傳呼機爆炸的思考點
哈馬斯挾持以色列人質事件擾攘一年,不但未見解決,而且正演變成全面戰爭。近期以色列打擊真主黨的手段令全球關注。真主黨早聞以色列科技先進,避開使用智能電話,轉而投向傳呼機及對講機,原意是避開追蹤及竊取資料,卻沒有預計以色列利用十多年滲透供應鏈,將炸藥埋藏在這些舊式通訊設備,並以遠程遙控爆炸。據報炸藥隱藏在電池內,而且設計巧妙,極難被發現。傳呼機的台灣品牌公司更無辜地被捲入風波。當然真主黨的其中之致命點是一個特別習慣被敵方識穿。事件令世界看到戰爭中手段無所不用其極,同時帶出供應鏈安全問題。生產一件物件,需要極多零件及周邊設備,牽涉眾多程序,由生產至送達用戶手中,經過大量第三方,其中任何一環出現缺口,就可能出現安全問題。當然絕大部份情況未必如上述牽涉爆炸及生命安全,但供應鏈對數碼資訊安全的影響則與大眾息息相關。今時今日,個人、企業、政府機關不可能沒有電腦及移動裝置,這些裝置任何一個軟硬件,一旦受到供應鏈攻擊,就可變成敵方的監控、竊取資訊或進行違法行為的工具。由於市場演化,電子產品第三方生產、代工、外判等非常盛行,令供應鏈更加複雜,風險上升,部份更牽涉國家安全層面。
供應鏈安全隱患歷史事件
有人趁事件帶動風向,宣傳中國製造產品較安全。是否如此,大家先看歷史事件。18年彭博震撼報道,中共解放軍滲入電腦底板生產商SuperMicro並在其中國組裝的底板嵌入微型晶片,足以從伺服器竊取資訊,該公司底板出售伺服器給予美國大型公司包括蘋果及亞馬遜。16年,美國手機製造商BLU發現其手機將用戶的通話紀錄、短訊內容、聯絡人等傳送至中國大陸伺服器,經查證後發現其手機硬體更新外判商上海Adups在軟體更新時「加料」,Adups稱事件全屬無心云云。18年有一個針對華碩度身訂造的供應襲擊「影子錘」行動,令百萬部華碩電腦在自動更新時下載惡意軟件,網絡安全專家指背後運作者是由中共支持的黑客組織APT41。今年2月,來自深圳某科技公司的迷你平價PC,內藏間諜軟件,很多看似不同牌子其實是來自同一間公司的「白牌」機,借用亞馬遜供應鏈達致廣泛目標。廠商稱間諜軟件來自其中一間軟件開發商云云。手機軟件大量使用第三方SDK,大陸企業紫光開發的JPush SDK用作訊息推送,20年被揭內有嚴重加密漏洞且會將手機敏感資料上傳,而且所需權限超越合理範圍。當然不得不提的還有中共華為5G設備,西方多國已訂立取締時間表,從基礎設施中移除。
應對風險並不容易
最近已有人作概念示範,證明可在手機內放置一額外晶片,在手機觸屏螢幕收集資料並遠端上傳。上述種種令讀者一窺供應鏈攻擊的各種面貌。面對太多可能性,對於一般用家而言,折衷方案是集中處理三個硬件,揀選使用開源系統的路由器,有條件應自行刷新作業系統。電腦及手機避開極權國家控制的牌子,並揀選擁有信賴安全模塊(TSM)硬件的裝置。其次是軟件,需要確保作業系統屬於原裝正版,從官方網站下載會是較佳方法。在安裝其它軟件前請查清楚其底細,是非必要不要安裝,即使你使用開源軟件,你亦要核對湊集數,確保版本未被改動。建議安裝需要品牌防毒軟件。高風險人群必須採取額外行動。首先是儘量利用Wi-Fi及VPN,保護個人資料不流出,因為這些資料泄露你的行為習慣。電腦應自行組裝,組件可從不同渠道購買,或在外國購買由相識人士𢹂帶回來,不要經速遞及郵寄服務運送。斯諾登就曾經提過政府機關有能力截取硬件送遞。作業系統一定要自行安裝,有需要時可考慮單板電腦,減少組件數量。安裝軟件必須清楚查核背景,嚴格限制,並考慮在沙盒環境內執行。同樣地,手機可安排由外國帶入。任何裝置或軟件在使用前最好監控網絡一段時間,方法是透過私人DNS,記錄所有DNS調解,並仔細檢查,特別要留意所有不經過瀏覽器的調解,又或接觸極權地區的調解。
要求個人用戶檢視供應鏈安全實在極不實際,上述亦只能帶出折衷辦法。傳呼機爆炸事件就是一個警鐘,提醒用戶絕非與你無關,看似遙遠,其實就在身邊。當有人說某產品安全,你最好問一句「當真?」◇
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand