why bother?成大教授:不只政府,全民都要提防華為等中國手機

why bother?成大教授:不只政府,全民都要提防華為等中國手機

文・李忠憲

中國資通訊大廠華為在全球引發資安疑慮,多國政府考慮禁用,台灣政府機關也傳出3月擬禁用的消息。然昨天(1/24)前工研院主任杜紫宸接受媒體訪問時,表示政府「why bother?」並點名資安專家回應,此文在資通訊業界引發熱議。 今天早上(1/25),專長為資安與網路通訊的成功大學教授李忠憲,提出以下回應:

【最新消息】未來城市開設新 FB 粉專囉!按這裡加入吧!

杜紫宸提出兩個問題,第一個:如果他使用的是華為手機,可是他的4G電信服務商是中華電信,請問他的手機如何自我傳送資訊,透過中華電信告知華為,他的動態、名錄和聯絡信息?

如果是用華為手機,而手機暗藏後門,只要有任何的網路連線,不管是透過中華電信、遠傳或台灣大哥大的4G服務,或無線網路 Wi-Fi 等等下層的網路連線,手機上層的這些應用程式,就可以利用下層網路,隨時隨地傳送資料到中國的資料庫。

管理手機、終端設備與資通訊系統資安的人,基本上不會自找麻煩,如果在系統之內可以做的事情,盡量不會去限制一般的用戶。

但為什麼要禁止像華為這樣中國製的手機,在政府機關裡面使用?因為即使在機關裡針對華為的手機用戶做嚴格的網路管控,在內網流量分析和利用資安設備管制後門所造成的可疑連線之後,這些手機一樣會在內網裡收集資料,再利用沒有管制的服務,如中華電信的商業用4G,傳送到中國去。

這就是網路技術的基本特性:應用層可以向下多工,利用各種不同網路層的連線傳送資料。所以,只在機關的內部網路資安設備進行的管理措施,無法防止洩密;也正因如此,才必須管制華為這樣中國製的手機。

國安單位不只知道誰是Nancy,還知道你們的關係

至於第二個問題:杜先生問,通訊錄上都是Nancy、Henry、David,請問華為背後的中共國安部門,如何辨别誰是誰?

駭客攻擊裡有一種叫做「進階持續性威脅」(Advanced Persistent Threat),這種攻擊出現應有十年了。什麼是 APT?簡單地說,就是針對個人或特定組織,所做的複雜且多方位的網路攻擊。潛伏攻擊的時間可能長達幾週、幾個月甚至幾年。

內藏後門的手機,比駭客的攻擊更為簡單方便;手機上的任何資料,不止通訊錄、通訊過程、電子郵件內容、甚至談話的語音或影像紀錄,都可以備份經由暗門,傳送到中國的資料庫。

所以,華為背後的國安單位不只知道Nancy、Henry、David是誰、電話號碼、家住哪裡;他們還可以知道你跟他們是什麼關係、長得是什麼樣子、今天你和誰吃飯、在手機上打了什麼屁,傳什麼樣的新聞故事病毒給你最有用。

更不用說,手機拍的照片影像紀錄也都會被傳送到中國的資料庫。像杜先生這樣的重點人物,中國一定是用最高規格的尺度來加以對待,分配到的頻寬和儲存空間一定是比別人多,所以可能會更可怕。

雖然杜先生問的是專家大大,我這個專家小小跳出來回應,可能會令人感到失望。但是趁這個機會,我還是要呼籲台灣民眾:「千萬不要貪小便宜買中國製的手機或智慧家電設備。」人工智慧的時代,資料比錢更有用。

【延伸閱讀】公部門禁陸資通訊產品 杜紫宸:政府「why bother?」

CEO家中語音與影像,24小時往中國送

最近知道一個案例,有一個CEO等級朋友的家人,買了一個中國製的智慧家電放在家裡,感覺自己的網路變慢了。經過網路流量分析以後才發現,家裡的語音和影像一天24小時沒有間斷地往中國的資料庫傳送,自己過了好幾個月的透明人間的生活。

所以,資料就是金錢,便宜的最貴,小心中國製的資通訊設備就在你身邊。(李忠憲為成功大學電腦與通信工程研究所教授,現任國家高速網路與計算中心副主任兼資安長,專長為網路安全)

(本文獲李忠憲授權轉載 https://www.facebook.com/100003046621143/posts/1876035895841280/

未來城市@天下精選

轉載網路意見領袖好文,看見智慧城市與政府治理的多元觀點

延伸閱讀