數日後,
第二階段的比試開始過後一周,隊長召集大家,在通話網內討論測試結果。「麻子,先說說看你那邊的狀況。」
「我是以加入群組、以及用電子郵件去釣魚的方式進行,群組的方式行不通,因為他們對於新加入者仍然有戒心。郵件部分比較有進展,我假借電腦系統公司的名義送出電子信,通知說因為網路安全有瑕疵,需要安裝修補程式,並請按下以下的連結來進行。當然這個連結也是假的,只是胡亂地顯示一些並不存在的修改,但是有夾帶隊長的遠端監控的程式的安裝。」
麻子接著說,「之後,果不其然,ABC三家中B上鉤了,從遠端監控傳回來的資料中來看,除了一些例行的文件輸入外,也看到一些奇怪的文字組合,我想大概是密碼,但是還需要花點時間來確認。」
「很好,謝謝麻子的幫忙,繼續加油囉!」隊長接著說,「烏鴉,你那邊的狀況呢?」
「我分別在各家所提供的網站去了解,A和B家廠商用的網路軟體版本有瑕疵,但他們還未修正,利用這個『零時差漏洞』,讓我可以進去找到一些底層的文件,看樣子類似員工的登錄帳號及密碼,還正在查裡面有沒有網路管理者。」烏鴉說。
「看來不錯,廠商C還沒有進展嗎?看來得準備下重藥了。我們下次再來決定,下次會議在三天之後,謝謝大家。」
三天之後,也就是離結束測試的兩天前,群組的通話網裏,隊長再度召開會議。
麻子首先報告,「B家傳回來的遠端監控,果然有登入的帳號名稱和密碼。我照著登錄後,找到了那個被託管的機密資料,已經照之前的討論,將那目錄內的所有檔案做了備份。」
「很好,那其中A和C兩家呢?」隊長問道。
「沒有哩!還是沒有動靜。」
「不然再試看看有沒有別的釣魚的方法,有機會的話,就把那兩帖重藥的連結都給用上。」隊長說。
「嗯!好的,我會試試。」麻子說。
隊長接著問,「烏鴉,你那邊呢?」
「先說說B家,他們的重要資料保存得不理想,也沒有加密處理,我查到員工的工號編排規則後,就在文件中,逐一推導出每個人的登錄名稱及密碼。」烏鴉接著說,「也找到其中一位,應該就是真正的管理者,等下再跟麻子對一下,說不定我們鎖定的就是同一個人。」
「好的!這部分等下再處理,那其他兩家呢?」
烏鴉回答道,「A家比較奇怪,我找到管理者的密碼資料,也登錄了,去到那個託管的機密資料的地方。奇怪的是,進去後,卻發現裡面空無一物,就好像是東西都被隱形了一般,就不知道他們施了什麼神奇的法術,這可怎麼辦?」
隊長說,「嗯,你提到的現象,在資訊安全的領域裡,有個『資安電腦攻防』的比賽,叫做搶旗比賽(Capture The Flag, CTF)中,也是有類似的可能發生。」隊長接著說,「在CTF 中,比賽的隊伍各自要守住自己的伺服器,比賽的規則,就是各隊想盡辦法攻進別人的伺服器,攻得進去就算獲勝。但是有一個重要的規定是,任何一方不得因為怕伺服器遭到攻擊,而刻意關閉伺服器,主辦單位會隨時檢查伺服器上線的狀況,若有關閉者則判為違規,有相當重的罰則。」
烏鴉接著問道,「所以A家是故意沒裝上託管的機密資料磁碟機?」
「也是有這種可能,我這邊需要往上報告,請他們也去查查看。」隊長接著說,「好的,我想剩下幾天的工作,大致以今天的討論內容繼續進行,記得在結束後,把你們的測試報告發出來,我這邊還要出個總結報告。」
「好的,知道了。」天將神兵結束了線上會議。
一直到測試期限結束,因為並沒有新的狀況再出現,隊長於是作出了報告,主要提到:「懷疑A家是故意違規,B家已被攻破,而C家則成功守護、無法攻破它的網路系統。」
數日後,李中尉猜顏組長應該是收到第二階段的比試報告,撥了個電話想做確認。
「顏組長,請問第二階段的測試結果,報告出來了嗎?」
「李中尉,你電話打來的時機剛剛好,我這邊正在傷腦筋呢!」
「發生什麼事情了嗎?」
「測試公司發出的測試報告,三家參加的廠商中,有一家是被攻破出局,但另外兩家都沒被攻破,守護成功。也就是現在產生了『冠軍雙胞胎』的現象,這個網路安全案子,不可能同時找兩家廠商來承包啊!怎麼辦才好?」
「怎麼會這樣!」李中尉心想這事不單純,根據團隊的測試以及隊長的總結報告,完全沒被攻破的,應該只有一家,另一家明顯還有問題,需要被澄清。
「還有,那個有問題待澄清的廠商,其實就是『達克科技』!」李中尉心裡想著,其實知道達克科技的背景不單純後,當隊長在說明那個可能的違規時,李中尉無法克制地想著,達克科技可能有人在背後指導。
「難道是,當初隊長上報,需要確認達克科技有沒有將磁碟機上線,這事被壓了下來?」但是顧忌到,目前狀況不明,還不適合對顏組長透漏太多。
「看來進一步深入調查,是必要的。」李中尉想到了一個辦法,「組長,我想這兩家如果還是要比個高低的話,最好做個『滲透攻擊』。」
「『滲透攻擊』,是什麼意思?」
「簡單的說,就是從他們公司的『內網』去找答案,之前廠商公布的測試網站,是讓測試公司從『外網』進入,那邊一定有裝防火牆,擋掉了從外面過來的攻擊,但若是他們公司內,有窩裡反的間諜,就有可能直接攻擊內網,獲取機密資料。內網測試,可以做更嚴格的檢驗,甚至揪出他們內部的網路控管的問題。」
顏組長面有難色地說道,「還要再加一個測試?這已經超出跟測試公司談的合約內容,如需真的要加,考慮還要對上面打報告,時間勢必要再拖延,並且還要多花錢,你也是知道的。」
心裡知道組長會有的為難,李中尉說道,「顏組長,我有個不用花錢的方法,但這邊可能還要你的大力幫忙。」
「不要這麼說,你願意來幫忙我已經是很感激,要我做什麼都是應該的,你儘管說!」顏組長豁出去了,想著這個案子一定要能順利地結束才好。
「首先,我們先不要公布目前的結果,就跟廠商說,因為測試工作還沒有完成, 請他們繼續執行網路安全的計畫,至少需要再一個星期。而在這段期間,由我們兩個自己來執行這個『滲透測試』,李中尉向顏組長解釋他的下一步計畫,「這個測試,必須想辦法避開他們對外的防火牆,最直接的辦法,是盡量貼近他們的網路設施。」
「你是說,甚至進到他們公司去?」顏組長有點吃驚地問道。
「沒錯!」李中尉肯定的語氣說道。