我以前博士論文一部分跟資訊安全有關。
坦白說,資訊安全這個領域,牽涉的層面很廣泛。
從軟體更新、漏洞防堵、軟硬體販售所在國或是擁有國法規賦予的權力與執行面問題、個資
保護等都需要通盤考量。
1. 大家常在嘴的所有東西都生產自某大國,為什麼筆電/電腦就不會有這種問題?反而手機
容易被質疑?
你要看這些是硬體生產自該國,還是連同軟體都「生產」自該國? 如果我沒記錯的話,以W
indows為例,它就至少分為兩個版本,給對岸使用的,就不會放到國際版使用。如果是單純
硬體製造,硬體都是標準模板製造,資安問題漏洞機率就小很多,軟體就可以拆開來區分版
本出貨。
但是,手機作業系統的想像空間就很大。一樣有區分為國際版跟中國境內版,就看該手機業
者自己怎麼切換版本出貨?
2. 自己的個資不重要啦!對方也不會閒著沒事去監控。
這個只能說對一部分。
前提是,你的一言一行有沒有被捕捉或是被演算法判定為可疑人物,甚至是進一步偷偷監控
。
這種通常都是從對岸的軟體比較容易取得你的資料(畢竟聊天或是對話紀錄都存在對方雲端
空間上)。以成本考量的話,都是搭配一些常用的軟體演算法去撈取,層層過濾完畢之後,
判定風險層級,再進一步判定是否需要額外手段?
所以,有時候對岸人士都知道哪些言論在網路上講很危險,都會打擦邊球或是不在網路上講
。
至於一般的對話紀錄,也幾乎不會被過濾出來做風險管控。
以前有對岸的同事在某聊天軟體講很多事情酸上頭,卻發現對方都沒收到他的消息,原來被
系統屏蔽了,他也不知道,系統也沒告知他,可能是啟動過濾機制被擋了),但放心他沒事
,他也知道他這種話不會被抓去問話,頂多是被要求刪文。這種事情在他們眼中早已見
怪不怪了。
3. 之前台灣某政客說可以讓電信業者監控分析特定人群?
只能說這個OO亂講話,在嚇唬人。
以前認識的朋友做過這類的工作,主要是用來作人流或是熱點分析,用來向一些潛在客戶
推銷在哪些時間地點投放廣告比較實用這樣(但真的超級難做!)
電信業者只能知道手機訊號強弱,以及網路上的傳遞「加密」資料。以常見的SSL/TLS加
密而言,根本沒辦法分析出來,因為都被加密了。只能知道這些使用者在連哪些服務,頻率
有多高?
熱點強弱就只能使用電信業者的基地台去做類似三角定位,搭配GPS(GPS這要看個資法規
範,印象中沒獲得授權也沒辦法輕易取得)把人定位在某幾個大樓內,但也沒辦法知道樓層
或是精確位置。而人名跟電話,因為個資法的關係,一開始就被碼掉了。
4. NCC都通過手機販售了啊,就沒有資安問題!
只能說,NCC在做手機販售許可,都只管硬體層面有沒有問題(例如電磁波、網路頻段)
,軟體層面的漏洞管控,根本沒在管的好嗎!更何況這種東西只要一不小心(或是故意),
透過軟體更新就又跑出一個洞在那裡,防都防不完。
所以,不要再說NCC通過就等於資安沒問題!