2014年4月10日 星期四

林盈達 :資通訊安全 oxeyexo (oxeye 4/9經濟部服貿座談) ;李忠憲(資安專家):服貿開放電信 個資全看光

服貿開放電信 資安專家:個資全看光

太 陽花學潮,讓服貿受到各界的關注,曾任國家通訊委員會NCC的技術單位─電信技術中心資安顧問、成功大學電機系教授李忠憲表示,服貿開放第二類電信與電腦 及相關服務業,在巨量資料技術的使用下,除非不上網,不然每個人去哪裡做什麼,所有個資都可輕易被掌握,台灣社會很容易就會被中國控制。

李 忠憲教授表示,他原本與一般人一樣對服貿無感,但在太陽花學運後,因服貿協議中開放電腦及相關服務業和第二類電信開放3項特殊業務,因與他的學術專業有關 才深入了解,但之前沒有任何政府機構的人找過他探討這次協議是否會危及國家安全,除做網路安全的學術研究外,李忠憲教授也曾任目前國家通訊委員會NCC的 技術單位─電信技術中心資安顧問,還執行過國家資通安全產品檢測計劃,曾到德國兩個月作技術移轉,他並出示當時擔任資安顧問的聘書及帶領政府相關人員前往 德國的名單。

但這次服貿協調,連他這位資安專家都覺得很可怕,絕對不是政府所說,開放的項目是對國內產業影響層面較小,非敏感性且無涉 資安疑慮的電信業務,李忠憲教授說,開放3項電信業務包括存轉網路、存取網路以及數據交換通信服務,政府對外一再強調,這些業務是過時業務且是採取封閉網 路,不會造成個資外洩。

但從協議內容的文字來看,像李忠憲教授一般的研究網路的學者並不會這樣解釋, 尤其存取網路服務,,一般的解釋就是接上網路的服務, 例如 ADSL、光纖上網、Wi-Fi或 3G上網,而中國方面也是這樣解釋成是二十年前語音企業專線和交換的服務嗎? 從文字上看不出來有這樣的意思, 雙方如果解釋不一樣, 那要怎麼辦!

對 於李忠憲教授的質疑,NCC相關人員表示,協議內容不可能細列,但開放後是否核准主導權在我方,現行法規都有明確規定,大陸無法擴大解釋,至於資安疑慮, 政府也備妥包括必須是上市公司才能申請等6大配套措施。不過李忠憲教授表示,國際協議若沒有明列細則不可能單方說了算,未來有爭議,我方一定站不住腳。

另 外開放電腦及其相關服務業也令人擔憂,李忠憲教授說,政府一再表示,我國早已禁止大陸人士進入電信機房,但開放電腦及其相關服務業就不可能不進機房,禁止 大陸人士進入電信機房,代表NCC把大陸當敵人, 如果要開放服務,就不能把人家當成敵人,如果你把人家當成敵人,就不能開放服務,這絕對不是複選題。

NCC相關人員則解釋,所以在目前限制下電信機房的維修是不可能委託由大陸人士來做,至於其他如金融業等機房是否也有限制,就要看各單位是否有限制,對此李教授則認為,NCC只約束電信機房那其它機房資安問題到底由誰來把關?(王雪玲/台北報導)


*****

先說,本篇只有林盈達教授逐字稿,到Q&A之前而已:D (NCC跟那個部長說的,可以直接看所有Z>B的論點) 我不是本科系,有一些專業術語如果有錯,還請指正 但我覺得林教授講得很淺顯易懂,我是大外行都懂了,所以認真聽完 分享給大家! ================================================== 先跟主辦單位抗議,前面三位已經講了75分鐘,原本我被告知正反方時間差不多,所以我 要求,我應該要有35分鐘。(主持人:請現場觀眾拍手決定。台下:尖叫+掌聲) 首先,我對今天主辦方有一點小意見,現場現在是2位官員,加上一位本校副教授,副 教授剛好是官員同僚,嗯,副教授也會有升等壓力。不是同系但同學院,會有升等壓力。 這讓我看到前天NCC跟經濟部找了一些業者,但這些業者都是他們在監理、主管,一樣有脅迫他人之嫌。(台下:大笑+掌聲)這幾天我收到一些資料,資料告訴我,有些業者被強 迫要去背書,但是他們不願意,在這邊希望經濟部跟NCC不要再脅迫被你管的單位。 我不是學經濟,也不是學法律,我只能就資通訊安全來論述,這樣不公平,變成我被迫要 對前面三位座談人提出評論,以我的common sense,請同學你們來評斷, 我的common sense是否正確。 第一個,張部長提到,韓國的談判策略是積極地與中國簽約,但張部長沒提到的是,韓國 是先跟其他先進國家簽訂FTA,才跟中國簽,而且跟中國一談,就談了很多年,就如同陳 教授談過的,韓國也不是很情願地開放,但是他們深思熟慮,決定自己的經濟政策,先跟 先進國家簽訂,在跟中國談。這是經濟部一直都沒有講的,他們只說,如果沒跟中國簽, 就不能跟其他國家簽。但是很多專家也告訴你,還有很多評估報告,都說,走進中國,你 就走不到全世界,就會跟香港一樣。正確的應該是,先走進世界,在走進中國。張部長說 ,服貿不是黑箱,有很多公聽會跟座談,我要說,我參加過很多公聽會,立法院的公聽會 ,公聽會都是存檔備查,沒有處理。我要跟張部長說的是,不管你開了多少公聽會,重要 的是態度問題,這些意見你有沒有處理,有沒有要怎麼改,才會避免專家學者,提的問題 。無論你開多少場都沒用,如果你心態還是這樣的話。 張部長說,簽訂ECFA之後,沒有很多中國廠商來,我要講的是,他們在等服貿,服貿通過 之後,有更多優渥的條件,他們就來了。其中,600萬台幣,就足夠兩個人來,600萬能做 什麼,如果你在台北買了店面,每年營業額1000萬就好,每年都可以不斷簽,可以繼續留 下來。 張部長說,中方給我們的是WTO plus,但張部長沒說,中國與台灣加入WTO時,台灣是已 開發國家,中國是開發中國家,所以台灣是WTO minus,比中國開放的條件還高,這是張 部長一直沒有告訴我們的。我們的WTO minus 竟然都比中國的plus多(台下打斷:他不好 意思告訴你….沒聽清楚) 不好意思,等一下再Q&A好嗎,陳教授說,我們曾在WTO承諾要 開放電信,我要告訴各位的是,WTO都是原則性,至於雙方國家要什麼具體,那是雙方答 應就可以,不然最近怎麼會有日本要帶稻米去換人家汽車市場的消息,如果可以這樣換來 換去,那就沒有開放問題,所以WTO是原則性,雙方可以就各自敏感性項目決定,要不要 開放。陳教授提到,跟其他國家簽簽回來,都是行政命令,為什麼服貿就還要進立院審, 我想陳教授應該同意,其他國家不像中國一樣,是我們的敵對國吧?所以不能用行政命令 ,中方不能比照辦理。我對以上兩位發言,先做這些陳述。 虞副主委的發言,我等下做回應。投影片請跳下一頁。 我show這頁的原因是,NCC跟經濟部,上禮拜說教授都不懂實務經驗,(台下:笑) 剛剛虞副主委說我們四個都是教授啦,那你的實務經驗也差不多啦(台下:尖叫+鼓掌) 我show這張是說,不管是台灣的網通產業,還是世界的網通產業,是基於過去,我run了 12年的網路測試中心,測試過國際許多大廠,還有國內廠商產品,特別是網路產品,我服 務過的廠商超過100家,產品超過700件。這算不算實務經驗? 另外我要提的是,NCC過去兩年定了10項資通訊產品安全規範,這10項規範,是我的實驗 室訂的。(台下,掌聲)。我的實驗室,網路測試中心,花了很多effort去制訂這10項規範 ,也測在廠商產品上,驗證是否真正需要,所以,請不要再說我沒有實務經驗,也不要再 說我們對網路安全不夠了解。 剛剛虞副主委已經提到1類與2類的差異,基本上,1類就是有實體線路,2類就是沒有,在 台灣,比較大的電信公司就是1類,比較小的只能申請2類,但是1類也會申請2類,比如說 中華電信、遠傳、台灣固網,所以他們也都可以經營。大致上,在台灣1類就是打電話,2 類就是上網,剛剛虞副主委提到提到特殊業務,但是跟他之前的新聞稿好像又不太一樣, 他剛剛說,一般跟特殊差別只在於是否可以拉到國際,先前的說法是,一般就是服務一般 用戶,特殊就是服務企業,還有這差別他沒提到,事實上,台灣在2009年就開放第二類的 一般業務,但沒有中資進入,NCC就用這理由說,我們開放也沒有中資進來,所以為什麼 要擔心開放特殊業務,就會有中資進來呢?你可以想像中國移動在台灣開一個ISP,一個 上網公司,直接面對用戶,你敢去申請嗎?中國移動喔?(台下:笑)中國自己也知道,沒 有人要來申請,就算換名字叫做XYZ,她也知道沒用,會被網友起底。 所以他們不要這條,在服貿協議,特別挑了一條,是什麼,他想躲在亞太、遠傳這些公司 後面,我不知道虞副主委知不知道,台灣現在的ISP交換,是怎麼交換的,比如說你從遠 傳送了E-MAIL,朋友用的是中華電信,流量怎麼跑,流量是經過TWIX,這個交換中心是中 華電信在run,當然這樣不好,因為中華電信就是其中一個交換方,其實應該需要 third-party。 喔,我剛剛忘了說我其中的一個實務經驗,我曾接借調NCC底下的電信技術中心擔任執行長 一年,所以我管過那邊的業務。我當時就曾經告訴NCC,這個交換中心,不應該擺在中華電 信,應該設一個TWIX 2,應該是third-party,是中立第三方,現在看起來,中國移動要完 成我的心願了。以後中國移動來,他run的這個TWIX 2,會以比中華電信更便宜的價格,跟 遠傳、台固、亞太說,你可以連過來,我更便宜。我三年前想做的事,中國移動要幫我完 成了。 這個特殊業務,可以服務其他的電信業者,也可以服務其他的企業用戶,可是,NCC一直避 重就輕,雖然不能服務一般用戶,但是服務一般企業,我剛剛說了,還可以服務電信業者 。你說服務企業就沒有問題嗎,一般中小企業上網,VPN或加密,他都不懂,他一定會說你 幫我做啊,沒加密會看光光,加密電信業者還是看得到啊,因為那個key是電信業者給的 啊,加密是網際網路看不到,可是他自己可以看,他有key,這也是NCC沒告訴我們的,NCC 在昨天的記者會說,開放這一項,確實有一些資安疑慮,但NCC解釋說,這企業有能力判斷 ,他要不要這一家,如果他是中國移動,他可以用別家,啊如果是中國移動,他可以不要 把VPN給他啊,自己加密啊。不要忘了,我們企業都是中小企業,他們有能力聘能力好的 IT人才,來做這些事嗎?我剛剛提到的是二類電信特殊業務,存取、轉接,跟數據交換。 數據交換裡面最嚴重的是機房外包,如果遠傳把它賣給中資,中資就有執照,在台灣可以 經營機房,可以擁有機房,中國移動說,我幫你經營,你本來一年要10億,我幫你,只要 6億,這個條文裡面是可以的,你說NCC到時候可以行政命令阻擋,好,換個方式,用委外 管理,機房還是遠傳的,但他還是以6億,委外啊,你說中方人員不能進入,好,就遠端 設定啊。現場應該有很多學資訊的,一定要進機房才能設定嗎?遠端就可以啦。所以沒進 機房,還是抓得到你想要的東西。這些,NCC都沒說。 服貿裡面64項有兩項對資安有問題,另一項是這個,電腦與其相關服務。包括,資通訊系 統的開發維護。以戶政系統為例,你說中資不可以來標案子,好,我換個方式,我用台灣 的公司去標,但是轉包出去,沒有去中國做,我在台灣做啊。你說用行政命令來擋,我再 換一個,你不外包給我,我派駐人員去你公司做,那這個到底是轉包?外派?還是什麼? 現行法令沒有規定啊。所以我說這個延伸很多資安問題。如果是資料庫裡面的,就會有個 資外洩問題,如果是聽網路流量,網路封包,那就有個人機密問題。現在只有調查局、刑 事警察局可以合法監聽,可以非法監聽的就是國安局。 我的資料顯示,台灣任何時候都有三萬人被掛線,掛線包括電話跟網路,三萬你聽起來很 多,但是一個人掛六個月,一年6萬,6萬才占2300萬人多少,不到1%,但如果中國移動真 的接管遠傳機房,他大概會監控台灣約1/3的人上網,還有監聽。而且事實上是超過1/3, 你算遠傳跟台灣固網的用戶,那就超過1/3,馬上就變成33%,如果中國移動經營交換中心 ,那就變成8、90%,這不是調查局跟刑事警察局監聽6萬人,而是,台灣有數百萬人在被 監聽,當他掌握1/3,他會做網路監控,如果他掌握80%,他會網路封殺。 這有什麼差別,監聽是他聽你的隱私,假如你有不法,他可以拿來要脅你,但是封殺是, 連你貼文,他都可以砍掉,不讓你貼。我們知道,中國網路環境是網路封殺。香港現在是 網路監控,因為中資還沒買完,等他買完,香港要在網路上串連,那就很困難了。為什麼 中國不會有茉莉花革命,因為他網路封殺做得很全面,不可能有人在網路上貼文說要去哪 抗議,馬上就被封殺,馬上就被查出你是誰,我們不要這樣。 那為什麼資安問題會演變成國安問題?因為政治監聽跟經濟利誘。如果監聽的是政治人物 ,會有什麼結果?公聽會的時候,陸委會主委王郁琦坐在我後面,我說如果有一天你被監 聽,你的助理也被監聽,被查出不法,就寄了一封mail給你,還附檔,說他有這些證據, 請你明天來國台辦,你敢不去嗎?等你再回來,你已經被賦與政治人物,政治監聽很危險 ,在敵對國之間,甚至以某些法案的推動來威脅,剛剛虞副主委提到,我們到中國去投資 四大,小三換四大,但是四大只有在福建省,為什麼只有福建省?這是引君入甕,你去了 之後,生意做起來,你想再拓展,中國就跟你說,那你回去台灣,叫台灣再開放更多,乾 脆也開放第一類啊,可以監聽電話。如果政治人物被中方監聽,這不是國安問題嗎? NCC跟經濟部的回應是文字遊戲。 第一類:三管五卡。 虞副主委說封閉網路,你就把他們都關起來,不讓他們上Internet,那這樣要幹嘛,有這 種網路嗎? 第二,NCC承認企業會有資安問題,難道我們企業就要遭殃嗎?但是中小企業就沒有能力 管理自己的IT啊。特別是如果這些企業包括了可以經營交換中心的。NCC說數據交換裡的 技術都試過時的技術,他裡面列的是X.25、frame relay等,你注意喔,他是舉例,例子 是舊的,但是寫了一個「等」。大家注意到mpls,這個普遍被應用在3G、未來的4G上,你 說這些是舊技術嗎? NCC說一類跟二類不會相互影響,我要講的是,如果二類遭殃的話,但二類的網路跟一類 的數據交換的網路,是共用一個骨幹的網路。如果我是中華電信,我不會把它分開,事實 上是共通的。NCC說,中國已經有在他國設電信服務據點,我去年就請他們找,很高興終 於找到了,我看完以後說,你有沒有仔細看,他是只提供連回中國的電信服務而已欸,又 不是經營美國電信服務。為什麼美國開放這個給中國,因為他們本來就互相監聽流量啊, 又不是只有單方面,不管這個線是誰拉的,中國在中方就可以監聽美國的流量,所以美國 開放這個,並沒有增加他監聽範圍,美國沒有開放中國經營他國內的電信。 NCC說,電信機房跟電腦機房是不一樣的,但他們是共通的,這棟建築物的樓下,就是交 大的電信跟電腦機房,我做過交大計算機中心主任,做了3年,我有實務經驗。(台下:大 笑+鼓掌)機架是這邊一排是交換器、路由器,這一排是伺服器,同一個機房裡面,NCC說 要秉持開放精神。剛剛已經說過,WTO是原則問題,我最害怕的就是NCC說秉持著這種精神 ,未來持續開放,我最擔心就是這句話,表示第一類電信也會開放啊。 NCC說會做好三管五卡,投資金額50%,沒有掌控能力,各位知道嗎,不是要過50%才能當 董事長啊,交通部占中華電信30%的持股,董事長跟總經理都他決定的啊。上市公司的股 權都分散,沒有過半的啦,徐旭東10%都不到,特別是中資在台灣,如果併購跟投資的規 定都變鬆,NCC說中方不能進機房,可以遠端設定。而且有一件有趣的事,假設中國移動 來10個幹部,聘請100個員工,NCC說中方人員不能進去喔,但是這100個可以進去,變成 老闆不能進去,員工可以進去?很好笑啊。NCC說資安本來就有這些問題,又不是開放才 有。我要說,這是規模問題。以我剛剛舉的監聽為例,1%、33%、8~90%。NCC都找一些被 他管的來背書,我希望NCC停止這件事,這違反自由意志,不然我就要公布這些資料。 (台下:尖叫+鼓掌) 我們這樣的訴求,得到NCC跟經濟部這些回應嘛,我們來看其他人的回應,有一位中華電 信的高層,是他自己來找我喔,我沒有去找他。說:「林教授,我看到你在媒體發表的這 些資料,會有資安問題。我們自己有開會討論,我們也覺得真的會有這些問題。但是我們 的會議是秘密的,不能讓NCC知道。」結果兩周前,我跟媒體說這件事,NCC做了兩件事, 一件事打電話問我,有個處長打電話問我,說那位是誰?各位,我可以講嗎?NCC很白目 ,另外一件事是問,是去問中華電信是不是有這個機密會議,中華電信當然說沒有,NCC 就好高興跟媒體說,他們有問,中華電信說沒有。我告訴大家,我沒有杜撰,NCC不相信 去告我啊,法院就會傳我,也傳那位秘密證人,就知道我說的是實話。如果沒有這件事, 是我杜撰的,就算沒有經過法律程序驗證我說謊,我就切腹。 我不知道,各位記不記得學運時,馬總統在記者會上有回答五個問題,第一個問題是,「 服貿評估報告裡,有資安跟國安疑慮,請馬總統回應」你們記得馬總統說什麼嗎?「我現 在還不知道,我去了解一下。」已經過兩周了,我想他了解得差不多了。國安局在過去兩 年,來要來問我關於國安資安的問題,難道是我強迫的嗎? NCC石世豪主委就說反對這個開放的教授只有三個啦,我一開始只是想說,試試看 啦,連署看看,結果現在有246個。其中,哈佛大學孔祥重教授,擔任經濟部與國科會產 業發展顧問超過10年,產業發展喔產業發展喔,不是學術研究。(台下:大笑+鼓掌) 我想說,他在美國,他又沒辦法來,我想叫他錄影,他說沒時間準備,他說寫一段文字給 我,他寫的那段文字,最重要的一段就是,我不希望台灣的網路環境會變得跟中國一樣。 (台下:鼓掌)孔院士真的是院士,看得很遠,連署的人還包括台大副校長陳良基,他是電 機系教授,國家實驗研究院前院長,他也幫我寫了一段文字,最重要的就是,這絕對不是 某些人講的是老技術,他並沒有因為自己擔任行政職,就不連署。我就想到我們前副校長 ,打電話跟我講了1個多小時,都要吵起來了,雖然我們其實很常吵,我告訴他,「你至少 不要出來反對我的連署」,他說:「我當然不會」。 美國、日本跟歐盟的做法是,如果韓國採購華為的設備,美國會去擋,美國國安單位還做 一件白目的事情,一個月前的新聞,韓國電信公司買華為的設備,美國去擋,說不能用。 NCC近幾年也在檔,我還被問這個問題,我現在懷疑NCC的立場,產品不行,但是人可以? 美國的做法是境外服務。我開始懷疑,到底是誰在設限?是國安局?NCC?還是美國國安 局?剛剛有人問我簽這條為什麼美國沒擋?因為美國覺得不會過啊(台下:大笑+鼓掌)修 正;他是想,應該不會笨到讓這個過吧?啊美國可能真的覺得我們很笨,我也覺得他要放 棄了啦。 服貿有些項目是紅線,踩到就要跳起來,資通訊系統就像國家的神經系統,碰都不能碰? 為什麼開放?NCC官員說這項是中方提出的,哇,還被我猜對了,因為他不想面對消費者 。我叫NCC提供會議記錄給我看,他不願意,他說什麼國家機密啦,我擔心小開放變成大 開放。 我的總結就是這是e化版的木馬屠城記,就像衣服破洞一樣,愈破愈大。我很難過的是, 我必須到處去抵抗這件事,我不想讓它發生,照理說我現在應該要做研究,我常常看 paper,但最近我都在搞這些,還好我看到有將近300個教授跟我一樣,還好我看到年輕人 站出來,我去年在公聽會講過,NCC的處理就是存檔,也不處理,我當下覺得,原來教授 沒有用。當你用文明的方式,對待野蠻的政府,也沒轍(台下:尖叫+鼓掌)。直到3/18學 生占領立法院,學生在教我,用講的沒用啦,政府現在就是硬要過,蠻幹啊,不是0就是1 ,如果真的是這樣,我支持學生再跳出來,一定支持學生(台下:鼓掌) 我有一些問題希望NCC回答,第一個是,政府部門有在溝通,但是有想要改嗎?如果沒有 ,你只是在政令宣導,你根本不理我啊,不然我們講了那麼多,怎麼可能一條都不用改。 我覺得你校園巡迴啊,前幾天去清大,都是贊成過的,我要求,經濟部往後,一定要支持 跟反對人數一致,時間一致,這才叫公平,才叫溝通,是不是?(台下:是!+鼓掌)其他 大學應該要這樣要求,他們剛剛講75分鐘,我都沒講那麼久。剛剛部長說談判名單有120 位,我一直在等,想說他要講了,要告訴我有誰,我一直等,結果不公布,不公布就是黑 箱。(台下:沒錯!+鼓掌) 我不知道部長知不知道,中資會用其他名義進入台灣,挖腳IC設計工程師,挖技術,政府 告訴我三管五卡,拜託,這個管一管吧,他已經進來了,你不處理嗎?中國去年公布一個 政策,用兆元以上的金額去扶持中國的IC產業,瑞昱的一個工程師跟我說,他們一直努力 在檔,目前還撐得下去,但是服貿這些一過,不知道還能擋多久,我們不怕競爭啊,但是 我怕的是他背後的國家機器,政府一直說年輕人不要害怕,我們年輕人怕的不是競爭,經 濟部很會管,你管管竹北那一塊吧,他之前一直想殲滅台灣的半導體,聯電被騙去了,從 老虎變成貓,還好台積電撐住了。請你管管這些來挖腳的廠商。 很多學者提出簽約條件不對等,還有Z>B,Z到底誰拿走?電信業為例,遠傳跟台固啊,他 會覺得很好吃啊。我們應該要貨貿再服貿,我相信部長找不到先服貿,再貨貿的例子,你 找不到,學者都幫你找過了啦,應該要先簽其他先進國家,再簽中國,服貿會造成貧富差 距過大,房價上漲,薪資下滑,社會文化價值流失,中國的國家機器就在背後。 以上,我簡短的,好啦不算簡短,但為公平起見啦,我剛剛也很抱歉一直提醒部長他超過 時間啦,謝謝。

沒有留言:

網誌存檔