我以前博士论文一部分跟资讯安全有关。
坦白说,资讯安全这个领域,牵涉的层面很广泛。
从软件更新、漏洞防堵、软硬件贩售所在国或是拥有国法规赋予的权力与执行面问题、个资
保护等都需要通盘考量。
1. 大家常在嘴的所有东西都生产自某大国,为什么笔电/电脑就不会有这种问题?反而手机
容易被质疑?
你要看这些是硬件生产自该国,还是连同软件都“生产”自该国? 如果我没记错的话,以W
indows为例,它就至少分为两个版本,给对岸使用的,就不会放到国际版使用。如果是单纯
硬件制造,硬件都是标准模板制造,资安问题漏洞机率就小很多,软件就可以拆开来区分版
本出货。
但是,手机作业系统的想像空间就很大。一样有区分为国际版跟中国境内版,就看该手机业
者自己怎么切换版本出货?
2. 自己的个资不重要啦!对方也不会闲著没事去监控。
这个只能说对一部分。
前提是,你的一言一行有没有被捕捉或是被算法判定为可疑人物,甚至是进一步偷偷监控
。
这种通常都是从对岸的软件比较容易取得你的资料(毕竟聊天或是对话纪录都存在对方云端
空间上)。以成本考量的话,都是搭配一些常用的软件算法去捞取,层层过滤完毕之后,
判定风险层级,再进一步判定是否需要额外手段?
所以,有时候对岸人士都知道哪些言论在网络上讲很危险,都会打擦边球或是不在网络上讲
。
至于一般的对话纪录,也几乎不会被过滤出来做风险管控。
以前有对岸的同事在某聊天软件讲很多事情酸上头,却发现对方都没收到他的消息,原来被
系统屏蔽了,他也不知道,系统也没告知他,可能是启动过滤机制被挡了),但放心他没事
,他也知道他这种话不会被抓去问话,顶多是被要求删文。这种事情在他们眼中早已见
怪不怪了。
3. 之前台湾某政客说可以让电信业者监控分析特定人群?
只能说这个OO乱讲话,在吓唬人。
以前认识的朋友做过这类的工作,主要是用来作人流或是热点分析,用来向一些潜在客户
推销在哪些时间地点投放广告比较实用这样(但真的超级难做!)
电信业者只能知道手机讯号强弱,以及网络上的传递“加密”资料。以常见的SSL/TLS加
密而言,根本没办法分析出来,因为都被加密了。只能知道这些使用者在连哪些服务,频率
有多高?
热点强弱就只能使用电信业者的基地台去做类似三角定位,搭配GPS(GPS这要看个资法规
范,印象中没获得授权也没办法轻易取得)把人定位在某几个大楼内,但也没办法知道楼层
或是精确位置。而人名跟电话,因为个资法的关系,一开始就被码掉了。
4. NCC都通过手机贩售了啊,就没有资安问题!
只能说,NCC在做手机贩售许可,都只管硬件层面有没有问题(例如电磁波、网络频段)
,软件层面的漏洞管控,根本没在管的好吗!更何况这种东西只要一不小心(或是故意),
透过软件更新就又跑出一个洞在那里,防都防不完。
所以,不要再说NCC通过就等于资安没问题!