資通設備禁令紛爭下,你該具備的資安意識

作者 | 發布日期 2019 年 02 月 01 日 10:12 | 分類 網路 , 網通設備 , 資訊安全 follow us in feedly


近日台灣對政府內部是否禁華為電信網通設備與手機的議題討論大發酵。土木工程學背景的行政院前院長張善政倡言:「手機要被植入惡意後門的管道是來自 App 軟體,不是硬體」、「禁止採購中國電信設備:這是假議題,政治性宣示居多。」張與從前擔任多家公司、機構專業經理人的杜紫宸在 Facebook 所發資安言論,引來電腦科學博士翟本喬、成大資通安全研究與教學中心主任李忠憲、知名電腦科學家陳盈豪為首的諸多資安專家與大量資訊工程師爭論,展開一大堆論辯,到底孰是孰非,誰才有理呢?

這個議題其實橫跨範圍很大,從手機硬體到軟體、手機跟基地台關係、Google Android 系統的不同層級、手機 EULA 同意書、中國國家法律規定對企業營運行為的影響、稜鏡計畫等都有,今日的資訊/通訊科技發展變革快速,且已細緻分科化,如果未能時時更新知識,不要說一般人,就連資訊老人都會有很大的知識鴻溝,因此筆者整理本篇科普文,希望能幫助更多人理解這些相關資訊安全、乃至國家安全的重大議題。

首先最基本的思想邏輯,如何篩選誰說的比較有道理?當然是專家的話會比較有道理。那我們要看專家的頭銜還是專業領域?當然是專業領域囉。另外,資訊科技與資訊安全是變動快速的科技領域,這個專門的實證領域沒有人在比誰年紀大或官位大,只會「陸軍棋」式官大學問大、倚老賣老邏輯的人,無法勝任日趨複雜的資安攻防,我們也無法信任如此思維人士的發言。

手機惡意後門的管道來自 App 軟體,不是硬體?

關於「手機要被植入惡意後門的管道是來自 App 軟體,不是硬體」,這句話是錯的,20 年前的 1999 年已經證明──就在那年 CIH 病毒肆虐全球,它是第一個能感染 BIOS 等電腦硬體晶片的病毒。什麼?硬體晶片出廠以後還可以再變更?這是第一個知識認知鴻溝,很多長輩與大眾的認知其實停留在筆者撰寫的前文《你所不知道的經典科技發展史:以前 CPU 如何設計出來的?》的時代。1980 年代以前,設計一款晶片真的要實體繞線,設計好做成晶圓後就不能再變更;但是現代有硬體描述語言 VHDL(雖是「語言」,但為電路設計範疇),可在電腦模擬環境設計晶片,然後燒錄在 FPGA(可程式化的積體電路)上,就能「打造」一個新晶片來了,而這種 FPGA 晶片日後還可以更新。這類特殊硬體,我們稱為「韌體」,現代許多硬體晶片除了不可變更的部分,幾乎都含有這種韌體單元,使晶片出廠後還能更新、修正,現代 3C 產品底層硬體晶片幾乎都還有可程式化部分。

更進一步,跟長輩以前認知的 6502、80286 時代 CPU 很不一樣,現在手機 CPU 晶片都是 SoC(System on Chip),一個晶片其實相當於 1980 年代一整台個人電腦,也就是說一個 SoC 裡面又「安裝」數個晶片,例如一個 SoC CPU 裡面有好幾顆 CPU(所謂的多核心 CPU)、GPU 等,當然也包含韌體,韌體裡面可能有不同於手機作業系統的另外一個迷你系統,手機作業系統不見得「看得到它」的存在,就算看得到也不一定可控制。

說回來,Android 手機的後門可能在哪裡呢?這成分 3 個層次:

  • 應用軟體層:也就是所謂的 App,例如中國通訊軟體微信、360 系列軟體等 App 有後門洩漏隱私問題。如果是這類軟體可裝可不裝,那倒還好,有 App 市集──Google Play 的安全把關,不要自己安裝不明來源軟體,這是使用者可自主管理的;但如果手機買來,手機系統已強迫預裝特定有疑慮的 App 而你不能移除,那麼那個 App 軟體的後門自然就一直開著。
  • 作業系統層:Android 系統是開放式平台,包含 Linux 核心及上層 framework,各手機廠商可客製化,如果有刻意的手機廠商直接修改 Android 系統底層的 Linux 核心,這會是很大的後門,你使用應用層的 App 檢測軟體也不一定檢測得出來,這中國手機品牌常常發生
  • 硬體層:如同前面所提,直接實做在晶片的後門,它可能就是埋在 SoC 裡的小系統,也許還有自己的網頁伺服器,這是作業系統或 App 都無法觸及的領域

也就是說,應用軟體層使用者還可自主管理多加留意,但作業系統層、硬體層兩者就沒辦法了,畢竟手機本身要搞鬼的話,外面難以測出來。

不是有 NCC、工業局檢測嗎?

經濟部工業局指導的資安檢測聯盟只有在測試 App 的弱點檢測資安,但是他們沒有檢測惡意機制跟相關系統的弱點問題;NCC 有檢測手機硬體安全性,但只能在手機送檢時,對收到的手機硬體做基本弱點檢測,送檢完成後,就不是 NCC 的範圍了,惡質廠商送檢完後,把上市版手機改刷新韌體,更新成有後門問題的Android 系統,你也無從得知。

那可能有人會問,要求 NCC 或工業局要對手機做最嚴格的檢測呢?套用 CIH 陳盈豪先生 1 月 30 日張善政的訪談直播提到的:「你把一根針丟到海裡,要白帽駭客去檢驗出針在哪裡,沒有人找得到,成本高到沒辦法預估。」除非惡質手機/網通設備公司技術不足,埋的後門很容易被看出,但因無法預期對方的能力高低,所以需要更高成本檢驗後門。例如一家惡質公司花一年時間找一堆人做了一個無懈可擊的後門,就算政府委託 CIH 陳盈豪,他也可能需要 1 千個人力給 1 千年才保證檢測得出來。

你的手機真的是你的手機嗎?

所以購買手機時應要慎選可信賴的手機廠牌,可是真的會有惡質的手機製造商嗎?為什麼大家質疑的清一色是華為、中興、小米等中國公司呢?因為中國《國家情報法》中第七、十、十四條等,要求中國任何組織、人,在國外要配合政府以必要的方式手段、管道協助國家的機密工作。在民主國家,任何公司做生意以自身商業利益為最高指導;然而中國的企業不能當成一般公司看待,而是以政治服務(無產階級專政)為最高指導,只要政府需要,就必須配合國家要求進行間諜活動,這就是讓人非常擔心的地方。

▲ 中國國家情報法相關內文。

有人會說「中國華為、小米、中興等手機/物聯網裝置等產品內建後門有什麼關係?美國不是也有稜鏡計畫,這是列強互相爭鬥,天下烏鴉一般黑啦!」其實兩者差異很大,所謂的稜鏡計畫(PRISM)的確有爭議,是美國國家安全局(縮寫 NSA )的監聽計畫,為了美國國家安全,希望監聽所有有嫌疑的美國人與跟他們有聯絡的外國人通訊,而要求微軟、Google、雅虎等廠商的機房伺服器及通過的光纖通道「開洞」,讓 NSA 可攔截封包來「研究」,這是從後端監聽的做法。

這涉及現代密碼學的範疇,2014 年以前,網頁傳輸大多數仍使用不加密以明碼傳輸的 http,有意識用加密 https 協定的還算有限,例如說信用卡刷卡等,美國國安局攔截到封包時,明碼傳輸當然就看光光了。

然而經過 https 加密的密文,就算是國安局,仍要耗日費時加以破解。歐巴馬任內稜鏡計畫爆料出來後,Google 等公司就把所有網路服務都升級成 https 加密通訊,加強保護使用者隱私。雖然如此,即便蒐集幾百萬美國人的通訊紀錄踩在道德邊緣,但稜鏡計畫仍是美國國會簽署過的監聽計畫,在三權分立下被監督著,且追蹤的是美國國內有國安威脅的人,該醜聞反映的是情報單位的資訊焦慮過度,被本國公民批評後,國安局不能再恣意做超過限度的事。如果今天你真的很擔心隱私被美國國安局監控,只要手機或電腦任何通訊都使用加密甚至強加密,就算是美國國安局,也需要很大的成本才解得開。

前述是你的手機是否可信賴,甚至你的手機品牌是否堅持不向政府低頭(例如蘋果堅持不幫 FBI 解密槍擊案嫌犯的 iPhone),但如果「你的手機不是你的手機」呢?中國企業產品就是如此,所謂「道高一尺,魔高一丈」,中國企業依法「為國家服務」,企業生產的手機、物聯網產品、基地台與電信機房的網通設備產品,在系統層甚至是硬體層加上後門時有所聞。換句話說,你用軟體加密有用嗎?你的手機其實不是你自己的,而是一個密告者,你的訊息未經軟體加密前,硬體已偷偷把未加密訊息明碼傳出,這可說是釜底抽薪的「作弊」法。例如去年中國很嚴重的退伍老兵維權事件,很多老兵透過手機發微信聯絡,然而搭公車到半路,就莫名其妙被公安、城管攔截,這表示手機一直有暗自發送定位資訊及明碼訊息,他們的手機其實是中國政府的「間諜裝置」。

各公司不是都在回傳資料?No,有 EULA 限制

最早在 2014 年時,芬蘭資安公司 F-Secure 發現,小米手機只要插入 SIM 卡連接網路後,就會自動啟動「網路簡訊」功能,未知會使用者的狀況下,暗自將使用者手機號碼、手機序號(IMEI)、國際行動用戶辨識碼(IMSI)等傳送至北京伺服器;如果使用者向他人傳送簡訊或打電話,對方的手機號碼、IMEI,甚至簡訊內容也都被傳送到北京的同一台伺服器,這是很故意的個人隱私外洩。

或許有人說:「啊,美國 Google、蘋果、Facebook 還不是有在回傳資料?」不一樣的是,正派經營的公司產品使用前,必須讀過「終端使用者授權協議書」(英語:End-User License Agreements,點下同意才開始產品服務,裡面會透明化地提到──為了服務改進需求,會回傳一些資料回公司伺服器,但是不會進行 EULA 範圍外的事項。舉例來說,Google 地圖會匿名收集交通流量數據,是有經 EULA 同意的,使用者如果不同意,可緊縮回傳的資料,或是關掉定位,你有選擇關閉的自由。

以前蘋果等發生雲端資安的問題時,被駭客攻破,導致資料外洩,這是失誤,還要負起法律責任賠償顧客損失;然而中國企業在這些方面的作為不透明,製造的裝置配合政府無孔不入監控人民一言一行,賣到國外的發現有進行間諜任務,這是惡意,而一個普通人民也沒輒。

選購手機時(或任何家用網通產品),借用翟本喬先生的說法,最終是考量該製造公司的信用──製造公司的當地法律是否健全、該公司存在目的是真以商業利益為考量(不會故意犯法被處罰砸自己的腳),還是有其他目的?例如有強烈政治動機的公司,你就應該避開他們的產品。

網通設備與政府單位的資安議題呢?

這些爭議的「原爆點」還是要回到張善政先生本身,張對在 Facebook Po 文被「打臉」後,1 月 30 日中午舉辦直播座談會,邀請 CIH 與翟本喬(遠端通訊)來討論,整個過程聚焦在手機的安全。

但問題來了,為什麼邀請這兩位?

張 Facebook 的原文是用按讚的數量多寡來看「大家認為誰是專家」,而不是「誰是專家」。試問,一個人夠不夠專業,是看他被多少人按讚的人氣嗎?好比說如果在台灣,周杰倫獲得的讚數比 John Williams(大白鯊、星際大戰等知名經典電影配樂的作者)還多,難道 John Williams 比周杰倫不專業嗎?這是評量是否專業的好「排序法」嗎(Google 好像很講究這個)?更進一步,當張 Facebook 發出這精美的圖片、誠摯的文字邀約後,協尋政府資安長的原文回應中,陳盈豪(Facebook 帳號 Chen Ing-hau)尖銳的留言就恰好從按讚最頂端消失了?縱使翟本喬與陳盈豪的確是優秀的電腦工程師,但這樣的選拔法還有巧合也滿奇妙的。

更有趣的是,張的直播節目說明提到「資安就是國安」,卻把議題導向一般消費者使用手機的安全,咦?大家好像忘記了一件很重要的事情……原來這個議題的重點是什麼?

這才是第一項喔,為什麼呢?上週美國、英國、歐盟、日本等民主國家相繼禁用中國華為的 4G、5G 電信設備後,各級政府、工研院等也表示跟進,而張予以批評,但在直播中,張卻聚焦一般使用者的手機安全,而非資通設備安全,就像宣傳節電要個人隨手關燈,但卻忽略工業廠房才是用電大戶。

更進一步,關於張原始提到的第三項手機資安問題,其實最原始的議題是「工研院禁止員工使用華為品牌的手機與電腦連上內部網路」,直播座談中卻變成「一般人使用消費性手機的情境」。

這有什麼問題?

各級政府與工研院內禁用華為手機、電腦產品,是要防禦什麼等級的駭客?顯然不是普通等級的駭客,但是張主持節目的前提是:「如果駭客要攻擊我們這個社會,他們會如何進行?那我們又有什麼方法可以防禦?資安就是國安,我們要如何保護自己的安全?我們不針對任何一個廠商,不針對任何一個國家」。這就好比 1940 年初的法國,有人開了一場國防安全研討會,前提是:「如果有壞人要攻擊我們社會,他們會如何進行?我們又有什麼方法可以防禦?我們要如何保護自己的安全?我們不針對任何一個個人,不針對任何一個國家。」卻絕口不談正磨刀霍霍向西歐的納粹獨裁者希特勒在做什麼軍事準備,這不是很奇怪?

對,一般駭客可能是愛現的屁孩或想勒索人發大財的專業駭客,但哪種等級的駭客有辦法在手機賣到市場前就先在系統晶片、作業系統裡埋後門?一般手機製造商會這樣自毀商譽,不怕被國家法律制裁嗎?是什麼樣的動機驅使其做這種事?不是國家政策性的鼓勵或默許?那這樣不是國家級駭客是什麼?泛泛而論一般手機廠商會不會「為惡」,是不是每間都要加以防範,卻不提像華為這樣的高風險製造商(好像研究 1937 年世界各國會不會攻打法國,卻不探討最高風險的德國),畢竟華為公司各種系統性間諜行為正是當前國際最大的焦點,然而直播的議題卻以「只討論技術,不談人,不談政治」的理由被輕輕放下,最後話題帶向怎麼鼓勵年輕人投入資安,然後大家覺得前院長拋磚引玉、禮賢下士,胸襟十分寬大,卻沒注意到張口口聲聲稱呼對岸為「老大哥」,也沒發現議題焦點被巧妙轉移?

事實上,個人買什麼自用手機,安裝什麼千奇百怪 App 都是個人自由,如果不怕手機用一用,有天信用卡、XXpay 被盜刷,或自己的行蹤規律莫名被第三者掌握,那都是個人選擇;然而影響個人事小,影響眾人事大!所謂的國安問題,一直是指在公家機關的資訊流通與電信網路骨幹設施的高資安要求,要避用已知有潛在高資安風險廠牌的網通設備,這也是反服貿時 49 位聯名資訊通訊專家所擔憂的點,如今華為事件更讓人擔憂。

以委內瑞拉為例,該國 20 年前轉為社會主義國家,全盤接受中國的各種「善意」,從中南美洲人均 GDP 最高的國家,淪為今日民生凋敝,通貨膨脹嚴重(去年通膨率高達 12,875%)的慘況。

這樣糟糕的政權可以苦撐多年,為什麼?因為馬杜羅的政權依靠中興製造的數位身分證「祖國卡」,搭配電信公司購進的中興電信設備,全面性監控人民一言一行,甚至總統大選時表面上是持「祖國卡」匿名投票,實際上政府透過後門能分辨出誰投給馬杜羅,就給予食物、藥品獎勵(也就是變相賄選)。像中興、華為等這樣配合中國輸出極權統治工具/技術的公司,我們可以只討論技術,不討論是什麼人、什麼公司?想像如果是我們國家大力擁抱中興、華為,錢出去,便宜貨進來,然後是誰發大財?

中國對台灣資訊戰的威脅是不可能避談政治的。

最後筆者引李忠憲教授的話做結:「做地圖砲的全面性攻擊,你要有大規模毁滅性武器那樣無限的資源,否則只是刻意為某些高風險的因素護航,混淆資源配置的方法,先要確定風險的來源,才有防禦和達到資訊安全的可能。」

(首圖來源:pixabay

延伸閱讀:

關鍵字: , , , , ,