究竟華為產品有冇後門(backdoor)?

電訊科技咁發達,而家每部「智能」電子產品都有億億聲嘅晶體、背後由百萬以至千萬行程式碼所驅動。咁複雜嘅系統,點會冇bug?點會冇保安漏洞?

有時保安研究員會發現新嘅保安漏洞,嚴重嘅話,入侵者可以隨時 hack 入啲做足保安措施嘅系統。廿年前,啲人會貪玩攞嚟整啲無聊電腦病毒,最壞都係刪除人哋電腦嘅資料。不過由於呢十幾廿年所有嘢都電子化,被人 hack 嘅後果就嚴重好多。最少,黑客都可以將你嘅資料加密然後迫你用 bitcoin 解鎖。

不過搞咁多嘢,都唔一定賺到錢。[1] 真係要賺不義之財,又點止係勒索 bitcoin 咁簡單?試下擴闊想像,諗下如果 hack 到入任何人嘅電腦或手機,可以做到啲乜?可以得到有幾大「價值」嘅資訊?商業機密?軍事機密?習近平嘅黑材料?又或者喺特定時候癱瘓某啲關鍵嘅系統?

如果係謂 “white hat” 發現保安漏洞,佢哋通常會即時通知負責開發系統嘅公司,等佢有時間補救:整 patch,通知所有受影響嘅人 upgrade,然後世界繼續順利運作。和平真好。

但唔係所有保安研究員都咁「好死」。

呢啲漏洞係有人出價去買嘅。據聞價值不菲[2]。仲有,呢啲保安漏洞好難翻用,因為一旦被發現,負責開發系統嘅公司通常會好快修補咗佢。究竟咩人先俾得起上百萬美金買保安漏洞,淨係用一次呢?就算係 IQ 高達 160 嘅讀者,應該都唔會諗到太多可能性 :) (話時話,有興趣聽多啲故仔嘅人,不妨查下 “Stuxnet” 呢個名[3]。)

言歸正傳,究竟華為產品有冇後門?如果問嘅係有冇「特登加落去嘅後門」,當然冇人知,甚至華為老闆任正非都未必知道。但呢個問題係煙幕嚟。真正要問嘅問題係:究竟華為產品有冇保安漏洞?各國嘅國安部門有冇能力利用呢啲保安漏洞達成佢哋嘅目的?

我完全唔知華為嘅產品係點運作,裡面係點整,但係我都可以肯定咁答:一定有好多漏洞,有足夠財力嘅國安部門一定可以爆破佢嘅保安。

唔單止係華為產品,基本上所有現代電子系統都一定有漏洞,hack 唔 hack 到就只係錢嘅問題。

任正非不斷重申「華為設備冇後門」,可能佢係講真話都唔定。不過有關係架咩?喺有足夠資源嘅國安部門眼中,所有現代電子產品都係中門大開,任人窺視、操緃。如果本身冇後門,都可以用保安漏洞整個出嚟。如果唔夠漏洞,都唔使特登加架,請多幾條廢柴整多啲bug落去就已經得。

當然啦,如果開發產品嘅公司喺自己國家,好多嘢做起上嚟都方便啲,呢個就一定冇錯。

⋯⋯

題外話講多兩句,而家電腦保安嘅 state of art 真係一日千里。平日 IT9 話科技太快「追唔切」,通常都係佢哋自己唔肯學新嘢就喺度呻。但而家啲保安漏洞真係防不勝防,如果你要 100% 安全,噉你嘅「敵人」係擁有接近無限資源嘅各大國嘅國安部門。佢哋可以用錄音將你嘅密碼偷走[4],又可以用影像「偷聽」到你講嘢 [5]。我今日先知道,原來普通 wifi 係點 set 都有漏洞,除非你用嘅系統喺一年之內買嘅[6]。都仲未講舊年風靡全球嘅 “spectre” 同 “meltdown” 硬件漏洞,而家有人話佢係基本上冇藥醫 [7]。

正常人可以做啲乜?諗下有冇人願意俾幾百萬美金 hack 自己。冇? 咁都只可以照樣生活,work eat shit sleep。至於咩記住裝 antivirus,喺今時今日,同醫生叫你食維他命 C 一樣咁有用。(按:未必冇用架,不過睇下你面對嘅係咩菌啦)

— —

以下嘅連結係我亂咁喺搜尋器打關鍵字搵出嚟嘅。大部份喺寫呢篇文之前都冇睇過。

最後利申多句:以上內容只係作者個人意見,同任何其他人都無關。