Re: [新聞] 第二類電信開放 NCC:無國安疑慮
對於張中一先生《讓我們來更細細說明關於服貿二類電信》有意見。
開放二類電信是很危險的事。
※ 引述《timshan (軒哥)》之銘言:
: ※ [本文轉錄自 timshan 信箱]
: 作者: loach98 ( ) 看板: Gossiping
: 標題: Re: [新聞] 第二類電信開放 NCC:無國安疑慮
: 時間: Thu Apr 10 01:13:19 2014
: 想借題詢問一下這位業界工作者的論述?
: 出處 http://ppt.cc/ckCX
其實像張中一先生這篇文章《讓我們來更細細說明關於服貿二類電信》....
只是談管理面與市場面,對於技術衍生的資安問題根本沒有釐清清楚。
問題是談管理面與市場面沒屁用,太多方法避過了,
作者自己文中就有提到陸資規避限制方法了。
真正的重點是技術問題衍生的資安問題
(而且造成這個問題的原因竟然還是自己開門讓對岸進來),
這才是學者們爭議的焦點。
不過,其實作者自己也列出了一堆開放的風險,更加明顯開放的風險,呵呵呵。
: 這次二類電信開放有三個項目歸屬於電信服務業中的第二類電信特殊事業服務,他們分別
: 是:(1)存轉網路服務、(2)存取網路服務、(3)數據交換通信服務。這三者到底是什麼東
: 西?為什麼NCC說這已經罕有人使用,金額十分低?這就要看NCC的說明文件了。
: 存轉網路服務(Store & Forward Network),這到底是什麼鬼啊?如果各位看看NCC的開
: 放說明就會知道。他是讓你把東西先送到第二類電信機房後,第二類電信業者用IP或其他
: 技術把這些料傳到遠端他的機房,然後呢在轉成應該要接受的格式送到目的地。舉例來說
: ,因為傳真電話費要錢,尤其是你如果傳很多張的話長途電話也是很貴的。因此呢他幫你
: 取個巧,可能先轉成影像,壓縮送到遠端他的機房後,再用市話送到目的地。這種類型的
: 服務在IP時代與E-MAIL時代還有誰要用啊?因此去年的營業額約500萬台幣左右。
張中一先生還停留在NCC的舊解釋,跟不上時代。
說真的,我覺得政府很誇張,定義與規範不清楚,
這部份李忠憲教授回應張中一的文章中已經有指出了。
應該要求政府明確定義開放的二類電信那3項的子項細目,
再討論那些子項細目使用的電信結構,會不會有資安問題。
不然服貿只說開放那3項,子項細目都沒有明確定義,
中間防堵的資安技術細節也沒有規劃,
光是僅憑那3項名稱,
隨著時代進步,
其實也有含攝到現代許多技術,
資安技術細節就一堆問題了。
張善政說:「開放『存轉網路』、『存取網路』『數據交換』3項通信,
他坦言『名字取的不好』,很容易讓學者誤解,理解學者的顧慮所在;
但實際上,這3項服務指的都是封閉式網路,『封閉式網路資料的存取,
跟網際網路是沒有關係的』,他舉例,像ATM就是封閉網路。」
張善政說「名字取的不好」,「容易讓學者誤解」....
天啊!
服貿開放二類電信的項目名詞,可是服貿協議上使用的名詞。
要知道,文字言語的存在,特別能使雙方溝通甚至達成協議,就是仰賴共許的定義。
對內,對於名詞意義,NCC與學者尚且無法達成共許,
NCC可以傲慢的說:都是你們學者搞錯了....
可是,對外,簽約之後,你能說都是對方搞錯了嗎?
服貿協議上根本沒有「封閉式網路」這幾個字,
而且隨著科技進步,其實開放的二類電信項目範圍早已變廣,
範圍已經包含現今許多使用的網路技術,
譬如這次服貿開放「存轉網路服務(Store & Forward Network Service)」,
大家知道問題在哪裡嗎?
按照服貿協議名詞,
現今網際網路採用的Packet Switch Network
就是一種Store & Forward Network Service,
網際網路資料傳輸也是一種Store & Forward Network Service,
也就是說,所謂Store & Forward Network Service會含攝到現有使用的許多網路技術。
有些人可能會說Store & Forward Network Service指的是傳真服務之類(如NCC),
但是,
隨著科技進步,其實Store & Forward Network Service在現代解釋上,
也可以包含網際網路服務,
因為網際網路採用的Packet Switch Network,
正是含攝在Store & Forward Network Service範圍內,
甚至網際網路的資料傳輸也可以含攝在Store & Forward Network Service範圍內。
隨時代不同、科技進步,
Store & Forward Network Service解釋範圍其實一直在擴大,已涉及網際網路服務,
NCC說Store & Forward Network Service是傳真服務,
那已是很久很久以前的解釋了。(約20年前了吧?)
同樣名詞,在現代已經可以解釋為包含其他技術服務了。
同樣名詞,在現代已經可以解釋為包含其他技術服務了。
同樣名詞,在現代已經可以解釋為包含其他技術服務了。
如果對內對於名詞都搞不定與定義不清,那對外NCC能保證簽訂服貿的對方,
對於Store & Forward Network Service的解釋與NCC一樣?
雙方名詞解釋的差異問題,NCC幾個委員說了算嗎?
法律依據在哪?
(PS:連NCC自己都無法清楚解釋服貿條文)
當對方威脅利誘的時候─
「X,按照服貿協議,明明就包含網際網路服務,
因為網際網路的Packet Switch Network
以及資料傳輸也在Store & Forward Network Service範圍內,
X,給我依約開放!」,
是不是又要換一個說法解釋?
其實要避免誤解不難,
把開放的電信業務鉅細靡遺明列出來,明確定義並立法,
並且明確規範中間防堵的資安技術細節,
免得將來任意解釋。
以下提到其他開放的服務,也有同樣的問題。
: 存取網路服務(Store & Retrieve Network),這又是什麼鬼?一樣請看NCC的說明文件
: 。他是A方先把資料送到二類電信業者的機房。然後B方呢再去二類電信業者的機房存取。
: 什麼是最接近的例子?呼叫器。A方把電話語音留在機房。B方連上去聽語音。這麼老的技
: 術誰要啊,因此營業額也低於500萬台幣。
什麼時代了....
: 數據交換通信服務,這又是什麼?這是這樣子的。很久很久以前,在那個INTERNET還沒有
: 出來的時代,你要跟你的分公司或客戶連線,你們雙方需要建專線,這個專線的兩邊呢是
: 一個封閉的網路外人進不來的。建專線有很多種拉法。你可以真的自己拉一根。你也可以
: 跟電信公司或二類電信業者租線路。這樣子呢電信業者會在你兩端(可以多點啦,但為簡
: 化起見我們先談單點)之間建一個專屬網路協定的網路。從你們兩邊你們彼此可以看到對
: 方,但外界完全連不進來,因為網路上你們是隔離的。這種協定往往都很老例如X.25或
: FRAME RELAY。這技術後來在IP時代有了各式各樣的新產品替代他。典型的例如MPLS VPN
: 。
以上談到隨時代進步,名詞解釋範圍擴大問題,
可是NCC卻使用20年前的名詞,其實會包含到現今使用的許多網路技術。
以上談到名詞問題,這裡開始談技術細節。
你說的這段:
: 基本上現在的主流作法是,你們是透過電信公司的公眾網路傳但是呢在電信公司這邊已
: 經把你藏了起來,讓你雖然是在電信公司的大網路上傳,可是裡面卻藏有你真正傳輸的協
: 定。到了電信公司遠端機房以後才解開又變成你要用的協定。這業務量大點,全台約三億
: 多。不過這真的只有企業會用,絕對沒有一般民眾會用。
(你數據交換通信服務漏掉了NCC提的ATM: Asynchronous Transfer Mode....)
數據交換通信服務不是只有X.25、FRAME RELAY與ATM,謝謝。
明確範圍規範在哪裡?
法源依據在哪裡?
而且重點也不是作者談到這2個技術,不要扯X.25、FRAME RELAY。
重點在:
1. 二類電信可以控制L2以上,
有拿到封包的能力,
也就有處理、複製、監聽的能力,
但是目前沒有規範封包處理、複製、監聽這段。
(作者扯X.25、FRAME RELAY無法解決問題)
2. 開放業務不是作者講的民眾用不到。
服務對象包括ISP...怎麼會與民眾無關?
如果社區網路業者包了整區的網路之後,
看陸資二類電信是比較便宜的,
所以承租陸資二類電信的服務,
請問這樣是一般大眾都用不到的嗎?
譬如醫院高雄分部裡面有張中一先生的病歷資料,
用二類電信傳到台北總部,
結果這個剛好被業者抄走 (以下會談一下張中一先生天真的認為加密即可解決的問題)。
請問這樣是一般大眾都用不到的嗎?
跟一般大眾沒關係嗎?
你說這個是業界公司在用的,一般民眾用不到,
然而業界公司有可能處理的是所有民眾的資料。
那個封包裡面就有大家的資料了。
如果說二類電信不能連上INTERNET,
但是業者兩端總要上INTERNET吧,不然怎麼提供服務?
而且INTERNET即使不是指對於客戶開放的服務,也可能存在於架構或交換網路之中。
中間通道的規範在哪裡?
技術上,沒規範不能監聽,而且也沒辦法規範。
為什麼不能規範,因為在除錯時,一定會用到監聽,
而且只要陸資二類處理封包就可以監聽了。
還有,
NCC應該明確定義陸資二類電信可以申請BGP AS Number嗎?
如果可以,就代表他可以自行處理對外連網。
目前有任何配套措施或規範嗎?
: 好,我想前兩個大家不會爭議。大家應該會爭議第三個,畢竟有企業會用啊。難道我們不
: 該保護企業嗎?那我必須告訴各位。
: 2009年6月起事實上我們就已經開放了這幾個業務給陸資持股50%了。如果你擔心被竊聽,
: 我們已經被竊聽了5年了。這些位連署的教授這幾年在幹什麼?如果真有資安問題,已經
: 發生五年了。那這次到底開放什麼?這次是開放,這些二類電信公司可以把據點設在國外
: ,當然主要就是大陸。前面兩個實在太不重要了,我們就不要討論他了。你現在還在用傳
: 真跟呼叫器嗎?就算你有需要,你會介意被竊聽嗎?那傳的都是明碼。中間隨便線路掛個
: 線就竊聽了幹嘛還從機房下手這麼麻煩?
: 我們回到數據交換通信服務來專注討論。這業務,典型誰在用?例如我有企業,而我的分
: 公司或特別重要的客戶在中國。那兩者之間可以建立一個專線,讓兩地之間看起來像是同
: 一個網路。注意,這時候兩個是被視為一個封閉的網路。這次開放主要的目的就是讓提供
: 這服務的公司在中國有據點。而且中資也可以投資。坦白說,你只要就算用純臺資的二類
: 電信業者連到中國好了,在中國的那一頭難道會是臺資的嗎?因此任何合理的業者都會用
: 加密來保護。如果有人不介意,那是企業自己的選擇。這早就超過國家保護的合理範圍。
: 到這邊我們就知道所謂的絕不能開放,根本只是炒出來的議題,因為他是讓你可以用中國
: 人投資的二類電信公司連到中國。你如果擔心中國,你必然會加密。那二類電信業者是否
: 有中資,真的不是你要擔心的。
二類在L2以上都可以處理、複製、監聽。
被張中一先生這篇文章誤導的人,
可能會以為加密就可以保護資料了,
然後質問為什麼企業不自己加密就好?
有可能認為這個資安問題歸咎給國家與二類電信是沒有道理的....
這樣的認知顯然太天真了。
作者顯然也沒有資安知識:加密不能解決一切。
作者顯然也沒有資安知識:加密不能解決一切。
作者顯然也沒有資安知識:加密不能解決一切。
加密也不能解決開放二類電信造成的資安問題。
姑且就作者天真的談加密好了,
簡單的破解方法:
如果作者打算兩個節點建立加密通道,
那麼雙方建立加密通道首要步驟是金鑰交換(key Exchange),
可是,在被陸資二類電信控制下,
基本上你連金鑰交換過程都會被監聽、處理,
甚至被進行中間人攻擊(man-in-the-middle attach)。
服務方拿到金鑰,你的加密形同廢物一樣,就算SSL也一樣。
何況一般使用者用的不會是強度很強的KE,
只要進行中間人攻擊,SSL也照破不誤,
而且一般使用者難以自知(一般使用者不會檢查憑證)。
姑且舉HTTPS做例子,光是在L6與L7就可以利用Proxy對HTTPS搞中間人攻擊,
何況陸資二類是在更底層的L2,從更底層處理,
而且有若干監聽技術方法。
有資安技術防堵之道嗎?
法源依據在哪裡?
你認為加密就可以,其實此中一堆問題,
難道你不知道有L2的國家級加密網路監聽科技,可以用來監聽整個國家通訊嗎?
難道你不知道有L2的國家級加密網路監聽科技,可以用來監聽整個國家通訊嗎?
難道你不知道有L2的國家級加密網路監聽科技,可以用來監聽整個國家通訊嗎?
幾乎可以破解一般常用的加密方法,
甚至支援如文件(譬如Office、PDF等)設置密碼的暴力攻擊破解。
更別談可以利用漏洞破解加密,譬如最近很紅的Heartbleed:
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
中文:
http://goo.gl/bt6K99
再來,如果作者打算事先自行將資料加密後再傳輸,
若我是陸資二類,
我監聽雙方通訊,若是明文通訊,就是直接監控Session,
如果雙方採用加密通道,我除了監聽雙方金鑰交換,甚至進行中間人攻擊,取得金鑰,
至少以上兩種情況監控Session後,
將惡意程式傳輸給企業或使用者,
讓他們以為是對方傳輸過來的資料,引誘他們執行後,
在電腦中植入惡意程式,
以後Client自行加密之前,
先複製一份副本出來。
作者天真的以為加密就能解決一切,可見他完全不懂:
在技術上,開放二類電信的資安風險是整個通道從L2開始被處理、複製、監聽。
在技術上,開放二類電信的資安風險是整個通道從L2開始被處理、複製、監聽。
在技術上,開放二類電信的資安風險是整個通道從L2開始被處理、複製、監聽。
而且還是政府光明正大開放讓陸資變成中間人進行處理、複製、監聽。
而且還是政府光明正大開放讓陸資變成中間人進行處理、複製、監聽。
而且還是政府光明正大開放讓陸資變成中間人進行處理、複製、監聽。
隨便想也知道開放二類電信會有一堆資安問題....
NCC的資安技術防堵之道咧?
配套措施咧?
法源依據咧?
在哪裡?
NCC說沒有國安疑慮,是這樣嗎?
關鍵資訊基礎建設保護(CIIP)就是從資安談到國安,
而且還是行政院「國家資通安全發展方案」重要議題,
其中包含電信安全。
開放二類電信此3項目隨便想都有一堆資安問題,
可是NCC連防堵資安風險的配套措施與法源都沒有,
說沒有國安疑慮,大家相信嗎?
政府的 Z > B ,謝謝指教 可以充當資安嗎?
我可不相信政府的 Z > B ,隨便想就一堆資安問題。
: 再來,光這樣還不夠。服貿為了袒護臺灣,他還加了額外的限制。
: 不開放連上INTERNET的服務
這裡問題很大。
其實講什麼保護機制不可連結INTERNET,這是有問題的。
可以猜想得到想規範二類電信業者要保障在機房之間的線路是專屬線路,
而這線路不能連上INTERNET。
但是這條規範一點用處也沒有,你兩個端點還是得必須上INERNET,
否則如何提供客戶存取資料?
而且INTERNET即使不是指對於客戶開放的服務,也可能存在於架構或交換網路之中。
這條規範怎樣看都是可以用網路技術鑽漏洞。
: 只要語音有關的服務也不開放
以前你可以說語音是語音、資料是資料,但現代可不一樣了,
現代語音可以是資料,如果主張傳輸的明明就是資料,你區分的標準在哪裡?
法源依據在哪?
配套措施在哪?
: 持股不得超過50%iv. 要是大陸或海外的上市公司,他們要對市場負責的。會用二類電信
: 業務的,本來就屬於願意用較低代價換得可能較高風險(例如資安或不穩定度)的客戶。
: 這些上市公司要為了這些窮客戶犧牲自己的信譽?
: 要取得ISO 27001與27011資安認證
ISO 27001與27011如何解決技術問題?....問題簡單舉例如下:
如何解決通道被監聽的問題?
如何解決技術上的風險問題?
如何解決中間人攻擊的問題?
如何解決開放二類電信造成的資安問題?
: 用戶資料、業務系統都不能在大陸。各位可能會說,那萬一他偷偷移怎麼辦。的確有可能
如果陸資要偷傳個資到大陸,台灣根本無法一一檢查封包內容,
特別是當陸資與大陸之間的連線是加密網路,更難檢查。
在加密網路下,陸資偷傳個資,
台灣怎麼抓?
怎麼監測陸資偷傳個資?
事實上很難做到。
作者自己都說:
「用戶資料、業務系統都不能在大陸。
各位可能會說,那萬一他偷偷移怎麼辦。的確有可能」,
作者其實也承認了陸資偷移個資的風險,
顯見作者也是知道開放二類電信有其風險在。
在技術上,根本難以規範陸資偷移資料。
那幹嘛還開放!
: 。但會使用這種便宜服務的使用者,本來就會把風險考量在內。他就是拿風險換價格。因
: 為如果要安穩,中華電信也有提供相同服務,你可以付較高價取得呀。這就是市場機制。
作者還講:
「但會使用這種便宜服務的使用者,本來就會把風險考量在內。他就是拿風險換價格。」
顯然作者也認為使用陸資服務是風險─那幹嘛還開放!
而且陸資來台削價與低價搶標,與國內業者競爭,
會有大量業者改用陸資的服務(陸資也可以繞好幾圈進來投資,難以識別)。
一堆使用業者並無自行加密觀念,一旦使用了陸資服務,
等於有資料被偷聽的風險,把資安的風險歸咎於使用者自己的問題,
是完全不負責任的說法,
因為造成更多風險的形成竟然是與敵國合作的體制缺陷─引狼入室。
就是有風險才更不能開放。
再說,如果按照作者這種講法,
等於承認使用陸資二類電信會存在風險,
如果叫人家不要用便宜服務,使用了會有風險,
那開放二類電信這部份的服務更沒意義。
而且一旦陸資削價便宜,會衍生很多問題。
請問政府有配套措施嗎?
政府和各單位採購都是最低價得標,
中國許多企業的背後都是官方,
如果他拿錢來台灣的公司,表面上服務品質更好,便格更殺,
公務員基於採購法,是不能不宣告該廠商合法得標的。
這樣市場會全給他們做掉。
接下來搞不好連國防部的標案他們都拿得到。
這會有多少問題?自己想像吧。
: 陸資不得具控制力。很多人誤解服貿附件一的意思,以為說NCC認定50%就代表不具控制力
: 。他不是這樣解釋的。不具控制力是一項額外條件。也就是說,雖然陸資可能出很多錢,
: 但是呢陸資不得對人事、營運與財務有影響力。
陸資可以用人頭啊,而且陸資變金主,所謂「人在屋簷下,不得不低頭」,
業者有很大可能不會誠實說被陸資控制的啊,不然陸資被處罰,對業者也沒好處,
怎麼規範?
事實上有錢就是老大,就是有影響力,
怎麼知道陸資沒有影響人事、營運與財務?
那是人家公司內部的事情,你怎麼監聽?怎麼規範?
: 有就是違反。擺明著告訴陸資,你只能當
: 投資客但不許講話。另,NCC也承認如果陸資繞好幾圈,洗成其他國家資金的狀況難以克
: 服。但這本來就很難克服,技術上他可能根本就是美資或其他國家。
連作者自己都知道很難克服,所謂「陸資不得對人事、營運與財務有影響力」,
這樣的規範一點屁用都沒有,
如果我是陸資,我才不理你....
: 你要以法律或行政命
: 令指控美國公司嗎?依法他們可是得以100%持有喔。這次開放的業務全年業績不過3億多
: (整個二類電信的0.7%)小到一個不行。所以擔心繞圈圈洗乾淨再來投資這種事情就不要
: 擔心了。沒有那麼大的誘因。
: 不得跟國內固網業者合資,實際上就限制了這公司的規模與競爭力。刻意壓低了對市場的
: 吸引力。
: 為了一一破解各大教授的批評,NCC甚至生出了Q&A挑明著針對各教授的錯誤直接批。各位
: 可以去參考一下。
: <更多內容詳原文 http://ppt.cc/ckCX>
看了一下,作者還說
「比較敏感的電信機房已經禁止陸資公司進去了,
相對比較不敏感的電腦主機機房則適度開放」....
作者要先定義:
啥叫敏感?
啥叫不敏感?
法源依據在哪裡?
而且如何過濾人員?
作者也有提到風險來自於內部人員,
問題就是現在要讓陸資滲入二類電信,
內部人員有很大機會會是傾向陸資,而且必須聽命行事,不然工作不保。
而且陸資明的暗的控制二類電信,他想讓誰進去機房,管得著嗎?
任何門禁資料人員記錄其實都可以假造。
而且如果說:禁止進入電信機房,但是允許進入電腦機房....
作者的機房觀念還停留在古早時代!
隨著科技進步,
現代所謂電信機房,其實多已電腦化,也可以視作電腦機房 (電信設備混搭電腦機房),
時代已經不一樣,
所謂電信機房與電腦機房,
在實務上,分界其實沒那麼明顯。
請問作者判斷電信與電腦機房的定義是什麼?
法源在哪裡?
不許進入電信機房,卻許進入電腦機房,根本是忽略現況的混淆視聽。
現在是2014年了,
可是作者的知識與觀念還跟著NCC停留在古早時代....
NCC使用的是很久很久以前的服務名詞,
而那時的名詞,隨著科技進步,在現代解釋範圍老早不一樣了;
甚至會包含到現今許多網路服務與技術。
用那時的名詞,再加上子細項目沒有明確定義,
糢糊不清,陸資隨便可以擴大解釋,
再加上國內也沒有明確立法定義,
問題很大。
最後重複一下一開始說的:
張中一先生這篇文章《讓我們來更細細說明關於服貿二類電信》....
只是談管理面與市場面,對於技術衍生的資安問題根本沒有釐清清楚。
問題是談管理面與市場面沒屁用,太多方法避過了,
作者自己文中就有提到陸資規避限制方法了。
真正的重點是技術問題衍生的資安問題
(而且造成這個問題的原因竟然還是自己開門讓對岸進來),
這才是學者們爭議的焦點。
不過,其實作者自己也列出了一堆開放的風險,更加明顯開放的風險,呵呵呵。
最後附一下林盈達教授的說明:
http://www.ptt.cc/bbs/FuMouDiscuss/M.1397152906.A.7D6.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.161.202.198
※ 文章網址: http://www.ptt.cc/bbs/FuMouDiscuss/M.1397278979.A.399.html
※ 編輯: datoguo (118.161.202.198), 04/12/2014 14:00:47
推
04/12 15:54, , 1F
04/12 15:54, 1F
補充最近很紅的恐怖安全漏洞 Heartbleed 連結。
※ 編輯: datoguo (118.161.205.28), 04/12/2014 16:18:30
※ commbest:轉錄至看板 Gossiping 04/12 16:26
推
04/13 17:49, , 2F
04/13 17:49, 2F
討論串 (同標題文章)
完整討論串 (本文為第 6 之 7 篇):
