協尋政府資安長(Partll)
2019/01/26
我上一篇評論政府準備禁止華為設備、公務手機聯網到大陸政策的文章,在華為手機的議題上能引起許多技術高手的討論和轉載,並有非常多的專業建議,成為諸方焦點,很精彩。尤其有許多建設性建議,值得政府重視和持續討論!
當初我貼文時,顧慮內容可能會超出某些網友技術的理解範圍,所以把觀念化繁為簡化成硬體與 APP 兩個層次,這也成為許多技術朋友質疑之處。
技術朋友批評我過度簡化的論點:「硬體的後門不是顧慮,APP的後門才是要注意的」。是的,我的確是想儘量簡化(過度簡化了?),讓一般人易懂。既然大家不在意太多技術,我就試著來說完整一點。
1. 硬體會不會有後門?
技術上不能排除,但是實務上已知發生的案例很少。據我所知,僅有近年一起Intel晶片的案例(甚至嚴格說只是bug,還構不上是後門)。業者在硬體設計上都會如履薄冰,深怕出錯。因為不論是疏忽或故意,對業者來說一旦曝光就商譽盡失,風險很大,是否值得?當然你可以說,華為就是壞人,就是會故意做壞事。我這裡不討論這樣的前提。
2. 硬體與APP以外,沒有其他層次的問題來源嗎?
有的,作業系統OS與韌體Firmware。這裡一樣有業者疏忽與故意兩種可能。有的可以透過網路下載更新版本彌補,有的無法遠端修正。
3.既然手機問題的可能來源這麼多,我們要怎樣面對?
一般人不可能去面對這樣複雜的技術問題,所以當然是仰賴政府把關。政府應該在同意產品上市銷售前,確認設備的安全保密性合乎我國法規,不該用臆測的方式造成市場消費信心的困擾。歐美許多國家禁用華為電信設備,是有其國家政策,但是並沒有禁止消費市場銷售華為手機。工研院禁用華為手機,如果沒有透過具體的技術程序,確認安全性有問題,並公諸於世,當然會引起社會的關注。畢竟華為是個國際大品牌,國內也有許多人使用。
4. 確認手機安全性很困難嗎?
要確認「手機是否安全」,與確切「找出安全漏洞之所在」,困難度是不一樣的。就像你很容易知道一個人身體不舒服,但是要找出他的明確病源,就未必容易。政府責任應該是在確認安全性的層次。不安全就禁賣,讓消費者安心。至於解決問題,是業者的責任,除非他不想賣手機。檢測安全性的技術隨著惡意程式技術的演進,也日益複雜,隨時在改變。基本上針對資訊外洩這種敏感事項,其實可以在封閉可控制的網路環境中觀察手機的連線行為,並且擷取封包瞭解連線對象與封包內容。如果手機業者不能合理解釋觀察到的詭異連線行為,就是有安全疑慮。(上面這也是簡化的邏輯說法)
5. 我在政府時怎麼處理這種事?
在政府分工上,NCC主管通訊設備,工業局主管軟體。所以我曾明確定義二者責任,手機上市前的整機安全性由NCC負責,可以隨時下載的APP由工業局負責。二者都應該透過適當的程序和技術,確認軟硬體的安全性,讓消費者安心。只是不確定這樣的分工原則目前是否仍在執行。
6. 技術朋友如何可以幫上忙?
許多技術朋友提供了許多資安技術的討論,有些在檢測安全性這層次用不上,但是可以用來進一步瞭解後門運作的原理,還是有其價值。資安可貴在實戰經驗,政府上面兩個單位如能設計一個機制讓技術朋友進來一起幫忙檢測,不但可以加強政府認定安全性的可信度,技術朋友功力也可以成長。換言之,就是趁此機會建立國家級的 Bug/Security Bounty Program,或在相關標案中要求廠商導入這樣的思維,讓網友高手一起進來幫忙。這是我對政府單位與熱血技術網友一個雙贏的建議。
總結,我當初的確因為顧慮網友理解力而極度簡化前一篇貼文的技術內涵。不過因此帶出許多技術朋友的討論,雖然意外,也是好事。不管對我個人正面負面評論,引起大家注意這問題,台灣資安在整體就算是有進步。
2019/01/25
我對近日政府準備禁止大陸產品或網站的看法。這裡面有幾個層次:
1. 禁止採購大陸電信設備:這是假議題,政治性宣示居多。幾年前某電信業者購買了對岸4G基地台及後端設備,NCC當時雖然沒有明確說不行,但也一直沒有放行(有立法院關注壓力),最後業者知難而退撤案。從此國內電信業者就知道買大陸設備是給自己找麻煩,根本不會去想要買。但是,從實務面來說,大陸電信設備物美價廉,吸引力很高。以英國為例,政府已命令禁止華為設備,但英國電信就是執意想買,給英國情報單位MI6很大壓力。
2. 禁止連結大陸網站:在馬政府時代就已經禁止機關網路連結大陸網站,且在網路閘道口都有設定自動攔阻,只有因業務需要才能特別開設連線通道。這是顧慮大陸網站良莠不齊,連上後被植入惡意後門程式。現在行政院把公務手機也納入連線管制,只要是有保留業務需要可以連線的機制,這樣做法基本上是合理的。
3. 工研院等單位禁用華為手機:這個規定完全抓錯方向,沒有必要。手機要被植入惡意後門的管道是來自APP軟體,不是硬體。我在行政院任職時曾有定義明確分工,手機硬體安全性由NCC負責,APP軟體安全性由經濟部工業局負責。工業局也非常稱職的進行APP安全檢測,並把結果公告給外界。只要繼續落實這個機制,禁用大陸手機是完全沒有必要的。只是2016年政權交給民進黨後,這個措施是否仍有繼續執行,就不得而知。
整體來看,目前行政院的措施有對有錯,但也是的確凸顯目前政府資安政策紊亂,有被政治干預的現象。而由行政院資安處長出面說明,層級也不對,公信力也不足。這些事當然是應該由政府資安長(某政務官兼任)出面。只是自從民進黨上台以後,政府資安長已經不見了。資安就是國安,這是超級的大諷刺。
沒有留言:
張貼留言