📖 ZKIZ Archives

趨勢科技董事長張明正有了新出路：幫美國FBI打工，抓駭客！

七月九日，美國聯邦調查局（FBI）關閉了查獲的駭客網路，這是聯邦調查局有史以來查獲影響電腦數目最龐大的網路犯罪。主謀是愛沙尼亞一群駭客，他們用電腦病毒控制全世界四百萬台電腦，竊取個人資料，甚至發動網路攻擊。

幫FBI抓到主嫌的關鍵人物，就是台灣趨勢科技。趨勢科技是全球第三大電腦防毒軟體公司，他們防堵惡意程式的能力，被美國FBI看上，擔綱起打擊網路犯罪的重責大任。

接受FBI委託後，趨勢科技立即發動旗下工程師，鋪天蓋地的設下陷阱，利用程式和駭客展開大戰，不僅深入虎穴，在駭客設下的網路陷阱裡，找到發動攻擊的核心，甚至入侵駭客在愛沙尼亞的伺服器。取得駭客電腦裡關鍵聯絡資訊的攻防過程，一點都不輸「○○七」劇情。

長達五年的追蹤，在趨勢的協助下，FBI終於破案。網路無國界，趨勢的工程師人在台灣，照樣可以當美國探員，幫FBI破案，也成為另類的台灣之光。

你可知道嗎？台灣，已經成為全世界駭客攻擊的一級戰場。

三月二十日，南韓遭受該國史上最大駭客入侵事件，迫使多家銀行與電視台停擺，人民在銀行提款機領不到錢，打開電視則是一直重播舊影片。而這種攻擊，若發生在台灣，以台灣企業目前的配備，根本無法抵禦。

其實，駭客界對台灣的攻擊密度，「台灣不是（全球）第一，就是第二。」趨勢科技台灣區暨香港區總經理洪偉淦說。根據國安局長蔡得勝在立法院所述，光是國安局，一年遭到中國駭客攻擊次數就高達三百三十四萬次，平均一天多達一萬次，「我們的個資可能都被竊了！」

洪偉淦指出，二○○三年發生中國駭客入侵警政署竊取國安資料，可說是新形態駭客戰爭在台灣的開端。

所謂「新形態駭客戰爭」，指的是駭客有組織性、經培訓，且針對性的惡意攻擊，相較於過去只是些業餘玩家、為了炫耀技術的做法不同。這已是國家安全的議題，影響所及，輕者，機密資料被竊、藉此謀取不法利益；重者則是駭客控制基礎建設，例如水電、鐵路，伊朗去年底便發生駭客攻擊核電廠，使反應爐運作異常，其破壞力絕對不亞於真實戰爭。

台灣的電腦病毒世界最新

而台灣，現在已經成為國際資安公司，與研究機構的採樣田野，從事資安服務顧問的翁浩正長期擔任產官界顧問，「台灣發現的電腦病毒都是全世界最新的，其他國家還沒出現，我們就有了！」應國外客戶要求，翁浩正不定期把新發現樣本提供給他們。

台灣，簡直成了網路病毒的溫床、培養皿，「誰叫我們有個『好朋友』在旁邊。」翁浩正說。

這個好朋友，就是中國，蔡得勝此次發言，資安圈議論，「終於敢公開講了……」據了解，他這次抖出「公開的秘密」，和美國總統三月十三日的談話有關，歐巴馬明確點名中國政府，是中國駭客襲擊美國網站的幕後指使者。

中國擁龐大中階駭客人力

在攻擊方面，中國駭客技術有多強？﹁頂尖的我們比他們強，但人數屈指可數，但他們有非常龐大的中階人力，用於攻擊綽綽有餘了，我們絕對拚不過。」長年在﹁駭客年會」擔任講師的資安專家劉俊雄說。

因為地緣和環境因素，台灣一直是中國駭客攻擊目標，洪偉淦大膽指出，「幾乎所有政府部門網站都被駭過，只是有沒有被攻破而已！」因為受攻擊的資料，都掌握在國防安全單位，使外界很難得知戰況。

台灣，既是戰火中的核心，那麼，我們的作戰實力如何？

南韓事件發生當天，趨勢科技辦公室電話響不停，洪偉淦接客戶電話接到手軟，大家的問題都是，如果這發生在自己的公司，我們該怎麼辦？

二○○九年七月七日，南韓全國有五十個政府與大企業網站遭駭客入侵，這是一次慘痛教訓，也讓南韓政府與民間全部動起來，有了防衛意識。可是，在台灣，除了政府部門最清楚危害程度，民間企業普遍還缺乏警覺，翁浩正舉例，國內最願意投資的是金融業與電信業，一年預算二至三千萬元算很多了；但多數中小企業，甚至連許多科技大廠都沒有警覺，資安預算鮮少大規模投資。

「除非我們的防禦做到滴水不漏，否則難逃南韓的命運。」劉俊雄說，兩岸攻擊實力相差懸殊，中國的各種論壇、研討會、部落格等，都有人鉅細靡遺的傳授教學，坊間每個月都在出新書教你「怎麼駭」。反觀台灣，學校裡的教授還在教密碼學，既然學校沒有教，有志之士要去哪裡學？「實務界真正可參與攻擊的人才並不多」。

駭客戰術由硬碰硬轉迂迴

駭客戰爭早已開打十多年了，但最近兩年戰法演化得特別快，劉俊雄表示，過去駭客戰爭都是「硬碰硬」，直搗黃龍，但容易驚動目標；可是，現在都採取迂迴戰術，南韓事件值得注意的是，駭客事先滲透這些銀行與電視台的防毒軟體廠商AhnLab，從你信任的對象下手。

即當你不慎打開電腦、郵件，或下載程式，就可能讓你的企業置於高度風險中，甚至成為如南韓事件中的受害企業。

面對此演化，即便台灣的資安高手再強，也難以完全防禦。身為全球駭客最注目的戰場，台灣人唯有繃緊神經，當作是一場全民戰爭，才能不讓南韓事件在台灣重演。

【延伸閱讀】國際駭客無孔不入——駭人聽聞大事紀

時間：2013.03.20事件：韓國遭史上最大駭客攻擊，多家銀行與電視台癱瘓，3萬2千部電腦停擺，ATM停止交易，軍方提升作戰等級。受控駭客來源國：北韓、中國

時間：2012.12事件：伊朗南部大型核電廠遭病毒Stuxnet攻擊，破壞離心機，使核武研發受挫。受控駭客來源國：美國與以色列

時間：2012.10事件：白宮網站被駭，非機密性網站遭入侵。受控駭客來源國：中國

時間：2011.07事件：蘋果公司被駭，伺服器使用者名稱和密碼遭竊。受控駭客來源國：駭客組織Anonymous和LulzSec

時間：2011.06事件：美國中情局公用網站被駭，迫使關閉。受控駭客來源國：駭客組織LulzSec

時間：2011.05事件：美國最大軍事設備商洛克希德．馬丁遭駭，幸無資料被竊。受控駭客來源國：中國

時間：2011.04事件：史上最大網路個資外洩，SONY遊戲機PS3平台連3次被駭，7,700萬用戶個資外洩，損失超過新台幣300億元。 受控駭客來源國：駭客組織LulzSec

美國國家安全顧問公開呼籲中國制止猖獗的駭客活動後，三月下旬，南韓銀行、電視台被駭停擺，讓外界一度把元凶指向中國。人數上萬的中國黑客（即台灣所稱的駭客），又成為舉世熱議的焦點。但你可能不知道，這些黑客的宗師，竟然是一位台灣人！

畫面回到二○一一年九月，上海浦東舉行一場史無前例的中國黑客大會。這個名為「COG 二○一一」的會議，命名自駭客常用的程式指令，破天荒聚集多達三百五十名中國頂尖駭客。會場選在隸屬於中國共產黨的幹部學校，以黨校為掩護，讓一些早被軍警盯上、隨時有被捕危機的駭客能安心出席。

這場中國駭客出席層級最高的「華山論劍」，首創一人一票，選出大家心目中最值得表揚的駭客。其中，眾人票選中國首座駭客「終身成就獎」，竟以過半的壓倒性票數，由公認的中國「黑客宗師」——台灣人林正隆獲得。

林正隆是誰？這位以coolfire（酷火）為網路代號的駭客，為何被視為中國網軍啟蒙者？「因為全中國的黑客都看過他寫的八篇黑客教材。」被尊為「中國黑客教父」的綠色兵團創始人龔蔚，在終身成就獎選拔中敗給林正隆，輸得心服口服。

國家地理頻道的一部紀錄片裡，中國知名駭客周帥被問到為什麼網路代號取為coldface（冷面），他回答：「當時台灣的coolfire很出名，我的網名coldface也是跟著他改的。」林正隆的地位可見一斑。

其實，被對岸尊為黑客宗師，出於他的無心插柳。

逞兇鬥狠被明星高中退學

現職是上市電子公司資訊主管的林正隆， 打從國二就熱愛寫程式，靠著自學，早早就擁有超齡的程式設計功力。他常在台上老師講解數學的同時，低頭在桌子底下寫出一行行程式碼。「找到程式解決方式，比玩電動遊戲破關還有成就感！」他說。

雖然，林正隆因少年時逞兇鬥狠「做歹仔」，被台北某私立明星高中退學，輾轉到南部高職就學，最後只以高職資訊科學歷畢業。但是，憑著流利的英文，以及高職半工半讀寫程式的磨練，讓他與歐美的資訊高手搭上線，取得最新電腦破解知識。

退伍後撰寫駭客入門文章

「年輕時比較沒有守法觀念，」他坦承，加上當年台灣網站的安全機制大多很陽春，每天遊刃有餘穿梭於幾百台電腦之間，沒想過要盜取資料，卻苦於無同好社群可分享。於是，一九九五年他剛退伍就業時，以業餘時間寫下八篇、共十一萬字的駭客入門文章，「想寫一些東西把人引進來。」

當年不乏技術比林正隆更厲害的人，但他卻是以中文系統性寫下駭客知識先鋒。這一寫，讓他成了「華人駭客界的普羅米修斯，最早的知識播火者。」中國頂級黑客之一的tombkeeper如此介紹林正隆。

這八篇文章不只談技術，其文筆流暢易懂，一發表便迅速在台灣各大資訊技術討論區傳播，沒多久，對岸就出現簡體中文版。在當年網路資源比台灣還匱乏的中國，這八篇成了駭客界聖經。而林正隆親筆寫下的駭客守則，包括不惡意破壞任何系統、不修改任何系統檔案等規定，不只獲許多不為惡的「白帽」駭客遵守，也是駭客大會公約的參考依據。

林正隆當然也遇過重金利誘。他說，找上門的不外乎企業想駭競爭對手，被駭者想駭回去，都不是正派的事。甚至也曾聽說同行接到國安單位委託，滿腔熱血協助保家衛國之後，才發現被間諜利用，成了叛國共犯。更讓他肯定：違法的事，不要碰。

只是，這位華人駭客圈的共同導師，在那十一萬字鉅著問世後五年，就決定退隱江湖。不只預示兩岸駭客實力此消彼長的變遷，也見證台灣頂尖駭客「落地難」的宿命。

創業失利感嘆台灣市場小

為了生活，林正隆在一九九九年創業成立專門組裝電腦、安裝軟體的資訊公司，忙於新事業的他，除了偶爾回答慕名者的提問，不再參與駭客活動。與此同時，對岸包括龔蔚，以及人稱「南帝」的深圳謝朝霞等黑客，則創辦專為企業抵擋駭客攻擊的網路安全公司。

為什麼不拿駭客知識投入網路安全業？他分析，台灣網路安全市場小，新創公司若無法將業務拓展到海外，只能慘澹經營。他的公司後來因筆電與品牌電腦崛起，頓失市場而黯然收場。

相較之下，中國對駭客行為管制較鬆，網路安全市場大、活力大，謝朝霞、龔蔚等人已因創業致富。「台灣啊！還是製造業比較好賺。」最後選擇到電子製造業上班的他感嘆道。

問他想不想重回駭客圈，他回答，對現在的薪水、職位很滿足。但他也提起去年受邀參加台灣駭客年會，為駭客比賽頒發冠軍獎項的感受。他說，快要變回「麻瓜」的自己，像是走進霍格華茲魔法學院般，見識到許多新奇魔法，感受到年輕駭客正試圖再吹動火苗……。

「過去，台灣缺乏起用這些特殊人才的管道，」他說，這使得一些不願從事非法行為的台灣駭客，面臨空有好武藝、卻找不到好工作，或創業機會的窘境。但現在，雲端服務簡便，已讓跨國經營企業更容易。台灣文化自由，本土駭客往往能迸出大陸沒有的創意想法，他好希望，有一天，台灣也有屬於駭客的龐大舞台。

如果台灣發生如韓國一樣的駭客攻擊事件，是否有抵擋能力？多位網路資安專家表示，台灣的網路根本毫無資訊安全可言，問題在於政府放任不管、業者只會買證書卻未落實稽核的心態，一旦發生駭客攻擊，台灣上自國家機密、下至市井小民隱私，將毫無安全可言。

撰文‧許樶文

三月二十日，韓國遭網路駭客惡意攻擊，導致多家媒體及銀行電腦主機癱瘓，震驚全球；大家不免擔心，一樣的狀況發生在台灣，能擋得住嗎？多位負責網路資訊安全的專家對此回應：「很難、幾乎不可能，因為台灣的資安稽核根本沒落實。」台灣網站分級推廣基金會執行長胡貽圓表示，韓國從九○年代初期就開始發展「電子化政府」，還曾在二○一○、一二年兩度獲得聯合國電子化政府評比第一名，「別的不說，當台灣把『網咖』當成特種行業強力掃蕩時，韓國卻是大力扶植網咖，這個國家對網路資訊安全投注的心力，與台灣相比，是兩種截然不同的格局。」「如果韓國擋不住駭客，那麼，台灣更不可能。相同的網路攻擊事件發生在台灣，確實讓人懷疑台灣資安的招架能力。」胡貽圓擔心地說。

漏洞一：政府缺乏明確罰則在韓國事件發生後，台灣的金融業、電信業、政府單位等，都急著對外宣稱自己已經通過ISO 27001國際資訊安全標準認證，但實際上，不論是金融業、電信業，甚至於政府部門，都曾因為網路被駭而損失慘重。

例如○三年時，某官股行庫因一位實習生騙取了主管的網路金鑰，將兩筆共三．二億元新台幣的資金存入虛擬帳戶中，然後再轉入自己帳戶；○九年一月，內政部移民署大當機，花了三天才修復，而這中間卻有被列管的五人因為電腦當機而順利出境。

資安漏洞不止於此！○八年至○九年跨年夜時，某電信業者系統當機，經調查，發現竟是電信業者合作廠商的離職工程師，利用公司不知道的帳號與密碼入侵電信業者的主機，約有超過百萬名用戶受影響。

查證後，該電信公司對工程師提出告訴，但這家電信公司卻沒因為未盡善良管理人責任而被政府罰款。「如果相同的事件發生在美國，該電信業者會因資訊安全管理不當而被罰兩千萬美元以上。」一位在某國立大學負責教授網路資安的老師強調。

漏洞二：認證機構良莠不齊「台灣的資安問題，不是我們『技不如人』，而是根本沒有嚴謹的要求與管理。」這位老師表示，除了政府沒有明定資安管理不當的罰責、造成業者怠惰之外，從資安的驗證到後續追蹤稽核，都有嚴重漏洞。

事實上，在經濟部標準局檢驗局底下、負責管理驗證公司的財團法人全國認證基金會只核可七家驗證公司能發放ISO 27001的證書，而這七家公司目前僅發出三百多張，令人憂心的是：「企業稱自己通過ISO 27001認證、手上還有證書的，遠遠超過這數目。」一家在台灣僅輔導企業通過ＩＳＯ認證、不發證書的顧問公司表示。

且這三百多張中，僅有不到十張是企業的每個部門都通過此標準認證，「剩下的多是企業的資訊部門通過驗證，所以駭客能從其他部門入侵。」這位老師指出，「在實務上，只要公司付三十萬元新台幣，找家驗證公司輔導，備齊文件，往往就能通過ISO 27001的認證。」但企業內部每一項資安細節是否真有符合ISO 27001的標準，恐怕未受到嚴謹檢核。

對於國內資安驗證的鬆散亂象，行政院國家資通安全會報召集人張善政也曾提及。去年，他在出席台北資安展開幕典禮時就提到，「台灣取得ISO 27001資安管理驗證的市場需求大增，但供應端卻是良莠不齊。」漏洞三：未依產業量身驗證在歐美先進國家，發放資安驗證的單位多為非營利事業機構，以在台灣也有分公司的挪威商ＤＮＶ為例，ＤＮＶ在挪威並不是「公司」，而是一個獨立的「基金會」，雖然驗證、稽核也會向企業收費，但因為非屬營利機構，不以賺錢獲利為目的，因此在檢驗與稽核上的公正性也較能受到信任。

而在台灣，負責資安的認證、稽核單位多半是營利事業。「在營利事業單位前提下，驗證、發證及後續的稽核皆為同一家公司，這樣的證書能有多少公正性？」一位教資安的老師提出質疑。

荒謬的資安漏洞不止於此，各行業該符合的網路資安條件都因產業特性而有所不同，即使企業能讓坊間的驗證公司每年稽核，也該按照產業類別，訓練專門人才稽核。

據了解，歐美先進國家甚至是中國大陸，負責稽核人員幾乎要求按照產業類別加以區分。但在台灣，目前驗證公司負責稽核的人員幾乎都是橫跨多種產業的「通才」。全國認證基金會就坦言：「目前驗證公司的稽核人員，確實沒有按產業別分類。」據了解，全國認證基金會曾在○二年八月出過一份報告，附錄建議依照歐聯執委會規則，將產業總共分為三十九類，依照專才分類稽核，但最後卻不了了之。

相較於台灣，大陸對於網路資安的要求，卻是比台灣嚴格、明確許多。大陸師法美國，從一九九五年開始，逐步建立網路資安技術要求的標準，並在準備工作告一段落後，在○七年六月頒布「信息安全等級保護管理辦法」，大陸並沒有遵照ＩＳＯ的相關辦法，而是自己制定一套資安規則，由專門的公安部落實發證書制度，並定期派員稽核。

此外，大陸將資安分為五等級。反觀台灣，推動資安已經超過十二年，到○九年才訂出「資訊與資訊系統分類分級」工作項目，可是到現在，分類分級的標準都還沒有明確訂定。

ＩＳＯ制定的國際認證標準並沒有問題，有問題的是台灣政府的心態與執行力，「橘逾淮為枳」，一個國際認可的制度到了台灣後，卻漏洞百出，值得相關單位深思。

什麼是ISO 27001？

ISO（International Organization for Standardization），中文名稱為「國際化標準組織」，成立於1947年，是製作全世界工商業國際標準的機構，並不會頒發任何證書給企業，只能制定規範讓各國遵守。台灣原本是ISO創始國之一，但目前已經不是，不過仍參考ISO標準。

ISO 27001是資訊安全管理系統的國際標準，主要從1995年開始廣泛運用，它能確保其組織本身的資訊安全防護措施是有效的，但這僅是最基本的標準。

韓國發生嚴重的駭客入侵事件，而兩家安然度過危機的銀行，用的就是台灣奧樂科技的鍵盤加密技術。這家小公司從ＩＣ設計的基礎出發，進行軟硬體技術的整合，讓台灣的創新能夠被世界看見。

撰文‧林宏文

日前，韓國發生嚴重的駭客入侵事件，包括韓國多家廣播媒體及銀行等金融機構的網路系統，忽然在同一天被駭客攻擊而全部癱瘓。來自台灣、全球唯一提供硬體鍵盤加密技術的奧樂科技，目前最大的客戶就是韓國兩家銀行，不僅讓這兩家銀行安度駭客攻擊危機，也是唯一能夠打進韓國銀行業防駭加密系統的國外公司，更是在台韓科技競賽中，少數能夠贏得韓國企業認可的台灣公司。四年前創立奧樂科技並擔任總經理的王基旆，回想三年前開始與韓國業者周旋的過程，話匣子一下就打開了。

由於韓國是全球網路銀行使用密度最高的國家，對網路防駭客的解決方案需求最殷切，因此奧樂成立不久後，王基旆就嘗試打進韓國，希望在這個全球競爭最激烈的市場取得一席之地。

當時奧樂科技尚未搬到新竹科學園區內，公司還設在新竹縣芎林鄉，來訪的韓國公司是一家大型系統整合公司，對本身的防駭技術很有信心，原本對奧樂科技的技術半信半疑，沒想到，對方把防護網打開後，王基旆與幾位工程師，直接側錄攔截到用戶密碼，突破原來的防護網，一下子就證明對方用了多年的系統，其實是不安全的。

於是，韓國人開始相信奧樂科技果然有兩把刷子，因此邀請王基旆再到韓國，希望進行更多的驗證。

白帽駭客 專剋搞破壞分子這家韓國企業又找來六家公司測試，結果發現奧樂的防駭技術真的比其他公司好，於是，總計有五家公司都採用了奧樂的技術，並將產品打入韓國兩家銀行，一是市值達二六○億美元的國民銀行（ＫＢ），另一家是市值約六十億美元的韓亞銀行（Hana Bank），也讓奧樂科技的知名度一下子大幅提高。

近來，北韓發出不惜一戰的聲明，使朝鮮半島緊張局勢節節升高。王基旆相信，儘管韓國在追查駭客的ＩＰ位址，發現這些攻擊是來自歐美地區，「但近來韓國一連串被駭客入侵的事件，最後是整個資料庫都被炸毀，沒有深仇大恨是不會這麼做的，以這種不尋常的手法，加上駭客本來就很容易改掉ＩＰ的位址，我覺得應該是來自北韓的攻擊。」談到駭客，本身就是交大資訊工程系畢業的王基旆，興致就更高了，因為他與奧樂十幾人的團隊，幾乎都是深藏不露的電腦高手，只是他們是被稱為所謂的「白帽駭客」，而不是會危害社會、專門將技術用來防範搞入侵或破壞的「黑帽駭客」。

王基旆說，過去的駭客有很多是個別行為，但現在已升級至有國家或組織在背後支持的大規模攻擊，也就是所謂的「網軍」，目前中國就有五萬人，連美國軍方最新的F22戰鬥機設計圖都可以竊取，對於這種新形態的駭客犯罪，也讓防護保全的作法要跟著全面調整。

其實，王基旆選擇從網路防駭市場創業，有一段曲折的故事。並非出身軟體業的他，最早來自ＩＣ設計業，卻因為將硬體與軟體進行更密切的整合，才成功設計出鍵盤加密的防駭技術。

鍵盤加密 網路交易更安全王基旆創業前，曾在迅杰科技擔任研發主管，迅杰最初從鍵盤ＩＣ起家，全球市占率最高時曾達四成，他帶著團隊研發出多項專利，尤其是與網路安全有關的鍵盤加密技術。但由於迅杰專注於ＩＣ市場，而且當時整個市場上也沒有人認為鍵盤資料需要加密，沒有市場、也找不到願意合作的代工廠或品牌廠，他只好帶著團隊離開與創業。

王基旆說，由於鍵盤、滑鼠、觸控螢幕是使用者登入網路與雲端系統最基本的輸入設備，網路交易最後的確認，也必須有使用者輸入的動作來完成。但大部分網站並沒有對使用者輸入的資料進行保護，即使有網路加密，駭客利用鍵盤側錄、螢幕側錄、網路釣魚、網路側錄的手法，依然可以取得使用者的重要個資，造成網路交易不安全，也成為駭客入侵最重要的來源。

因此，奧樂科技利用硬體加密及伺服器解密的機制，提高網路的安全性與便利性。主動加密預防，不怕輸入的資料被側錄，讓奧樂的創新技術不僅在台、美及中國等地，取得十餘件相關專利，更贏得許多訂單。

此外，奧樂科技也邀請交大校友、威健實業董事長胡秋江投資，股東群還有凌陽科技董事長黃洲杰旗下的創投。為了回饋母校，王基旆捐了一百張奧樂股票給交大校友會。交大校友會執行長陳俊秀說，奧樂科技的技術實力很強，但為了讓公司業績快速成長並 轉虧為盈，因此校友會將大力協助，並邀請交大前校長張俊彥加入奧樂科技擔任董事。

王基旆對奧樂的技術很有信心，更預計在四月二十四日於台北舉辦的亞太資安展中，邀請全世界駭客來踢館，若能破解奧樂的鍵盤加密技術，就能贏走超過百萬元的獎金。

目前，台灣網路銀行的普及度不高，一般都只在三至五成，與韓國的九成以上相差很遠，網路安全防範也有很大的進步空間。中國信託法金資訊部協理、也是銀行公會資安組組長李嘉銘說，在銀行公會的推動下，目前已修改「電子銀行安控基準」，並加入相關的鍵盤加密技術。

只是，台灣電子銀行的「安控基準」並沒有強制力，使用者還要一段時間才能享受到像韓國一樣較安全的網路交易環境。王基旆說，台灣網路安全市場還有進步空間，這也是他選擇一個全新領域作為創業出發的目的。

奧樂科技

成立時間：2009年

資本額：5398萬元

董事長：張程

總經理：王基旆

主要業務：鍵盤加密技術

全球網路銀行業大失血

——近兩年重大駭客事件

時間 事件

2011/4 中國工商銀行U盾用戶巨款30秒內被盜30萬元人民幣。

2011/6 花旗銀行被駭270萬美元。

2011/10 病毒竊密碼，日網路銀行被盜2.8億日圓。

2011/11 殭屍病毒猖獗，側錄按鍵竊個資被盜320萬美元。

2012/10 美國810萬個帳戶遭到電子轉帳，被盜370億美元。

2012/12 駭客計畫於2013年春季攻擊30家美國銀行。

2012/12 最新病毒Dexter瞄準POS系統，橫掃全球40個國家。

2012/12 Zeus（宙斯）最新變種病毒發威，歐洲網銀共被盜4700萬美元。

2013/3 中國消費卡公司被駭客盜走百萬元人民幣。

五分鐘的一場PK，給了阿碼科技創辦人兼執行長黃耀文一個被看見的機會，換來四年後一紙七億五千萬元的收購合約。

八月九日，全球最知名電子郵件加密廠商、美國上市公司Proofpoint在官網宣布，將用二千五百萬美元（約合新台幣七億五千萬元）現金，收購來自台灣的阿碼科技（Armorize），這也是暌違七年，台灣又有以技術見長的軟體公司被美商娶親。

這家名不見經傳的公司為何被看上？Proofpoint執行長斯帝爾（Gary Steele）說，阿碼科技有「世界級」的惡意程式專家知識，阿碼的關鍵技術，可讓Proofpoint雲端、次世代的威脅偵測技術，保持領先地位。

事實上，每一天，當你我悠游在網路上刷卡、收發email時，都有防毒軟體大廠在背後巡邏，為了確保你我不會中毒，防毒大廠需要更強大先進的武器，而黃耀文就是它的「軍火」供應商。他的公司有五成員工是道德駭客，身為駭客CEO的黃耀文研發的程式，就像一種紅外線掃描器，可以找出隱藏在網頁中的各式病毒。

大學時期，美國拿綠卡來挖角他不為所動「熱愛軟體，在台也能做」

這起收購案，扣除投資人過半持股，讓黃耀文身價至少三億，而七年前，他是剛退伍，只能拿出三十萬元，還要跟家人借錢創業的窮小子。

三十八歲的黃耀文出身中產家庭，一路念建中、交大資工系，去年剛拿到台大電機博士學位。國小時短暫隨外交官父親住過美國三年半，這段「留美」經歷讓他得以接觸個人電腦，啟發對電腦世界的探索熱情。他在國小就寫程式「不小心」玩壞一個BBS站，大學時吃完年夜飯便溜回宿舍繼續鑽研程式。

一九九三年上大學，網路開始盛行，他曾參與「資迅人」的創業計畫，在新竹圈闖出小名氣，美國大學因而慕名來挖角他，以綠卡做為交換條件，但他不為所動的說，「我熱愛軟體，覺得留在台灣也可以做出什麼來！」

當身邊朋友一個個去台積電、華碩、宏?硉扔w體大廠當「科技新貴」，黃耀文卻一心想做軟體，「我只想把技術做到超強！」二○○五年，他從中央研究院國防役退伍前夕，把當兵時的一個發現，變成創業點子。

毛遂自薦，創業點子寄趨勢科技約見面屢碰壁「我知道，機會沒了」

黃耀文回憶，當時他在網路上蒐集網頁資訊，沒想到也蒐回來一堆病毒，這讓他萌生發展網頁掃毒程式的想法。退伍後，他把概念寫成一份創業計畫書，寄到台灣防毒軟體龍頭趨勢科技當時總經理的信箱。

「每當我打電話向秘書約見面時間，對方總是在會議之前更改時間，一次、兩次。」黃耀文兩手一攤的說，「我就知道（機會）沒了。」

他坦言，他所發展的掃毒技術，運算量龐大，單次掃毒成本是一般電腦防毒軟體的十五倍。這個概念在當時的台灣過於先進，不只找不到機會，也找不到資金。

逼上梁山，為了存活海外募資殘酷淘汰賽：限時揪出百個惡意程式

這是台灣軟體人才的處境，台股市值裡的硬體科技業占六成比重，台清交頂尖人才都往硬體製造業靠攏，使台灣成為一塊軟體旱地，資策會執行長吳瑞北感慨的說，資通訊軟體企業要成功，都要苦熬。

石沉大海的mail，讓黃耀文體悟，能賞識阿碼的客戶不在台灣，「最好的技術就要找最大的客戶。」他盤點自己，「我只有技術，沒有行銷、業務等其他資源，如果不直接上國際找錢、找客戶，公司活不下去的。」

他被大環境逼得走向海外募資、找機會。他的第一個投資人是矽谷創投業者，他站上最殘酷的PK賽場，從一場一場的海外產品展示場上找機會，印度、美國等地，都有他的足跡。

二○○九年九月，是黃耀文命運的轉捩點，他和一起創業的弟弟黃耀明，在美國聖地牙哥發表產品「HackAlert」，當時，負責營運的黃耀明上台做五分鐘發表，立刻讓坐在台下的資安大廠VeriSign驚豔，找他們去簡報並測試。

擁有十五萬企業用戶的VeriSign為了測試這家來自台灣的無名小廠，派出在維吉尼亞州的一個百人團隊，在一千個網站擺了一百個惡意程式，要阿碼在二十四小時之內完全找出。

沒想到，阿碼通過測試了，但兄弟倆這時候才知道，他們只是來陪榜的，因為VeriSign早就內定Google前三位工程師所創的公司Dasient。「Dasient董事長正是VeriSign前CEO，」黃耀明說，「我們知道，這是一場重大戰役。」

搞清別人家的政治問題後，他們沒有放棄，坐鎮台灣的黃耀文反而第一時間派人飛去美國，在VeriSign公司旁的汽車旅館租了兩間房間當作戰情室，連續住了四週，用來應對後續測試，終於用誠意打動VeriSign，決定選他們。

沒想到，一個半月後，VeriSign的技術長把他們否決了。時值耶誕前夕，他們又無法和VeriSign技術長和執行長通上電話，最後，兩兄弟背水一戰，決定飛去找兩位最高決策者，由於機位難求，他們派出五人分別從舊金山三個機場出發，終於在耶誕節當天見到執行長。

黃耀明刻不容緩，一口氣把所有東西攤開，他得到的回應是：「看到你們的技術、團隊，以及誠意，我沒有辦法拒絕你們。」拿下這個大客戶了，一行人後來雖睡在機場度過耶誕，但心情卻無比雀躍。

隔年，VeriSign被賽門鐵克以十二．八億美元（約合新台幣三百八十三億七千萬元）收購，阿碼因此成為全球最大安全軟體公司賽門鐵克對付惡意程式駭客的唯一技術供應商，也才被Proofpoint看上，而有這樁收購案。

黃耀文研發出來的技術雖強，連世界級公司都肯定，但公司成立至今仍在損益兩平邊緣。事實上，這項技術受到市場青睞的轉捩點也在二○○九年。

這一年，Google遭受中國駭客攻擊，偷走程式碼，這種新形態的網路攻擊，駭客的目的是偷取資料，不會破壞電腦運作，以便後續販售謀利或是癱瘓市場秩序。若沒有黃耀文發展出來的程式，一般防毒軟體無從偵測，這也是當時資訊安全大廠VeriSign，最後決定採用阿碼技術的原因。

擁有阿碼一二％股權的三大創投股東之一──漢鼎創投，曾一度要黃耀文暫緩出售，漢鼎副總經理蔡文樸說，他們想要幫阿碼再募一筆資金，「衝一下，去美國上市，他們有這個實力。」不過，黃家兩兄弟心意已決，這筆交易讓漢鼎有兩倍回收，已是台灣少數的軟體成功案例。

對於黃耀文來說，為何選擇把公司賣掉，而非上市？他不假思索回答：「當技術可以被更多人使用，證明價值，才是致命吸引力。」從商業邏輯來看，黃耀文出售公司，是取得更大市場占有率，優先於上市讓自己有更多回收。

敢走向國際，讓全世界看見，黃耀文用三十萬元創業，賺得七年一千倍的投資報酬率。

【延伸閱讀】第一樁！台灣防毒軟體公司被外國買下——近年台灣軟體公司購併案

時間：2000年公司/產品概念：奇摩（入口網站）買主：入口網站巨擘雅虎金額/美元：15,000萬

時間：2002年公司/產品概念：力傳資訊（拍賣網站）買主：拍賣網站龍頭eBay金額/美元：950萬

時間：2006年公司/產品概念：無名小站（部落格平台）買主：台灣最大入口網雅虎奇摩金額/美元：2,200萬

時間：2006年公司/產品概念：友立資訊（影像編輯軟體）買主：繪圖軟體公司Corel金額/美元：未揭露

時間：2008年公司/產品概念：興奇科技（拍賣網站）買主：台灣最大入口網雅虎奇摩金額/美元：5,000～6,000萬

時間：2010年公司/產品概念：地圖日記（團購網站）買主：美國最大團購網Groupon金額/美元：1,000萬

時間：2013年公司/產品概念：阿碼科技（防毒軟體）買主：電郵加密大廠Proofpoint金額/美元：2,500萬

註：興奇科技、地圖日記購併金額為外界預估，非官方公布整理：顏瓊玉

你知道，全球最大的駭客組織是誰嗎？

「以前的駭客，只是小混混，現在的卻是詹姆士‧龐德（James Bond）。」二○一○年被全球歷史最悠久的病毒測試機構Virus Bulletin選為十年一度「最佳資安教育家大獎」的希伯能，接受《商業周刊》專訪時表示，如今，最強大的駭客組織，就是政府，「比起現在，《一九八四》裡的老大哥根本不算甚麼。」

美客製化病毒，癱瘓伊核廠

這位從二十二歲就開始打擊網路犯罪的資安專家，曾於二○○三年八月成功關閉肆虐全球的老大病毒（Sobig.F worm），此外，他也是率先揭發歐巴馬網攻伊朗的幕後人物。

二○一○年十一月，一隻名叫「Stuxnet」的電腦蠕蟲入侵伊朗核電廠，六千部濃縮鈾核子離心機中有一千部遭到癱瘓，不像一般病毒，通常攻擊Windows作業系統，Stuxnet是罕見的「客製化」病毒，只攻擊核電廠專用的工業電腦，幾乎沒有一間資安大廠捉得到它。

這場戰爭又是誰發動的？希伯能花兩個月寫報告，發現感染源位於伊朗，這是隻至少耗費十名人力、斥資數百萬美元，投入逾一年研發成的病毒，而且可能早在二○○八年前美國總統小布希任內就已批准，並獲得歐巴馬下令啟動。

「以前我們總認為駭客是一群無聊坐在電腦前惡作劇的小孩，現在他們是真的要把敵人殺死。」因此，伊朗核武計畫延宕，暫停生產核彈。被懷疑發動病毒戰的美國政府，雖然在第一時間否認，直到二○一二年六月才承認與以色列合作，證實希伯能的質疑。

翔偉資安科技總經理杜世鵬也說，此事讓全球資安界進入新階段，更讓人關注政府帶頭引戰的危險性。據美國政府二○一四年年度預算指出，不管防禦或攻擊，光投入維護網路安全就逾七十億美元，今年三月南韓也遭北韓攻擊，一天內金融與媒體同時遭駭。

「網路軍備賽已一觸即發！」希伯能提醒。而台灣做為最常被駭客攻擊的目標之一，尤其又面臨全球前三大資訊戰強國的中國威脅，政府若還不上緊發條，後果恐不堪設想。

年初才成立的小小駭客社團，今年一再上演大驚奇，首度出擊被視為全球駭客競賽最高殿堂的DEFCON CTF，就拿下亞軍，不僅讓全世界看見台灣的資安能量，更燃起台灣資安界的星星之火，這趟驚奇之旅看來還不到謝幕的時候。

撰文‧何佩珊

今年八月，八位平均年紀只有二十二歲的台灣囝仔，在美國拉斯維加斯共同演出了一場精采的「駭客任務」。由國內知名資安社群CHROOT、台大和交大兩所學校成員組成的HITCON戰隊，在全球最受矚目、等級最高的DEFCON CTF資安競賽中，打敗十八支競爭對手，跌破眾人眼鏡拿下亞軍。

為何跌破眾人眼鏡？因為相較於其他進入決賽的十九隊，台灣代表隊簡直可用「名不見經傳」形容。

眾家對手中，率領美國ＰＰＰ隊的是天才駭客Geohot，這傢伙在十七歲就破解了iPhone的封閉系統，二十二歲因破解ＰＳ３遊戲機而被索尼告上法院；此外，波蘭隊是當今全球ＣＴＦ駭客比賽的積分冠軍；韓國擺明有國家力量扶持，共有五隊參加決賽；中國藍蓮花隊去年拿下第十一名，被陸媒形容為「中國尖端黑客力量」。

見韓國培訓 激發組隊熱血至於台灣，不但是首次進入決賽，甚至在今年五月中的預賽裡，HITCON只能以吊車尾之姿勉強擠進決賽圈。而這趟屬於台灣人的驚奇之旅，要從擔任HITCON領隊的李倫銓說起。

看外表，三十八歲的李倫銓就是一個標準上班族。交大資工所畢業、台大電機工程博士候選人，目前在企業負責資安工作。問他為什麼願意無償為資安社群付出這麼多，他自嘲，「就神經病啊。」但其實這種「研究到底，永不放棄」的態度，就是他們追求的駭客精神與價值。因此過去十年來，他與一群志同道合的朋友共同組織CHROOT資安社群，並連年舉辦「台灣駭客年會」；今年初開始，他又多了台大駭客攻防社指導老師的新身分。

這次比賽，據說中國代表隊的唯一使命是「打敗台灣」，至於李倫銓，目標倒不是打敗中國，之所以起心動念組隊參賽，「主要是被韓國激的。」原來，常走訪各國、參加各大資安研討會的李倫銓，對於韓國近年來對資安的重視程度相當吃驚，「政府帶頭扶持下，韓國出現很多資安社群、比賽，還有ＢＯＢ（Best of Best）計畫，挑出精英中的精英，由最頂尖的駭客專門訓練。」看著鄰國資安實力越來越強，李倫銓也興起培育新血的想法，特別是去年起看到年輕選手的優異表現，更激勵他積極組隊，要帶這群台灣好手打遍各大賽事。

不過，這不是件容易的任務，「這個領域太精了，很少人接觸，更沒什麼人在教，是金字塔頂端的頂端。」李倫銓苦笑；而投入國內資安社群多年的資安公司DEVCORE創辦人翁浩正也指出組隊的困難：「這不只是要犧牲個人時間，更是對毅力的一大考驗。」憑熱忱解題 擠進二十強找人，是李倫銓遇到的第一個問題。他嘗試在台大社團裡發掘潛力新秀，然而當時社團大概僅十位社員，且專長多半不在資安，「但能不能成為高手，除了功力，最重要是熱忱。」這次在DEFCON CTF決賽擔任隊長，剛從台科大資工系畢業的蔡政達也說，「有人覺得駭客很酷，問我怎麼入門，這時我會丟幾個題目給他，幾個星期之後，就能『測』出他只是想耍酷，還是真的有興趣。」就這樣，HITCON戰隊慢慢成形，加上CHROOT和交大資工的支援，他們開始參加國內外大小競賽，並在五月初的百度盃，以新手之姿擊敗四六八支隊伍奪下冠軍，總積分甚至比排名第二到七名的加總都高。

緊接著五月十九日，HITCON又傳捷報，在DEFCON CTF的預賽中擠進第十二名，這預賽十二強、加上八支「種子隊」，就是DEFCON CTF決賽中的二十支出賽隊伍。換言之，HITCON不僅驚險取得決賽門票，也正式被列入「全球二十大頂尖駭客團隊」之列。論及這場戰役的「逆轉勝」，李倫銓至今仍有不可置信的感覺。

「我們在最後一個小時，排名還只在二十名左右……」李倫銓印象很深刻，「當時是凌晨，包括我自己在內的幾個老人覺得沒機會了，只是口頭上還是對年輕人說別放棄！」沒想到，奇蹟在最後一小時發生了，這群熱忱十足的小夥子，卯足全力解出一道四分題，讓團隊的總成績和名次隨之暴衝。

「一開始組隊時，我只希望三年後能打進DEFCON CTF決賽，壓根兒沒想到今年就能提前達陣。」李倫銓說。不過，新的問題又來了，錢！他概算，八名隊員加上後勤人力，飛往美國拉斯維加斯七天，至少需要籌到一二○萬元，對這群學生而言，不是一筆小數目。

「還好，趨勢科技二話不說就吃下全額補助。」李倫銓說，「其實在我們還是nobody的時候，趨勢科技已經贊助過我們前往中國參加百度盃的費用。」若沒有趨勢科技，HITCON的神奇之旅可能會提早畫下休止符。

終於，HITCON踏上傳說中的DEFCON CTF決賽會場，與世界各國頂尖駭客高手正面交鋒。走進現場，每支隊伍都會拿到一台伺服器，伺服器內有多個服務在運行，例如某個網路遊戲，你必須確保伺服器運作正常，更重要的是，不能讓裡面的檔案被偷走。如果只是服務當機，最多是把失分平分給其他隊伍，但若是檔案被偷，攻擊方得十九分的同時，自己也被扣十九分，「可以說是血淋淋的零和遊戲。」所以在出發前李倫銓對大家唯一的要求就是「不要被剃光頭！」擬定戰略 墊底翻身往上衝然而比賽剛開始二十分鐘，HITCON的士氣就大受打擊，明明未被攻擊，卻不斷「送分」給其他隊伍。原來是設計用來防衛的小工具出問題，意外被判定為服務當機，花了四回合，共二十分鐘才解除狀況，「所以比賽才開始，我們就墊底了！」不過他們沒有讓這樣的窘境維持太久，發揮團隊默契加上分工策略，表現漸漸回穩，「多數時間，你只會看到這八個大男孩專心地盯著電腦螢幕，有人嘴上咬著麵包，卻忘了嚼，二十多分鐘還沒吞下一口。」終於，第一天比賽快結束時，HITCON找到絕佳進攻機會。「對手的攻擊意外讓我們分析出網路遊戲的漏洞，但前提是要先在遊戲中賺取夠高的金錢。」所以成功攻擊機率相當低，「我們推算只有五％」，但若配合事先擬好的後門戰術，只要成功一次，就能不斷得分，因此他們還是決定大膽嘗試。

首先，在啟發遊戲漏洞部分，交給兩位程式功力一流的隊員Shik和Peter，接下來搭配蔡政達的後門戰術偷取檔案，「後門戰術的好處是，一旦成功入侵對方服務，即使漏洞被修補，每一回合都還是能偷到檔案。」就這樣，來自台灣的HITCON忽然從魯蛇（loser）變英雄，分數不斷飆高。

第一天賽事結束時，計分板上顯示HITCON暫居第五，「我們已經很開心了！」李倫銓說，沒想到隔天主辦單位更正積分，竟然躍升為第二名，「所有人都傻眼了。」到第三天，主辦單位安排四強坐在賽場中心，「我們對面就是天才駭客Geohot。」更刺激的是，這時不再公開即時比分，「我們只知道一直被打，覺得大勢已去。」所以當主辦單位宣布HITCON拿下第二名的那刻，「我的手真的在發抖。」回憶當時，蔡政達仍掩不住興奮情緒。

對於這樣的成績，從百度盃開始注意到HITCON、並為他們拍紀錄片的導演黃建亮評論：「可以說是初生之犢不畏虎吧。」不過，李倫銓的評語卻嚴肅了起來，「選手的專注與實力值得肯定，但這不代表台灣資安比別人強。」他說。

就他看來，這次韓國隊一次有五支隊伍晉級決賽，才是真正可敬的實力。「這代表韓國有很好的環境可以養活這些人。」反觀台灣，「我們沒有藍海來留住人才。」他感嘆：「我們要做的事還有很多！」不過HITCON一夕成名，著實為台灣資安社群帶來不小的助力，八月十六日由台灣駭客年會舉辦的資安競賽，吸引全球逾千支隊伍參賽，也包括了這回在DEFCON CTF決賽中讓台灣雖敗猶榮的Geohot。有趣的是，不同於DEFCON CTF只有榮耀、沒有獎金，這次李倫銓特別設計了二十二Ｋ（二萬二千元）的冠軍獎金，暗喻台灣看待資安人才的價值。

DEFCON CTF資安競賽DEFCON CTF是全球駭客界等級最高、歷史最悠久的CTF（Capture the Flag，搶旗比賽）公開賽，今年已經是第22屆。

預賽採取的是比較常見的線上解題賽制，在48小時內，每解出一道資安問題就可以取得積分，積分最高的前12名可以進入決賽。另外，決賽還會有8支種子隊，分別是前一年的DEFCON CTF冠軍及全球7大CTF競賽冠軍。

而決賽採取的是「網路攻防戰（Attack & Defence）」每支隊伍都要保護自己的伺服器不被入侵，同時進攻別人的伺服器奪旗。