top of page
This site was designed with the
.com
website builder. Create your website today.Start Now
01629_0226RnM6aE.jpg

                                       X 檢測研習生

About

1970年代初期,全球能源危機與工業國家的貿易保護政策,使我國面臨潮流及環境的嚴峻挑戰,如何從傳統產業轉型至技術密集產業,並提高國家整體競爭力,成為當時政府重要的產經發展政策。

1979年5月17日,行政院第1631次院會通過「科學技術發展方案」,決定由政府與民間共同籌設「財團法人資訊工業策進會」。同年7月24日,在資政 李國鼎先生的大力奔走下,創設以「推廣資訊技術有效應用,提升國家整體競爭力;塑造資訊工業發展環境與條件,增強資訊產業競爭力」為宗旨的「財團法人資訊工業策進會」(Institute for Information Industry, III)。

成立以來,資策會參與規劃研擬並推動政府各項資訊產業政策、致力資通訊前瞻研發、普及與深化資訊應用、培育資訊科技人才及參與國家資訊基礎建設等各項業務,成就備受各界肯定。

工作環境介紹

資策會有幾個不同地點的辦公室,資安科技研究所位於松山區的服務科技大樓五樓,我所處的辦公區域為開放式空間,同事與同事之間沒有隔板,十四樓為實驗室的區域。因為公司沒有食堂,所以中午需要到樓下的民生社區買中餐,附近的選擇眾多,不怕東西吃膩。


早上跟中午過後都會有打掃阿姨定時來收垃圾,公司也有提供衛生紙以及基本文具,還有零食區可以開放自己拿取,我們部門是跟其他部門當鄰居,並沒有牆壁隔起來,所以隔壁在開會講話很大聲的時候,多少還是會被影響到。

367327.jpg

工作詳述
 

        我在資策會實習的職稱是檢測實習生,一開始主管就跟我說明,這次招募實習生是為了承接103701的檢測業務,需要實習生來協助製作報告格式及檢測步驟。103701是歐盟近兩年來規定的物聯網安全規定要求,要輸入到歐盟國家的物聯網設備,就必須要通過此項檢測,所以我就先看了103701的文件,看懂之後。

        同事先教會我使用網頁弱掃、原始碼檢測的工具,簡單學會之後,同事就給我幾個目前需要測試的網站,讓我實際去操作。

        由於有件案子比較趕,所以我先去幫忙別的案子,這份工作的內容是做檢測文件翻譯,中翻英,我的做法就是把句子放到Google翻譯裡面,再丟到Grammarly去做文法檢查,最後在手動檢查是否有語意上或是專有名詞的問題,我與另一個工讀生負責這個案子期間。

        隔壁組有承接滲透測試的業務,而我跟另一個同事就被叫去支援,由於滲透測試需要連接內網,所以需要到客戶公司去執行,也因為之前還沒有過類似的經驗,能夠實際接觸到運行正式服務的主機,也是一個很好的經驗,而我也有攻擊成功期中的一台主機。

        在翻譯的期間,又有另一次的滲透測試機會,而這次雖然沒有成功攻擊,但我向另一個同事學習到了過往沒有經驗的事情,也讓累積更多的經驗。

        從五月中開始,主管就開始正式執行103701的檢測案件,由於廠商需要檢測結果的範例格式,所以我主要負責的是製作檢測報告範例的表單檔案跟文件報告格式。

        暑假開始時,由於103701 最後不作為歐盟的強制命令,所以主管改分配我去研究21434、R155、R156的法規,初步看完21434的標準文件後,開始著手製作車輛網安管理檢核表,由於21434於前年才剛推出,業界還尚未有許多人擁有檢測此標準的技術,所以檢核表的檢測步驟跟符合條件都是我依據標準的內容去做撰寫。

        八月中旬時,也有組內的檢測實驗室介紹影片拍攝,後來在9/15的時候也到SEMICON 國際半導體展覽協助舉辦晶片安全聯合檢測實驗室揭牌啟用儀式,會場內有許多國際廠商,也見到各大公司的副董事長、總經理等等,讓我眼界大開。

        九月時也與公司一起參加了2022台灣資安大會,其中見到了台灣各家資安產商所推出的最新解決方案或是產品,除了顧攤位以外,也到演講廳聽了數個世界最新的技術,讓我有走在台灣最前端的感覺。

        開學前我報名了台灣好厲駭的活動,工作告一段落之後,我也會利用時間增進自己的資安能力,透過學習部落格的技術文章,自己研究書籍等等,最後錄取了今年第七屆台灣好厲駭的高階培訓資格。

        開學後檢核表的工作交給另一位同仁製作,我與其他同仁開始進行車聯網網路安全目標的測試項目撰寫,透過研究網上相關車聯網系統架構以及通訊協定,在從中尋找其測試的工具後,根據論文以及工具的內容,判斷對於車聯網系統上可能會發生的漏洞攻擊,撰寫其相關資安檢驗步驟。

實習期間完成的進度

        在這四個月的實習過程中,一開始的弱點掃描案件,同事給了我一個案子的其中約五十台目標主機做為掃描目標,每天早上都要確認昨晚掃描的進度,因為有些主機會有規定的掃描時間(上班或非上班時間可掃描),如果有尚未掃完或是發生中斷的主機,就必須再次添加到今晚的行程當中,整個過程約三個星期,全部掃描後,必須把每個主機的報告都匯出,並繳交上去。

        再來是翻譯文件的工作,這份工作維持了將近兩個月的時間,一個禮拜開一次會議確認工作進度,由於我跟另一個工讀生共同分配待翻譯的項目,所以在剛開始的前兩周,我就完成了第一個階段的翻譯工作,再來都是等待每周的會議時間,主管會校閱修訂我們翻譯的內容,再由我們確認修改恰當後,接受或刪除他的修訂。再來分別有兩階段的翻譯工作,也都是在幾天內完成,持續這份工作的時間約將近兩個月。

        在途中有兩次的協助滲透測試的工作,由於這只是協助隔壁組的業務,我們只需要實際打主機,不需做後續的報告,所以這份工作就只是學習與體驗滲透測試。

        翻譯工作結束後,我被指派與另一個工讀生一起協助103701檢測案件,由於我先前就有讀過103701文件的原文,所以我對測試的步驟有一定的熟悉,前後先被指派了製作測試案件報告的範本Excel,後來又基於其他檢測案件去識別化過後的文件,設計符合103701報告內容格式的Word檔案。完成報告格式後,再來就是針對每個測項去撰寫對應的測試步驟,由於撰寫測試步驟需要大量的實作與知識經驗,所以這份工作應該會持續到暑假才會完成。

        到了暑假之後,由於103701不再是由歐盟強制規定的法規,所以先交由給其他同仁完成剩餘的檢測步驟。我被指派去研究新的車聯網資安標準21434,目前完成度大約10/15章節,初版完成後還要做大量的修正,因為撰寫此類檢核表需要大量經驗,初版我只能從標準的要求下手,完成後在詢問專家意見或是具備相關經驗的同事,參考意見後進行修改條文。

        開學後,撰寫條文檢核表的工作告一段落後,轉交給另一個同仁做修改。我被指派與另一位工讀生共同研究車聯網滲透測試步驟,從網路傳輸協議開始下手,目前兩個月完成了對於FlexRay協議的初步測試步驟。


        除了車聯網滲透測試研究以外,我也協助組內正職同仁進行第三次全會弱掃服務,全會總計85個網站,需要在一個月內的時間掃描完成且完成弱點清冊,將掃描完成的網站產出報告後,需要在Excel裡面統計各網站的極高風險、高風險、中風險等等,也需要彙整各網站的弱點列表,並在最後建立各網站掃描的前十大風險排名。
 

剪貼簿圖片 (1).jpg
剪貼簿圖片 (3).jpg
剪貼簿圖片 (2).jpg

​工作中扮演的角色

        在資策會實習這段期間,由於我的身分還是實習生,所以我在工作中扮演的角色大多數都是協助者的身分,在第一天上班的時候,主管就跟我說,希望我來協助目前的工作業務,所以主要面對客戶的內容,大部分還是交由主管們去接洽。(下圖為協助翻譯的文件)
    

 

 

 

 

 

 

 


        暑假開始後,我開始會被指派一些文書處理工作,與其他工讀生一起處理郵務、雜事等等。除此之外我在目前的車聯網標準檢核表撰寫算是主要的負責人,主管會定期監督我的進度與討論。

        開學過後,我的工作被轉移給另一位同仁,與另外一位工讀生擔任車聯網滲透測試方法的主要研究撰寫人員,在工作中擔任主要負責的角色,與他共同研究車聯網資訊傳輸協議的分析漏洞文獻或文章,以及從中尋找能應用在測試方法中的工具等,撰寫實驗室檢測步驟。

​學習的內容-技術面

        在資策會實習期間,學到非常多的技術內容,第一個學到的就是Webinspect 網站弱掃工具的操作方法、包含整個掃描的流程、原理、設定的方法等等,一起學的還有Fortify,這是一個網站程式碼掃描工具,把整個專案丟到程式後,設定一些參數,就可以產出原始碼檢測分析報告。

(下圖為Webinsect操作介面)

 

 

 

 

 

 

 

 

 

 


        再來就是在滲透測試中學習到的內容,在測試的過程中,我學到了如何透過不安全的API去進行SQL Injection攻擊,透過同事的教學,讓我對API有更多的了解以外,也學會使用SQLMAP這個工具的指令操作及原理,最後也成功的獲取對方資料庫的資料。(下圖為SQLMAP的範例)

 

 

 

 

 

 

 

 

 

        除了SQL Injection以外,我自己也根據主機弱掃文件上的可能漏洞指引,針對SNMP的服務,成功執行了漏洞攻擊,我回家也自己上網看影片理解了SNMP攻擊的原理,也針對此次的攻擊結果,製作一份初步的SNMP漏洞攻擊流程報告。(下圖為我製作的初步漏洞攻擊報告)

 

 

 

 


       

 

 

 

 

 

 

在第二次的滲透測試中,透過同事的教學,我學會如何利用程式後端上傳檔案過濾的漏洞,使用BurpSuite、Postman等等工具,將Weevely生成的後門上傳至目標主機,在使用指令成功連上並取得一定的控制權後,就可以直接在目標主機上尋找更多會造成其他漏洞的文件或設定。
(下圖為Weevely的範例圖片)

 

 

 

 

 

 

 

 


        除了滲透測試的技術以外,我也有透過實驗室的檢測操作文件,學習之前的測試項目的操作手法,實際測試之後,比對檢測的結果是否有相異。我使用家中自用的路由器做為檢測設備,透過這個檢測練習,我也學會Wireshark的基本操作,也成功查看並且比對封包的內容。(下圖為Wireshark操作圖示)

        眾多檢測手法中,有一個是我從來就沒有碰過的測試方法,使用UART介面進入路由器的作業系統,需要有一個UART轉USB的傳輸線,如果設備沒有提供針腳接點的話,就需要一隻手扶著接點,一隻手操作電腦,在單手啟動遠端連線以前,如果手在途中不小心離開了接點,就會中斷連線。

        進到作業系統後,還需要將韌體DUMP出來,以利後續分析。

​學習的內容-非技術面

        在這段實習期間內,學習到很多技術面的東西,但我自己覺得我缺了一些非技術面上的學習,例如:如何與人快速且有效地溝通內容,再開始工作之後,我理解到與人溝通是非常重要的一件事情,一件工作處理的效率,很大部分取決於在交代工作項目時的溝通順暢,可以明確且快速的表達所期望的需求,而且能夠抓到別人說話中重點的能力,是我自從開始工作以來才意識到需要學習的事情。

        再來就是報告的能力,先前在做滲透測試的時候,有參與了跟廠商的簡報會議,參加的時候我就發現,我們檢測出來的結果,客戶不一定能夠完全的理解,如何簡單的解釋清楚給客戶聽,也是一門學問。再來就是客戶請我們做滲透測試的時候,一定只想聽到究竟是哪個地方出了問題,然後就有可能問說:「那這個漏洞該怎麼修補?」,聽了同事的教學之後,我才知道說我們做檢測的,雖然客戶會很想聽到該怎麼修補,但我們總不可能幫他們修補網站相關的程式,我們只能夠提供初步的概念,透過簡單解釋漏洞的成因後,在告訴他們修補的原理、大致上該怎麼修補才好,舉一些簡單的修補例子,真正的修補工作還是得交給客戶端那邊不管是自己的還是外包的工程師去修補。也聽說很多客戶端的工程師,在知道自己建置的伺服器爆出的漏洞太多之後離職的,這在業界好像非常常見。

        暑假學習最多的能力,除了技術以外最多的就是與人溝通的技巧,在交代事情時的溝通次數,如果透過最少的溝通次數,完美達成交代的事情,或是在事情發生變化時的應對方法,做這些郵務或雜事的確有增加我對處理事情上的靈活度。

        最後我學到最重要的東西,就是如何保護自己,在資安界尤其像是滲透測試這類的業務,只要不小心打錯某個指令,就有可能造成測試或是正式系統上的損壞,所以在接洽業務的時候,就必須跟客戶確認責任上的釐清,以及確認目標系統是不是正式系統,是否有備份等等,若是沒有確認清楚,最後結果出了問題,就有可能會面臨刑責以及龐大的罰鍰。

自我評估及心得感想

         剛開始在挑選實習工作的時候,由於學校沒有資安相關的專題內容,所以只剩下校外實習的選項,其中我就對資策會檢測實習生這個職位相當感興趣,實際上工作後,接觸的工作內容除了有時候一些文書工作以外,其他技術性質的工作都讓我非常滿意。由於這份實習工作算是我人生中的第一份工作,所以剛開始的時候也有些許緊張,但開始習慣之後,跟同事間的相處也很合洽,所以我也能夠很快地進到這個循環裡面。

 

         當初在考慮資策會的時候,有一個很大的點就是交通問題,從元智到資策會搭火車通勤,單趟就要一個半小時起跳,而且松山區的租屋處又很貴,所幸我有親戚剛好在台北的房子有空房間,我就可以不用每天台北通勤,所以我每天通勤時間大約在十分鐘左右。不過如果在台北沒有租屋處的話,我還是會選擇通勤,因為對我來說,能夠做自己有興趣的工作,通勤時間就不會是問題,我不想選擇距離近的公司,但是做我不感興趣的工作。

 

         在這段實習時間內,我第一次體驗到了職場工作的感覺,也有接觸到大量在學校學不到的東西,不管是跟同事學習還是自我學習,對我來說開始到職場工作就是要對自己負責任,透過學習建立起自己的規律與習慣,來漸漸養成一個生活規律的循環。

 

         暑期這兩三個月的工作經驗,讓我第一次感受一週工作五天的感覺,一開始覺得有點累,因為之前都是三天而已,星期一上班的時候就會覺得這周怎麼這麼長,後來事情開始多起來後,由於每天都有事情需要處理,一個禮拜過起來就非常快,暑假也馬上就過了。由於暑假開始時專注在做車聯網的標準檢核表,所以相關檢測的技術碰的比較少,但也會利用閒暇之餘自我學習資安的能力,也能夠錄取第七屆台灣好厲駭,也算是對我自己的努力有了一定的成果。

 

        開學過後的兩個內中,原本的工作轉移給了另一位同事時,對於原本對於撰寫檢核表沒有經驗的我,可說是鬆了一口氣,轉為與另外一位同仁共同研究車聯網滲透測試方法時,雖然不像原本的工作一樣乏味,但在閱讀大量的文獻或文章上也上耗費了大量的經歷,我在這段期間內學到最多的就是閱讀分析新事物的能力,如何快速的了解該協議的架構,在實驗測試步驟上該怎麼設計,要怎麼尋找相關的使用工具等,讓我受益匪淺。

        這一年來的實習我學到相當多的東西,若再給我一次機會重新選擇實習工作,我還是會選擇資策會,這裡不僅讓我能夠學到資安相關的知識,也能夠真正的學習到目前資安領域中所會接觸到的相關工作業務,像這樣子的環境難能可貴,希望學校日後繼續與資策會合作,繼續提供爾後的學弟妹實習努力的機會。

對系上的建議

         我覺得這個實習最大的缺點就是時間的安排,雖然對於公司離家近的同學來說可能不會,但是對我們離學校很遠的學生來說,每周都要往返桃園台北或是桃園新竹,單程就要花費一至兩個小時,從學校的立場來說,兩天的學習加上三天的時候,可以在其中獲得平衡,獲得更好的學習效果。但希望學校可以考慮同時實行兩種模式,是要上課兩天上班三天,為期一年,還是上班五天,為期半年至一年,都是可以列入考慮的。然後五天上班的話,延至大四上在實習也不遲,多給同學半年的時間充分累積學習的知識,在應用到職場上,還有其實很多工作上的要求的東西,系上沒有相關類似的課程。希望系上在評估廠商提供實習工作的時候,可以把工作內容跟系上開設的課程做評估,依此來評斷上過完整大三上課程的學生,有沒有足夠的能力去面對相關的工作。

bottom of page