中央大學首頁資電學院首頁

Subject Coverage

Subject Coverage主題報導

進攻VS防禦 資安令狐沖 資工系許富皓教授

  進攻VS防禦 資安令狐沖  資工系許富皓教授



 
  談到金庸小說中的令狐沖,就會聯想到破劍式、破刀式、破掌式等劍法,這些分別是依據不同兵器而生的對招方式,就其本質來說可理解為「與九種不同兵器對陣時,所採用的攻防觀念」。愛看金庸小說的許富皓教授,在現實生活中也悠遊於網路世界的虛實對招,只是他的對手為駭客與病毒。
 /田婉君 圖/許富皓

 要有風險分散危機意識

  說起話來相當儒雅的許富皓教授,很難想像隱身於電腦後的他卻是在資安領域中的防禦大俠。隨著新科技的不斷發展,資安問題與防禦系統愈來愈複雜,以今年5月的「wanna cry」來說,這個惡意程式突破以往需透過社交功能,騙取使用者點擊下載後才能將病毒送出的模式,結合蠕蟲擴散行為,自動攻擊其他電腦,造成大規模的感染,使得其破壞力大幅提昇,變成一極危險的惡意程式。「wanna cry」透過微軟伺服器SMB協定中的數個漏洞主動攻擊,讓惡意程式可往外攻擊其他電腦,進而擴散,並藉著將被入侵的主機上的檔案加密勒索電腦使用者。

  許富皓教授表示駭客的攻擊是無所不在的,隨著攻擊的手法不斷更新,防禦也需更多突破,安裝掃毒軟體之後不代表電腦就安全,因一般掃毒軟體其實保護力還是有限而網路攻擊層出不窮,惡意程式大概每隔幾秒就會有新型的變種程式產出,要立即收到樣本再破解都需時間,掃毒軟體速度再快,也快不過秒秒更新的惡意程式。

  因此在平時要有隨時將資料備份的習慣,現在大家都很習慣在網路上交易,無論是網路銀行、拍賣網站、網路購物,對所使用的帳戶要有隨時有可能遭駭的心理準備,因此絕對要有風險分散的危機意識,避免放置太多的金錢在線上交易使用的帳戶上,畢竟,資安缺失不僅可能發生在使用者上,亦有可能發生在提供服務的業者上。

 

最厲害的是保護他人

  駭客(Hacker)一詞原指熱衷於電腦系統技術研究的專家,但在大量的誤用下,被誤解為是非法惡意破壞與入侵系統的人。許教授表示,駭客其實是正面的意思,是指對電腦了解非常深入的人,其對於電腦安全的問題也有相當程度的專業,甚至能將所發現的問題預先告知國家或廠商提供預防方法。

  (Crackers) 則是指專門破壞入侵他人電腦進行破壞或盜取資料攝取非法利益的人,但現在大家都將Crackers 稱為 Hackers,因此讓駭客蒙上汙名。但在學術論文來說會統一以(attacker)來說明這些非法攻擊的人。

  隨著資安議題受重視,有愈來愈多學生想要投身於資安領域,許富皓教授發揮一貫的耐性告訴學生,「真正厲害的人是能幫助他人的人」,真正有用的人是將所學造福其他的人。他常告訴學生在研究中防禦是相當困難的,運用所學專業去謀取暴利或惡意入侵他人電腦是最沒意義的。與其拿這些知識與技能去害人,還不如研究出新的防禦的方式幫助社會。

 

台灣駭客實力強

  許富皓教授表示台灣的資安產業尚未成熟,但台灣其實是相當適合資安產業發展,全世界駭客最常攻擊的國家為台灣、以色列與南韓,而台灣更是全球駭客的最愛。以往各國駭客常把最新發展的惡意程式,放在台灣測試,藉以鑑定攻擊的效果,做為後續攻擊其他國家的參考。

  事實上,台灣駭客能力很強,以許富皓教授的「先進防禦實驗室」,更是國內外資安或駭客大賽的常勝軍,無論是「資安技能金盾奬」、「芬安全獵駭行動」、「IBM首屆世界盃大型主機競賽」世界最大的駭客競賽DEF CON CTF,都可以看到許教授的學生為台灣的資安與防禦做貢獻。

  「但可惜的是,我們很多從學校畢業的優秀學生,在揹負著父母或是長輩的期待下進入所謂的科技大廠,但其實這些優秀的資安學生,若放到正確的位置他們一定能對社會貢獻更多。因優秀的資安系統防禦者,必需要有技術與管理的技能,從網路、系統、軟體開發甚至APP的應用,都要有一定程度的涉獵,更重要的要有相關的實務經驗,這樣的全方位人才培養實屬不易。許富皓感嘆表示。」

 

大一的頓悟 讓自己更好

  到底什麼樣的特質才能成為頂尖的程式高手, 「邏輯思考力」與「解決問題的能力」是關鍵。從小到大一直都是模範生、書卷獎常客的許富皓教授卻說在大學以前真的是沒什麼在念書。自己究竟何時對於「好好念書」有所頓悟,時間往回推到大一那年。在一次的迎新活動中,許教授因為玩太晚要爬牆回宿舍,正要縱身一跳時,沒想到在牆下另一邊迎接他的卻是教官,那時的他以為會被退學,對未來只剩徨恐...,但也因為這個事件,讓許教授驚覺到自己好像什麼都不會,未來卻已經慢慢逼進,因此他選擇對自己負責。天生對於寫程式就很敏銳的許教授腦袋裡就好像有一台電腦,念書時當老師出完題目時,他腦中的運算式也劈劈啪啪的跑出來,無論資料多龐雜他就是可以很快速的抓出問題點或重點,天生的敏銳度是他最好的武器。

 

多次榮獲教學優秀肯定

  許富皓技授曾多次榮獲校與院的傑出優良導師,教學優良相當受到學生愛戴。專長為系統安全、電腦安全、行動裝置安全與作業系統,例如:電腦攻擊與防禦、Linux 作業系統、程式語言等。

一門課程約有1000多張投影片,生動且新穎的教材都是許教授再看了上萬個網站與多篇論文濃縮後親手撰寫再教給學生。使用已經熟悉的例子、最新的趨勢、新聞的報導、甚至電影電視的劇情來強化課程的應用性與重要性。課程上搭配許多需於實際系統上完成的專題,使學生於理論外獲得扎實的實作經驗,讓學生能利用所學將研究成果轉為實際的系統,如此的用心教學當然受到歡迎。許富皓教授也鼓勵學生參與各項與課程相關的競賽,因為學生透過比賽可以認識其他領域高手,並可透過與同儕的切磋琢磨培養團隊合作的態度與學習動機。

 

師者成就 來自把學生教好

  許富皓教授表示自己在教學最重視的是如何能將自己想要傳遞的知識完整的傳達給學生。因教學與研究是一體的,有好的教學品質才能培養出一個好的研究人才,有好的研究人才所創出來的研究成果就可以成為一個創新的教材。

所有連結都是環環相扣,也許是因為自己個性關係,希望能將所學的知識都交給學生,要教就要教得透徹!

  「我希望我教出來的學生是頂尖的學生,因此我要教他們的就是最新的趨勢、技術將理論與實做並進,強調學生就要有動手做的能力,要將課堂學的東西做出來。因此在對學生學習態度上,他期許學生上課時把知識帶回去,把問題留在課堂,不懂就要問,讓老師幫你唸書,這樣學生就會有更多的時間去念更多的東西,許富皓較授表示。」

  許富皓教授回想起自己刻骨的求學過程,指導教授嚴謹又嚴厲,但卻也因此讓他培養出不劃地自限要,做就做最好的求學態度。我向許教授說,您的老師一定很驕傲有您這樣的學生,許教授卻說他的老師教出的優秀學生更多,但我告訴許教授,也許您的老師真的教出了許多優秀的學生,但在這群學生裡有幾個像您這樣用心春風化雨教導學生,這才是最棒的傳承!

 

 

Notice公告