Linux, 工作, 生活, 家人

Network, Security

[評] 特洛伊木馬已進駐台灣

原文 特洛伊木馬已進駐台灣

作者:林宗男(台大電機系暨電信所教授)

最近引發國人關切的中國樂視網事件,到底樂視網的伺服器放在遠傳的機房是否只是NCC官員所宣稱的新興媒體(over-the-top)的一種,全世界只有中國與新加坡在管制?立法委員是否小題大作呢?從NCC官員在立法院的回答,可知官員完全是技術的門外漢,財團見錢眼開,完全忽視此舉對資安、國安帶來的衝擊,將造成我國資安防護出現破洞的嚴重結果。

要了解樂視網這個事件對資安帶來的衝擊,必須先解釋一下網際網路運作的基本原理。目前網際網路是透過TCP/IP的階層架構(layer architecture)來提供服務,在應用層(Application Layer)可提供使用者各式各樣的服務,如:多媒體串流視訊、電子商務、社群網站。 這些透過網際網路第三方業者提供的over-the-top service (OTT)應用服務, 並不需要由電信業者經營,只不過提供這些OTT應用服務的資訊,需經由電信業者所建設的實體通訊網路,傳遞至消費者端。

我國是自由民主的國家,民眾可以不受限制至美國亞馬遜網站或中國淘寶網購物,或透過串流服務(如Youtube)收看視訊內容。這些OTT 的資訊(Application layer),藉由傳輸層(transport layer)的TCP封包傳送。 TCP封包必須靠底層(Layer 1及Layer 2)的實體網路設備達到網際網路的通透性。電信業者所建設的實體通訊網路,因為攸關國家安全至鉅,各國都是列為國家的關鍵基礎設施,受到嚴密保護。之前有數百位電機資訊學者,連署反對服貿對中方開放第二類電信服務,就是基於這個原因。

樂視網這個事件的嚴重性,在於實體通訊網路資安防護的破窗效應。樂視網伺服器放置於第一類電信業者的機房,並且與其他業者界接(peering),並不是單純的屬於應用層資訊的新興媒體的服務。美國亞馬遜沒有將其資訊設備置於我國境內,並不妨礙民眾上美國亞馬遜網站購物。當中資將其資通訊設備置於我方機房內,防護外部攻擊的資安防護設備:如防火牆、入侵預防系統(IPS)等,將產生無法有效防堵內部人攻擊(insider attack)的疑慮。以樂視網的規模,日均使用者超過5000萬, 月均超過3.5億通訊量,也形成盜取資安機密最佳的掩護。第一類電信業者機房的界接,也變成駭客來尋找其他公司或政府機關資訊系統漏洞的私密便道。

這個事件說明突破特洛伊城牆的第一隻木馬已經進駐,對我國通訊網路產生的破窗效果,將造成台灣資安管理敵我關係的弱化。先不去談論它所提供的節目是否違反廣電法之虞;單是對於資安與國安的衝擊就是顯而易見的。法律背景的政府官員對於技術的不熟悉還能理解,提供電信服務的第一線業者如此作為,則是更令人不解!

因為大神都沒有寫文章出來解釋, 小弟根據自己的經驗, 參考有實務經驗友人的意見拙作一篇.

關於這一篇, NCC 官員在立法院的回答是不是門外漢我不知道(也懶得查), 但是這篇確是百分之百的門外漢寫的.
原因如下.

其實他根本不用拿專有名詞出來的, 講這四層就是給人笑話的. 這四層是

tcpip_model他要講什麼, 我也不知道, 到不是不理解, 而是不知道他要表達什麼.
我猜他講的是 Network Interface 可以直接存取到底層的設備.
照他這個理論, 所有的網路封包都可以存取到最底層. 包含從國外來的. (註: Network Interface Layer 的某些資訊像是 MAC Address 在過路由器之後就會不見, 所以正常的封包是無法接觸到內部網路的 Mac Address)

一般來說, 大家上網和伺服器之間, 只要在 Application Layer 加密之後, 例如像連上 Google 或是 Facebook , 網址前面是 https://www.google.com.tw 和 https://www.facebook.com, 這就代表己經加密了.
加密後, 除非是像 NSA 之類的偶爾一些流言己經可以破解連線數據, 其他人短期內要在中間破解的難度仍然比較高一點. (並不是不可能, 但不在本文撰寫的範圍之內)

其他的部份我不知道他在講什麼, 老實說應該一般人也看不懂, 拿出教授名號就是對的, 嚇一下大家就覺得他講的對. 知道的人就知道他寫的東西根本錯誤很多.

電信機房長的類似這樣. 一櫃一櫃的.  一般企業就租個一櫃內一到數層, 或是租個幾櫃, 或是更多, 這不一定. (也有其他方案, 不贊述)

一般 ISP/IDC (像中華電信或是遠傳機房)會拉一條網路線或是局端設備在租用的機櫃.
進入維護時需登記, 進去之後只有自己公司的機櫃會打開, 無法接觸到其他的機櫃, 只能維護自己的設備.

機櫃內的安全設備架設大概像下圖, 各公司可能差異很大, 但是大部份中型網站大致上會長得像這樣. 電信公司提供 Router 和 Switch 負責交換網路, 公司進來第一層是防火牆(Firewall), 有些注重資安的公司大多都用功能較強的 IPS, 可以同時偵測疑似入侵行為並且馬上防護. 接下來是負載平衡設備再接到許多伺服器上, 以便同時提供服務.

internet公司和公司之間並不直接相連(peer), 在這個圖上就可以看到, 公司對公司之間還是有防火牆和入侵偵測, 除非網路架構設計錯誤, 否則並不會有他文內所謂的內部人攻擊. 除非是自己攻擊自己. (那這個就是另一個問題).

至於大流量盗取資安機密也是笑話, 如果他真的能盗取足夠的機密資料.
隨便一個家用網路像是 Hinet 光世代, 加上加密線路 IPSEC 或是 TOR 這種匿名網路, 以台灣的能力都很難監控到. 而且台灣的網路基礎建設還可以, 上傳並不會是件太困難的事情.

綜合以上他想說的可能會像是, 入侵別人網站取得大量資料隨時上傳.
大概像是即時備份之類的吧. 這個有可能, 不過如果都能盜取了, 為什麼還要一個中介站轉資料出來呢? 不直接在被駭入的機器上傳?

至於拿美國亞馬遜網站做例子就更顯得無知,
樂視是中國 OTT (Over the top), 簡單的說, 就是越過傳統的第四台, 或是中華電信 MOD 等載體, 由內容/版權持有者, 直接將內容提供給收視戶的技術.
美國 Amazon 提供的是購物網站, 內容不用即時, 速度稍慢也沒有關係. (事實上 Amazon 可能有買當地的代理伺服器提供內容快取服務加速), 頻寬耗用比樂視這種影音服務小很多.
而樂視提供下載影片是需要在當地提供大量頻寬的服務(我不確定有沒有用P2P, 印像樂視有, 但是猜測高畫質可能是直接提供). 所以在需要在當地架設機房.
假設台灣的收視戶夠多, 台灣和中國之間的頻寬不夠, 這會限制樂視的總收視戶, 台灣和中國之間的頻寬並沒有寬到足以提供台灣當地的樂視收視戶. 這應該是樂視要在本地租用機房的原因.

而這件事最大的問題可能在於:
1. 這些版權物是不是有受到中華民國官方單位的審核? 雖然我是覺得根本不必審核, 不過某種程度這也是展現國家公權力. NCC雖然大家覺得他很爛, 但是很爛不表示不應該有審核的機構. (像是影片分級或是動畫分級, 甚至是遊戲分級等等)
2. 會不會有對中華民國不友善或是惡毒的意識型態存在, 但是台灣卻沒有辦法”管理”, 雖然我是贊成言論自由, 但是言論自由侵犯到他人的自由或是虛偽不實的言論, 我個人認為仍然需要管制.
這些都是有興趣的人可以好好追查的, 同樣不在本文主要討論範圍.

至於 ISP/IDC 提供租用機房的服務就像是 ISP/IDC 提供水電冷氣和網路頻寬, 主要是大頻寬, 可能給予某些比家用戶更高的網路優先權, 保證頻寬或是固定IP. 除此之外和家用網路並無不同. 無需擔心.

大致上就和他的反服貿二類電信一樣, 其實管控得宜不會影響到國家主幹網路.

至於可能發生的潛在問題是什麼, 大膽猜測一下

1) 樂視人員進入維護可能具有大陸人身份, 有潛在風險. (是說中國的機房我也去了很多次了, 那邊都沒有在防台灣人的)
2) 樂視的伺服器可以存取電信業者的 switch router 進而進入電信內部網路. 不過這個駭入別家公司也有可能做得到, 不必大費週章.
3) 不當的接線讓樂視和公司 B 直連, 直接接取公司 B 內部網路. 這個屬人員控管和機房控管問題, 的確有可能發生, 不過不是單純的讓他放機器就可以達到目地的.

後記

其實這篇我很早就寫好了, 比上一篇Raid 5 重建的機率很低嗎?還早.

原因是我覺得這篇的概念太簡單, 這應該是這個產業內人人都大概可以知道的東西,
上 FB 或是問一下業界人士大概都可以得到這樣的答案. 但是就是因為太簡單, 我才沒有發出去, 這些日子以來, 我都在想, 台灣發生了什麼問題, 連這種最基本的知識都會搞錯.

這篇讀者投書中的錯誤資訊,
原因只有(1)這位台大電機暨電信所的教授並不知道, 或是(2)故意引導讀者到錯誤的方向

從結論看起來, 我不想猜測是後者. 但是前者也好不到那邊去.
更糟的是, 看起來是 (1) + (2)

因為不知道表示你台大教授的程度是很差的, 這樣的人如何可以教育我們下一代呢?
故意引導讀者到錯誤的方向表示台大教授為特定政治服務就違背良心發言.

在資訊科技, 中國都在上太空了, 我們連台大都還在殺豬公.
想到這一點, 我真的是寫不下去了, 唉.

7 留言

  1. pingooo

    Amazon Prime 有電影串流服務啦,臺大教授一定是指這個。 XD

    有沒有美國境外服務就不知道了。

    http://www.amazon.com/Prime-Instant-Video/b?node=2676882011

  2. Johnson

    其實劉先生您對於 peering 有點誤解:

    並非只有 ISP 之間才會做 peering,很多國內外 content provider 是會自己做 peering。

    這類型的業者通常不會只接一家電信公司的路由器,而是擁有自己的路由器跟多家不同的 ISP peering 對頻寬跟路由做最佳化。

  3. Jack

    “樂視網的伺服器放在遠傳的機房”,並不表示”樂視網的伺服器放在遠傳的內部網路”, 若”樂視網的伺服器仍須透過遠傳的防火牆才能進入遠傳網路作資訊交換”, 那麼”樂視網的伺服器放在遠傳的機房”僅是如同公司的伺服器放在公司並不表示任何人進入公司都可進入伺服器,”僅是方便頻寬或維修而已”;這位台大電機..應再深入了解.

  4. 文章作者的留言

    有強者前台大教授來訪 m(_ _)m

  5. 文章作者的留言

    Johnson 對, 你講的也是其中的一種組態.
    也是樂視可能會用的.

  6. Dennishan

    很贊同劉先生的話
    我自己進過中國聯通江蘇的大機房
    裡面的機櫃,租最多的都是各大線上影音服務公司啊!

    話說..你是台中人嗎?俺們是不是國中同學啊~

  7. 123

    有些租用機櫃數量較多的公司, 還會特別要求加裝鐵籠子的獨立區塊放機櫃.

發佈留言