協尋政府資安長(Partll)
我上一篇評論政府準備禁止華為設備、公務手機聯網到大陸政策的文章,在華為手機的議題上能引起許多技術高手的討論和轉載,並有非常多的專業建議,成為諸方焦點,很精彩。尤其有許多建設性建議,值得政府重視和持續討論!
當初我貼文時,顧慮內容可能會超出某些網友技術的理解範圍,所以把觀念化繁為簡化成硬體與 APP 兩個層次,這也成為許多技術朋友質疑之處。
技術朋友批評我過度簡化的論點:「硬體的後門不是顧慮,APP的後門才是要注意的」。是的,我的確是想儘量簡化(過度簡化了?),讓一般人易懂。既然大家不在意太多技術,我就試著來說完整一點。
1. 硬體會不會有後門?
技術上不能排除,但是實務上已知發生的案例很少。據我所知,僅有近年一起Intel晶片的案例(甚至嚴格說只是bug,還構不上是後門)。業者在硬體設計上都會如履薄冰,深怕出錯。因為不論是疏忽或故意,對業者來說一旦曝光就商譽盡失,風險很大,是否值得?當然你可以說,華為就是壞人,就是會故意做壞事。我這裡不討論這樣的前提。
2. 硬體與APP以外,沒有其他層次的問題來源嗎?
有的,作業系統OS與韌體Firmware。這裡一樣有業者疏忽與故意兩種可能。有的可以透過網路下載更新版本彌補,有的無法遠端修正。
3.既然手機問題的可能來源這麼多,我們要怎樣面對?
一般人不可能去面對這樣複雜的技術問題,所以當然是仰賴政府把關。政府應該在同意產品上市銷售前,確認設備的安全保密性合乎我國法規,不該用臆測的方式造成市場消費信心的困擾。歐美許多國家禁用華為電信設備,是有其國家政策,但是並沒有禁止消費市場銷售華為手機。工研院禁用華為手機,如果沒有透過具體的技術程序,確認安全性有問題,並公諸於世,當然會引起社會的關注。畢竟華為是個國際大品牌,國內也有許多人使用。
4. 確認手機安全性很困難嗎?
要確認「手機是否安全」,與確切「找出安全漏洞之所在」,困難度是不一樣的。就像你很容易知道一個人身體不舒服,但是要找出他的明確病源,就未必容易。政府責任應該是在確認安全性的層次。不安全就禁賣,讓消費者安心。至於解決問題,是業者的責任,除非他不想賣手機。檢測安全性的技術隨著惡意程式技術的演進,也日益複雜,隨時在改變。基本上針對資訊外洩這種敏感事項,其實可以在封閉可控制的網路環境中觀察手機的連線行為,並且擷取封包瞭解連線對象與封包內容。如果手機業者不能合理解釋觀察到的詭異連線行為,就是有安全疑慮。(上面這也是簡化的邏輯說法)
5. 我在政府時怎麼處理這種事?
在政府分工上,NCC主管通訊設備,工業局主管軟體。所以我曾明確定義二者責任,手機上市前的整機安全性由NCC負責,可以隨時下載的APP由工業局負責。二者都應該透過適當的程序和技術,確認軟硬體的安全性,讓消費者安心。只是不確定這樣的分工原則目前是否仍在執行。
6. 技術朋友如何可以幫上忙?
許多技術朋友提供了許多資安技術的討論,有些在檢測安全性這層次用不上,但是可以用來進一步瞭解後門運作的原理,還是有其價值。資安可貴在實戰經驗,政府上面兩個單位如能設計一個機制讓技術朋友進來一起幫忙檢測,不但可以加強政府認定安全性的可信度,技術朋友功力也可以成長。換言之,就是趁此機會建立國家級的 Bug/Security Bounty Program,或在相關標案中要求廠商導入這樣的思維,讓網友高手一起進來幫忙。這是我對政府單位與熱血技術網友一個雙贏的建議。
總結,我當初的確因為顧慮網友理解力而極度簡化前一篇貼文的技術內涵。不過因此帶出許多技術朋友的討論,雖然意外,也是好事。不管對我個人正面負面評論,引起大家注意這問題,台灣資安在整體就算是有進步。
https://ifans.pixnet.net/blog/post/226952822?fbclid=IwAR27bb9s_y4D3i7kvb2SYJt6f4OkJumetitFj_XnNGpx9QAawW74ABp-PKQ
惡意程式app 在 安卓用戶必看!21款APP藏惡意程式「下載時務必抱持警覺」 的八卦
安卓用戶必看!21款 APP 藏 惡意程式 「下載時務必抱持警覺」|3C|手機|看新聞 ; ▷訂閱即新聞網路好片不漏看:http://bit.ly/2H6SArA ; ▷訂閱即新聞原創影音 ... ... <看更多>