離開
進入《星期專訪》李忠憲教授︰開放中資 台灣將棄守電信網戰
成大資通安全研發中心主任李忠憲(記者洪瑞琴攝)
記者黃以敬/專訪
「二十一世紀的戰爭,不再是傳統飛機槍彈的武力戰爭,而是不費一兵一卒、可在遠端操控、暗地破壞的『網路戰爭』」,兩岸服貿將開放二類電信服務及資通建設,曾參與國家資安計畫的成大電機系教授李忠憲警告,這是引進「木馬屠城」、讓國安大開後門,國際上沒有國家會開放中資做國內電信,且台灣根本沒能力及技術可防範,若為商業利益而草率開放,根本是拿全民資安及國家安全當犧牲品。
鴻海總裁郭台銘放話要用中國華為設備否則抗稅,李忠憲更指出,財團是要用低成本搶佔電信市場,但也有人形容是「以商逼政」,中國設備入台是先開啟貨貿、接著再做服貿,甚至連最新的5G新系統規格標準規劃,都傳出官學界要開放中國合作研究,中資將可軟硬體全包。兩岸網路戰爭、台灣似乎要步步自動棄守了…。
不只二類電信 軟硬體皆危
問:兩岸服貿在各領域都引發反對。國家通傳會NCC曾表示只有三位學者反對開放二類電信,卻引發近七百位學者專家連署反對,質疑有國安疑慮?
李忠憲:這次連署在數理工學界是史上首次,數理電機學者多是死守研究室的宅男,直到太陽花學運引起社會注意到兩岸服貿,我也是基於好奇看一下,才發現電信開放項目中隱藏極大危機。
開放不只二類電信,還有商業服務業開放電腦及相關服務業,範圍廣包硬體安裝諮詢、軟體執行、資料庫等,而營造工程業中,甚至容許中資可參與基地台、光纖網路建設等,幾乎從硬體到軟體無所不包。
幾位教授想呼籲政府注意服貿中「隱藏的魔鬼」,原想能有三十人連署就不容易了,沒想到像野火延燒整個資通學界及業界,甚至Cisco、微軟、IBM、工研院等產業專家都很憂慮國安危機。
問:NCC等政府單位一貫說是二類電信只開放三項業務、是封閉系統、只對企業,民眾影響不大?專業如何解讀?
答:官員說法不是專業性不足、就是刻意淡化。所謂二類電信,是租用中華電信等一類業者基礎網路而提供進階服務,就像每天經由國道(一類電信)、開車到各處提供民眾服務,諸如全虹通信、震旦通信等,去年大樓失火就造成全台網路癱瘓的是方電訊,也是二類業者。根本不需炸毀公路,只要車輛爆破或亂開阻塞,就能造成全國網路癱瘓。
二類服務的企業,可廣含銀行、醫療、國道計費、鐵路訂票或戶政等各類企業,服務對象是全民,他們的ISP上網、交易服務、電子文件若讓中資業者承辦,牽涉的還是全民資安問題。
商業服務項目的電腦產業也對中資開放,設想國稅局、健保局、鐵路訂票等資料庫給中資承包,馬總統的財產、健康狀況,恐怕中國比台灣國人知道得更清楚。
更令人憂慮的,營造工程項目,依聯合國定義,基地台、光纖、網路建設也都在服貿開放範圍,除資料外洩或網路癱瘓,透過基地台是可定位追蹤的,可想像全民身處於一個大型監視網中。
問:鴻海總裁郭台銘也喊話要政府開放4G使用中國華為設備,如何解讀?
答:六百位學者專家連署警告,政府裝沒問題,但大老闆喊話,政府就緊張回應,財團力量比學術大很多,因此有人擔心這是「以商逼政」壓力及效應的浮現。
國際間都知道「華為」這家中國業者,明顯有中國解放軍背景與奧援,財務未上市上櫃、不公開,卻能以低價在各國搶佔資通信市場,明顯有特殊目的策略。 國內電信業者無非想藉低成本去搶4G市場,但資通信動輒牽涉資安及國安,商機很可能就變成被利用的工具。
中國設備早引起國際警戒。美國國會報告就警告,華為、中興等中國廠商設備,可能傷害美國核心的國家安全,美國不僅限制引進中國設備、甚至連盟邦採用中國設備都會阻止。澳洲政府也不准華為參與國家寬頻網路建設。
英國用華為設備 悔不當初
英國曾因貪圖低價而用華為設備、現也悔不當初。英國國安單位去年一份檢討報告,即質疑英國政府十年前未能阻止英國電信引進華為設備,僅看商業利益而未考慮國安,是嚴重失誤,導致國安陷入危機。報告更直指,華為設備會提供中國很誘人的滲透諜報機會,而且有機會攔截資料或做敵意攻擊。就算英國想亡羊補牢,因設備及維修合約都是華為的,補救很困難、且要付出更大代價。
國碁宣稱華為設備不用在核心網路,而是基地台周邊及傳輸設備,但手機用戶上網一定要透過基地台連接,如果設備有問題,手機資料可能會被竊取,用戶也會被鎖定行蹤。
郭董把華為設備形容為「刀子」、 認為「用刀的人」才是重點。但我要提醒,網路設備是可以智慧互動及更新,且能潛藏太多後門秘密及蟲蟲危機 ,「刀刃是可能轉向、傷害握刀的人」。業者若只著眼中國設備低成本,反可能損害商譽及產品安全。
問:NCC及科技部長張善政,宣稱可掌控資安,即可適度開放中資或中國設備;技術上可做到資安完全防範?
答:官員這些說法根本沒意義,因為他們沒能力保證。我曾參與國家資通安全產品檢測計畫,還曾帶NCC及經濟部、資策會人員到德國取經研討,但最後發現,資安要百分百防護根本不可能 ,全世界各國都想做但做不到,尤其台灣對此投入及研究根本不足。
只說空話 官員無力保資安
近期許多國際品牌的路由器,全球廣用多年後,才被發現有潛在「後門」漏洞,軟體中TCP 32764傳輸埠可不需密碼即允許進入,外人也可隨意存取;光一個路由器軟體程式就有一百萬行,無從查起。更何況開放國內電信網路,讓外人直接開後門進入,「internal attack 內部破壞」根本無從防起。
張部長以前服務的Google,也因駭客攻擊及網路言論限制,退出中國了。政府連總統府網頁都會被學生駭入、國道ETC網路遭駭也無法掌握,這樣的資安防範能力,民眾能有信心?一旦開放,問題被植入國內通信環境中,更絕不是任何偵防的配套措施可補救的。
NCC也說「不准中國人員進機房」就算安全,卻被掀出「邀請大陸人士進機房處理原則」公文、並未禁止中方人員,就技術而言,要動手腳也未必需進機房,只要設備是中資製造或建置維修,漏洞早可被內嵌,遠端也可遙控。如果主管電信的NCC專業都僅有如此,主管電腦資料庫的經濟部、主管基地台營造的營建署,更哪有能力去做資安防範?
