在上週,英國決定使用華為5G,只用在非核心的網路,加上一些更高的限制。網路安全是每個國家都必須要深思熟慮的關鍵點,若是網路被侵略,國家的基礎建設很有可能被侵略,這包括電網、交通、通訊等等很多關係到我們日常生活的部分,而隨著5G的推出,再未來還包括IIoT、無人車、眾多由5G賦能的建設都暴露於風險。
英國華為網絡安全評估中心監督委員會新出的報告,基本上對於華為是批判性的,大部分之前提過的問題都沒有很有效率的解決,不過個人有稍微閱讀,並不認為會讓英國傾向於禁用。報告裡面說明,華為在即時作業系統方面是用現今LTE主流但準備被淘汰的版本,華為作業系統非常現代化,但測試不足而難以評估,這兩者同時融入到現今的網路系統,加上環境設定華為在環境設定和編碼設計上有嚴重缺陷,所以實施的話會在網路上有很多弱點在,形成安全風險。
報告中沒有提到後門可能性,但其實要侵略網路也不一定要有後門。就像報告中所說的,在華為的軟體管理以及很多相關編碼上有弱點,而駭客只需要知道有哪些弱點,就可以比較快速的侵入。若是不注意,這侵略速度會非常驚人,根據CrowdStrike 報告,俄羅斯政府所支持的駭客活動,可以在平均18秒左右完成侵入。雖然速度不是成功的唯一要素,因為這還包括你可以取得什麼樣的資料、留下多少蹤跡、做出什麼行動等等,但速度絕對是要點之一。
英國的報告中,對電信業者所鋪陳的網路基礎建設有信心,在設計上是可以有效限制任何損失的。通常要達到這點,就需要有來自不同廠商的設備,讓駭客得同時面對不同系統,以此來降低損失。
網路安全在遙遠的未來也會更難,因為量子技術。量子技術基本上都還在實驗當中,但是概念已經思考出來。區塊鍊在目前為止是相對安全的,你所能做到的只是侵略節點,進行51攻擊等等,而非鍊本身。一些專家已經在提出,現在的量子技術雖然能應用的還極度有限制,但當量子計算的能力橫向拓展、可以做更廣範的計算時,區塊鍊就不會那麼安全了。
不過,也是量子技術讓網路安全有希望。現在的網路安全,最怕的不是被侵入,而是被侵入後並不知道,所以現在另一個課題是,如何運用量子技術進行傳輸。理論上,因為量子技術從A端傳輸數據到B端時,A端的量子鑰匙是處於某個狀態,並且是與B端量子鑰匙直接性連結,若是在中間進行動作,就會改變到A端量子鑰匙的狀態,從而改變B端量子鑰匙的狀態,馬上就能知道被侵略了。
網路安全是我們一般生活中比較感受不到的,一方面是因為只有實際造成嚴重影響時,才會被報導,所以無法直接感受電信業者和各個公司花多少力氣在這上面,另一個也是因為覺得這是大公司的事情。提醒大家,很多時候其實你不知道而已,多多的一個項目正好有個客戶是中型律師事務所,有五十人左右,不像大律師事務所有那麼多的預算在IT方面,以前也沒被駭過。真正重視,是因為有個年輕小伙子輕鬆駭進他們的伺服器,竊取很多客戶資料,以此勒索好幾十萬美金。當然,這種事情就算發生,我們也不會知道。
另一個原因是因為,我們對於網路安全容易有誤解,受電影影響,會覺得就是兩邊人幾分鐘內決勝負,但整體作業其實時間上更久、更有系統化、更… 不那麼激動人心。
但這並不代表不重要。建議大家往後在買服務時,當你需要提供個資等等,尤其是銀行帳號等,最好還是注意一下該機構的IT能力,並且隨時注意自己的線上蹤跡是否一切正常,別被盜用身分或信用卡太久才發覺。對政府也是一樣的,V-Dem 指標中,台灣是最容易受國外假消息攻擊的國家,雖然不直接跟網路安全有關係,但卻也顯示政府普遍面對網路上攻擊暴露的風險還是很高。
Originally published at https://arc.com.co on April 30, 2019.
