樂視租遠傳機房,真如台大教授說的是木馬屠城?

評論
評論

作者劉肇資,IC Design House 軟體經驗十年,目前在外商 IC Design House 的 Marketing 部門任職,負責溝通客戶、工程師和行銷部門。有一個部落格,記錄一下工作上的心得,偶爾評論一下目前網路上的似是而非的資訊新聞。原文刊載於他的部落格「richliu's blog」。

原文 〈 特洛伊木馬已進駐台灣

作者:林宗男(台大電機系暨電信所教授)

最近引發國人關切的中國樂視網事件,到底樂視網的伺服器放在遠傳的機房是否只是 NCC 官員所宣稱的新興媒體(over-the-top)的一種,全世界只有中國與新加坡在管制?立法委員是否小題大作呢?從 NCC 官員在立法院的回答,可知官員完全是技術的門外漢,財團見錢眼開,完全忽視此舉對資安、國安帶來的衝擊,將造成我國資安防護出現破洞的嚴重結果。

要了解樂視網這個事件對資安帶來的衝擊,必須先解釋一下網際網路運作的基本原理。目前網際網路是透過 TCP/IP 的階層架構(layer architecture)來提供服務,在應用層(Application Layer)可提供使用者各式各樣的服務,如: 多媒體串流視訊、電子商務、社群網站。 這些透過網際網路第三方業者提供的 over-the-top service(OTT)應用服務,並不需要由電信業者經營,只不過提供這些 OTT 應用服務的資訊,需經由電信業者所建設的實體通訊網路,傳遞至消費者端。

我國是自由民主的國家,民眾可以不受限制至美國亞馬遜網站或中國淘寶網購物,或透過串流服務(如 Youtube)收看視訊內容。這些 OTT 的資訊(Application layer),藉由傳輸層(transport layer)的 TCP 封包傳送。 TCP 封包必須靠底層(Layer 1 及 Layer 2)的實體網路設備達到網際網路的通透性。電信業者所建設的實體通訊網路,因為攸關國家安全至鉅,各國都是列為國家的關鍵基礎設施,受到嚴密保護。之前有數百位電機資訊學者,連署反對服貿對中方開放第二類電信服務,就是基於這個原因。

樂視網這個事件的嚴重性,在於實體通訊網路資安防護的破窗效應。樂視網伺服器放置於第一類電信業者的機房,並且與其他業者界接(peering),並不是單純的屬於應用層資訊的新興媒體的服務。美國亞馬遜沒有將其資訊設備置於我國境內,並不妨礙民眾上美國亞馬遜網站購物。當中資將其資通訊設備置於我方機房內,防護外部攻擊的資安防護設備: 如防火牆、入侵預防系統(IPS)等,將產生無法有效防堵內部人攻擊(insider attack)的疑慮。以樂視網的規模, 日均使用者超過 5000 萬,月均超過 3.5 億通訊量, 也形成盜取資安機密最佳的掩護。第一類電信業者機房的界接,也變成駭客來尋找其他公司或政府機關資訊系統漏洞的私密便道。

這個事件說明突破特洛伊城牆的第一隻木馬已經進駐,對我國通訊網路產生的破窗效果,將造成台灣資安管理敵我關係的弱化。先不去談論它所提供的節目是否違反廣電法之虞;單是對於資安與國安的衝擊就是顯而易見的。法律背景的政府官員對於技術的不熟悉還能理解,提供電信服務的第一線業者如此作為,則是更令人不解!

因為大神都沒有寫文章出來解釋,小弟根據自己的經驗,參考有實務經驗友人的意見拙作一篇。

關於這一篇,NCC 官員在立法院的回答是不是門外漢我不知道(也懶得查),但是這篇確是百分之百的門外漢寫的。原因如下.

其實他根本不用拿專有名詞出來的,講這四層就是給人笑話的。這四層是

他要講什麼,我也不知道,到不是不理解,而是不知道他要表達什麼。我猜他講的是 Network Interface 可以直接存取到底層的設備。照他這個理論,所有的網路封包都可以存取到最底層。包含從國外來的。(註:Network Interface Layer 的某些資訊像是 MAC Address 在過路由器之後就會不見,所以正常的封包是無法接觸到內部網路的 Mac Address)

一般來說,大家上網和伺服器之間,只要在 Application Layer 加密之後,例如像連上 Google 或是 Facebook ,網址前面是 https://www.google.com.tw 和 https://www.facebook.com,這就代表己經加密了。加密後,除非是像 NSA 之類的偶爾一些流言己經可以破解連線數據,其他人短期內要在中間破解的難度仍然比較高一點。(並不是不可能,但不在本文撰寫的範圍之內)

其他的部份我不知道他在講什麼,老實說應該一般人也看不懂,拿出教授名號就是對的,嚇一下大家就覺得他講的對。知道的人就知道他寫的東西根本錯誤很多.

電信機房長的類似這樣。一櫃一櫃的。 一般企業就租個一櫃內一到數層,或是租個幾櫃,或是更多,這不一定。(也有其他方案,不贅述)

一般 ISP/IDC(像中華電信或是遠傳機房)會拉一條網路線或是局端設備在租用的機櫃。進入維護時需登記,進去之後只有自己公司的機櫃會打開,無法接觸到其他的機櫃,只能維護自己的設備。

機櫃內的安全設備架設大概像下圖,各公司可能差異很大,但是大部份中型網站大致上會長得像這樣。電信公司提供 Router 和 Switch 負責交換網路,公司進來第一層是防火牆(Firewall),有些注重資安的公司大多都用功能較強的 IPS,可以同時偵測疑似入侵行為並且馬上防護。接下來是負載平衡設備再接到許多伺服器上,以便同時提供服務。

internet 公司和公司之間並不直接相連(peer),在這個圖上就可以看到,公司對公司之間還是有防火牆和入侵偵測,除非網路架構設計錯誤,否則並不會有他文內所謂的內部人攻擊。除非是自己攻擊自己。(那這個就是另一個問題)。

至於大流量盗取資安機密也是笑話,如果他真的能盗取足夠的機密資料。隨便一個家用網路像是 Hinet 光世代,加上加密線路 IPSEC 或是 TOR 這種匿名網路,以台灣的能力都很難監控到。而且台灣的網路基礎建設還可以,上傳並不會是件太困難的事情。

綜合以上他想說的可能會像是,入侵別人網站取得大量資料隨時上傳。大概像是即時備份之類的吧。這個有可能,不過如果都能盜取了,為什麼還要一個中介站轉資料出來呢?不直接在被駭入的機器上傳?

至於拿美國亞馬遜網站做例子就更顯得無知,樂視是中國 OTT(Over the top),簡單的說,就是越過傳統的第四台,或是中華電信 MOD 等載體,由內容/版權持有者,直接將內容提供給收視戶的技術。

美國 Amazon 提供的是購物網站,內容不用即時,速度稍慢也沒有關係。(事實上 Amazon 可能有買當地的代理伺服器提供內容快取服務加速),頻寬耗用比樂視這種影音服務小很多。

而樂視提供下載影片是需要在當地提供大量頻寬的服務(我不確定有沒有用 P2P,印像樂視有,但是猜測高畫質可能是直接提供)。所以在需要在當地架設機房。

假設台灣的收視戶夠多,台灣和中國之間的頻寬不夠,這會限制樂視的總收視戶,台灣和中國之間的頻寬並沒有寬到足以提供台灣當地的樂視收視戶。這應該是樂視要在本地租用機房的原因。

而這件事最大的問題可能在於:

  1. 這些版權物是不是有受到中華民國官方單位的審核? 雖然我是覺得根本不必審核,不過某種程度這也是展現國家公權力。NCC 雖然大家覺得他很爛,但是很爛不表示不應該有審核的機構。(像是影片分級或是動畫分級,甚至是遊戲分級等等)
  2. 會不會有對中華民國不友善或是惡毒的意識型態存在,但是台灣卻沒有辦法「管理」,雖然我是贊成言論自由,但是言論自由侵犯到他人的自由或是虛偽不實的言論,我個人認為仍然需要管制。

這些都是有興趣的人可以好好追查的,同樣不在本文主要討論範圍。

至於 ISP/IDC 提供租用機房的服務就像是 ISP/IDC 提供水電冷氣和網路頻寬,主要是大頻寬,可能給予某些比家用戶更高的網路優先權,保證頻寬或是固定 IP。除此之外和家用網路並無不同。無需擔心。

大致上就和他的反服貿二類電信一樣,其實管控得宜不會影響到國家主幹網路。

至於可能發生的潛在問題是什麼,大膽猜測一下:

  1. 樂視人員進入維護可能具有大陸人身份,有潛在風險。(是說中國的機房我也去了很多次了,那邊都沒有在防台灣人的)
  2. 樂視的伺服器可以存取電信業者的 switch router 進而進入電信內部網路。不過這個駭入別家公司也有可能做得到,不必大費週章。
  3. 不當的接線讓樂視和公司 B 直連,直接接取公司 B 內部網路。這個屬人員控管和機房控管問題,的確有可能發生,不過不是單純的讓他放機器就可以達到目地的。

後記

其實這篇我很早就寫好了,比上一篇 〈Raid 5 重建的機率很低嗎?〉 還早。

原因是我覺得這篇的概念太簡單,這應該是這個產業內人人都大概可以知道的東西,上 FB 或是問一下業界人士大概都可以得到這樣的答案。但是就是因為太簡單,我才沒有發出去,這些日子以來,我都在想,台灣發生了什麼問題,連這種最基本的知識都會搞錯。

這篇讀者投書中的錯誤資訊,原因只有(1)這位台大電機暨電信所的教授並不知道,或是(2)故意引導讀者到錯誤的方向,從結論看起來,我不想猜測是後者。但是前者也好不到那邊去。更糟的是,看起來是(1)+(2)

因為不知道表示你台大教授的程度是很差的,這樣的人如何可以教育我們下一代呢?故意引導讀者到錯誤的方向表示台大教授為特定政治服務就違背良心發言。

在資訊科技,中國都在上太空了,我們連台大都還在殺豬公。想到這一點,我真的是寫不下去了,唉。


ESG 可以怎麼做?導入「點點簽」電子簽名服務,展開企業永續經營第一步

體現企業敏捷效率、展現品牌創新精神,讓點點簽為團隊夥伴創造效率、為客戶帶來友善體驗、為企業創造良好印象。企業實踐永續 ESG 的第一步,不妨就從導入點點簽開始。
評論
Photo Credit:DottedSign
評論

近年來,隨著疫情時代的時局變化、雲端科技的日新月異,「數位轉型」成為當代企業必備的思維與能力;此外,因應全球環境問題與聯合國永續發展指標(SDGs)的討論趨勢,ESG(Environment 環境、Society 社會、Governance 公司治理)也成了企業不可迴避的經營課題。

無論從何種角度來執行,例如建立線上敏捷的工作系統、減少地端成本(無紙化)等,都能讓企業在持續強化市場競爭力與環境永續兩者間獲得雙贏。回顧疫情期間遠距辦公的經驗,不少企業積極導入線上協作平台、電子簽名等服務,縮短團隊遠距辦公的距離;不過可惜的是,也有部分企業在疫情暫緩後又回到過往傳統的工作模式,其中又以「恢復紙本簽署」為最常見現象。

其實,企業若能善用電子簽名服務,不只能加速簽署流程和提高營運效率外,更能解決紙本、時間、郵寄等成本,邁向企業永續經營。本文以國內知名電子簽名品牌點點簽(Dottedsign)為例,細數電子簽名能為企業帶來的三項永續好處。

Photo Credit:DottedSign/知名電子簽名品牌「點點簽」是企業邁向無紙化、實踐永續的好幫手

更友善的簽名體驗:比傳統紙本流程快 80% 的時間

不少企業會有「紙本合約」的迷思,認為紙本簽名才正式、安全,且有實體文件可歸檔留存,較為安心;事實上,企業使用電子簽名服務不只能加速簽署流程,甚至相比於傳統合約寄送往返的方式,更加安全有保障,也更易於歸檔管理。去年國內受疫情影響,導入電子簽名服務「點點簽」的企業便大幅提升200%,顯見國內企業對電子簽名的認知度及接受度逐漸提高。

而能讓企業從長期培養的紙本習慣轉換成線上簽署的原因,除了疫情促成外,莫過於電子簽名能提供比傳統紙本更友善、更便捷的簽署體驗。只要有一台電子裝置(電腦、平板、或手機),就能藉由點點簽完成無論是遠端、當面或臨櫃的簽名工作,且從創建文件到指派簽署者只需不到一分鐘,簽署者更可依照簽署欄位直覺的完成簽署,大幅降低簽署錯誤率之餘,也省去傳統紙本列印合約、親簽完成後寄回,或親簽後掃描回傳的繁縟流程,有效節省人力和時間等隱性成本,將時間專注在關鍵的任務上。

此外,雙重身分驗證的保護機制,能在傳遞過程中加密嚴防駭客竄改文件,且簽署完成即壓上數位憑證(Digital certificate),能證明文件乃經由當事人線上簽名且未被他人更動。點點簽具備完整的資安守護措施,不必擔心紙本合約遭中途攔截或人為毀損,或是有偽造簽名之虞,讓簽名這件事比過去更加快速、也更加安全。

Photo Credit:DottedSign/點點簽電子簽名有效節省時間人力與紙張成本,讓團隊能專注在重要任務上

更流暢的營運效率:團隊數據分析、文件標籤歸檔一秒完成

數位轉型、永續發展不只是口號,更是推動企業前進、產業進步的力量;如何藉由合適的線上工具落實數位轉型,同時確保其營運策略能夠結合環境永續,更是企業刻不容緩的議題。而電子簽名的多元性及便利性,正在企業營運層面扮演相當重要的一環,無論何種團隊規模及企業需求,皆可藉由導入電子簽名服務「點點簽」集中控管文件權限與資源共享,為管理階層提升效率,即時掌握重要合約的相關進程。

說到點點簽的強項,就不能不提「支援多人簽署任務」的功能特色。用戶在點點簽發起簽署任務後,可指定簽署人的順序,確保流程正確不漏簽或誤簽;也可即時追蹤簽署進度,系統將會自動提醒簽署人在期限內完成簽名。

為了協助組織管理者能更有策略地管理團隊 ,點點簽也提供視覺化的團隊數據分析,組織管理者可藉由團隊數據介面中的「完成文件總數、文件拒簽率、平均簽署完成時間」等數值掌握每位團隊成員手上負責的文件簽署狀況,進而提升團隊效率;其他包含控管成員權限、共享範本等功能,則能協助管理者邁向更高效的營運模式。

尤其針對企業內業務、法務、財會等時常需要處理繁雜文件,更可善用點點簽中的標籤功能,輕而易舉地為已簽署文件標籤歸檔,利於往後即時調閱資料,不必在紙本堆中翻找。總體來說,點點簽不只能確保簽署流程不出錯,更協助企業在營運上更順暢。

Photo Credit:DottedSign/點點簽,為企業提升簽署效率、創造營運價值和邁向永續經營

更美好的永續經營:節省紙張、時間、人力,專注創新成長

據國外知名期刊 FinancesOnline 指出:

長期來看,企業從紙本轉移到線上簽署的成本可節省高達 78%,其中包含可觀的紙張、時間、營運等成本。

關於這點,點點簽的客戶實務經驗可以證明。事實上,每使用點點簽完成一次線上簽署可替公司省下新台幣 36 元的時間與材料成本,且將簽署流程數位化能大量減少紙張及碳粉的使用;據統計,每省下 10,000 張紙可以拯救一顆樹。顯然,點點簽協助企業實踐低碳目標外,更是為地球環境盡一份心力。

另一方面,企業使用線上簽署服務不只能縮短傳統文件往返的等待時間,也能為企業帶來良好的品牌形象。舉例來說,在前線如業務、商務開發人員、諮詢顧問等單位,即可使用線上簽署與客戶打造遠端簽署的情境,維繫與客戶的關係外也利企業掌握關鍵商機。同時,團隊也因導入線上簽署而省下隱性成本,讓企業騰出人力資源,專注創新成長,培育人才達成永續經營的目的。

綜合以上所述,企業須將數位轉型和永續經營納入長期營運上的考量,而導入線上簽署可視為第一步。點點簽(DottedSign)為凱鈿行動科技旗下的電子簽名服務,提供 SaaS 和 API 等解決方案供企業彈性選擇。歡迎使用點點簽,為您的企業提升簽署效率、創造營運價值和邁向永續經營。落實環境永續 ESG 的第一步,不妨就從導入點點簽開始。