阿碼外傳-阿碼科技非官方中文 Blog: 2009年9月25日

2009年9月25日

[No Tech] 阿碼科技於DEMO Fall 2009發佈最新掛馬檢測技術HackAlert V2


在資策會的領軍之下,阿碼科技登上了DEMO的舞台,發表我們的第二代HackAlert網站掛馬檢測技術。HackAlert V2除了更準確地監控網站掛馬與網頁至換之外,更與SmartWAF配合,提供了即時修復的功能。HackAlert V2能夠準確地定位被插入的惡意元素(html、iframe、javascript等),一方面幫助網站管理者修復網站,一方面則將訊息即時地傳送給SmartWAF。收到指令後,SmartWAF會啟動即時掛馬修復功能,動態地透過修改http response,將被掛入之惡意成分移除,一方面保護網站的訪客,一方面也免於網站被列入Google或防毒廠商的黑名單當中。再加上CodeSecure可以掃瞄程式碼,幫助程式漏洞之修改,以及阿碼資安顧問團隊ASF所提供的各種服務,整個阿碼的Web資安解決方案,可說相當完整。

我們的六分鐘DEMO影片如下:

主流媒體報導:
Mashable: HackAlert: Web Apps Finally Get Secure
VentureBeat: DEMO: Armorize’s HackAlert notifies you if your web site is under attack
iThome: 阿碼科技HackAlert™ 世界肯定,受邀「全球創意DEMOfall 09」之展出
DEMO網頁上的阿碼

整個從參加資策會Ideas Show開始到DEMO,我的感覺是...「大難不死」...

怎麼說呢。不論是資策會的Ideas Show或者DEMO,都是非常棒的產品發表舞台。今年大廠如HP與Google,也都在DEMO上發表他們的新技術。DEMO的展示,因為只有六分鐘,所以內容都很精華,可以看到有些人緊張,有些人穩健,有些人背稿,有些人熱情...加上短時間內可以看到許許多多的創新,體驗創業家的那種熱忱,讓我很喜歡看DEMO的六分鐘影片。我的心得是,上場的如果是團隊的專業行銷部門,通常可以做得很流利穩健,一看就是訓練有素,一點不怕大場面。但是如果是創辦人或經營團隊親自出馬,因為不常上台,雖然會比較緊張,雖然講話比較不順,甚至有些笨拙,但是總能帶給觀眾更深切的感受。因為他們所散發出來的,是他們對於技術的熱忱,對於產品的信心,對於公司的驕傲--這種心情深深滲透在他們的血液裡頭,他們想要告訴觀眾,他們的東西有多好!這種感覺,不是專業的行銷團隊所可以訓練出來的。

去年讓我印象最深刻的DEMO團隊,後來也得了DEMOGod獎,是Plastic Logic這家公司,由CEO Richard Archuleta親自上場。Plastic Logic成立於2000年,募了超過兩億美金的資金,做的產品是電子書上用的超薄塑膠螢幕。Richard在台上蠻緊張的,DEMO中也出現一些小錯誤,但是產品真的很棒,技術門檻很高,加上大家都可以看出,他的展示中充滿了對公司的信心與驕傲,是我覺得他們得獎的主要原因。

今年得首獎的兩個團隊,一個是做MS Outlook外掛,來自澳洲的Liaise,另一個則是做超薄塑膠喇叭的EMO Labs--兩家公司做的都跟Web沒有直接關係。我看完EMO Labs的展示,就直接認為,今年他們一定拿獎!EMO Labs也是由CEO Jason Carlson親自上場,講得很慢,但是表達得很清楚:現在螢幕越做越薄,沒有空間能夠置入好的喇叭系統,成為目前超薄顯示系統的最大弱點。EMO Labs能夠用透明的塑膠材質,做出雙聲道的喇叭,直接黏在螢幕前面,不佔任何空間,而效果又好:

Jason忙著介紹公司的產品與技術,甚至往了介紹自己的名字,讓記者急著詢問,台上到底是誰?

阿碼這次一路從資策會IDEAS Show,參加到DEMO,可以說非常辛苦。困難之一,是這種產品平台上發表的東西,都很炫。可是要把資安的東西,對著台下都不是資安領域的聽眾,講得很炫,真的是一件很不容易的事。阿碼的核心技術,首推源碼檢測;從2003年寫的論文,一路做到現在,演算法也不知演進了多少代了,現在所用的資料結構與演算法,實在非常漂亮,可是,我們已經幾年沒有在台上講過這些技術了。這些東西講起來就是一堆演算法,畫一堆graph,然後推複雜度(complexity);不要說一般聽眾,就連資安專家,可能有興趣的也不多。講應用面呢?在一堆密密麻麻的程式碼中跳來跳去,解釋我們用什麼演算法來掃到什麼樣的複雜漏洞...除非台下對於資安與程式設計都有基礎,不然也是很難有效果。也許這就是源碼檢測團隊的宿命吧!永遠只能在一個很小的圈子中,才能因技術的分享而產生興奮的火花。

這也是為什麼,對於我們公開的演講或這類的展示平台,我們都盡量以HackAlert為主。當然還是遠不如超薄塑膠螢幕或塑膠喇叭所能帶來的驚奇,但是至少網站掛馬還是跟一般人有些關係,大家聽了比較有感覺。

困難之二,是我們大家都身兼數職,大家真的是騰不出時間來準備與練習。拿我來說吧,DEMO創辦人Chris Shipley應資策會邀請來到台灣,也約了我們碰面,我是創辦人兼CEO,理當去赴約,可是我實在太忙,公司大小事情堆積如山,每個小時對我都很重要,實在無法抽身,只好請創辦人兼COO兼CFO的Matt,以及Sales Director Volker與她碰面,並參與IDEAS Show的準備與上台工作。

結果雖然我們得了獎,也受到了DEMO的邀請,可是大家都說,實在沒空去。經過協調,只好請John代替需要全心投入歐洲市場開發的Volker,並還是請Matt與創辦人兼CTO的Walter上場。John來自加拿大,目前全家都在台灣,他在資安界做了近20年,除了擁有CISSP等證照,也是ISC2(發行CISSP的組織)與SANS的顧問,由資安經驗豐富的他出馬,幫我們重新設計展示內容與寫演講稿。

準備期間,資策會IDEAS Show的許多同仁,一路輔導我們,讓我們充分體驗了他們在這方面的經驗與專業。我們是第一次參加DEMO,他們則是經驗豐富,在他們的指導下,我們的演講可說是翻了又翻,改了又改,一直到上飛機的前幾天。整個過程中,我可以說是提心吊膽到了極點。因為我知道一個資策會不知道的秘密:他們眼前的這三個人,排演一結束,就會開始接電話,開會,Walter甚至還要顧HackAlert的技術部分,一次彩排完,我看過幾個小時,他們就什麼都不記得了,這是要如何上台?

日子過得很快,一下子這票人就到了聖地牙哥了,結果一到旅館,果然不出我所料,Walter立刻被台灣的研發團隊纏上,Matt也是電話講不完...輪到他們上台預演時,大家是拿稿子上去唸的...當然,看到其他隊伍似乎都準備充分,他們比我更緊張,於是我發了一封email給全公司,接下來一天,大家不准打給Matt或Walter,有事只能寫email。然後我說,我們上台前的CEO晚宴,說明會,開幕等,都交給同事Orion處理,Orion是美國人,他會弄得很好,要上台的三人,不准出門,趕快練!

DEMO開始了,我們是下午第一家,我晚上開始從台灣看網路上的現場轉播,一連幾家公司都出現網路問題,大會主席Chris Shipley也出面說,會場頻寬不夠,希望在場的大家不要連接現場轉播,會吃去頻寬。DEMO限定一定要live的DEMO,不能用錄影的,也不能用投影片。可是一旦現場頻寬不穩,狀況就會慘不忍睹。Chris雖然有答應受影響的團隊可以重來,可是,誰希望重來呢?於是我立刻與Walter聯絡,Walter說,他不怕,叫我不用緊張,他有多個方案,一站上台的前十秒,他會先測試,決定哪個方案後,會跟團隊打pass。

輪到他們上台時,台灣凌晨五點多,我在電腦前看著轉播,那六分鐘之間,我真的是緊張到忘記要呼吸。DEMO的網站上,實況轉播旁邊就是twitter上有關活動大家的看法。我們的DEMO進行到一半時,我發現,大家真的都很喜歡我們的DEMO!

其中兩個tweet真是讓人振奮:

「How these guys made security interesting, dont' know, but they did. Great job HackAlert- Armorize.com」(這些人如何讓資安變有趣的,不知道,但是他們做到了。做得好,HackAlert)
「Why do the security companies have the best presentations?」(怎麼最好的展示都是資安公司?)

從頭到尾,他們演出完美,沒有讓公司漏氣,更重要的是,在這個台灣軟體業邁向國際的接力賽中,我們沒有掉棒,我們盡力做到能力所及之最佳水準,沒有對不起前輩,也沒有讓資策會的長官失望。看著他們的展示,不但心裡幫他們驕傲,也幫台灣所有的同仁驕傲。四年前,我們有的不過是很多的論文,都寫在紙上;四年後,我們在DEMO上展示的CodeSecure與HackAlert,看起來是那麼的成熟,那麼的專業,我們舉出的指標性客戶,遍及全球,並都是最大的客戶。

最近,如何訓練新人,是團隊中常被提起討論的議題。看著他們的討論,想到四年前他們青澀的模樣,當時他們雖然技術好,但是缺乏經營的經驗。四年之後的他們早成了公司的棟梁,是源碼檢測與惡意程式的專家,仔細地設計出公司的各種流程與組織架構,用心地幫公司想未來。究竟是什麼樣的運氣,讓我們大家能相遇,讓阿碼能有這樣的團隊,我也想不懂。但是,恭喜大家,你們的努力,成果不凡!也再次謝謝資策會、研考會、技服中心、軟協等指導單位在各方面給阿碼的幫忙,我們會繼續努力,很高興在台灣的軟體界邁向國際的路上,我們能夠參與其中!

作者Wayne為阿碼科技一員

繼續閱讀全文...