即時!【台灣天才駭客認錯啦】影/張啟元臉書 po 2 千字長文  盼修法保障「白帽駭客」

即時!【台灣天才駭客認錯啦】影/張啟元臉書 po 2 千字長文  盼修法保障「白帽駭客」
▲台灣「天才駭客」張啟元。(圖/翻攝自張啟元 Facebook)

張岑宇/綜合報導 

25 歲台灣「天才駭客」張啟元涉嫌入侵高鐵購票系統被抓包,因為用 40 元買區間車票退款金額竄改成 20 萬,飽受關注以及各界的輿論批評,近日他終於在臉書 po 2 千字長文,針對自己的行為表示歉意,並且在臉書表明自己的動機以及強調白帽駭客的權益,希望台灣日後能夠修法保障「白帽駭客」。 

張啟元強調希望未來可以讓白帽駭客公開測試,並成立查詢平台,只要單位同意,可提供「測試範圍」、「保密性條約」、「漏洞將金」等細節,不願授權單位也可以加入平台,並且能夠事先警告駭客,以免讓有心想嘗試的駭客觸法。

張啟元在個人臉書表示重點

*本文重點**

1.針對「白帽駭客」資安測試行為修法立法,解決「漏洞測試灰色地帶」問題,以法律保障企業與白帽駭客。 

2.公司行號等單位登記申請時需填寫「是否同意授權」白帽駭客資安測試,以政府認證授權的方式公開於公共平台中。 

3.政府成立「白帽駭客資安測試授權公開查詢平台」,提供民眾查詢該單位授權狀態。 

4.若該單位授權狀態為「同意」,則顯示該單位的「授權條款」、「測試範圍」、「保密性條約」、「漏洞獎金」等細節。 

5.若該單位授權狀態為「不同意」,則顯示「妨礙電腦使用罪」等相關刑法條例,並警告請勿以身試法。

**利益影響**

1.保障企業組織不受未經授權的白帽駭客進行資安測試,透過合法的政府管道吸引白帽駭客增強系統資安等級。 

2.保障白帽駭客能查詢該企業組織的授權狀態,避免因為善意的測試卻又觸犯刑法,也能在平台上查看並遵守該企業組織的授權條款。 

3.透過公開平台的授權證明,可解決白帽駭客因妨礙電腦使用罪不敢對發現的漏洞進行測試與回報的問題。 

4.真正落實資安及國安的口號,讓全國人民、企業到政府都受到合法的授權與白帽駭客的資安保護。 

5.成為全世界第一個將白帽駭客漏洞回報平台以政府授權的方式和企業組織合作,將國外風行已久的白帽駭客職業提升一個層級。 

6.台灣企業、白帽駭客、政府、國家都受到安全保障,創造多贏結果。

7.增加資安人才踴躍參與,培訓白帽駭客以提升國家資安力。

 

張啟元在個人臉書的自白

經過上次的統聯事件和這次的高鐵事件,身為製造問題的我,應該要提出解決問題的方法。 

我們都知道隨意對他人系統做資安測試是個灰色地帶,撇開善意或惡意不說,未事先經過他人同意本來就會有很大的爭議,這點我不反對,也因為這個論點造成許多網友的筆戰和爭論,在此我感到非常抱歉。 

放棄台灣是我在發生這件事情的沮喪話,我不敢說我在資安領域貢獻了多少,畢竟我還只是個新人而已,但我還是希望能靠一點自己的力量讓台灣整體資安進步。 

但我的方式似乎再次讓資安領域的前輩們失望了,似乎也因此扯了後腿,或許我的行為太過偏激,也因為媒體的炒作讓我的行為被放大化、高調化,導致有很多問題被模糊了焦點,無法實際解決。 

我也相信在科技日新月異的現在,資安絕對是日後不能輕忽的一環,提升全國人民資安意識不是口號,資安及國安到現在還只是個概念,還沒真正地進入人民的生活當中。 

要做到推動觀念給每個人民實在需要眾多力量,不能只是靠台灣駭客年會等社群活動推廣,因為會參加這些活動的人本身就是對資安領域熟悉的人。我們需要更多淺顯易懂的案例,或是有些知名度的人,一起推廣資安概念。 

我算是被媒體炒作成半個公眾人物了,去年10月我有了一個想法,希望能妥善利用目前我身上的資源,創立一個Youtube頻道,發布資安相關短片,以淺顯易懂的方式讓大家學習資安。我也和台灣駭客年會的成員討論過這個想法,他們都非常支持我這麼做,只是影片還是需要我閒暇時間才能製作,所以我的頻道到目前為止沒做太多更新。 

我不希望在我身上的資源就這麼被浪費掉,也不希望我堅持這麼多年讓台灣企業資安提升的白帽駭客精神就這麼放棄,我製造出了問題,就必須解決問題,我想目前能解決這個問題的人應該也只有我自己了。 

我希望能夠在台灣立法或修法,讓全台灣的企業團體能夠在政府平台上登記白帽駭客授權狀態。不管是傳統產業或科技產業,在設立登記時也能一併提交白帽駭客授權狀態到該平台上,民眾就能在政府的公開查詢平台上搜尋該單位名稱,查看該單位的授權狀態。

 如果該單位同意善意的白帽駭客資安測試活動,查詢平台就會顯示該單位的授權狀態為同意,並顯示該單位的授權範圍和條款,以及獎金制度等內容。 

如果該單位不同意相關的測試活動,查詢平台就會顯示該單位的授權狀態為不同意,並顯示刑法相關條例,以及請勿以身試法的警告文字。 

這麼做是希望能夠解決目前灰色地帶的問題,以及真正要做到事先告知公司測試行為的困難度。在測試前先發信告知該公司你要測試漏洞,有些公司可能會認為你是在威脅或勒索,反而當下就會直接報警,所以在這個過程都是很兩難的。 

如果能有明確的法律規範,也透過政府單位的認證,白帽駭客就能很明確地知道該單位能不能進行測試,就不存在灰色地帶,也解決了測試前先告知的兩難問題。 

而且也能促進台灣在資安的進步,台灣有多少白帽駭客因為法律問題不敢對台灣企業進行測試?全台灣有這種膽子的估計除了我之外就是瘋子了。如果有這條法律的規範,台灣企業有安全保障,白帽駭客也有安全保障,台灣整體資安也有安全保障,這是個多贏的結果。 

其實台灣駭客年會的Zeroday平台和中國的烏雲平台就是類似的概念,只是他們是以第三方漏洞回報平台為出發點,收到企業申請,或是白帽駭客的通報,再協助聯繫企業修復漏洞。 

如果台灣能夠以政府的角度做這件事情,這將是一個領先全球的大進步,因為目前還沒有任何一個國家是以國家等級做白帽駭客的活動,國外知名的Hackerone和Bugcrowd平台也都只是民間的回報平台。 

我希望以上的概念能不只是我個人的想法,而是能夠透過大家的力量推動修法,讓台灣真正徹底的解決目前遇到的問題。 

我不逃避我個人的行為問題,也不逃避我個人的法律問題,但我也希望能藉此解決發生這些問題的問題。 

如果成功修法,平台也成功上線,這可以增加更多資安人才踴躍參與,也能在平台上發布資安人才培訓活動,讓未來的台灣能夠真正的將資安變國安,從人民到企業,從企業到國家,都能完全受到資安的保護。 

幾年前因為駭客活動修法成立妨礙電腦使用罪,保護了每個人在電腦資訊紀錄的權益。

也希望這次能夠修法立案,讓已經是世界趨勢的白帽駭客職業,以及各個公司行號等單位能夠同時受到法律的保障。 

如果在資安領域的前輩認同我的理念,或是其他領域的各位認同我的理念,請大家協助我幫忙將此想法傳播出去,也希望大家能夠提出更深入的解決方案,以及法條中該明定的事項,以及利與弊的分析。 

以我個人的力量是做不到這件事情的,還麻煩各界前輩與網友們助我一臂之力,讓市議員、立法委員等人士能夠將此理念轉換成法案,將法案成功立法改變台灣! 

感謝大家!拜託大家!這是我在台灣最後一個能夠幫助台灣的希望!

▲台灣天才駭客張啟元把付款安全的相關資安知識做成影片。(影片/取自YouTube,若遭移除請見諒)

延伸閱讀

駭入總統府的「超級駭客」蘇柏榕究竟是何許人也?他曾成立靠比特幣付費的台灣最強駭客網站

影/台灣天才駭客張啟元入侵高鐵系統用 40 元詐領 20 萬  高鐵抓包 10 萬交保

Apple Pay 出包?台灣少年網上買 iPhone 502 台竟只花新台幣 1 元

影/台灣天才駭客張啟元又發現臉書付款功能漏洞~爽領 30.8 萬獎金  靠漏洞賺錢達百萬

 

留言

延伸閱讀