai演講過程中,以卡通數碼寶貝的5個進化階段,分別是幼年期、成長期、成熟期、完全體到究極體,來回顧自身14年來的駭客技能學習歷程。

「大部分人可能會好奇,我以前如何接觸電腦?如何想當駭客?」Orange Tsai表示,開始接觸電腦的契機,是在小學四年級,接觸到知名電腦補習班補助弱勢孩童的電腦課程,儘管已記不得當時所學內容,但是過程中「很好玩」的感覺,開啟了他摸索電腦的興趣。

這段學習電腦的「幼年期」,Orange Tsai表示,自己也曾經是個「萌新」,就像是遊戲中的新手玩家,還在不斷學習探索。遇到問題,也會到「Yahoo奇摩知識+」徵求網友解答,比如詢問該如何打開「命令提示字元」;或是自學C語言時,把整段程式碼貼上詢問錯誤之處。

直到2007年底,他看到新聞正在播送一個轟動全臺的駭客新聞,因而萌生了一個想法:「如果可以在網路世界中,神不知鬼不覺地來去自如,應該帥爆了!」至此,他立下了要當駭客的目標。

在興起這個念頭後,Orange Tsai的駭客生涯進入「成長期」。回想成長期的學習歷程,他認為,「學習一門技術,就像玩遊戲的過程,」比如任天堂在2017年發行的遊戲薩爾達傳說,讓玩家在開放世界的地圖中探索,就像學習一門新領域時,從最熟悉的地方逐漸向外探索的過程,「如果你在探索某塊地圖、打倒某隻怪物的過程中感到好玩,代表你已經開始樂在學習了。」

Orange Tsai在成長期的時候,正是秉持著探索的精神,開始學習各種駭客攻擊手法,無論是木馬程式、逆向工程、網路攻防各類知識,都主動接觸,若遇到看不懂的內容,就先筆記下來,「每隔一段時間重看一次,直到看懂為止。」

持續摸索一、兩年後,由於一個人學習有其侷限性,也缺乏與他人的交流,Orange Tsai主動與當年在資安圈小有名氣、現在則是戴夫寇爾執行長翁浩正聯繫,進而加入了他在輔仁大學創辦的資安研究社團NISRA。

當時,Orange Tsai只是高中生,但每週都會固定到輔大的資安社團學習,他也因此接觸到更多資源,比如開始迷上鼓勵駭客思維的Wargame比賽,也曾經為了某個挑戰茶不思飯不想,渾然投入其中。這些學習經歷,更讓他在2009年,第一次以高中生身份參加臺灣駭客年會時,就一舉奪下冠軍。

「我從最初覺得駭客很帥,到學習駭客技術上癮,又因為冠軍引起關注,這對一個高中生來說,自信心是很大的膨脹。」Orange Tsai說。

開始歷經挫折,卻從中找回屬於自己的駭客精神

以奪獎作為分界點,Orange Tsai的學習歷程進入「成熟期」。在這段時期,為了獲得更多認同感,他開始刻意訓練自己的演講能力,也投稿各類研討會,來分享自己習得的知識或資訊。

「雖然當時是因為認同感才決定演講,但回想起來,這是我做過最正確的一件事。」Orange Tsai指出,一場演講的準備,就是進行一次小型研究的過程,為了確保演講內容精彩且正確,得不斷地對同一個主題深究,過程中,會將雜亂的資料整理成有用的資訊,內化成自己的知識,再向觀眾解釋,「這些能力對我日後有很大的幫助。」

除了對外尋求認同感,Orange Tsai也對內尋求自我的認同。當時,由於好奇自己的極限,他開始駭入曾經使用過的服務,「我不是要搞破壞或從中獲利,我也知道這會為自己帶來很多麻煩,可是這個挑戰非常吸引人。」剖析當時的心境,他也坦言,駭入時,會在滿滿的罪惡感與成就感之間徘徊,甚至會為了要不要按下Enter鍵猶豫許久。

雖然Orange Tsai找到了漏洞後,都會向提供服務的企業回報,但是,這類攻擊舉動仍對這些企業造成困擾。他強調:「這是不好的示範,我不鼓勵大家這麼做。」尤其,當時他剛加入戴夫寇爾不久,公司剛逐漸上軌道,他才驚覺,自己一時錯誤的決定,可能會因此連累所屬公司的名譽受損。「這件事情帶給我很大的反思,後來,不輕易造成別人的誤會與困擾,成為我的重要原則。」

Orange Tsai建議,若新手駭客要練功,無論是CTF或是Bug Bounty之類的挑戰,都是很好的方向。就像當時,他對於駭客技術的追求,轉而透過CTF這類比賽來實現,「CTF更專注技術,且自帶競爭感,跟我當時的想要聚焦技術、追求成就感的想法不謀而合。」

這段參加CTF競賽的時期,被Orange Tsai劃分為進入「完全體」的階段。藉由競賽,他獲得了非常豐碩的成果,比如學習還原只剩一半的QR Code、學習開鎖技能、甚至透過逆向工程使吃餃子老虎機中大獎等,「在CTF可以挑戰各式各樣新穎有趣,甚至一輩子都碰不到的技術。」甚至,在CTF上斐然的成績,還讓他與戰隊成員,受到總統接見的殊榮。

但在這時,Orange Tsai卻開始遭遇了另一個挫折,「雖然CTF帶給我很大的成就感,但也要承認,永遠會有比你天才的存在。」這個認知,甚至讓他開始質疑自己:「為什麼要這麼努力?自己的價值到底在哪裡?」

經過一段時間的反思,Orange Tsai逐漸體認到,在真實世界的駭客攻防中,除了技術之外,更重要的是經驗,「我這幾年的經驗累積,是對方單靠技術無法碾壓的。」他為自己打氣,只要不停止接觸資安,在攻擊的經驗上,自己肯定能佔據優勢。

對此,他更引述一位駭客余弦(EvilCos)所說的話,來勉勵自己與觀眾:「哪怕再小,也要讓自己成為某一點的No.1。」哪怕再小,每一次成為第一名的過程中,就是一次自我學習的實現,「當你可以說服自己在某一點擁有價值的時候,心中就能更踏實的走下去。」他坦然的說。

站在世界舞臺,使命感油然而生

當了多年的電競選手後,Orange Tsai發現,CTF的成就感逐漸滿足不了自己,因而開始往更大的目標挑戰,這是他的學習歷程中最後一個階段「究極體」。

這個時期,Orange Tsai陸續挑戰了各種駭客領域中,自己尚未拿過獎項的比賽,不只近日在Pwn2Own比賽中獲得破解大師(Master of Pwn)的桂冠殊榮,2019年也與同為戴夫寇爾資安研究員的Meh Chang,獲得漏洞界奧斯卡獎Pwnie Awards「最佳伺服器漏洞獎」的肯定,過去也曾擔任世界級駭客大會如Black Hat USA、Defcon、HITB的講者。

「當眼界放大到世界,使命感會慢慢地浮現,尤其在國際舞臺上,臺灣常遭鄰居打壓,如果可以大聲講出你來自臺灣,心裡就會莫名的爽。」Orange Tsai毫無保留的說出,要讓世界看見臺灣的決心;不只如此,他的使命感,還在於對臺灣資安人才的培育,近年來參與了政府辦理的資安人才培育計畫,要透過自身力量,幫助臺灣年輕駭客成長。

不過,走到這個階段的Orange Tsai,看似已經達到旁人不能及的高度,仍舊遭遇了更多課題需要自我克服,「雖然說我的成就看似光鮮亮麗,全世界可以相比的人也屈指可數,但我也有自己的課題要面對。」

比如追逐成就感的過程,是驅使他不斷向高處攀登的動力,但有時也讓他陷入鑽牛角尖的循環。他舉例,為了讓自己產出比前一年更傑出的研究成果,去年一整年,他每天都強迫自己找漏洞,也因此,找漏洞變成一件痛苦的事。經過一段時間沈澱後,他才發現,有趣的不是挖漏洞的過程,這是別人花時間也能做到的事,反而是創造出新的攻擊手法,才能更能彰顯他的價值,也是他真正感興趣的事。

「很多人問我,你會不會有一天不做資安?」Orange Tsai鄭重地說,若做資安的動機,只是單純因為帥、或是覺得好玩,將來就可能被更有趣的事吸引而放棄,不過,他總結自己學習資安的過程,從一開始覺得駭客很帥、學習技術很好玩,逐漸感受到認同感、成就感與使命感,不同階段目標的疊加成就了現在的自己,「套一句某個前輩說過的話,駭客是終身職,我為什麼會放棄資安?」

找到學習動機、刻意練習,每個人都有機會成為第一

最後,Orange Tsai給所有對資安有興趣的年輕學子一個變強公式,儘管不一定適用所有人,但他建議,在學習資安的路上,首先要找到學習的動機,「有夠強的動機,才能驅使你不怕任何事情持續前進。」再者,則是要刻意練習、刻意挑戰,持續挑戰比現在水平更難一點的題目,若挑戰成功,就能從解題過程中獲得樂趣與成就感,若挑戰失敗,也能檢討反思,來避免日後犯下同樣的錯誤。

Orange Tsai說,就像自己過去,也曾循序挑戰更難的題目、刻意練習演講的能力,「持之以恆,就能在某個領域中成為第一名。」

相關報導


熱門新聞

Advertisement