Linux, 工作, 生活, 家人

垃圾桶, 隨手札記

華為偷資料風波

最近因為前院長張善政參戰華為事件,掀起一番波瀾

華為總部照片


小弟我個人剛好在電信、資安和科技業界都踏個半隻腳,還去過華為總部在 LAB 測試過。很多我臉書的朋友也都參戰了,感覺不寫個一篇都不好意思了。
不過我個人認為大致上主要的意見不脫藍綠或者是台灣大陸這種意識型態的分野,什麼陣營大概可以猜測得出什麼結論(或許也包含本篇)

所以這一篇我個人定位在自己的記錄,或許十年後有一天回來看這篇懷念一下。

結論

現在寫文都要先寫結論,因為 TL;DR

張善政講的事情是如果華為要做也是在APP層做
批評的人很多講的是其他層也可以做
兩邊都對,因為講的是同一件事情的不同面向,剛好就是 PM 和 RD 之間最常見的問題,一邊講的是技術一邊講的是實戰

華為到底有沒有偷傳使用者資料,目前看起來就傳很一般的 IMSI/IMEI 等等常見不太必要但是統統會回傳的資訊,這些應該在手機上就看得到
設備端目前也沒有任何證據
有沒有嚴重的資安事件,看起來也沒有

美國為什麼要大動作對付華為,因為要阻止華為 5G 的進度,這是貿易戰的一環

沒有人提到的事情也是我覺得非常重要的事情,除了張善政提到的資安長以外,台灣的科技產業要在 5G 這個世代扮演什麼角色?

華為設備到底有沒有偷藏後門

有興趣可以先看張善政兩篇貼文加留言

協尋政府資安長
協尋政府資安長(Partll)

這問題個人認為,目前沒有,我想有很多人覺得找國內的大神檢查 source code 就,如果沒有就沒有,還要對方交出 RTL,電路設計等等。

你想得到的美國人想不到嗎?你覺得 NSA 比這些大神還弱嗎?但是目前看起來,以現有的情報來看,美方的確並未掌握到華為手機、基地台或是核心網藏有後門的證據。要不然最近大動作起訴就不會只有下面這個新聞
華為及孟晚舟被控的主要罪名包括銀行及電信欺詐、妨礙司法,以及竊取商業機密
華為孟晚舟被美國司法部正式起訴:涉三類主要罪名,美要求引渡
沒有埋後門

你知道華為是做電信業設備起家,電信業只要有刻意放的後門,接下來設備就會很難賣。東西方陣營都有類似的攻防,例如像是
中国官方:美国思科路由器预置“后门
更多思科路由器发现后门:中国有4台
但是 Cisco 比較慘的是有被抓到

所以後來就演變成美國出口的硬體會被插入特製的硬體(暫時找不到連結,待補)
這也是廠商努力補洞的後果,利用現有的漏洞已經不容易了

電子產品後門有時也很難說是廠商刻意放的,大部份還是因為寫程式問題,或是不熟悉hack手法所遺留的漏洞。刻意放的後門很多也是debug(除錯)用,忘記移除所導致。
例如像是
被全智(allwinner)遗忘(?)的后门(backdoor)
這實在是太蠢了,我認為還是不小心放的

而個人接觸到的華為標案文中也有明確的註明不得有任何後門,包含除錯用的後門,所以基本上後門是不被允許的,基本上這個行業標準就是這樣。

偷藏後門的技術性問題

只要有心,到處都可以放後門

這包含了很多人講的 BIOS,知名案例請見
Lenovo Caught Using Rootkit to Secretly Install Unremovable Software
Lenovo 在 BIOS 藏 Rootkit ,就算你重新安裝 Windows 也會幫你安裝新的 Rootkit

Driver (驅動程式)藏 rootkit
Sony BMG copy protection rootkit scandal
Sony 的 CD Rootkit 風波今天滿十週年,寧可沒人記得這件事

編譯器可以藏,這是之前很有名的,某些大陸的知名 App 廠商因為下載到埋了病毒的編譯器,編出來的程式都有木馬
XcodeGhost

當然在 RTL(IC 電路設計) 上也可以藏,如果轉成光罩也是有機會藏
或是在電路版上放一類未知晶片
The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies
(註: 這是 BloomBerg 的假新聞)

真的要有心,RTL轉成真正的電路設計中間也可以放後門
要不然封裝的時候多封一顆 hacker 晶片進去 (不過這難度無敵大了)
所以資安議題可以一直做(吃不完了)

當然以我們年紀大之後,看藏後門這件事並不是可不可以的問題
而是成本的問題,假設一間公司要藏後門,藏在愈底層的地方成本愈高,難度愈高,被發現後對公司傷害愈大

然而後門有二個重點,一時何時啟動,二是何時回傳
Stuxnet 是頗知名的病毒,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發,這種就是有針對性的木馬,碰到特定條件就會進行攻擊,而且不需回傳資料,但是這算是很稀少的例子,不是極度專業的人很難進行這麼精準的攻擊手段

除此之外,如果有要回傳,那就可能會被抓到,如果針對特定對像攻擊,那也要取得目標設備更多資料,只要通訊就是風險。

以手機為例
而放後門最好放的地方就是不起眼,經常更新,而且常常會和伺服器溝通的地方,這部份就是APP。
可以在某個版本放後門,收集完資料之後,下一個版本再移除後門,如果並不是持續監控系統,很容易就會認為系統是安全的。尤其是 Appstore 的設定可能是自動更新軟體,那就更方便了

個人認為系統更新時更新後門也是不錯,可以放在 OS/Driver/Userspace driver APP 等等,也有同等效果

不過系統更新還是沒有更新 App 方便快速又便宜

從 Apple 漏洞事件還可以知道一件事,
如果木馬是以漏洞的形式出現,那根本連木馬都不用啦
Project Raven:阿聯酋雇前美國特工駭客,實行大規模 iPhone 監控


大陸知名廠商中 App 木馬很快就改掉,也沒有特別有人追究這件事,傷害來得快去得也快
但像 Allwinner 即使是系統端不小心放了除錯後門,大家還是對 Allwinner 有疑慮(還是其實會用 Alwinner 的人都不會在意漏洞問題)

App 還有一個非常大的風險,那就是 App 會被賣掉,尤其是瀏覽器的 Plugin 最容易被忽略,因為量小被賣掉,常常就被埋下木馬
Malicious Browser Extensions Steal User Data

那 App 內那一個程式最危險呢?
我個人覺得應該是輸入法,尤其是智慧型輸入法表明了就會回傳你輸入的資料,不用賣就可以知道個人最最私密的資訊,包含你所有通訊內容和你的想法

設備上偷資料可能很簡單可能很困難,畢竟在封閉網路中間要讓封包傳送出去就不是一件簡單的任務,也有可能會被企業的資安人員抓到,在開放網路中海量的資料傳幾個封包出去也不是太難,但是仍然有可能被過濾出來

前面說華為是搞電信業的,所以為了取得信任,都有 Open Source 給各國 Review 以取得信任
Huawei woos German regulators with source code review lab

Huawei India CEO says open to provide source code for screening to allay security concerns

但總的來說,一切都是現在沒有,未來可不可能不知道,但是可以透過更新升級成有攻擊力的武器

個人資料對企業的用途

有很多人覺得,自己的資料很重要要保護,尤其是上網之後,很多企業都要拿個資。
的確個資是很有用,例如電話行銷,詐騙等等,這些都需要個資
但是更有用的是,你有可能會消費什麼的資料

所以最棒的是你會主動送資料上門的生意,像是 LINE,PCHOME,Twitter,Facebook
像是 Facebook 本身是提供完全免費服務的公司,這個完全免費服務背後就是基於廣告,投放廣告的基礎來自於收集個人的資料,甚至一個鄉野傳說是 Facebook/Google 會依據日常對話內容投放廣告
Facebook 跟 Google 真的會偷聽我們的日常對話嗎?

有些人信誓旦旦的說,有些人說沒有,大體來說我有碰過,但是沒有辦法重現這個問題。我就歸類為巧合好了

然後根據這些資料,企業就可以賣你東西了
所以 Google 在自己的平台賣關鍵字廣告(像 gmail, youtube, goole)
Facebook 賣曝光給客戶的機會,賣關鍵字廣告等等等
尤其是 Facebook 的投放效果很好,大部份人都是實名(匿名的朋友還是真的朋友),所以依朋友圈投放的效果比非朋友圈會差到十倍之多

如果你是上述這些企業,你會將這些東西拱手送人嗎?
基本上不會,所以像 Facebook 的行為準備很大一部份就是保護個人資料安全,偍我相信應該看這篇文章,會看到這邊的人,絕大部份不相信這個行為準則,但是事情就是這樣,畢竟 Facebook 是這個行業內的獨佔者,要抹黑他才有各種媒體曝光效益也是很合理的

另外很常見的是廣告聯播網

廣告是這樣,你看了某一個網站之後,這個網站某個插件就會將你的資料,像是關鍵字進來的,或是臉書點進來的等等回傳到廣告 Server ,而且只要有連結廣告可能就會有這個廣告 Server 依據 cookie , IP, browser 和你感興趣的 Keyword 再針對目標下關鍵字廣告
然後這些廣告就會在你和你的朋友(像是 IP 一樣,同時上網,有看過類似的網頁等等)一起聯播,聯播就是你有興趣可能有興趣,猜你的年紀會用到的廣告
以上還不用用到臉書 谷哥自己的系統就可以做到了,而且還會送到廣告聯盟宣傳效果加倍(實際上說不定比這更複雜, 業內應該更清楚才對)

臉書谷哥表示這鍋背了超級多,但是一般人不懂都以為是臉書谷哥幹的

手機內資料對華為來說用途就比較小了
華為主要是賣設備賣手機,所以主要是制定行業規範(例如高度參與 5G 規格)
賣手機就是調查消費者喜歡什麼外型,什麼功能,或是修改 UI 等等
對華為來說取得個人資料大部份有用,但是說不上重要

一般人現在會害怕華為是因為將華為和政府連結在一起了

而大陸手機(國際版好一點)現在的狀況是,你要它的便宜,它要你的所有資料
不僅僅是手機,早期網站上充滿廣告也就是這個樣子
能避開就避開吧

政府部門的角色

我想主要的問題還是在美國政府控告華為是站在什麼立場

自從知名的稜鏡計畫被揭穿之後,大家都知道美國無時無刻不在監控重要人物,而且由這個計劃得知,很多企業是被迫上交資料

雖然企業聲稱不會讓美國政府直接存取 Server,當然直至現在我們無從得知上繳資料的規模,有心的人可以觀察這些事情

以大陸來說,比起監控, 大陸的策略更像是在事情發生之前就先刪除資料,進到政府部門已經是屬嚴重犯罪等級。
西方是持續監控,等到出事收網
東方是持續防堵,等到太嚴重抓人

那其他國家對於這類型的個人資料呢?
歐洲人權法院認定英國的大規模監視制度違反了人權法
澳洲政府以犯罪調查、反恐為由擬要求祕密存取國內外企業資訊
美国通过CLOUD法案,合法访问境外数据

對比上面華為連到政府,其他國家目前的政策也都是可以叫網站交資料
所以這些你覺得大陸政府好邪惡,其他地方好棒棒的想法,某種程度只是反映對世界的無知,常常只是從陣營決定好壞,而並非對這件事的厭惡

有些人說,問題不是在誰拿去,而是給誰
對我來說,本質上問題還是一樣的,這只是站隊的問題,不是有沒有做的問題

黑客還是駭客?

在國外如果鑽研系統漏洞的技術研究者,通常叫 Hacker ,這些人本性良善,只是愛好研究一些有的沒有的。
相對於 Hacker ,拿系統漏洞破壞別人家資料的叫 Cracker

當然看到了這個貼文

早期大家又不是沒玩過病毒,善良的病毒叫 c_brain,可惡的病毒叫 Disk Killer
自己寫病毒也多是只有感染能力證明一下自己會寫,不會搞破壞(搞破壞的都自己躲起來了,因為如果我們知道是不會接觸的)

關於當年這個漏洞,早在 CIH 病毒之前,我的同學 Kyo 就已經告訴我 Windows 98 系列 Ring3->Ring0 漏洞,忘了是不是 0day 早就出了(以前大家愛看 0day),還討論了一下怎麼會有漏。但是陳盈豪這個人利用這個漏洞破壞了大家的資料,別忘了 CIH 病毒是會刪除硬碟資料的,這可就不是好玩而已。至少當年看那些深夜哀嚎的研究生丟了研究數據,或是論文報告消失的囧狀。我們這些早早遠離 Windows 98/ME 的人還是覺得難過又無可奈何。我記得最後 CIH 並未受到懲罰,就算是當兵也是爽兵。某種程度這也很台灣。

後來畢業之後在 IC 設計業,我的準則也是禁放任何後門,以穩定安全為設計目標。雖然有 debug 需求偶爾會透露必要資訊,但是 code 都是要 review 有都會特別針對潛在的安全問題 Review,原因無他,除了自己有一點點資安背景以外,做產品不管要做消費型產品和企業級產品,安全穩定都是最基本的。

今天我是做產品的,我可以接受 Hacker 但是絕對不會接受 Cracker

呃,結果一堆人吹捧 CIH 然後貶低 Huawei ,我也是醉了
而且張善政找這個人去對談,我是不知道能談出什麼,你要不要找個正常的資安界專家,像是大家都知道的雞哥?

華為的技術問題

有人說華為是國家扶持的企業,所以電信業第一是正常的好嗎?

我的評論是,生產產品企業一開始靠偷,再來靠學,最後才是制定行業標準
大抵上不出這三個階段

華為早就走到制定行業標準了,如果你覺得靠國家扶植就可以生出這個企業。那 ZTE 怎麼沒有這個名聲呢?即使是被罰以前 ZTE 都鳥鳥的
華為是挖到了什麼黑科技嗎?

本人也去華為總部測試過幾次,他們工程師的學識程度非常不錯,而且他們還有能力吃自己的狗食,自己弄出功能非常強大的測試設備可以調整非常多參數,這個遠不是同時期台灣的企業能有這個精力去做的

而且回報問題精準且專業,連我們的工程師都說強,雖然我不敢保證大家碰到的都一樣,但是我覺得至少我碰到的那一塊,華為是非常強大的

在我看來,能坐大靠運氣,但是要坐穩就是實力了
华为40亿师从IBM:提升业务能力,学会管理变革
雖然華為起家靠人脈靠政府,但是也要自己有能力才能在世界攻城掠地

很多台灣分析華為簡單而粗暴,這只是不花腦筋思考
只要中國就是壞,只要西方就好的結果,反而失去認識對手的能力
畢竟只要中國壞壞就可以寫完一大篇論述,加上半真半假的新聞,誰要努力認真寫專業文呢?

這樣的分析不止是在華為,普遍在各項大小事務上都是這樣
有時這些半真半偽的評論新聞還會變成政策,雖然現在已經見怪不怪了,但是這是是不是一個很嚴重的問題呢?

為什麼美國要大動作對付華為

我覺得最簡單的分析應該就是,阻止華為的 5G 技術在世界的領先地位

5G 簡單來說,
* 網路速度增加 1000 倍,邊緣網路速度增加 10~100倍
* 同時連線設備增加 10~00 倍
* 5倍的更低傳輸延屬時間
* 10倍的電池效率

未來要透過毫米波(mmWave 60Ghz)和小型基地台技術達到增加網路速度,增加的連線設備是要從 4G 的人到人走到物到物,過了二十年 IoT 又回來了,冰箱又能上網了

當然不止是這樣,NB-IoT 的技術可以導入下一個世代的產業改變,這些都是包含在所謂的工業 4.0 內的重要技術之一,在大陸叫中國制造 2025 ,在美國叫Smart Manufacturing Leadership Coalition, SMLC,在台灣曾經叫生產 4.0 。

由下圖可知,華為是非常強大的公司

雖然圖上沒有美國企業,但是如果讓華為做大了,其他家還要混嗎?
友好美國的企業還要混嗎?在這個議題上美國有問題的並不是自己跑去抵制中國,而是逼著盟友一起抵制
傳川普要盟友站隊,一同禁止華為建造 5G 設施

中國同美國的華為之爭能導致地緣政治錯位?
當然這就是國際法(拳頭大的說話),但是做到這樣也頗難看,如果對照最近美或的委內瑞拉政策也可以有一些感覺
美國認為華為構成間諜威脅無需證明
關鍵詞:smoking gun 確鑿的證據
間諜的指控還是沒有證據,而只要有心什麼東西都可以是間諜工具,例如像 Outlook (M$ 表示躺著也中槍) 收 APT E-mail (APT進階持續性威脅,Advanced Persistent Threat)也是間諜工具呀


對我看起來這就是貿易戰的一環,中國能築網路防火長城,美國就可以光明正大的搞你的企業。當然有些人會拍手叫好,但是叫好的這個行為背後和叫好網路防火長城的概念並無二致。
在世界東西對抗之下,自然需要選邊站,但是要想到的是,選邊站的力道和代價是不是我們能付得起的,今天你要這麼明顯的選邊,明天人家就有理由收服你的人

幾年前,我一直聽華為如何做第一代海思 CPU 的故事,找來一大票新人,從原廠花錢買服務手把手教起,開出來的 SoC 差強人意,不過經過這些偉後

現在已經是這樣了
现场:华为震撼发布新一代芯片鲲鹏,将成麒麟后另一关键自有技术生态

鲲鹏 920 集成了 64 个核心,频率为 2.6 GHz。该芯片组集成了 8 通道 DDR4,内存带宽超过现有产品的 46%。通过两个 100G RoCE 端口,系统集成也显着增加。Kunpeng 920 支持 PCIe 4.0 和 CCIX 接口,总带宽为 640 Gbps。此外,单槽速度是现有产品的两倍,有效地提高了存储和各种加速器的性能。

這表示華為可以減少向 Intel / Marvell / Broadcom 採買的高階 CPU 數量,台灣是沒有廠商做(或許要加上個能)這個等級的產品的
你可以不喜歡華為,但是不可不知道華為到底站在什麼位置

有些人會說,華為這麼厲害還不是靠台積電和 ARM
講這句話的人應該是不懂現代產業分工的狀況,在這種高階設計內,沒有一家公司會掌握所有的技術,問題在於,在那個位置,最強的公司是誰

台灣政府的資安策略

我覺得這些策略沒有大問題,這是政治站隊而非技術問題
政治站隊就只有要不要做的問題,技術不在考量範圍之內

資安部份到沒有什麼好說的,畢竟我離那個破壞總統府網站
幫忙阿扁傳真伺服器抓電腦病毒
幫忙架 IDS 應付研考會的年代已經太久了

有一件事情還是可以評論一下,如果大動作用資安疑慮對付大陸企業,對付華為
但是公務上還在用 Line/Facebook ,不用啾可,這是不是很容易讓人笑話呢?

手機偷東西不要用就可以,但是用 Line/Facebook 是自己將機密送上門
不要以為你跑去抱大腿人家就會視你為同一隊的,最後被兩邊談好分食了都不知道

最後至少我可以提一個大家至少都會同意的論點
花點錢將 IE Only 的網站升級一下吧

不過在資安以外,世界是連動的,尤其是台灣和大陸很多產業是互動的,像下面這個就可能會影響台積電 
美國起訴華為殃及廣大供應商
不要以為華為受害台灣沒事,台灣產業一樣會受害

至於要驗華為 Source Code 還是少提吧,你台灣賣到大陸去也這樣搞一下,雖然最後不會怎麼樣,但是還是很難過的
而且大陸被搞倒了台灣就能恢復榮光嗎?也很難, MTK 倒了就是展訊接上來而已
講到展訊還可以貼一下自己以前的文章
紫光投資台灣IC產業是威脅或是轉機?

2015 年展訊還是追兵,2018 年展訊已經超越 MTK 了

又是結論

寫文寫到有二個結論,因為並沒有站隊的問題,總的來說我的看法很簡單
華為現在沒做,不表示以後不會做或是被政府逼著作,也不表示美國或是其他國家不會逼其他廠商做,這一切都是站隊的問題

至於你是站隊那一邊最好就選用那邊的產品
像我要兩邊站隊的就只好假裝中立兩邊都用,有可能兩邊討好也有可能兩邊不討好
至於個人就不必擔心太多了,你又不是很重要的人,選自己喜歡的就好
畢竟只要上網就有風險,小心個資從不要拍照做起,像Jennifer Lawrence(珍妮佛·勞倫斯, 新版魔形女)應該會很同意我說的話(iCloud leaks of celebrity photos)
買網路攝影機或是 WiFi 分享器回來,第一件事就是是改密碼,怕忘記可以寫在上面,最忌用預設密碼。不過很多人連這件事都做不到,所以在網路上可以看到很多網路攝影機的畫面。

很多人在這議題是信仰問題,不是選東邊就是選西邊,意義說實在也不是很大,畢竟在電信產業這邊台灣根本也沒有什麼研發投入,說什麼要走到 5G 大概也只是建建 5G 基地台,擴大一下電信業資本支出感覺我們有在跟上世界腳步

寫完一大串才發現我想寫的根本沒有寫到,我比較想要知道的是
在你跟著打 5G 戰爭的時候,台灣這個資訊通訊大國有沒有想要進入這個市場?

華為被打也不是今年的事情,去年之前就被打得很慘,所以華為提前退休了一堆有經驗的工程師。就我知道,另一家大陸企業剛好要進入NB-IoT 和基地台市場,然後就準備了方案,跑到成都去接手華為的工程師了。打華為可能短期內收到效果,但是這些人和技術就會亂跑,搞的不好還會有第二家第三家廠商競爭。歐美企業在這個行業內的成本已經不會比中國製造高,打擊華為也只是短時間,落後國家也不具有進入門檻,只有在中間的國家有機會,。

不用問也知道答案,這我也嘆了很久,就喝點湯就好了,大人的遊戲是很危險的

最後來張 P20pro 隨手拍吧,說不定圖有藏有洩漏的資訊呢

其他

有些要寫沒寫和資安有關的我也放在這邊,不知道要丟在主文的那邊

看完之後你覺得這些是故意放的還是漏洞?有沒有和 NSA 合作還是空穴來風?

Apple 是故意寫漏洞讓人可以很容易的竊聽(FaceTime嚴重漏洞!兩步驟讓 iPhone 變竊聽對方的工具)
Microsoft 故意開後門讓 NSA 監聽大家的電腦(NSA 要求微軟安置在 Windows 裡的後門… 保護智財, 無可奉告)
Facebook 故意讓其他企業和美國政府存取個資 (醜態百出!臉書公開 13 封 FBI 密函,揭露美政府私下要求 FB、IG 用戶個資現況)
Google 也會開放個人資訊讓第三方廠商存取郵件內容(【Gmail洩密】Google承認第三方開發商 可閱讀用戶電郵)
华为究竟是不是国家安全的威胁

一曲无声的赞歌-饭统戴老板
這篇講到一句 「一家英国电讯公司在评价华为时[13],讲出了一件大家都隐约知道,但并不太愿意相信的事实:华为是一家中国的美国公司」應該可以總結為什麼華為這麼強悍

聯想和華為的1994年:確認過眼神 不是一路人 – 飯統戴老闆

資安和數據安的問題很大很多,也不是本文可以三言二語能說完的
本文遺漏錯誤之處尚請包含,未來會隨時更新


26 留言

  1. spark

    您這篇是我看過最專業、中肯的好文了

  2. Dylan Lu

    牛人文 我媽問我為何跪者看完這篇
    不過大大沒說 萬一HW團滅 米國Q社和B社可能要一起死

  3. lloydhuang

    這張照片我看了好久,好像是高雄的草衙道啊!

  4. 說要阻止5G進度的話為什麼不講阻止華為LTE銷售量比較乾脆呢?前者的理論上下行速度都還在隨大家亂喊,後者直接禁用的話不是比較能起寒蟬效應?

    如果單單是5G這個理由的話那為什麼美國不把三星也順便Ban了?還是只是想說還沒找到藉口這麼做?

    • 文章作者的留言

      電信業市佔率華為已經是第一了

      5G 只是一個概念而已,在達到 5G 之前,我猜也會發明很多名詞像 4.5G 4.9G 之類的
      但是大陸的確在 5G 的 IoT 內著力很深

      而且手機華為也快到第一了

      三星雖然之前印度賣很好,但是相對還是小量的

  5. William

    結論十分的意識形態,
    就如何你對美國的指控的內容一樣,
    你對美國也做了一樣的事.

    “美國為什麼要大動作對付華為,因為要阻止華為 5G 的進度,這是貿易戰的一環”

    其實完全沒有根據的憶測.

    • 文章作者的留言

      那大動作找其他國一起無條件對抗華為的理由是?
      如果真的有問題,違反禁運,那就直接封了啊

      但是美國沒有用對付中興的手段對付華為,這不是很清楚嗎?

  6. 李坤霖

    專業中肯的分析,雖然文章長,但看得出累積許久不吐不快 !!

  7. 貝魯

    建議先從BGP Hijacking事件開始看起,《中國電信劫持北美網路,挑動美方資安神經》,”協議只規範軍事行動,中國很有可能為了規避這項協議,改讓國有企業擔綱這項任務”

    美方不擇手段地封殺華為,除了5G的戰略之外,多半也是為了華為逐漸滲透進電信網路的網通設備和中國政府的《情報法》第七條,而不是區區的手機,而實際上華為的興起,實力固然有之,但也不單單只是運氣,過去挾著不明資金惡意低價壟斷、打擊對手以及商業間諜活動,才有現在茁壯的模樣,而華為和中興也真的幹了一些違反制裁禁令的髒事,還被抓到,都是公開的事實。下面是帶著陰謀論色彩的故事寫作,但多半也是事實,可以看看故事&自行追查真相:
    http://www.facebook.com/photo.php?fbid=1869586813139439
    http://www.facebook.com/joyloveworld/photos/a.110196782719865/474700062936200/
    http://www.facebook.com/photo.php?fbid=1843751709056283
    這些都是高層戰略層面,從企業底下的耿直工程師們是看不出來的

    至於華為手機的資安議題,個人不認為是重點,有興趣可以去找一些資安專家的研究
    e.g. P20 http://www.facebook.com/sec.lesson/posts/1984411308304138

    • 文章作者的留言

      文內講的東西開外掛很多都有,當然華為和政府也綁的很深
      不過我到是覺得大家寫文也隨口說說,雖然到處假新聞很多
      但是至少引的文章內文來些可以查證的新聞來源吧

      美國企業就沒有嗎?別的不說,台積電也是
      當然也是啊,華為做的事情就是美國做的事情
      如果你覺得這有問題,那世界各國都有問題

      台灣每次出國去邦誼之旅要帶一堆企業家不也是這個道理?
      問題在於台灣的規模和能力小太多了,不足以拿來說嘴

      Nortel 倒了, 是因為 2000 年和 2008 年的泡沫因為公司經營不善花錢太兇倒了吧. 這也可以怪別人?

      另一篇思科內部台灣員講到的能抄就抄,呃,這行業就是抄來抄去
      走到現在都是用 SDN 了,請問一下誰抄誰?
      當然是賣服務為主,如果還不知道要轉型未來就會倒

      在國內要做世界第一,為什麼大陸還沒有扶出一個台積電呢?
      或許有一天可以,但是沒有這麼簡單的

      對了,塔利班是美國訓練的大家都知道吧

      只有行業內做到前面的企業才值得講,其他倒掉的企業是沒有人提的
      雖然他們也想走同樣的路

  8. Thinker

    華為會不會應中國政府要求而埋後門?! 答案是??

  9. Thinker

    更深的問題是,中國會不會要求華為埋後門,用以傷害台灣?

  10. 好文 赞(评论居然还要凑满15个字……)

  11. Alex Lee

    因為不能用對中興的方式對付華為。華為大多數專利及設計都是自有,和中興過度依賴美國技術不同。
    但我也認為,如果單純只認為因為華為在5G的研發及普及率高,就斷定是因為5G的關係,是武斷了一點。
    對美國來說,打華為和打中興其實目的沒有差太多,就是要把中國氣熖壓下來,要中國低頭。只是因為兩家公司性質不同,打法各異罷了。
    5G有個大問題,不是出在技術上,而是需求上。這點很多人分析過了。大多數人不需要5G也能追劇,不需要5G也能跑LPWAN,不需要5G也能視訊聊天…LTE滿足了大多數的需求。5g的基地台比LTE要密的多,送信距離要短得多。如果沒有特別需求出現,5G的普及不可能太快,就算華為能用低價提供也一樣。畢竟LTE的設備還沒那麼老舊,速度也不至於不能接受。
    而等5G普及,可能得花上5~10年之久。(有強烈需求的話會更快,例如所有視訊都升級到4K或以上等等)
    而到那個時候,能生產便宜5G設備的廠商就不只華為了。換言之,5G的研發,一方面是搶專利,另一方面則是宣示作用。要能回本,還要等很久。美國這時為5G出手,意義真的不大。
    再回到技術上的重點,就算逆向工程,也不可能解析整個5G設備中有沒有木馬。又不是當年ROM只有4K的時代…..再者,現在編碼技術來說,很難知道一段看來無意義的資料,是不是被編碼過,被盜的個人資料。
    舉個例子來說好了,在ROM中某個地方寫了一大段Code,但解Code的Key卻不在上面。逆向工程就算看到那段Code,也解不出來。更別說有些類似MicroCode的東西可以寫在SRAM裏面,CPU會執行,但完全外部讀不出來。(例如DRM的Key)
    這些東西都能讓木馬執行為無形,然後透過某些正常封包,如HTTP Header,就能觸發這些機制,把想盜的資料打包後,再透過一些「正常」的封包,往Server送。(例如打包成一封正常的EMail,送件地址可能也是很普通的GMail等等)
    換言之,技術上太難證明華為有盜取資料。當然反過來說,也有可能華為真的沒做。但我這裏只是想指出,再怎麼厲害的大神,仍然有其極限。若我是華為,而且真心想盜取資料,可以用的方法太多了。而不是只要像有些人想像的,只要查看看有沒有往中國Server送的Data就是了…
    現在真的要查證這些問題,得要靠FBI/CIA等等實際搜索反而可能有證據。但美國的調查單位,有沒有可能搜查華為中國本部,這個就…..

    個人的結論:以技術面而論,個人給您120分。分析的詳實精采。但我仍然覺得,貿易戰有些東西,不是純粹以技術競爭就能做結的就是了。

  12. UGP

    技術部分合理,不過政治站隊部分有些偏差

    美國找盟友一起抵制華為不見得是用逼的,有些國家就是華為搶市場手段的受害者,他們反感華為正常不過
    https://www.facebook.com/bank09192001/posts/1869590419805745

    另外不論華為設備究竟有沒有後門,總的來說抵制華為還是比較符合台灣的利益,確實已經不是單單技術的考量

    • 文章作者的留言

      很多人都貼這一篇,我只能說錯很多

      如果要說是什麼電信業害死 Nortel ,應該說是 WiMax 吧(台灣眾廠商表示)
      其實如果只有 WiMax 害死 Nortel 我也不信,他們內部管理也有很多問題

      華為搶市場頂多就是搶到幾個有搞電信業國家的市場
      像是韓國,我前同事好像跑去歐洲 Nokia 工作
      基本上華為也不是全吃,有些業務甚至是基地台也是外包給其他國家,像是台灣(這可能你就不知道了)

      華為搶市場真的是很兇,我是知道很多國家都恨的牙癢癢的,但是也是只能給華為賺
      如果你看很多文章根本沒有寫到怎麼搶法很正常,因為台灣沒有人能接觸到
      我去印尼的時候有聽到一些,我只能說財大氣粗的玩法,不過很正常
      非常適合開發中國家

  13. honey

    這件事就算不懂這深, 就光看那些國家拿不出證據跟著大動作抵制就知道不單純, 即便是對台有利, 也不該顛倒是非, 無中生有, 嘴裡罵別人髒, 自己做更髒的事

  14. sroach

    很久不見長輩啊
    最近在看華為的事情,隨手一查居然導向這邊來了
    就以工程的角度看來,我贊成你講的,華為現在沒被抓到有放後門,不代表以後都不會有後門,但人生不就是這樣,現在沒闖紅燈,不代表一輩子都不違反交通規則。只是你知道的,台灣很多人都靠政治意識形態決定是非。

    • 文章作者的留言

      哈哈, 有空可以再出來吃飯啊.

      這種事本來就說不得準, 但是我個人是認為, 一般狀況之下, 華為不會因為要做這件事就自己去埋後門斷送自己的市場.

      他是世界最大, 或許有一天他不得不幫政府做些什麼的時候會做, 但是理論上不太會.

      一般目前監控還是落在 ISP 端, 這些基站都有這些功能. (大家都有)
      所以不用想太多了

發佈留言