【最新消息】未來城市開設新 FB 粉專囉!按這裡加入吧!
政府部門該不該使用有資安風險的科技產品?民眾該如何堤防個資被科技廠商濫用?「華為手機資安門」引發的討論持續一週,前工研院主任杜紫宸、成大教授李忠憲曾任職、Google的前行政院長張善政等人,紛紛加入戰場。
其中,參選總統呼聲高的張善政,因發言引發科技界質疑,昨天承認「對資安實務的認知有不足之處」,今(一月30日)中午更邀請天才駭客陳盈豪與和沛科技創辦人翟本喬臉書直播,強調「不談政治,只談技術」。然而,全球化已抹平世界,網路模糊了現實與虛擬,談資安,真能「技術歸技術,政治歸政治」嗎?
華為事件延燒全球已近半年,2018年8月,美國率先聲明政府機構不得使用華為及中興的通訊產品與技術。12月,華為財務長孟晚舟在加拿大被捕,世界各國對華為的資安疑慮紛紛浮上檯面。英、加、紐、澳、日等國政府,都陸續指出使用華為的風險,並已下達不同程度的使用禁令。
今年,台灣政府機關更積極表態。一月15日,工研院宣布內部網路不再支援華為手機與電腦;一月23日,日經新聞報導明確指出,台灣計劃在3月底列出名單,禁止公部門等機構使用華為、中興通訊等企業的產品。台南市政府也率先響應中央政策,盤點資通訊設備,全面禁止使用中國硬體產品。
事實上,2013年,馬政府便已全面禁止公務使用華為等中國製資通訊產品。行政院資通安全處處長簡宏偉向經濟日報重申,「公務用智慧手機未來不會採用大陸廠牌,也將禁用WeChat等通訊應用軟體(app)。新規定也適用於台水、台灣中油、台電等國營事業和國家醫療和研發單位。 」
面對中國資通產品,國內外政府如臨大敵,但民眾似乎無懼。1月19日華為新機上市,微風南山體驗店一早就出現大批排隊人潮;多位3C產品意見領袖也為華為手機背書,表示無資安疑慮。
一月24日,前工研院主任杜紫宸接受經濟日報專訪時,率先提出技術質疑:
「如果他使用的是華為手機,可是他的4G電信服務商是中華電信,請問他的手機如何自我傳送資訊,中間透過中華電信,告知華為,他的動態、名錄和聯絡信息?
再者,如果他的通訊錄上都是Nancy、Henry、David,請問華為背後的中共國安部門,如何辨别誰是誰?
如果以上兩件事均屬可行,請問 「有心人」 需要在幾噸的垃圾大數據中,才能抽絲剝繭出一公克的有價值資訊?」
杜紫宸在訪問中點名「專家大大」指點迷津,隔天一早清晨六點多,成功大學電腦與通信工程研究所教授、國家高速網路與計算中心副主任兼資安長的李忠憲,隨即在臉書提出兩點反駁:
・若華為手機暗藏後門,無論用中華電信或任何網路連線服務,都能隨時隨地傳送資料到中國的資料庫。
・若手機內藏後門,手機上的任何資料,包括通訊錄、通訊過程、電子郵件內容、談話的語音或影像紀錄,都可以備份經由暗門傳送到中國的資料庫。「華為背後的國安單位不只知道Nancy、Henry、David是誰⋯⋯他們還可以知道你跟他們是什麼關係。」
文章隨即引發熱議,上線不到三小時,分享數就突破2000。
【延伸閱讀】why bother?成大教授:不只政府,全民都要提防華為等中國手機
號稱「PTT創世神」的台灣人工智慧實驗室創辦人杜奕瑾,雖未發文參戰,但也在同一時間分享了一篇「抗華為新八國聯軍」的報導。
接著,曾任Google亞洲硬體營運總監的前行政院長張善政,加入戰場。他指出工研院等單位禁用華為手機,「規定完全抓錯方向,沒有必要,」因為「手機要被植入惡意後門的管道是來自APP軟體,不是硬體。」
這個論點引起資訊界嘩然,連天才駭客陳盈豪也現身留言,表示若是他,會直接將惡意軟體放在硬體裡。陳盈豪就讀大學時,曾寫出一支「CIH車諾比病毒」,造成全球超過6000萬台電腦中毒。
大神一開口,各方隨即「朝聖推」。截至一月25日,光這則留言就有超過3800個讚、522則留言。
當天,曾任職Google、鄉民人稱「翟神」的和沛科技創辦人翟本喬,也發文反對政府機構使用華為產品。除了技術面的說明,他也從商業與政治角度,回應許多網友的質疑:為什麼不能用華為,但可以用美國公司的產品?
翟本喬認為,「道理不在科學,在於商業模式。一般公司的目的是賺錢,一旦被發現做了壞事它就賺不了錢了,所以它不會去做。
而中資的公司很多都有政治目的,它們不一定要賺消費者的錢,而是可以為政治服務。如果是一般民生產品也就罷了,但資訊網路骨幹這種設施,我是絕對反對使用中資公司的產品的。」
一月27日週日早上,張善政表示前文說明過於簡單,造成誤解,又發出第二篇文章。但留言已漸失焦,從技術轉移到政治立場之辯。
與張善政同一時間,另一位資安大神、艾爾科技(L Labs)創辦人林宜敬也發文。
他舉二次世界大戰時法國地下反抗軍聽廣播,抵抗德軍的例子,說明駭客竊取情報,可分為「安插內應」「暗中發展組織」與「接獲指示,搜集情報或是搞破壞」三個階段。前兩階段發展出的間諜組織,不會輕舉妄動,曝露身分;一旦接獲秘密指令,便會立刻發動特定破壞。
而那些我們下載APP或瀏覽網站時不慎帶入的惡意程式,就是埋伏在手機裡的「內應」。
【延伸閱讀】華為手機安全嗎?你可能已不小心下載了「內應程式」
一月29日,李忠憲再度發文,語重心長提及,近期的討論「不是將資訊安全過度政治化,就是將資訊安全過度技術化」。事實上,「資訊安全是一種妥協的藝術,是一種資源的配置,」最務實的做法就是評估風險,「按照風險的高低配置資源,控制風險的發生。」