資安懶人包|不用華為手機,是資安還是政治問題?翟神、駭客、張善政、專家想得都不一樣

資安懶人包|不用華為手機,是資安還是政治問題?翟神、駭客、張善政、專家想得都不一樣

文・陳芳毓

資安是本週國內外熱門話題。美國司法部正式起訴華為財務長孟晚舟,台灣關於中國產品的資安討論也延燒近一週,有哪些大神發言?政治與資安,真的分得開嗎?

【最新消息】未來城市開設新 FB 粉專囉!按這裡加入吧!

政府部門該不該使用有資安風險的科技產品?民眾該如何堤防個資被科技廠商濫用?「華為手機資安門」引發的討論持續一週,前工研院主任杜紫宸、成大教授李忠憲曾任職、Google的前行政院長張善政等人,紛紛加入戰場。

其中,參選總統呼聲高的張善政,因發言引發科技界質疑,昨天承認「對資安實務的認知有不足之處」,今(一月30日)中午更邀請天才駭客陳盈豪與和沛科技創辦人翟本喬臉書直播,強調「不談政治,只談技術」。然而,全球化已抹平世界,網路模糊了現實與虛擬,談資安,真能「技術歸技術,政治歸政治」嗎?

華為事件延燒全球已近半年,2018年8月,美國率先聲明政府機構不得使用華為及中興的通訊產品與技術。12月,華為財務長孟晚舟在加拿大被捕,世界各國對華為的資安疑慮紛紛浮上檯面。英、加、紐、澳、日等國政府,都陸續指出使用華為的風險,並已下達不同程度的使用禁令

今年,台灣政府機關更積極表態。一月15日,工研院宣布內部網路不再支援華為手機與電腦;一月23日,日經新聞報導明確指出,台灣計劃在3月底列出名單,禁止公部門等機構使用華為、中興通訊等企業的產品。台南市政府也率先響應中央政策,盤點資通訊設備,全面禁止使用中國硬體產品。

事實上,2013年,馬政府便已全面禁止公務使用華為等中國製資通訊產品。行政院資通安全處處長簡宏偉向經濟日報重申,「公務用智慧手機未來不會採用大陸廠牌,也將禁用WeChat等通訊應用軟體(app)。新規定也適用於台水、台灣中油、台電等國營事業和國家醫療和研發單位。 」

面對中國資通產品,國內外政府如臨大敵,但民眾似乎無懼。1月19日華為新機上市,微風南山體驗店一早就出現大批排隊人潮;多位3C產品意見領袖也為華為手機背書,表示無資安疑慮。

一月24日,前工研院主任杜紫宸接受經濟日報專訪時,率先提出技術質疑:

「如果他使用的是華為手機,可是他的4G電信服務商是中華電信,請問他的手機如何自我傳送資訊,中間透過中華電信,告知華為,他的動態、名錄和聯絡信息?

再者,如果他的通訊錄上都是Nancy、Henry、David,請問華為背後的中共國安部門,如何辨别誰是誰?

如果以上兩件事均屬可行,請問 「有心人」 需要在幾噸的垃圾大數據中,才能抽絲剝繭出一公克的有價值資訊?」

杜紫宸在訪問中點名「專家大大」指點迷津,隔天一早清晨六點多,成功大學電腦與通信工程研究所教授、國家高速網路與計算中心副主任兼資安長的李忠憲,隨即在臉書提出兩點反駁

・若華為手機暗藏後門,無論用中華電信或任何網路連線服務,都能隨時隨地傳送資料到中國的資料庫。

・若手機內藏後門,手機上的任何資料,包括通訊錄、通訊過程、電子郵件內容、談話的語音或影像紀錄,都可以備份經由暗門傳送到中國的資料庫。「華為背後的國安單位不只知道Nancy、Henry、David是誰⋯⋯他們還可以知道你跟他們是什麼關係。」

文章隨即引發熱議,上線不到三小時,分享數就突破2000。

【延伸閱讀】why bother?成大教授:不只政府,全民都要提防華為等中國手機

 

號稱「PTT創世神」的台灣人工智慧實驗室創辦人杜奕瑾,雖未發文參戰,但也在同一時間分享了一篇「抗華為新八國聯軍」的報導。

接著,曾任Google亞洲硬體營運總監的前行政院長張善政,加入戰場。他指出工研院等單位禁用華為手機,「規定完全抓錯方向,沒有必要,」因為「手機要被植入惡意後門的管道是來自APP軟體,不是硬體。」

這個論點引起資訊界嘩然,連天才駭客陳盈豪也現身留言,表示若是他,會直接將惡意軟體放在硬體裡。陳盈豪就讀大學時,曾寫出一支「CIH車諾比病毒」,造成全球超過6000萬台電腦中毒。

大神一開口,各方隨即「朝聖推」。截至一月25日,光這則留言就有超過3800個讚、522則留言。

當天,曾任職Google、鄉民人稱「翟神」的和沛科技創辦人翟本喬,也發文反對政府機構使用華為產品。除了技術面的說明,他也從商業與政治角度,回應許多網友的質疑:為什麼不能用華為,但可以用美國公司的產品?

翟本喬認為,「道理不在科學,在於商業模式。一般公司的目的是賺錢,一旦被發現做了壞事它就賺不了錢了,所以它不會去做。

而中資的公司很多都有政治目的,它們不一定要賺消費者的錢,而是可以為政治服務。如果是一般民生產品也就罷了,但資訊網路骨幹這種設施,我是絕對反對使用中資公司的產品的。」

一月27日週日早上,張善政表示前文說明過於簡單,造成誤解,又發出第二篇文章。但留言已漸失焦,從技術轉移到政治立場之辯。


與張善政同一時間,另一位資安大神、艾爾科技(L Labs)創辦人林宜敬也發文。

他舉二次世界大戰時法國地下反抗軍聽廣播,抵抗德軍的例子,說明駭客竊取情報,可分為「安插內應」「暗中發展組織」與「接獲指示,搜集情報或是搞破壞」三個階段。前兩階段發展出的間諜組織,不會輕舉妄動,曝露身分;一旦接獲秘密指令,便會立刻發動特定破壞。

而那些我們下載APP或瀏覽網站時不慎帶入的惡意程式,就是埋伏在手機裡的「內應」。

【延伸閱讀】華為手機安全嗎?你可能已不小心下載了「內應程式」

一月29日,李忠憲再度發文,語重心長提及,近期的討論「不是將資訊安全過度政治化,就是將資訊安全過度技術化」。事實上,「資訊安全是一種妥協的藝術,是一種資源的配置,」最務實的做法就是評估風險,「按照風險的高低配置資源,控制風險的發生。」

他提醒,除了手機,各種智慧家居用品如智慧音箱、門鎖、監視器、(掃地)機器人等,都是透過「資訊收集+AI+聯網」,人們的一天二十四小時的食衣住行育樂,都可能將無所遁形。

他推薦《時代雜誌》一月號底的封面故事中,蘋果執行長庫克(Tim Cook)的觀點:強制立法,規定資訊所有者主動同意前,資料都不准被使用,更不准被交易。人人都應有機會說,「等等,我不同意你販賣我的個資。」

未來城市@天下編輯部

尋找在城市幸福生活的所有可能

《未來城市》是《天下》於2018年推出的智慧科技與設計交流平台。 ​​透過報導智慧城市、社會設計、專家洞察,期望成為一個提供市民、企業和政府單位對話的平台。

延伸閱讀