台海封鎖戰5》台灣擋得住中國網軍嗎?資安漏洞總體檢 揭政府沒說的破口

2022-08-18 08:50

? 人氣

王景弘表示,過去幾次資安事件,包括政府機構使用中國製網路攝影機、無人機等,均以中資設備或中資軟體內建木馬程式結案,但台灣其實並不缺乏軟體鑑識人才,政府負責任的做法,應該是公布資安調查報告,讓所有資訊界的專業人士,知道是植入了哪一種後門軟體,「你把它講出來,讓大家一起懷疑,不是很好嗎?」僅以中資設備內建木馬程式結案,這樣的模糊戰策略,會讓人懷疑裡面有鬼。

[啟動LINE推播] 每日重大新聞通知

中國的監視器在全球市場攻城掠地,卻也引發資安疑慮。(美聯社)
此次中國網軍駭進民間商家及政府部門網站,台灣政府將責任歸咎於中國製設備上。(資料照,美聯社)

台灣資訊系統骨幹建置易政治化 資訊專業領域不受重視

王景弘指出,資訊後門分成主動式後門和被動式後門,主動式後門就是遭植入程式的電腦,一開機就主動通知駭客方,「已經開機了可以進來了」,但因為主動式後門會在防火牆留下紀錄,容易被偵測到,所以較不普遍,多數的駭客攻擊是「被動式後門」。

「被動式後門」有些是程式設計時就留下的弱點,例如系統開發商為了日後維修方便,所設定的特殊管理者密碼,早期中華電信路由器「小烏龜」,帳號皆為「cht」,就很容易被鄰居破解蹭網。另一種「被動式後門」則是系統開發過程存在未即時修補的漏洞,業界稱為0day(零時差漏洞),包括去年引發全球資訊系統大更新的「log4j」,王景弘說,過去10年有超過5個以上0day,驚動到行政院。0day漏洞最嚴重的情況,是允許遠端執行程式碼,等於是允許駭客在上面為所欲為。

王景弘表示,台灣政府的資訊系統骨幹建置,太容易牽扯到政治,然絕大多數情況跟政治都沒有關係,只是因為政治人物對資訊系統不了解,太害怕系統出包成為政敵攻擊把柄,因此不敢做。

他舉例說,2014年九合一選舉,柯文哲陣營推動線上小額捐款,但多數政治人物卻擔心支持者資料被偷走、信用卡盜刷,等到推成功後,蔡英文2016年競選總統也推出小額捐款網站。內政部推動數位身分證(eID),整合政府服務,20年前被批評為「包山包海」,把民眾個資暴露在駭客攻擊的風險下,然而,eID的技術跟20年前完全不同,反對者還是用20年前思維反對,對於eID政策,資訊界在專業領域根本沒有機會辯論。

數位身分證(圖/取自內政部)
內政部推動數位身分證(eID),整合政府服務,在各界的疑慮下,最終擱置。(資料照,取自內政部)

不能因為怕暴露風險而躊躇不前 應適度「開放資料」讓民眾參與

對於有些資訊界人士以中國網軍規模是台灣數十倍,雙方人數不成比例為由,主張台灣保障資安的做法,就是不要把民眾個資放在網路上,王景弘對這樣的主張則予以保留。

王景弘表示,台灣現在也沒有走到開放政府,開放資料跟開放政府是不同的,人民本來就可以取得具有公共利益的資料,例如垃圾車清運路線,推動「開放資料」,這些不該有國安問題。另外,讓更多人參與政府決策,或者讓政府決策時,有更多決策依據,例如都市計畫資料上網,這也無關資安、國安。

喜歡這篇文章嗎?

林上祚喝杯咖啡,

告訴我這篇文章寫得真棒!

來自贊助者的話
關鍵字:
風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

本週最多人贊助文章