問:在佩洛西訪問台灣後,不單解放軍包圍台灣進行實彈軍事演習,中共在網絡世界中也對台灣發動攻擊。一方面,針對台灣政府和基建設施的網絡攻擊持續,另一方面,日常的台鐵和部分便利店廣告板,都被換上反美的內容。根據台灣方面的調查,出事的台鐵以及便利店有一個共通點,就是它們都有使用中國軟件或華為路由器。為甚麼中國製軟硬件在如此緊急關頭會出現大失誤?
李建軍:這次佩洛西訪台期間出現的網絡攻擊,正好證明了,在關鍵的應用,絕不能使用中國的軟硬件,否則在一些關鍵時刻,很容易被中國當局旗下的網軍攻擊,造成的損失,遠遠大於當初採購設備時要用的錢。
為何中共網軍可以輕易攻陷這些中國製設備?一方面原因是中國軟件工程師編寫程式時有很多壞習慣,其所衍生的問題,足以威脅一般用家安全。但更大問題是中國有《網絡安全法》,該法迫使中國的軟硬件公司必須與中國當局合作,這也是很多西方國家要封殺華為的導火線,因為在該法下,中國公司無可避免要將收集到的西方用戶數據與中國當局分享。而這次台鐵被攻擊,正好是華為設備,反映了當初世界各國政府對華為態度強硬,並非杞人憂天。而台灣便利店被攻擊的軟件的生產商,本身只是一間普通做LED熒幕的公司。由此也可以看到,在《網絡安全法》下,任何中國公司只要想維持業務,都必須與中國當局合作,包括留有後門予當局使用。
問:中國製軟硬件看來確實不可靠,但若因各種理由,暫時未能找到非中國製替代品,又應該怎樣做去保護自己?
李建軍:首先,如果你的中國製設備容許離線運作,那麼在使用時,應盡可能離線運作,不要接上互聯網,只要未有上網,你的設備都不會有甚麼問題,因為黑客必須要透過網絡連線,才能夠入侵你的系統。對於譬如電子廣告牌一類的應用,上網只不過比較方便更新內容,但其實連網本身並無必要,只要離線運作,加上確保控制硬件設備的部分未有受病毒感染,一般不會出大問題。
但對於路由器一類必須連網的設備,就必須儘快更換,寧願多付一點錢,都要用非中國廠商的產品,因為只要上了網,中國的黑客就能透過預留的後門胡作非為。一言概之,路由器一類差不多全天候上網的設備,是必須堅守不用中國公司產品的原則。雖然產品便宜,仍要應免則免,即使不是政府或關鍵基建,純就個人用家而言,也要考慮個資被盜的成本。
問:那麼在非路由器、廣告板一類較為敏感的應用上,是否代表用中國公司的設備無傷大雅?
李建軍:並非如此。因為只要你使用了中國製的軟硬件,就有可能遭到騎劫,在懵然不知的情況下,被中國黑客用你的設備進行DDoS攻擊。雖然一如之前翻牆問答的介紹,物聯網設備用作DDoS之用,攻擊效率已經遠不及租用數據中心主機作攻擊用,但舉例在這次台灣的例子上,中國當局為了防止台灣方面的攔截,就會用上人海戰術,而物聯網設備恰恰是人海戰術的關鍵。因此,任何上網的設備,特別廿四小時上網的設備,能夠避免用中國廠商的產品,就應避用中國廠商的產品,以策安全。
問:西方國家民眾一般最常接觸到的中國製設備就是智能手機了。現時,華為和中興的手機,都已經幾乎在西方國家絕跡,只不過,仍然有小米之類公司的手機銷售。情況是否代表諸如小米一類中國公司出產的Android智能電話並無保安問題,所以它們未被西方國家政府封殺?
李建軍:以往華為和中興被針對,因為這兩間中國公司在基礎建設市場有相當龐大的佔有率,而西方國家,過往都主要針對基建安全問題上下功夫,因此,小米一類未有參與電訊基建市場的公司,暫時都未成為封殺對象,它們甚至乘勢透過低價策略,佔據原本由華為和中興所佔的手機市場空間。
隨台海局勢日益緊張,中國當局不排除會借其他中國牌子包括小米的手機進行各類攻擊,或者利用這些手機去竊取情報。因此,縱使是手機,都仍然要避免使用中國牌子,以免你的手機變成了中國對台灣網攻的跳板,或令你的私隱外洩。