「駭客體驗營」活動直擊：駭客如何竊取你的資料？一起透過課程與實戰遊戲切身體驗

在知名的特務電影《不可能的任務》系列中，大家總是看到帥氣的阿湯哥飛天遁地，使用各種不同的高科技裝備，潛入到各國政府機關中竊取重要的機密資料，令人嘆為觀止。不過其實在真實的生活中，這樣的情節基本上不太可能發生，真正技巧高超的駭客，無論在地球的任何一端，都有機會透過入侵電腦的漏洞來獲取你的個人資料－如果你完全沒有資安防護的意識，這樣的狀況就極有可能發生在你身上！

真正的資安防護並不是單純裝裝防毒程式和防火牆而已，個人的行為本身才是其中的關鍵！為了讓更多人具備資安防護的正確觀念，在經濟部工業局推動的「新興資安產業生態系推動計畫」中，便相當重視資訊安全教育，透過各種管道培養資安人才或提升社會大眾的資安意識，因此推出本活動，讓一般民眾也能了解到「駭客」這個神秘的角色是如何入侵大家的生活，不動聲色地竊取個人資料。

由經濟部工業局主辦、工業技術研究院執行的「駭客體驗營」活動在10月24日熱烈展開，吸引將近三十位的參加者加入「駭客實戰」的行列中，究竟當天的活動有哪些精采亮點？又為大家帶來哪些資訊安全的大補帖呢？接下來的活動直擊報導，趕緊看下去吧！

▲ 一進入活動場地就會看到「駭客體驗營」歡迎大家。

▲ 活動報到處有準備好大家的姓名貼與簽到表。

▲ 活動在 13:30 開放大家簽到入場，現場已經有許多參加者準備入場。

▲ 此次活動的形式偏向實境遊戲，所以來報名的年輕族群不少。

▲ 活動現場已經透過不同桌位將大家預先分配好組別。

▲ 活動一開始，主持人開場煞有其事地說明了任務背景，感覺好像置身於某一個 RPG 遊戲中啊？

▲ 投影幕上也詳細地說明了今日活動的議程安排，雖然只有兩個半小時，但看起來內容很豐富啊！

▲ 接下來主持人也詢問大家是否要調換組別，有認識的朋友可以一起同組哦！

 

業界資安顧問親臨現場，擔任行動導師！

在正式展開駭客行動之前，主辦單位也沒忘了要為大家進行最基本的駭客概念與實務技術說明，畢竟來參與活動的朋友有不少是不具資安實務經驗的一般民眾，而擔任此次行動導師的 Joe，來自於資安公司「全景軟體」，同時也具備了 EC-Council 駭客技術認證與 ISO 27001:2013 Leader Autditor 國際標準資安管理規範的資歷，也擁有極為豐富的講師經驗。


▲ 活動的「駭客導師」是來自於全景軟體的工程師劉祐禎 Joe，他擁有非常豐富的資安顧問經驗。

▲ 在開始任務前，Joe 詳細為大家介紹駭客在執行任務前針對目標網路環境的「場勘」手法，並指引大家使用「Nmap」工具來進行目標設備的網路掃描。

一般人對於「駭客」這樣的角色，多半抱持著負面的評價，但 Joe 在課程中也提到，其實駭客這樣的行為無關於善惡，只在於應用的範疇與目的性的區別，當然，想要當駭客也是需要有一定的「人格特質」，包括善於觀察、細心分析，當然也需要有一定的技術能力，但更重要的是要有極高的耐心等候時機與完善的事前觀察！雖說現在已經有十分完善的資安防護機制，但其實資安最大的漏洞正是來自於「人」，以大家每天所使用的各類型服務的「密碼」來說，設計的思維是否正確，就將影響駭客動手破解的難度。


▲ 手機的使用者也可以下載「Network Scanner」這套免費工具來進行駭客行動前的探勘哦…聽起來有點刺激耶！

▲ 學員們也依照 Joe 的指示來實作網路掃描的過程。

至於在駭客的「事前觀察」指的就是對於目標設備的網路架構進行分析，Joe 也在課程中介紹免費的「Nmap」網路掃描軟體，這是駭客經常使用的滲透工具，若是使用手機，也能找到「Netwrok Scanner」來協助。透過上述的工具，我們就能直接指定要掃描的 IP，來了解目標網路的架構、系統與已開放的網路服務，以藉此找到可利用的漏洞，像是可遠端連線取得電腦控制權限的「RDS, Remote Desktop Service」遠端桌面服務，預設就是以 3389 的埠號來開放連線，也等於是為駭客開放了一扇大門，只要登入帳密被破解，就能讓駭客長趨直入，予取予求。

▲ 每位學員都非常認真使用自己的筆電展開「駭客初體驗」！

至於大家設定的密碼會有這麼好破解嗎？Joe 也實際示範了駭客暴力破解密碼的方式，若是密碼的位元數不夠長，且組成太過於單純，其實只需要數十秒就能搞定，若是使用運算效能更高的獨立顯卡－以 NVIDIA 最新的 RTX 3090 為例，每秒可以嘗試高達 340 萬組密碼，也正因如此，Joe 會建議大家可以儘可能地將自己的密碼長度拉長，以避免被駭客暴力破解。

 

不僅坐而言，而是起而行！實境探索真的超有 Feel 啊！

▲ 主辦單位準備的「駭客軍團任務手冊」，任務展開前可一定要仔細詳讀哦！

此次的「駭客體驗營」也細心安排了一整套「實戰」活動，並設定出一個極為擬真的情境：為了找出某國家某軍方單位中，疑似向供應商收取回扣的「陳姓上校」的犯罪證據，該單位的委託了駭客軍團，試圖破解陳姓上校秘密雲端空間的帳號密碼，以獲得他的相關違法證據。

▲ 在手冊中提供了詳細的任務解析，當然也有不少關於任務的提示。

▲ 準備完成後，各個小組就各自帶開，展開五個不同場域的探索，由於每個「房間」只有 5 分鐘的探索時間，所以一到現場大家就開始了地毯式的搜查。

▲ 看到任何可能的細索，組員都立馬拿筆記錄下來。

▲ 眼尖的成員順利找到客廳隱藏的紙張，上頭可是有獲得線索的關鍵提示哦！

在經過駭客導師 Joe 的詳細指引之後，接下來就要輪到參與者們大展身手了！主辦單位也將大家區分為五組，並以小組行動的方式，由管家們帶領，在任務設定的五個場域進行探索，包括客廳、書房、工作室、儲藏室與遊戲室等地，利用實體資料所獲得的蛛絲螞跡，來拼湊出所有的線索！一整個就是實境探索的規模啊。也因為每一個房間的探索僅限時 5 分鐘，所以小組必須要密切配合才能有效率地讓大家分工合作記錄下所有的線索。

▲ 第二站來到了「書房」，而這裡也是五個場域中最大的一個。

▲ 一進入到書房，大家就開始分工調查，書櫃的每一個角落都不放過！

▲ 從書本中找到好多關鍵線索，大家也都把握時間趕緊抄寫下來。

▲ 不同的紙片似乎可以拼湊在一起？

▲ 進入第三站「工作室」，這裡的資訊量也非常大，桌上有好多雜誌與文件夾，一個都別放過囉！

▲ 透過桌面上的便條紙即可找到關鍵的雲端空間，只是裡頭放了好多圖片，哪些才是關鍵資訊呢？

▲ 為了在時間內解開謎題，組員在這裡選擇第一次動用了求救提示，果然就立刻發現到雲端空間的秘密…

▲ 接下來大家進入了空間狹小的儲藏室，雖然空間小，但裡面看起來可以藏線索的地方也很多啊！

▲ 從行李箱中找到了一些物品，看起來有點可疑。

▲ 在角落裡的 V 怪客面具露出一抹不置可否的笑容，似乎在嘲笑著參賽者們～你們是解不開謎題的…嘿嘿！

為了帶給大家「驚喜」，在任務過程中安排在不同場域會有隱藏的「提示道具」，只要找到就可以得到一些指引，讓小組可以更有頭緒找到正確的推理方向；如果經過探索後仍舊找不到正確的推理方向，小組們也可以向小組的管家申請「求救」，由於活動最終的成績會以完成任務的時間作為基準，因此何時該動用求救，也會是任務成敗的一大關鍵啊！


▲ 最後一站來到了遊戲室，可以看到桌上有玩偶、圖畫紙和彩色筆等小朋友會喜歡的東西。

▲ 遊戲室裡放了小朋友的出生證明？這也太不尋常了吧？肯定有問題～趕快先記下來吧！

▲ 遊戲室裡的相簿大家也都沒有放過，一張一張全部都要仔細看過！

▲ 五個場所都探索完畢，接下來大家回到總部開始進行帳密的破解。

▲ 每一組的組員都聚在一起集思廣益。

▲ 組員分工把可能的帳號密碼拿來測試，進行破解。

 

數據洩露事件皆與帳密被盜用有關，如何設置正確的帳密？

在各組都陸續完成任務之後，在主辦單位統計最終成績的空檔，駭客導師 Joe 再度登場，為大家帶來關於資安防護的相關趨勢，而他也點出，目前全球一整年發生的數據外洩事件有超過 8 成都與「帳號密碼被盜用」有關，而絕大多數的使用者都會使用非常多種不同的網路服務，但帳號密碼往往都只會設定一組，若是不小心發生帳密外洩的狀況，最後的結果通常是「全軍覆沒」。也因為單一密碼並非 100% 可靠，因此近幾年有愈來愈多網站會採用所謂「二步驗證」的機制，也就是在輸入帳密之後，還需要再透過電話簡訊或是專屬 App 的方式來驗證登入者的身份。


▲ 未來的身份認證趨勢會是「生物辨識」，也能降低一般密碼被盜用的危險。

此外，Joe 也提到，未來的身份認證趨勢將會採用「生物特徵」作為主軸，除了可以方便使用者免記憶密碼且不會有數據洩漏的風險，目前相關技術也十分成熟；此外，目前市面上也有許多透過硬體進行防護的機制，透過像是「FIDO Key」這樣的硬體將身份驗證的資訊只保存於硬體本身；或是每次登入的密碼皆為一次性的OTP，因為使用過一次即失效，也能降低駭客暴力破解的可能性。

▲ 市面上也有針對身份驗證的硬體設備，像是「FIDO Key」就是特別打造的硬體，將身份驗證的資訊只保存於硬體本身。

 

以「實戰」學習更有樂趣！參與者無不期待未來能有更多同類活動！

▲ 緊張時刻來了…任務成績統計中…除了原始的任務完成時間，還得要加上求救提示的使用量，才是最終成績哦！

相較於一般以講座為形式的資安活動，此次「駭客體驗營」改以遊戲的形式，讓參與者可以「從做中學」，而且活動本身的情境設定非常完善，讓大家可以在極具代入感的情境下發揮敏銳的觀察力，並與小組成員集思廣益，才能從眾多線索中拼湊出最終的解答，整個過程有一定的挑戰性，但同時也提到供了「提示道具」與「求救卡」…等機制，讓小組有機會加速推理的效率，但由於「提示道具」一個場所只有一個，而且是需要透過搜尋獲得，所以比較憑運氣；而「求救卡」相較之下就比較彈性，小組成員可以決定何時要使用，但使用也需要付出「任務加時」的代價。

▲ 最終成績揭曉！由 E 組獲得第一名，除了原始任務時間最短，他們使用的求救提示數量也是最少的呢！至於第二名是 B 組，其實成績只相差一分多鐘，非常接近呢！

▲ 最終獲得第一名的 E 組小隊，由駭客導師Joe來頒獎。

▲ E組的蕭先生認為這一次的活動非常有趣，也很感謝組員們的通力配合。

以此次活動最終取得第一名的 E組為例，他們就是所有組別使用求救次數最少的一組，再加上任務原本解謎的時間就是最快，因此最後也能守住戰果！

▲ 獲得第二名的 B組，全隊只有四名成員，相較於其他組都有六個人，能奪得第二名的成績也真的很厲害呢！

▲ A組成員大合照，雖然沒有拿到獎品，但看起來大家都玩得很開心呢！

▲ 對於此次活動謎題印象深刻的 C組成員，已經放話說下次還有類似的活動一定要再來報名參加！

▲ D組成員覺得此次活動就像是「密室逃脫」一樣很有挑戰性，從活動中也學到很多。

此次獲得第一名的 E 組組員蕭先生提到，他覺得此次活動的形式十分有趣，整個過程都很生動活潑，尤其是在團隊合作的過程真的非常重要，也因為有小組成員的通力配合，讓他們能從其他組別中脫穎而出。A 組的吳先生也對於此次活動的「實體任務」印象深刻，尤其是一群人在各個不同房間探索的感覺雖然有點手忙腳亂，但還是能感受到大家齊心協力過程的熱情，也很感謝主辦單位精心策劃了這樣有意義的活動。C 組的張先生也認為此次活動規劃的內容非常用心，尤其是謎題的內容可以看得出來主辦單位細膩的心思，而他也是第一次接觸到這樣的活動，覺得也許下一次還有機會參加，應該可以有更好的表現！D 組的黃先生認為此次的「駭客體驗營」內容非常有趣，也建議或許未來可以規劃成為如同「密室逃脫」這樣的的大型活動，讓更多人可以組隊來挑戰，也能進一步增進大家對於資安防護的意識。


▲ 活動結束後，主辦單位也提供了 FB 貼文留言分享的好禮活動，鼓勵大家分享自己的活動心得。

最後小編來總結一下此次「駭客體驗營」的觀察心得吧！雖說整個活動的形式蠻像是以前流行的「大地遊戲」，但實際上主辦單位在謎題的設計下了不少苦心，也在各個不同房間的線索中加入了一般人經常在生活中會選擇使用生日、紀念日、電話…等個資當作密碼的習慣，也讓參與者們能透過解謎的過程，親身體驗到原來這樣的密碼設定一點也不安全，再搭配駭客導師 Joe 的指引，相信每一個參與活動的人都能夠進一步認知道帳號密碼應該要多花一點心思來設計，才不會讓駭客有可趁之機！

▲ 在活動結束後，也有不少學員向駭客導師 Joe 請益。