Re: [問題] 台灣的資安能力究竟如何?
※ 引述《vintw (陽光好青年)》之銘言:
: 鍵盤資工博士生發表一下看法,雖然我不是做資訊安全方面的。
: 而且我也不確定這跟博士後有什麼相關啦...
: 1. 電信設備幾乎都是SoC,來的時候直接整台過來,這對資安的分析來說是很大的挑戰。
: 從硬體的角度來說,他都變成晶片封裝還焊好出貨給你了,你要分析它裡面有沒有漏洞,
: 除了把他當一個blackbox測試之外,還有什麼其他的方法?
: 就算你可以拆封裝去拍他裡面的layout,這樣可以看得出裡面有沒有埋不該埋的功能?
: (這部份我比較不熟,如果真的有方法可以這樣就看出問題,還請不吝賜教)
: 從軟體的角度來說,對方一定沒給你source code,所以你只能從binary去分析,
: 就算給你source code,你也要確定他那個binary真的是用這份Code編出來的......
: 你還要確定binary是你看得懂的,這又要回到硬體/指令集的問題了。
: 一般來說就算有原始碼,作static code analysis都不見得可以找到所有的漏洞了,
: 所以基本上,如果他出貨給你的時候裡面有埋不該埋的東西,我認為很難抓。
: 至於您問到台灣有沒有人才可以做這樣的檢測,我認為應該有,
: 但是政府要花多少成本多少時間去做?政府賣方買方才能接受?
======
今天的硬體已不是全然都是死硬的, 類似 EEPROM 的功能, 某些部份是 programmable.
但要改, 那要碰得到按紐開關跳線才行. IC就是除了出入口全密封.
所謂暗門, 那就是特定人知道, 其他人不知道的通道. 特洛依木馬要有人替他搬進門還
要可以偷偷被執行. 木馬關鍵在被釣者, 而不是暗門. 如果所有出入口被監管, 若用了
暗門就會被追查發現. 出入口在買方使用管理的範圍, 這種出入口就不會是暗門.
若是出入口都是對方做好給你, 當成公開受管制的出入口, 譬如管理者設有通行碼
好像通行碼都在管理者監控下, 但因為出入口是對方提供的, 所以可做個特定通行碼暗
門, 特定通行碼就能開啟不受監控的入口. 所以若能完全監控/監聽/監視出入口, 正常
不能過的通行碼也能通行進出, 那就不必煩惱有無對方留下的暗門.
關鍵只在能否堵住所有出入口在我監控的出入口進出.
針對暗門這件事, 那是不論敵我, 都是無法逃避的問題! 做國安/資安都懂這.
: 鴻海可以接受等三年中科院國科會計畫結束後才能買嗎?華為願意配合釋出Source嗎?
: 就算有人才,也要有時間有預算才能做得出來,更不用說上面有沒有想要做的問題...
: 2. 華為的手機台灣到處都買的到,如果有後門,一台機器洩漏的是幾位民眾的資訊,
: 鴻海今天身為ISP,所採購的東西是所謂的骨幹設備,
: 這東西一出包牽扯到的可能是數十萬甚至上百萬的用戶,風險自然比起一般手機來的高。
: 所以謹慎的程度自然應該比起一般民眾選購手機、家用路由器等等來的高。
: 話又說回來,國安機構難道會輕易採購華為的手機進來用嗎?(現在的政府是有可能啦...)
: 就算不想買華為的手機,你難道可以知道你的ISP經過了哪些廠商的Router嗎?
: 所以說NCC在設備上進行管制我認為是有他的道理的,因為關係重大而且使用者無法選擇。
: 至於您提到的微軟的OS更新,如果是在敏感的單位確實是會造成問題,
: 除了安全性的隱憂之外,還有更新打上去會不會造成相容性的問題等,
: 所以就算是使用微軟的產品,也不是每個地方都有那個膽子給他放著讓他自動更新的。
: 3. 至於為什麼要針對華為?因為華為有很濃厚的解放軍背景。
: 華為創始人兼總裁任正非本身就是解放軍軍官退役,
: 華為也在資金與訂單上受到中國政府的大力贊助,光是這點就足以提防了。
: 說到為什麼不針對Cisco一樣提防,難道美國有宣稱我們是美國神聖不可分割的一部份嗎?
: 最後我做個結論,資訊軟硬體跟一般東西不同,很難用工程的方法來確保完全沒問題,
: 因為本身有太多的可能性存在,所以補洞上patch已經成為資訊人員的日常。
: 君不見就連Open Source的OpenSSL 也可以出一個這麼大的Heartbleed漏洞了。
: 在這樣的前提下,鴻海居然想要在骨幹網路的採購上面,在有取代性商品的情況下,
: 去購買一個不承認你國家主權的不友善鄰國中,有明顯軍事背景的廠商的設備?
: 我認為不應該為了便宜冒這個風險。
: 最後,跟上文比較沒關,但是提到了打仗時會不會用對方的子彈,
: 用假子彈去刻意膛炸敵人武器的事,二次世界大戰幾乎各國都有幹過,
: 美軍在打越戰時也弄了個Project Eldest Son,專門生產膛炸子彈。
: 從這個例子更可以看出,如果對方是你的敵人,你就應該更提防對方惡毒的手段。
=====
敵人的槍支子彈能不能得來用? 若是會膛炸的子彈一定會有暗記, 萬一自己人
拿去用, 是否未蒙其利先受其害? 請對方反身成立的用, 就知道暗記何在了. 如果
暗記被破解, 那就是可以反過來用對方的這個bug或特異功能為我所用.
我的問題依然是台灣的資安能力到底如何? 這種事能力不是早就該有?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.37.46.70
※ 文章網址: http://www.ptt.cc/bbs/AfterPhD/M.1399871317.A.BB7.html
推
05/12 16:18, , 1F
05/12 16:18, 1F
→
05/12 16:19, , 2F
05/12 16:19, 2F
→
05/12 16:20, , 3F
05/12 16:20, 3F
→
05/12 16:21, , 4F
05/12 16:21, 4F
→
05/12 16:23, , 5F
05/12 16:23, 5F
→
05/12 16:26, , 6F
05/12 16:26, 6F
→
05/12 16:27, , 7F
05/12 16:27, 7F
推
05/12 17:56, , 8F
05/12 17:56, 8F
→
05/12 17:56, , 9F
05/12 17:56, 9F
→
05/12 21:17, , 10F
05/12 21:17, 10F
→
05/12 21:19, , 11F
05/12 21:19, 11F
→
05/12 21:20, , 12F
05/12 21:20, 12F
→
05/12 21:21, , 13F
05/12 21:21, 13F
→
05/12 21:22, , 14F
05/12 21:22, 14F
→
05/13 21:31, , 15F
05/13 21:31, 15F
→
05/13 21:31, , 16F
05/13 21:31, 16F
推
05/13 22:29, , 17F
05/13 22:29, 17F
推
05/14 09:04, , 18F
05/14 09:04, 18F
→
05/14 09:05, , 19F
05/14 09:05, 19F
→
05/14 09:06, , 20F
05/14 09:06, 20F
→
05/15 18:14, , 21F
05/15 18:14, 21F
討論串 (同標題文章)
AfterPhD 近期熱門文章
PTT職涯區 即時熱門文章
