iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 19
2
Security

資安戰爭 三十六計系列 第 19

資安戰爭 三十六計之第19計:釜底抽薪

  • 分享至 

  • xImage
  •  

/images/emoticon/emoticon06.gif《原文注釋》:「不敵其力,而消其勢,兌下乾上之象。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 不敵其力,而消其勢:不能夠迎擊敵人強大的正面力量時,就要消滅敵人強大力量藉以存在或產生的根源。

(2) 兌下乾上之象:消滅事物藉以存在發展的對面,事物本身的正面也就難以存在與發展了。

/images/emoticon/emoticon33.gif《出處》:

語出《漢書 枚乘傳》:「欲湯之凔,一人炊之,百人揚之,無益也,不如絕薪止火而已。」
漢‧董卓《上何進書》:「臣聞揚湯止沸,莫若去薪。」。

北宋薜長儒做漢州通判,守衛的士兵叛變,打開營門,殺人放火,妄圖殺害知州和兵馬監押。有人前來稟報,知州、兵馬監押嚇得不敢出來。當時薜長儒挺身走出營來,忠告叛兵說:「你們都有父母妻子,為什麼如此鋌而走險?凡是沒有參加謀反的,站到一邊去!」於是隨從反叛的都站到一邊去了。只有首惡的八個人衝出營門逃跑,分散躲到村外的村莊裡,不久都被捕獲歸案。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

2014 年以前,網頁傳輸大多數仍使用不加密以明碼傳輸的 http,有意識用加密 https 協定的還算有限,例如說信用卡刷卡等,美國國安局攔截到封包時,明碼傳輸當然就看光光了。

然而經過 https 加密的密文,就算是國安局,仍要耗日費時加以破解。歐巴馬任內稜鏡計畫爆料出來後,Google 等公司就把所有網路服務都升級成 https 加密通訊,加強保護使用者隱私。雖然如此,即便蒐集幾百萬美國人的通訊紀錄踩在道德邊緣,但稜鏡計畫仍是美國國會簽署過的監聽計畫,在三權分立下被監督著,且追蹤的是美國國內有國安威脅的人,該醜聞反映的是情報單位的資訊焦慮過度,被本國公民批評後,國安局不能再恣意做超過限度的事。如果今天你真的很擔心隱私被美國國安局監控,只要手機或電腦任何通訊都使用加密甚至強加密,就算是美國國安局,也需要很大的成本才解得開。

前述是你的手機是否可信賴,甚至你的手機品牌是否堅持不向政府低頭(例如蘋果堅持不幫 FBI 解密槍擊案嫌犯的 iPhone),但如果「你的手機不是你的手機」呢?中國企業產品就是如此,所謂「道高一尺,魔高一丈」,中國企業依法「為國家服務」,企業生產的手機、物聯網產品、基地台與電信機房的網通設備產品,在系統層甚至是硬體層加上後門時有所聞。換句話說,你用軟體加密有用嗎?你的手機其實不是你自己的,而是一個密告者,你的訊息未經軟體加密前,硬體已偷偷把未加密訊息明碼傳出,這可說是釜底抽薪的「作弊」法。例如去年中國很嚴重的退伍老兵維權事件,很多老兵透過手機發微信聯絡,然而搭公車到半路,就莫名其妙被公安、城管攔截,這表示手機一直有暗自發送定位資訊及明碼訊息,他們的手機其實是中國政府的「間諜裝置」。

原文請參考:
《科技新報--資通設備禁令紛爭下,你該具備的資安意識》:https://technews.tw/2019/02/01/important-of-security-awareness/

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

筆者過去在美國念書時,美國朋友曾經說過,現在微軟或IBM總部,只要報請維修筆電的,電話都是轉到印度去的,現在這些大公司幾乎都把系統交給老印去寫的,所以正常都是交給印度人去維修的。後來,微軟的WINDOWS系統有一說是給印度人開發的,所以常常漏洞百出,或者老印會竄改程式碼等等的說法,當然,我們不得而知。不過,到底可不可合法的在程式裡面加入保護的程式碼呢?

以下,我們來看HTC的例子,新聞連結如下:

https://tw.news.yahoo.com/%E5%85%A8%E6%96%87-%E6%9B%BE%E9%81%AD%E6%8E%A7%E7%95%99%E5%BE%8C%E9%96%80%E6%B4%A9%E5%80%8B%E8%B3%87-%E5%A8%81%E7%9B%9B%E7%91%95%E7%96%B5%E6%99%B6%E7%89%87%E5%88%A4%E8%B3%A0%E4%B8%8A%E5%84%84-232859303.html

筆者簡單說明這個事件,當初王雪紅的威盛電子與大陸中聯控股兩方合作開發晶片,晶片上設計可以針對法輪功的圖文進行偵測,只要有出現該圖文晶片就會予以屏蔽,後來因為設計不良,晶片常會過熱或記憶體出錯的問題,結果被發現這晶片上有後門監控程式。

後門程式,正常來說,都會有侵權的問題,我國民法184條(本條可以運用的範圍很廣,非常好用),就有針對侵權行為規範,條文如下,

第 184 條
因故意或過失,不法侵害他人之權利者,負損害賠償責任。故意以背於善良風俗之方法,加損害於他人者亦同。
違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。

當然,這篇新聞裡面也有探討侵權的問題,當企業體膨脹到某個階段,很快就要面對這類國際訴訟,國際的訴訟不但耗時、耗人力,更耗費金錢,我們來看民法184的前題,因故意或過失,明顯的當時威盛已經是故意的行為,所以在此同時,就算中國大陸給予合法的放行,然而,在他國還是可以提起訴訟的,這也就是麻煩的地方,大家很好奇,如果大家看過合約就知道,雙方的合約通常在最後幾條會寫,如果兩方有糾紛產生,通常在當地法院提起告訴等等的條文內容,然而侵權行為如果是跨國產生,這條合約內容,就會自動失效,另一方還是可以在第三地提起訴訟的

筆者很早就發現,當台灣的企業體,在很小的時候,通常沒有太大的法律問題,畢竟影響有限。然而,只要企業體一變大,似乎就沒法應付這些問題,這種訴訟費用都是在砸錢的,告完一個接著一個,幾乎都是在互相提告的,台灣企業由於長期是代工的形態存在,所以,常常無法去應對國際化之後的問題,所以王雪紅的威盛、HTC幾乎都是在膨脹之後,被擊垮的,所以在此情形下,到底是否可以為了保護自身的研發,能否放入保護程式,而且該如何放置,這目前也很難去下結論。

筆者結論是,科技的進步,是非常的快,我們想想,當光碟片盛行的時代裡,光碟業者為了防止盜拷,想盡各種辦法,結果使用者就發明了鏡像檔的方式予以還擊,整個過程互相鬥智了很久,最後光碟片沒落,小型USB的出現,光碟片徹底的被弱化,過不久,USB裡面開始出現病毒,開始偷偷被放入木馬,偷偷的複製資料,結果又出現一堆問題,接著兩方又開始競爭新的攻防;到近期的雲端出現,大家目標又轉移至雲端,這就是一個接一個的循環與競爭。同樣的,當前的資安也是一樣,大家進入資安時代,大家開啟了另一個戰場之後,我們似乎很難說可以靠一個方法去有效防止跟保護資訊安全,然而,當我們努力之後,卻又出現更進步的技術,甚至會一瞬間推翻所有理論,因此,我們還是得抓住一個重點:

就是強化資安教育,基本觀念在,所有問題萬法不離一宗,都可以借用策略邏輯加以推敲運用。

人類歷史就是不停在重複,資安也來自於人性,只要基本觀念不跑掉,很多問題還是可以運用基本觀念邏輯去延伸,還是可以解決大部分問題的。


上一篇
資安戰爭 三十六計之第18計:擒賊擒王
下一篇
資安戰爭 三十六計之第20計:渾水摸魚
系列文
資安戰爭 三十六計36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言