資訊戰專家沈伯洋數位身分證規劃不周台灣面對中國威脅死更快

發佈時間 2020/7/30 07:39:39
最後更新 2020/7/30 10:44:52

資訊戰專家、臺北大學犯罪學研究所助理教授沈伯洋,在今(30)日中研院法學所舉辦數位身分證(eID)相關研討會指出,目前 eID 都還沒有發包,規劃也不周,政府卻一直在擔保很安全,更不用說先前政府面對個資外洩時的卸責態度,如何讓人民信任?他抨擊,中國資訊戰威脅很真實,尤其很多台灣人每天在第一線作戰,但現在政府卻推出規劃不全的 eID 新系統,簡直是「希望你們再死更快一點!」沈伯洋說,「資安即國安」但是現在卻讓資安成國安破口,政府作法完全矛盾。

臺北大學犯罪學研究所助理教授沈伯洋,參與中研院法律學研究所資訊法中心舉辦「數位時代下的國民身分證與身分識別」研討會(攝影/廖昱涵)

臺北大學犯罪學研究所助理教授沈伯洋,參與中研院法律學研究所資訊法中心舉辦「數位時代下的國民身分證與身分識別」研討會(攝影/廖昱涵)

資訊戰為何要搜集個資?沈伯洋指出這些都能作為「分析」之用。他以愛奇藝舉例,現在有很多台灣人,因為愛奇藝有很多獨播韓劇,像是夫婦的世界等等,都只有愛奇藝在播。沈伯洋說,愛奇藝花這麼多錢買獨家授權,但其實還在虧損狀態,但愛奇藝為何要繼續做下去?簡單來講,它的目的也許不是提供大家影音串流服務,可能在別的。

沈伯洋進一步解釋,影音串流平台在手機上,可以搜集到定位、隱私授權、作息時間。如果愛奇藝和電視盒結合,則需要地址、身分證字號,等於你的資料都給了北京。他說,這都是現在可以做到的事情,但未來 eID 就是讓取得這些資料更加便利。

而先前美國第三大消費者信用報告業者 Equifax 被中國駭客入侵,所竊取的資料就是姓名、出生年月日、地址、社會安全號碼、駕照資料。沈伯洋點出:「這不就是我們 eID 要整合的?」他質疑,尤其這些資料都整合後,讓駭客攻擊成本降更低,不用再去攻擊兩百次,說不定攻擊一次就夠了。

沈伯洋指出,翻譯平台、影音串流平台都是搜集個資的大宗,目的就是為了要「分群」。因為這是最有效的假新聞攻擊工具。他舉例,中國愛打「總統蔡英文和前總統李登輝有姦情」的假新聞。但他們並非鋪天蓋地將這種訊息傳給所有台灣人,因為將會造成強大的反作用力,而是要推給特別喜愛陰謀論的群眾才有效。

沈伯洋表示,個資搜集更完全,才有辦法做這種精準攻擊。他說,台灣在 2016 年就有 60 種攻擊,但現在已進化到上萬種。而再搭配其他公司外洩資料,就足夠敵對勢力打「認知戰」。

資策會資安研究所總監警告:內政部戶政資料疑似被駭客「洗庫」,卻還沾沾自喜卸責

資策會資安科技研究所策略總監王仁甫以 eID 的攻擊樹(Attack Tree)展示有可能被攻擊的情境(圖片取自王仁甫 PPT )

資策會資安科技研究所策略總監王仁甫以 eID 的攻擊樹(Attack Tree)展示有可能被攻擊的情境(圖片取自王仁甫 PPT )

「不要跟我說很安全,早就被破了!」資訊工業策進會資安科技研究所策略總監王仁甫證實,世界著名駭客大會之一的黑帽大會(Black Hat)早在 2008 年就有駭客展示可破解磁條、RFID、駭入 eID、信用卡、護照等系統。他也舉例,駭客大會也早就展示過能讓提款機自動噴出錢,但銀行還說是封閉系統不可能駭入,後來台灣也發生過轟動一時的「一銀 ATM 吐鈔案」。

內政部日前發生兩千萬筆的戶政個資外洩事件,但卻頻頻以「格式不一樣」為由,否認資料是從內政部外流。不過王仁甫指出,中共常做就是駭進去各種系統搜集、整合,事隔多年後再用低價賣出給你難看。

王仁甫也解釋,人習慣用自己的個人或家人資料當成帳號密碼,最常用身分證號或生日,所以駭客集團或中共只要寫這種自動撞資料庫的「撞庫」程式,就可入侵 E-mail 及相關資訊系統,將個資加以整合。他質疑,政府看到已疑似被老共駭客「洗庫(駭客將用戶、帳戶的財產或虛擬財產或帳戶信息本身變現)」的資料,還沾沾自喜?

沈伯洋最後也感嘆,政府常說資安即國安,但是現在卻讓資安成為國安破口,完全矛盾。他說,光是大同中資認定就可以讓社會吵成這樣。而這次 eID 的得標廠商和中國資本牽扯,更令人無法想像台灣社會會被分化成什麼程度。