ZKIZ Archives


史諾登之後最大國際資安事件 攻擊程式攤在陽光下 當駭客被駭!你的一舉一動難逃監視



2015-07-20  TWM

國際間再傳重大資安危機。七月五日長期供應政府組織駭客工具的資安公司Hacking Team近期遭駭,流出多達四百GB的機密資料,不僅醜陋的勾當曝光,就連駭客攻擊程式都被攤在陽光下,恐將導致大規模資安威脅,而且事件至今仍在持續延燒。

撰文•何凱莉

如果一家長期與各國政府合作,且擁有最前端毀滅性武器的軍火公司遭竊,可能會發生什麼事?又如果這家軍火商被偷走的不只有客戶交易清單,還包括各種先進武器設計圖及製作材料,又會是怎樣恐怖的場景?

而最可怕的或許是,這已經不只是假設性問題,而是正在真實生活中上演的危機。這家遭竊的公司叫作Hacking Team,它不賣實體槍炮彈藥,只賣攻擊於無形的駭客工具。

成立於二○○三年的Hacking Team是一家位於義大利米蘭的資安公司,在國際間小有名氣,但或許用惡名昭彰來形容更為貼切,因為Hacking Team主要的產品是監控工具、間諜程式和惡意程式,而他們主要出售對象就是各國政府。

駭客程式曝光 恐被惡用過去對於外界有關Hacking Team協助政府執行侵害人權行為,甚至導致大規模暴力鎮壓,他們都是以只和「有道德」政府合作作為回應,但這次遭曝光的資料卻顯示他們的客戶之廣,不只有美國、德國、韓國政府,也包括俄羅斯、蘇丹、埃及這樣的極權政權。對他們一直以來的辯白說詞,可以說是狠狠打了一巴掌。

如果故事停留在駭客將資安界毒瘤真面目公諸於世,大概可以稱得上是一部行俠仗義的現代羅賓漢,只可惜真實世界不如想像中完美。

這次Hacking Team因被駭而流出的檔案大小高達四百GB,當中除了曝光客戶清單、內部來往e-mail,更大量流出駭客程式。可以想像,這就好像是一家五星級餐廳不只將所有菜端上桌供所有人免費食用,還連同傳家食譜都一併公開,從此五星級私房菜就像街邊小吃一樣常見。

但這些曝光的駭客工具畢竟不是無害的食譜,更像是核武等級般的高端武器設計圖,甚至在中國網友的「幫助」下,網路上還出現「人手一份核武器 ──Hacking Team 洩漏(開源)資料導覽手冊」。

現在稍有能力的人,只要依樣畫葫蘆,就可以輕易把這些頂尖工具變成自己的武器,並即刻發動攻擊。這代表的是,未來這些武器的使用者不再只有政府,也可能是犯罪集團,和任何有心人士。

那麼誰會成為受害者?就曝光的文件來看,不論是Android、Windows、Mac OS X、Linux、黑莓,甚至是冷門的Windows Phone和Symbian作業系統,全都可能成為被攻擊對象。

你撥打的電話、Skype可能被監聽,你用LINE、WhatsApp傳的訊息、在facebook、Twitter上的私密文章、照片,還有e-mail、簡訊……,你的一舉一動統統都會被監看,駭客還能夠即時定位出你的GPS座標……,你將無所遁形。

試想,這樣的能力可能會被用來做什麼事?又可能會導致什麼樣的後果?

更甚者,被駭文件顯示,大量非政府人士將可能藉此一覽政府長期累積下來的監控資料。

而且不同於使用實體武器容易引人注目,被駭過程卻是悄然無息的,可能只是不經意瀏覽某個網頁、隨手點開一封e-mai的附件,或是在Google Play下載一個免費App,就可能中招。

換句話說,在現在這個當下,你可能已經被非法監視,但你仍渾然不知。

台灣多數人 不察嚴重性此外,這次Hacking Team事件還引發另一起案外案。在流出的資料中發現,美國安全部門(NSA)對SELinux(安全增強式Linux,一個開源專案)的貢獻中,不知是有心或無意地留下後門(指在使用者不知情的狀況下遠端操控系統),成為滲透進各種系統裝置的重要管道。而SELinux和Android是相容的,也就是說,這個漏洞存在所有Android系統裡!

雖然部分相關企業在發現漏洞後,已著手展開補救,但同時間,因這些資料外洩產生的攻擊也悄悄在世界各地展開。這次事件的規模和影響範圍之大,在國際間受關注程度絲毫不亞於一三年的史諾登事件。

然而,在台灣,這彷彿就只是一家米蘭駭客公司,被駭客入侵的國際趣聞而已,多數人似乎都還沒有意識到事情的嚴重性。

然而,很多事情不會因為你不了解,或是你不關心就可以當作沒有發生,更別小看這些虛擬世界的武器,殺傷力恐怕比槍炮彈藥來得更巨大。

或許有人以為不要打開來路不明的檔案,或者將作業系統更新至最新版本就可以保護自己,但就這次事發僅兩日就已經被挖出數個0day(未曾被破解,也沒有工具可以及時修補的漏洞)來看,自保絕不如想像中容易,也是所有人都該認清的事實。

(本文作者為資深資安研究員)大規模監聽事件曝光,我們的生活安全嗎?

時間內容後續影響

Hacking Team 事件2015年7月和政府密切合作的資安公司Hacking Team遭駭,有多達400GB的祕密資料流出,包括內部郵件、駭客攻擊程式,和購買相關監控工具的各國政府清單等1.多個0day(未曾被破解,也沒有工具可以及時修補的漏洞)被發現,包括Windows、Android等眾多作業系統都陷入資安危機2.頂尖駭客工具落入非政府人士手裡,將導致非法監聽行為更難以控管3.賽普路斯情報單位首長 Andreas Pentaras,因採購Hacking Team監視產品的相關資料曝光,引發爭議而下台

整理:何凱莉


PermaLink: https://articles.zkiz.com/?id=154653

聯發科接班成形 一動一靜雙管齊下 啟動雙營運長制 朱尚祖、陳冠州力求互補

2016-01-11  TWM

蔡明介交棒年輕世代的腳步加速!成立十八年的聯發科,破天荒導入共同營運長制度,由「征西將軍」朱尚祖,以及「太平宰相」陳冠州領軍,分別帶著過往在智慧機與電視晶片立下的戰功,率領聯發科征戰IC設計「世界盃」。

「我比較好動,Joe(聯發科共同營運長陳冠州)比較沉穩,所以一個負責比較固定(靜)的,一個負責比較動的。」剛上任的聯發科共同營運長朱尚祖,看著坐在他身旁的陳冠州,笑著說道。

二○一五年十一月一日正式就任聯發科共同營運長的兩人,終於在一五年十二月二十八日,聯發科年終最後一場記者會中,首度一同亮相。記者會中,同是五年級生的朱尚祖與陳冠州兩人,一人坐在總經理謝清江右手邊,一人坐在左手邊,實為謝清江左右手。而謝清江一句:「兩人都可能是未來總經理接班人。」更是楬櫫著聯發科這家年營收超過新台幣兩千億元、全球前四大的IC設計公司,正式啟動交棒年輕世代的布局。

一五年,無疑是聯發科轉型與人事更迭的一年。與蔡明介一同打拚十七年的創始元老卓志哲,從副董事長位置卸任退休後,原為總經理的謝清江,升任為聯發科副董事長兼總經理。緊接著蔡明介又拔擢了朱尚祖與陳冠州為共同營運長。謝清江直言,一五年出現這麼大的組織變化,是因為,「聯發科已經和我○五年接(總經理)的時候差太多了。」聯發科目前已有一萬一千名員工,一六年將把立錡、奕力,以及龐大的晨星、曜鵬納入聯發科體系。艦隊正式成形後,內部管理組織的重組,甚至是權力分配,勢必都將重新洗牌。業內人士推敲,「這可能是蔡明介,選在此時布局接班梯隊的原因。」

聯發科師法張忠謀

布局接班 結構重整

選擇「共同營運長」模式的靈感,無疑是來自台積電董事長張忠謀。熟悉聯發科的業界人士指出,聯發科一向把台積電的作法當作標竿,因此,兩年前,張忠謀將劉德音與魏哲家從共同營運長升為共同執行長,啟動了雙執行長的交棒模式後,也成了聯發科董事長蔡明介思考接班的重要參考。

事實上,不只是共同營運長的模式,如同台積電翻版,就連朱尚祖、陳冠州兩人個性與職掌範圍,都與台積電共同執行長劉德音及魏哲家有幾分相似。

朱尚祖活潑、外向,掌管「廝殺劇烈」的手機事業部與全球銷售業務,近似於個性鮮明,執掌業務開發大權的魏哲家;陳冠州沉穩、內斂,負責家庭娛樂產品事業部與內部營運管理,與管理台積電先進製程研發的劉德音,有著相似的沉著性格。

一位熟悉聯發科這兩位共同營運長的半導體業界主管,用「征西將軍」與「太平宰相」,形容朱尚祖與陳冠州的角色。征西將軍在前線衝鋒陷陣,必須在戰場中殺出一條血路;至於太平宰相則負責成本控管、生產與供應鏈管理等後勤補給。

「征西將軍」朱尚祖,畢業於交大電子工程所,讀書時,已展現善於交際的一面。曾是朱尚祖交大電子工程系同窗、中華優購執行長葉奇鑫笑說,「他(朱尚祖)雖然很喜歡研究電腦與程式,但卻不會很宅,個性也不急躁,凡事對他好像都很輕鬆。」身高有一百八十公分的朱尚祖,曾經是班上籃球隊的大前鋒,「他EQ很高,與人溝通不錯,人緣也好。」

朱尚祖揮軍中國

手機晶片 再度稱王

除了交際能力,朱尚祖大學時的喜好,也注定他後來二十多年的職涯都走在電子產業的道路上。葉奇鑫分享著當年與朱尚祖相處的往事:一九八七年,正值兩人大二時期,當時還是英特爾二八六 PC當道,大部分同學連PC都沒有,都是到計算機中心去用大電腦寫作業,但那個時候,「朱尚祖就是班上第一個買蘋果麥金塔電腦的人,而且還會自己買零件組裝音響,在交大宿舍中顯得很特別。

畢業後,朱尚祖先進入華邦電子擔任工程師,一九九九年到了聯發科後,從研發經理做起,而後觸角伸及業務與行銷。○五年,他已經掌管當時聯發科最賺錢的DVD部門,而考驗他是否夠格擔負重任的關鍵,則在於一○年無線通訊事業群總經理徐至強的去職。

當時,幫蔡明介打下中國手機「山寨霸主」的市場大將徐至強離開,也正值功能型手機轉至智慧型手機的陣痛期,聯發科內部一度陷入混亂,朱尚祖當時是多媒體事業部總經理,受到蔡明介與謝清江欽點,接下了無線通訊事業群中的智慧型手機部門。

在朱尚祖的帶隊衝刺下,僅兩年時間,讓聯發科走出營運與人才出走的低谷,兩年後,聯發科不僅在3G晶片時代,甩開展訊的追趕,跨入4G晶片時代後,中國出貨量甚至追上龍頭高通,在中國智慧型手機市場稱霸。「征西將軍」戰功彪炳,會躍升為共同營運長,並不令外界意外。

相較之下,同樣畢業於交大電子工程所,正巧是低朱尚祖一屆的學弟陳冠州,則讓外界對他接下共同營運長位置感到意外。向來低調行事,少出現在鎂光燈前的陳冠州,畢業後先是任職於矽統科技,一九九七年進入聯發科,是元老級的員工之一。陳冠州早期負責DVD、藍光及電視晶片部門,是聯發科對抗陸系廠商,稱霸平板電腦微處理器市場的關鍵人物。

一五年初,陳冠州主導的家庭娛樂事業部,正式打入索尼(SONY)與谷歌(Google)的電視產品,拿下一線品牌高階產品訂單,對聯發科市場定位與品牌形象都是大加分。更不用說,為了跟上物聯網趨勢,陳冠州積極建構與蘋果智慧家庭科技接軌的技術,「一六年就能看到聯發科推出,用於蘋果Homekit平台的產品。

」陳冠州神采飛揚地談起產品與技術布局,其工程師性格顯而易見。

陳冠州低調沉著

成本控管 精打細算

除了家庭事業部外,陳冠州也負責內部供應鏈管理,這也是低調沉著的「太平宰相」陳冠州所擅長的。事實上,IC 設計不僅前線的合縱連橫及業務拓展重要,內部營運管理與降低成本一樣不能偏廢。

這包括在晶圓代工、封測等配合廠商的價格上,要爭取到最好條件,對於每個專案計畫的執行成功率,更要大幅提高。例如過去每十個計畫中,可能最後只有五個會真正量產出貨(tape out),若能夠提高到七至八個,以每個計畫都要執行九個月到一年來計算,對人員及費用等成本的降低,絕對會有很大幫助。

另一方面,陳冠州與謝清江的合作默契及時間也較為久遠,過去徐至強負責手機事業時,謝清江就是掌管手機之外的家庭事業部門,而陳冠州就是謝清江帶上來的一級主管。如今謝清江要逐步退居第二線,與他最有默契的陳冠州也順勢成為接班梯隊的一員。

蔡明介選在聯發科成長趨緩,急需抓住下一個成長浪潮之際,大動作布局接班梯隊。業內人士不諱言:「這是台灣多數企業都該面對的問題。」觀察半導體多年的資深分析師則認為:「蔡明介還在觀察這兩人,短期內謝清江應該還不會交棒。」未來聯發科會由誰接班?顯然也要觀察二人接下來兩年的表現,才能看出誰最適合。在手機晶片產業進入戰國群雄的激戰時代後,朱尚祖與陳冠州兩人,是否能彼此截長補短、合作無間,還是會重蹈黑莓機製造商RIM雙執行長制失靈的後塵,勢必是聯發科能否再創顛峰的關鍵。

撰文 / 林宏文、周品均                                                                                                                              

PermaLink: https://articles.zkiz.com/?id=181258

Next Page

ZKIZ Archives @ 2019