和張善政直播談資安防衛前  翟本喬事先 po 文發表 4 大論點 強調「如果有後門你不一定找得到」

和張善政直播談資安防衛前  翟本喬事先 po 文發表 4 大論點 強調「如果有後門你不一定找得到」

▲翟本喬和張善政將開直播談資安防衛。(圖/翻攝自Facebook)

張岑宇/綜合報導

前行政院長張善政因在臉書 po 文發表對「工研院禁用華為設備」的看法,不料引起眾網友撻伐,批評他不懂資安卻亂評論,於是他邀請翟本喬於今日(30 日)12 點半共同直播談論資安技術與駭客,翟本喬也於直播前在臉書PO文事先回應眾人所質疑「沒有證據就在指控某一家公司暗藏後門」「其他公司還不是一樣?」(3)Google 不是都會測過手機公司的 Android 系統才讓他們發行嗎?「那我們還能信任誰」等 4 大點做深度探討。

▲張善政直播影片。(影片/取自Facebook,若遭移除請見諒)

▲張善政於臉書發文「我們不談政治,不談外交,不談貿易戰,只談技術:如果駭客要攻擊我們這個社會,他們會如何進行?」

以下是翟本喬臉書全文

翟本喬表示,「前幾天發的一篇文,主旨是 "沒有任何檢測可以確定軟體沒有後門",不過有些人就直接跳到(自己有政治立場的)結論,說我 (1)沒有證據就在指控某一家公司暗藏後門;還有另外一種論點是 (2)"別家還不是一樣?。」 

關於第一個質疑,我的確沒有證據說後門已經存在,但我根本沒有說後門已經存在啊?我是說 "如果有後門你不一定找得到"。當然,你也可以類比說 "如果翟本喬有後門你不一定找得到",沒錯,如果我要藏後門我相信也沒有人找得到證據。一個很簡單的方法就是遠端*自動*更新。 

每次軟體開始執行,或執行後每隔一段時間,就向中央伺服器詢問:有沒有更新?有的話就下載來執行。這是很多軟體都會做的事,事實上也是我博士論文的主題之一。在下載更新程式之後任何我想做的任何事情都可以發生。 

在1996年的時候,我幫一家公司設計了一個廣告業務系統,其中就包括了一個更新伺服器和本地更新器。有一天,幾十位業務打開電腦連上線,更新跑了一陣子之後重開機,赫然發現電腦從 Windows 3.1 變成了 Windows 95。(公司當然有買版權,這是哈根達斯和漢堡王在美國的母公司。) 

想做一點小事而不被發現嗎?那也可以下載一個小程式,執行完偷偷刪掉。怕送資料被看到嗎?平常沒事就送一些加密的亂數小封包,沒有什麼實際的義意,做壞事時一樣送,但是是有實際內容的。因為都有加密,所以看起差不多,別人也很難判定這次是有問題的。林宜敬就舉出了一個實際的例子:

https://www.facebook.com/yijing1/posts/10156393162989495 

所以一個系統只要有遠端*自動*更新能力,什麼事都可以做得出來。也許你會說:更新包上架也要通過檢測啊!對,通過那個 "測不出有後門" 的檢測。甚至只要第一個更新包把更新伺服器的地址改成另一台暗黑伺服器,就什麼都不用通過檢測了。 

*半自動*更新 (讓使用者知道有更新,自己決定要不要執行) 會稍為好一點,至少標準的 Android 現在是這樣做的。不過對一般使用者來說其實是沒有太大差別的。 

這就牽涉到(2)了:其他公司還不是一樣? 

沒錯,所有發行手機系統軟體和 App 的公司都有這種能力,而系統軟體公司的能力又比 App 公司的能力再強一些,因為 App 權限有點受限,而系統軟體擁有所有的權限。 

又有人問:(3)Google 不是都會測過手機公司的 Android 系統才讓他們發行嗎? 

基本上 Google 的測試是看手機 "有做該做的事"、以及 "在測試期間沒有做某些不該做的事"。它也沒有辦法保證這手機 "以後永遠不會做不該做的事"。 

所以,(4)那我們還能信任誰? 

信任不是絕對的。你可以信任某一個人做某一件事到某一個程度,而不是二分法的信任和不信任。 

很多人都希望人生很簡單,你告訴我誰是好人、誰是壞人、誰可以信任、誰不可以信任就好了。對不起,人生不是那麼簡單的。 

你可以信任 X 國嗎?看做什麼事。做小生意可以,做大生意好好想想,重大採購絕對不行。

你可以信任 Y 國嗎?看做什麼事。做小生意非常好,做大生意沒問題,重大採購可以列入考慮,國家安全一小部分,國家存亡絕對不行。

你可以信任 Z 國嗎?看做什麼事。做小生意要小心,做大生意不行,國家安全???哈哈哈...

 

星艦迷航記的創作者 Gene Roddenberry 有一部遺作 Andromeda,其中給我印象很深的一段情節,是大副問船長:我曾經是你的敵人,想要殺死你,你為什麼現在還會信任我?

船長回答:我不信任你。

(震撼嗎?接下來才是重點。)

船長又說:但我信任 "你是個聰明人,會做對自己最有利的事"。而現在對你最有利的事就是跟我合作。 

所以在諜報片中常會聽到一句話:trust no one. 真要嚴格算計的話,沒有一個人是可以100%信任的。100%信任某一個政黨,100%信任某一個政客,100%信任某一個候選人,這樣的人,只能說是...人生經驗還不太夠。越是厲害的人,越能信任別人,但會嚴格定義清楚判斷準則,以及事項範圍。 

所以要判斷的準則有哪些呢?我覺得至少有以下幾點:

(A) 他背叛你,有多容易?

(B) 他背叛你,能得到多少利益?

(C) 他背叛你,你的損失有多大?

(D) 他背叛你,你有沒有辦法反擊?

 

(A)的答案,在資安領域,絕大部分的情形下都是 "很容易"。

(B)呢?各個公司有不同的利益考量,有些短視近利,有些長遠經營。越是能永續經營的公司,越不會為了短期的小利而 (不管有意無意) 傷害客戶。

(C)呢?有些人因為隱私問題不用臉書,但我從不在臉書上放任何我不敢讓全世界知道的事,所以我沒關係。對升斗小民來說,也許David John Henry被人知道沒關係,但如果被利用當跳板造成大人物朋友的損失,那也是很嚴重的。

(D)通常是靠法律途徑,合約等等。所以為什麼在法制越健全的地方,公司越讓人信任。不要說現在的國家,甚至晚清租界內適用的法律其實就比大清法律健全,導致很多公司跑去租界設立。 

把這些風險和利害都考慮過了之後,可以買的就買,不敢買的就不買,就這麼 "簡單" 囉! 

---------------------------- 

吳宗成老師把資安人或專家分成三種類型:技術型、應用型和政治型。

https://www.facebook.com/permalink.php?story_fbid=10214132989264896&id=1418133194

他對 "政治型" 的期望其實很高,但不管什麼事一旦沾上政治兩個字就好像會有偏頗,所以我會把這型叫做 "管理型"。 

技術型是指具攻擊及防禦能力的技術專家,應用型資安人是指能善用既有的資安技術能量來強化及建構安全的應用情境或降低應用領域所面臨的可能資安風險,管理型則是技術型或應用型的進化版,是指能預知未來資安風險,並可引領政府或產業或企業制定相關資安政策及戰略部署,例如具論述及擘畫能力的政府或企業資安長。 

今天中午張善政院長要找我和 CIH 對談。

https://www.facebook.com/…/a.198039917485…/289786724977237/…

CIH 毫無疑問是技術型和應用型的資安專家,我呢?我不是吳老師所說三型的任何一型。我這種叫做資安 "磚家",抛磚引玉的磚。 

我擅長和願意做的事之一是把專業的術語和情境用一般人比較能懂的語言說出來,讓大家比較容易瞭解。而在討論過程之中也可以引出真正的專家來修正我說錯的地方,和教導大眾更多的知識。 

我覺得真正的專家有哪些呢?就我聽過他們的言論、看過他們的實作的人,我覺得至少有以下幾位:(依筆劃順序)

Cih SoftwareMagician

Orange Tsai

Sung-ting T T Tsai

吳宗成

李忠憲

Lun-Chuan Lee

Yi-Jing Lin

Jim Huang

Wayne Huang

Howard Jyan 

當然還有很多位我不認得或不熟的,自然掛一漏萬,還請包涵。 

台灣自保的最好方法是讓自己變得不可或缺,讓全世界每一個聰明人都知道最有利的事就是跟台灣合作。發展資安產業,其實比發展晶圓產業更能做到這一點。只不過政府 (不管哪一任都一樣) 不懂資安產業是什麼,需要眾多專家的教導。 

張院長的希望就是能在這個互動的過程中,找出更多的專家,找到資源來支持,讓我們國家的資安產業更強壯、國家的整體資安更健全。這次的對談只是第一步,接下來還會有更多的活動,請大家不吝參與。

延伸閱讀

張善政用「一場直播」扭轉罵名 邀請翟本喬與駭客鬼才上直播討論資安防衛

驚!成大教授披露華為手機藏後門 精闢分析這幾點讓你隱私全都露

臺灣作家陸之駿突破盲點!禁用中國手機治標不治本

中國手機竟自帶病毒?惡意軟體「RottenSys」感染近 500 萬用戶 華為、小米、OPPO 全中獎

華為創始人任正非萬字回應 15 個核心觀點 向外媒表示「隱私保護方面要學習蘋果」

構成國家安全威脅 捷克將加入抵制華為、中興隊伍

紐西蘭抵制華為 5G 設備 華為回應:5G 禁令很不紐西蘭!有可能錯失 5G 良機

留言

延伸閱讀