k8凯发娱乐乐视租天际亚洲远传

时间:2015-06-18 17:02

作者刘肇资,IC Design House 软体经验十年,目前在外商 IC Design House 的 Marketing 部门任职,负责沟通客户、工程师和行銷部门。有一个部落格,记录一下工作上的心得,偶尔评论一下目前网路上的似是而非的资讯新闻。原文刊载于他的部落格「richliu's blog」。

原文 〈特洛伊木马已进驻台湾

作者:林宗男(台大电机系暨电信所教授)

最近引发国人关切的中国乐视网事件,到底乐视网的伺服器放在远传的机房是否只是NCC官员所宣称的新兴媒体(over-the-top)的一种,全世界只有中国与新加坡在管制?立法委员是否小题大作呢?从NCC官员在立法院的回答,可知官员完全是技术的门外汉,财团见钱眼开,完整忽视此举对资安、国安带来的冲击,将造成我国资安防护出现破洞的严重结果。

要懂得乐视网这个事件对资安带来的冲击,必须先解释一下网际网路运作的根本原理。目前网际网路是透过TCP/IP的阶层架构(layer architecture)来提供服务,在应用层(Application Layer)可提供应用者各式各样的服务,如:多媒体串流视讯、电子商务、社群网站。 这些透过网际网路第三方业者提供的over-the-top service (OTT)应用服务,并不需要由电信业者经营,只不过提供这些OTT应用服务的资讯,需经由电信业者所建设的实体通讯网路,传递至消费者端。

我国是自在民主的国家,民众可以不受制约至美国亚马遜网站或中国淘宝网购物,或透过串流服务(如Youtube)收看视讯内容。这些OTT 的资讯(Application layer),藉由传输层(transport layer)的TCP封包传送。 TCP封包必须靠底层(Layer 1及Layer 2)的实体网路设备达到网际网路的通透性。电信业者所建设的实体通讯网路,因为攸关国家平安至钜,各国都是列为国家的关键基础设施,受到严密保护。之前有数百位电机资讯学者,连署反对服贸对中方开放第二类电信服务,就是基于这个原因。

乐视网这个事件的严重性,在于实体通讯网路资安防护的破窗效应。乐视网伺服器放置于第一类电信业者的机房,并且与其他业者界接(peering),并不是单纯的属于应用层资讯的新兴媒体的服务。美国亚马遜没有将其资讯设备置于我国境内,并不妨碍民众上美国亚马遜网站购物。当中资将其资通讯设备置于我方机房内,防护外部攻击的资安防护设备:如防火墙、入侵预防系统(IPS)等,将产生无法有效防堵内部人攻击(insider attack)的疑虑。以乐视网的规模,日均使用者超过5000万,月均超过3.5亿通讯量,也构成盗取资安机密最佳的掩护。第一类电信业者机房的界接,也变成骇客来寻找其他公司或政府机关资讯系统破绽的私密便道。

这个事件说明冲破特洛伊城墙的第一只木马已经进驻,对我国通讯网路产生的破窗后果,人生就是博,将造成台湾资安治理敌我关系的弱化。先不去谈论它所提供的节目是否违反广电法之虞;单是对于资安与国安的冲击就是显而易见的。法律背景的政府官员对于技术的不熟习还能懂得,提供电佩服务的第一线业者如斯作为,则是更令人不解!

因为大神都没有写文章出来解释,小弟根据自己的经验,参考有实务经验友人的意见拙作一篇。

关于这一篇,NCC 官员在破法院的答复是不是门外汉我不知道(也懒得查),但是这篇确是百分之百的门外汉写的。原因如下.

其实他根本不用拿专著名词出来的,讲这四层就是给人笑话的。这四层是

troy 1

他要讲什么,我也不知道,到不是不理解,而是不知道他要表达什么。我猜他讲的是 Network Interface 可以直接存取到底层的设备。照他这个理论,所有的网路封包都可以存取到最底层。包括从国外来的。(注:Network Interface Layer 的某些资讯像是 MAC Address 在过路由器之后就会不见,所以畸形的封包是无法接触到内部网路的 Mac Address)

个别来说,大家上网和伺服器之间,只有在 Application Layer 加密之后,例如像连上 Google 或是 Facebook ,网址前面是 https://www.google.com.tw 和 https://www.facebook.com,这就代表己经加密了。加密后,除非是像 NSA 之类的偶尔一些谣言己经可以破解连线数据,其余人短期内要在中间破解的难度依然比较高一点。(并不是不可能,但不在本文撰写的范围之内)

其他的部份我不知道他在讲什么,老实说应该普通人也看不懂,拿出教授名号就是对的,吓一下大家就觉得他讲的对。知道的人就知道他写的东西基本错误良多.

电信机房长的类似这样。一柜一柜的。 正常企业就租个一柜内一到数层,或是租个几柜,或是更多,这不必定。(也有其他计划,人生就是博,不贅述)

Img_51614_critical-data-centre-at-uni-of-hertfordshire

一般 ISP/IDC (像中华电信或是远传机房)会拉一条网路线或是局端设备在租用的机柜。进入维护时需登记,进去之后只有自己公司的机柜会打开,无法接触到其他的机柜,只能维护本人的设备。

机柜内的保险设备架设大略像下图,各公司可能差异很大,然而大部份中型网站大抵上会长得像这样。电信公司提供 Router 和 Switch 负责交换网路,公司进来第一层是防火墙(Firewall),有些重视资安的公司大多都用功效较强的 IPS,可以同时偵测疑似入侵行为并且马上防护。接下来是负载均衡设备再接到许多伺服器上,以便同时提供服务。

troy 2

internet公司和公司之间并不直接相连(peer),在这个图上就可以看到,人生就是博,公司对公司之间还是有防火墙和入侵偵测,除非网路架构设计错误,否则并不会有他文内所谓的内部人攻击。除非是自己攻击自己。(那这个就是另一个问题)。

至于大流量盗取资安机密也是笑话,假如他真的能盗取足够的机密资料。随便一个家用网路像是 Hinet 光世代,加上加密线路 IPSEC 或是 TOR 这种匿名网路,以台湾的才能都很难监控到。而且台湾的网路基础建设还可以,上传并不会是件太困难的事件。

综合以上他想说的可能会像是,入侵别人网站获得大批资料随时上传。或许像是即时备份之类的吧。这个有可能,不过如果都能盗取了,为什么还要一个中介站转资料出来呢?不直接在被骇入的机器上传?

至于拿美国亚马遜网站做例子就更显得无知,乐视是中国 OTT (Over the top),简单的说,就是越过传统的第四台,或是中华电信 MOD 等载体,由内容/版权持有者,直接将内容提供给收视户的技术。

美国 Amazon 提供的是购物网站,内容不必即时,速度稍慢也没有关系。(事实上 Amazon 可能有买当地的代办伺服器提供内容快取服务加速),频宽耗用比乐视这种影音服务小许多。

而乐视提供下载影片是需要在当地提供大量频宽的服务(我不确定有没有用P2P,印像乐视有,但是猜测高画质可能是直接提供)。所以在须要在当地架设机房。

假设台湾的收视户够多,台湾和中国之间的频宽不够,这会限度乐视的总收视户,台湾跟中国之间的频宽并没有宽到足以供给台湾当地的乐视收视户。这应该是乐视要在本地租用机房的起因。

而这件事最大的问题可能在于:

这些都是有兴趣的人可以好好追究的,同样不在本文主要讨论范围。

至于 ISP/IDC 提供租用机房的服务就像是 ISP/IDC 提供水电冷气和网路频宽,重要是大频宽,可能给予某些比家用户更高的网路优先权,保证频宽或是固定IP。除此之外和家用网路并无不同。无需担心。

大体上就和他的反服贸二类电信一样,其实管控得宜不会影响到国家主干网路。

至于可能发生的潜在问题是什么,大胆猜测一下:

后记

其实这篇我很早就写好了,比上一篇〈Raid 5 重建的机率很低吗?〉还早。

原因是我觉得这篇的概念太简单,这应该是这个产业内人人都大概可以知道的东西,上 FB 或是问一下业界人士大概都可以得到这样的谜底。但是就是因为太简单,我才没有发出去,这些日子以来,我都在想,台湾发生了什么问题,连这种最基础的知识都会搞错。

这篇读者投书中的错误资讯,原因只有(1)这位台大电机暨电信所的教授并不知道,或是(2)故意引导读者到错误的方向,从结论看起来,我不想猜测是后者。但是前者也好不到那边去。更糟的是,看起来是 (1) + (2)

因为不晓得表现你台大教学的水平是很差的,这样的人如何能够教导我们下一代呢?成心引导读者到错误的方向表示台大传授为特定政治服务就违背良心发言。

在资讯科技,中国都在上太空了,我们连台大都还在杀猪公。想到这一点,我真的是写不下去了,唉。