Photo Credit: raincoaster CC BY SA 2.0
近来两百多名学者连署,反对服贸开放的第二类电信三项特殊业务以及电脑相关服务,8日NCC亲上火线对外召开说明会,副主委虞孝成在会上一再强调,开放的三项二类电信特殊业务(存转网路、存取网路、数据交换)仅为封闭网路,业者可透过加密传资料。
虞孝成甚至还表示,就算传送的加密资料摊开来,没解密的情况下有心人也无从得知内容,他反问在场人士,既然业者传讯可加密,法规也禁止大陆人员进机房,「请问资安专家还有什么顾虑我们没考虑到的?」
全球资安大爆漏洞打NCC脸言下之意,就是只要透过加密,就没有资安疑虑了。但就在同日,全球网路界爆出了严重资安漏洞,资安界称为「Heartbleed」,资安公司戴夫寇尔创办人徐念恩解释:「(此漏洞)可让入侵者用难度非常低的手法取得加密过的资料的原始内容。」
而社群网站如Facebook、SlideShare,以及知名电信公司网站、社交平台、网路银行,都在这波攻击範围内。
此漏洞出现马上打了NCC一巴掌!戴夫寇尔另一位创办人翁浩正指出:「永远都有更新的技术出来,政府根本不能保证加密后多安全。」
网路资安风险高 更不应该开放二类三项业务翁浩正在的骇客社群颇有名气,每年负责召开资安界唯一的「骇客年会」,近两年也创办资安公司戴夫寇尔,对骇客、各国网军、资安议题很有研究。
NCC副主委虞孝成还在说明会上强调,网际网路就像没有围墙的房子,本身资安风险就很高,我国开放的三项业务只是个小门,比起网际网路的资安风险是微乎其微。
翁浩正对此说法很不以为然,他指出,企业资料以及个人资料只要洩漏一次就无法收回,「我们做资安顾问的,当然希望把关、防御越严谨越好,网路上窃取资料的管道很多,但(政府)不能因为不差个管道就把它开放,应该更要去把关好。」
开放三项业务的範围? 没人知道另外,对于这二类电信三项特殊业务的定义,官方一直讲得很笃定,打开经济部的网站,定义清楚地写在上面。
但看在资安专家翁浩正、徐念恩眼里,根本不知道「存转网路」、「存取网路服务」、「数据交换通信服务」指的是甚么,而且经济部的定义并没写在签订的协议里,翁浩正谈到,单看这三个名词,会觉得定义很广泛,而且都和一般民众的资讯生活习习相关,但经济部的定义却以「例如」开头解释,让人怀疑是否还有牵涉到更广泛的内容没写明出来,很令人担心。
徐念恩质疑:「你用『例如』来解释定义的内容,我们会觉得政府搞不清楚?还是政府没办法明讲所有牵涉的定义内容?没明讲的部份是不是涉及到利益交换?那交换出去的业务国安疑虑多大,官方没办法给我们确实的保证。」
陆人禁止进入机房照样可以盗取个资对于盗用个资的疑虑,NCC不断强调,在法规中早已禁止大陆人士进入电信机房,也禁止陆资投资的电脑维修事业提供我方电信业者电脑维修服务。
翁浩正质疑,在服贸开放的「电脑及其相关服务业」中,开放的範围看起来很广,若只是禁止大陆人士进入「电信」机房,那其他企业并无在此规範内的怎么办?「所以这法规只禁止到电信机房,其他牵涉到的企业很广泛,对于整个国家其他企业的安全是没顾到的。」
像是很多大企业的客服早已转到,许多顾客的个资可透过此管道取得,不一定要通过机房,去年国安局就表示全民健保的资料已遭骇被对岸盗取,就是一个例子。
翁浩正强调,连他们的客户都经常询问:如何确保外包的程式码没有内含后门?「企业包给公司都有这样的顾虑了,更何况是面对陆资企业?」
他还质疑:「政府大幅开放软体执行服务(包含系统设计、程式撰写)后究竟该如何控制相关产品的资安品质?目前完全没看到任何配套措施。」
该如何防範?民众只有加强资安意识翁浩正再次提醒政府,一般科技人员都不见得能阻挡骇客採取社交工程攻击与APT攻击(进阶持续性渗透攻击),更不用说一般民众了,因此国家更应该要严格把关。
那么民众如何自保?翁浩正指出,民众需加强资安意识,并去了解骇客攻击管道好增加警觉性,同时记得机敏资料不外传、企业文件要加密。
对于企业来讲,最好能找专业资安顾问厂商,定期进行渗透测试,以利伺服器安全,避免被外人窃取个资。
更新:9日晚间NCC再次召开记者会,提出陆资投资8大审查原则,并强调三业务的定义是民国79年由交通部颁布,当时并没有把internet包含进去。
不得危害或妨害治安疑虑 陆资持股不得超过50%、投资者须为大陆地区或海外上市之电信事业 陆资不具控制力 陆资不得与我国固网业者合资取经营 陆资投资之业者须取得ISO27001及27011验证 陆投资的业者不得将用户资料或业务部、业务系统移至大陆 陆资投资的电脑维修公司不得维修电信业电脑、机房或代管 有违反规定者,依法处20-100万元罚锾,并限期改善