維權人士對話記錄外洩,就代表WhatsApp不可信嗎?

維權人士對話記錄外洩,就代表WhatsApp不可信嗎?
Photo Credit: Dado Ruvic / REUTERS / 達志影像

我們想讓你知道的是

中國維權人士的WhatsApp群組對話被用作起訴證據,這代表WhatsApp不可信嗎?

廣州維權人士張廣紅去年10月在中國被帶走刑事拘留,其後以侮辱罪被捕。張的代理律師表示,起訴所用的證據包括張廣紅在WhatsApp群組分享的文章以及訊息。

去年12月時,《蘋果日報》及《有線新聞》已有報導此事,並引述該名律師的猜測,指中國警方取得WhatsApp程式碼,能夠從手機中取出證據。同時又引述「知情人士」及「網民」表示,WhatsApp不可能交出程式碼,懷疑是群組內部有人洩露內容。[1,2]

另外,本月2日《紐約時報》記者孟寶勒(Paul Mozur)一篇題為〈衝出「防火長城」,中國互聯網審查走向世界〉的文章亦有提及此事。文中引述不具名的中國技術專家指,警方可能曾入侵張廣紅的手機,或者從群組成員手上取得相關訊息,與WhatsApp無關。[3,4]

《852郵報》引用上述文章報導事件,雖然內文提到「WhatsApp並沒參與其中」,卻在第一段指「港人常用的社交平台WhatsApp都不再受到保障」,標題亦用上「WhatsApp轉發批習文章都出事」,Facebook貼文時更問「WhatsApp都信不過了?」。[5,6]

以下我嘗試解釋為何WhatsApp不太可能交出訊息給中國,以及如果希望更安全的話可以怎麼辦。

第三方無法讀取訊息

自2014年底開始,WhatsApp逐步在其網路啟用點對點加密,並於約兩年前宣布全面使用點對點(又稱端對端)加密通訊,所有對話均會自動及強制加密。[7]WhatsApp所使用的加密通訊協定,來自開放源碼的加密通訊軟體Signal。除WhatsApp外,Google的Allo以及Facebook的Messenger亦有使用Signal的協定,但需要另行啟用。

Signal的程式碼公開,以便安全專家可檢查其通訊軟體和協定是否存在漏洞,這項特點令Signal較為值得信賴。這不代表系統不會有漏洞,但至少能盡早發現。此外,Sigal的通訊協定在去年通過一個安全專家團隊審核。[8]

點對點加密的一大特點,在於只有收發雙方的裝置可以讀到訊息(所以稱為「點對點」),第三方截取通訊時只讀到加密後的訊息,由於解密用的密鑰在用戶裝置,這確保第三方——即使是WhatsApp的伺服器——無法讀取訊息內容。

WhatsApp會偷偷加後門嗎?

理論上,WhatsApp在使用Signal通訊協議時可以造手腳,讓加密通訊變得不安全,從而解密訊息。但我認為這實際上不太可能,首先,Signal設計者、資訊安全專家Moxie Marlinspike有份協助WhatsApp推行加密通訊協定,要造手腳的話須先瞞過他,或者在全面使用加密協定後再修改。

其次,暗中削弱加密通訊會嚴重損害WhatsApp聲譽,不符合Facebook利益。各國政府一直要求科技公司在加密通訊軟體中加入後門,以便執法機關在「有需要」時能夠讀取想看的訊息,Facebook營運長桑德伯格(Sheryl Sandberg)曾為WhatsApp採用加密通訊辯護。[9]

就張廣紅的案件而言,當局派人入侵當事人手機或者群組成員洩漏對話內容,比起Facebook先削弱加密通訊、欺騙用戶(此舉勢引來大量訴訟),再跟中國政府合作更有可能。當然,你還可以相信中國政府的密碼專家破解了以Signal通訊協定傳送的加密訊息,不過這跟WhatsApp無關,而且暫時看來也不太可能。

如果不用WhatsApp還有甚麼選擇?

當然,你還是可以不相信WhatsApp安全,但我想說的是,如果WhatsApp的加密通訊本身不安全的話,代表Signal的通訊協定也不安全。那麼,市面上就沒有太多方便、易用及可加密通訊的選擇,或者你可以用Telegram的加密通訊(需要自行啟用),亦須注意其自家製的MTProto通訊協定備受質疑。[10]

假如你不相信WhatsApp,但相信Signal的通訊協定,則可以改用同樣叫Signal的非營利通訊軟體。此舉還有兩個額外好處︰一,你不用怕Facebook儲存了你在甚麼時候跟誰對話——即使加密通訊令Facebook無法讀取內容,伺服器仍可記錄這些重要元數據(metadata);二,你可以傳送WhatsApp暫時沒有的限時訊息,在對方收到後一段時間自動刪除,不怕留下記錄。

最後必須提醒讀者,沒有通訊軟體——沒有任何軟體——是絕對安全的,請按照自己需求、風險去選擇。

相關文章︰

註︰

  1. 【WhatsApp洩密?】維權人士轉發批習總信息 被控侮辱罪批捕(蘋果日報)
  2. 張廣紅疑因WhatsApp洩密被捕(有線新聞)
  3. 衝出「防火長城」,中國互聯網審查走向世界(紐約時報中文網)
  4. 原文︰China Presses Its Internet Censorship Efforts Across the Globe (The New York Times)
  5. 《紐時》︰中國網絡審查範圍伸延全球 WhatsApp轉發批習文章都出事(852郵報)
  6. 《852郵報》Facebook貼文
  7. Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People (Wired)
  8. A Formal Security Analysis of the Signal Messaging Protocol (Cohn-Gordon et al. 2017)
  9. Sheryl Sandberg: WhatsApp encryption actually helps governments combat terrorism (The Washington Post)
  10. 詳見 Information Security Stack Excchange 的討論。

核稿編輯:王陽翎


猜你喜歡


【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航

【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航
Photo Credit:TNL Brand Studio

我們想讓你知道的是

這幾年的新冠疫情、俄烏戰事奪走許多寶貴生命,讓網路流行一句「你的歲月靜好,是有人為你負重前行。」當我們能夠安居樂業過著恬靜生活,其實是仰賴一群人在社會各個角落堅守崗位,多數人才能享受無虞的生活及安全的家園。

【工業局】沙崙資安_1
Photo Credit:TNL Brand Studio

我們在食衣住行許多方面皆與水、電、天然氣等資源息息相關,在高度數位化的現代,臺灣在面對這些資源的基礎建設時,網路安全的防禦為何比其他國家更需謹慎面對?這件事可以從俄烏戰爭獲得啟發。

從俄烏戰爭居安思危,臺灣每月面臨4000萬次的網路攻擊

有人說如果有一天真的發生第三次世界大戰,那一定會發生在網路上。從近期的俄烏戰爭來看,除了使用傳統槍砲坦克,更值得注意的是雙方都派出大量IT駭客,攻擊對方的油水電重要基礎建設的伺服器、通訊設施,企圖阻斷即時資訊,藉此癱瘓敵方的民生設備運作。

事實上,一般駭客不會主動攻擊一個國家的基礎建設,大多是鎖定企業等級為目標,像是美國燃油管線營運公司,受到來自東歐的勒索病毒攻擊,被迫暫停營運同時還要支付新台幣1億4,000萬元的贖金,造成當地民眾恐慌,發生一波搶購燃油熱潮。

而臺灣因為政治戰略的因素,外部駭客總是虎視眈眈,想要癱瘓我國的民生關鍵基礎設施。過去幾年間臺灣每月平均受到2,000萬到4,000萬次外來攻擊,甚至懷疑一起大型惡意軟體攻擊,幕後的駭客是有國家力量在撐腰。

臺灣民生建設資安防禦迫在眉睫,ACW SOUTH沙崙基地扮演關鍵角色

身為島國的臺灣,電力、石油、天然氣及水利等資源設備,是供應國內經濟發展及民生需求的重要資產。面對各項能源設備資安的防護,我國經濟部長王美花過去就曾公開表示,「油電水等關鍵設施假使被破壞,後果不堪設想,所以資安是重要基本功,一定要發展做好防護措施。

身為國內首屈一指的「ACW SOUTH沙崙資安服務基地」(以下簡稱 ACW SOUTH資安基地),承接起重責大任,提供資安實驗場域,模擬攻防演訓及產品驗測服務;也會邀請資安服務廠商與工控營運業者到沙崙場域,進行實作的技術交流。

ACW SOUTH資安基地計畫團隊表示,「透過資安服務商與工控營運業者的交流分享,有助促進產業對於工控資安了解與場域運用;同時我們也會辦理工控資安等相關課程、研討會及交流會,鏈結資安與工控業者幫助雙方有更深入的技術合作。」

目前ACW SOUTH資安基地的「關鍵基礎設施工控場域」主要有「石化/化工、天然氣及變電所」三套系統,模擬五套攻擊劇本,協助相關基礎設備的管理者,在受到攻擊當下知道該如何反應,及早因應強化資安防禦實力。萬一遭遇偽造工作站監看數據、偽造命令操控電磁閥和空壓機、電驛傳輸通訊中斷等攻擊事件,就能立刻啟動應變流程。

走訪ACW SOUTH資安基地關鍵基礎設施,了解三大測試場域功能有多強

場域一、石化基礎設施
2020年臺灣兩大石化公司接連傳出資安攻擊事件,部分資訊系統感染勒索軟體病毒,造成加油站的支付系統停擺,導致消費者付款機制受到影響。

ACW SOUTH資安基地提供的化工模擬製程實體運作機櫃,是全台首座「石化/化工製程水位控制平台」,模擬情境為一般化工反應槽連續式循環水流水位控制,以水為循環流體模擬,可提供研究測試與訓練使用、自主開發攻防情境。來現場測試的業者,可透過視覺式監控介面與DCS收集現場監測儀表的即時資訊,做到收集完整數據紀錄及警報,具體測試資安防護設備與解決方案。

場域二、天然氣基礎設施
美國一家天然氣壓縮公司曾經受到勒索軟體攻擊,駭客透過魚叉式網釣攻擊入侵IT網路,再找機會滲透到OT網路,並在這兩個網路部署勒索軟體,導致人機介面、伺服器完全失能,公司業務被迫停擺兩天。

ACW SOUTH資安基地的儲槽氣體壓力監控系統,模擬情境為天然氣廠氣體儲槽壓力,使用空壓機模擬天然氣體,當氣體壓力高於或低於警報值時,系統畫面警示工作站主機,並同時記錄數據變化、警報和事件。

場域三、變電所基礎設施
2021年台電董事長說台電遭駭客攻擊幾乎每天發生;俄烏戰爭過程,俄羅斯駭客也曾嘗試對烏克蘭發電廠下手,利用資料破壞軟體發動攻擊,藉此癱瘓高壓變電所,讓烏克蘭當地無電可用。

電力系統無論在發電、輸電及配電的任一部分發生故障,都有可能影響整個供電系統異常,因此保護電驛的作用就在及早隔離故障,避免影響到後續的相關設備。ACW SOUTH資安基地的保護電驛監控系統採用IEC61850標準來進行網路通訊,可用來監視、記錄電驛突發事件,藉此模擬變電所遭受攻擊的危機處理。

要讓臺灣關鍵基礎設施免於駭客襲擊,可說是天方夜譚,但我們能做的是提升資安、強化防禦韌性,更有餘裕時間來防禦或補救攻擊。ACW SOUTH資安基地的關鍵基礎設施,目前打造了三大測試場域,擁有可實際演練的攻防腳本,並進行資安產品的驗測。

ACW SOUTH資安基地深知臺灣以製造業起家,尤其近年半導體領域成為舉世聞名的護國神山;另外因應全球淨零碳排議題,綠能也是前景可期的重要產業。因此在ACW SOUTH資安基地除了有關鍵基礎設施,還設計智慧製造、智慧綠能、半導體及物聯網等主題,可為相關業者做攻防演訓及產品驗測,有助提升我國整體資安防禦力。

「經濟部工業局 廣告」


猜你喜歡