跳到主要內容

參與APNIC 47會議心得

Photo by Adli Wahid on Unsplash

自 2018 年開始擔任台灣網路資訊中心(Taiwan Network Information Center ,簡稱TWNIC)國際事務委員會委員,此次與 TWNIC 一同參與本次 APRICOT 2019 / APNIC 47 會議,由於參與的行程多與 APNIC 47的議程有關,以下就只簡稱 APNIC 47。
會議資訊:

關於網際網路的第九層

本次APRICOT開幕式邀請到網際網路學會(Internet Society,簡稱ISOC)總裁兼執行長 Andrew Sullivan為大家開場致詞,主題為「Up and down the stack through a nerd’s eyes: Making the Internet better the Internet way」在其致詞中提到了網際網路的第九層,相當耐人尋味。開放式系統互連通訊參考模型(Open System Interconnection Reference Model,簡稱 OSI Model)為七層,但隨著整個網路科技的改變,及與每個人的生活事務高度連結,在業界甚至調侃有所謂第八、九、十層的說法,第八層被戲稱為「office politics」,第九層為「blinders」,第十層則為「users」。

由於在討論「網路治理」、「網路政策制訂」的政府官員、學者、人權團體,並不是真的理解「網路如何運作」所以常會提出一些異想天開的建議,這也是為什麼技術社群在網路治理角色中相當重要的原因。這不止是網際網路的運作、相關技術的開發、網路安全的政策制訂,技術專家都能提供實際的操作狀況與意見,甚至也能評估可行性,因為他們是實際操作的人,知道網際網路運作的原因和方式。

本身連續兩年參與聯合國網路治理論壇、亞太區網路治理論壇和臺灣網路治理論壇,都觀察到許多倡議者在提出議題時,可能會偏重在人權議題、消費者或使用者權益保護、稅務、法制。例如網路安全(cyber security)已是連續兩年都是國際間網路治理論壇的主要焦點,但談論的議題會著重在個人的資料保護、隱私保護、但愈來愈少提到域名管理、國際化網路域名、路由器安全、網路交換中心、資料交換…等,基礎架構類的議題,取而代之的則可能多為內容審查、避免國家監控、新興科技開發的人權相關議題…等。雖然在整個網路生態系中,這些議題十分重要,且皆與人權相關,又如兒少保護、運用網路社群進行政治操作、或恐怖主義藉由網路散佈、毒品或槍砲管制藉由電子商務運送,危害人民身心等,這些都是顯而易見,同時也是政府人員、研究學者較易著手,但容易也先入為主,以自己熟悉的知識來解釋不熟悉的專業領域,若又是無技術專家給予建議,也容易造成討論無任何意義,僅是交換資訊的情況出現。此一演說的內容其實是與網路治理有關,更是談及了多方利害關係人討論機制的重要性。

網路內容管理的兩難

今年的Cooperation SIG談的主題是「Internet Content Blocking and Filtering — Challenges and Way Forward」,以尼泊爾政府阻擋及過濾網路內容為例,因應國際間政府希望能遏止不當的言論、網路內容在網際網路上流傳,如:不實消息(dis-information)、惡意的政治宣傳(propaganda ,如恐怖主義或選舉的不當網路言論操作)、兒童或青少年的情色或虐待影片與照片…等,或是因為不當的內容而造成的政治情勢或社會動亂,希望內容服務商或是網路服務業者能自上游或是平台進行內容過濾或是阻擋,有些國家如印度、伊朗、馬來西亞…等,甚至會以維護國家安全為由而阻斷國內對外網路(Internet shutdown ),或是先審核過網路使用者上傳的內容後,才允許刊登於網路社群平台,又或是阻擋內容平台,如馬來西亞的網路使用者便無法閱讀內容平台Medium 中的各種文章。

雖然是以維護國家安全或社會秩序為由,但這些行為都違背了聯合國人權宣言(Universal Declaration of Human Rights )中第19條:
Everyone has the right to freedom of opinion and expression; this right includes freedom to hold opinions without interference and to seek, receive and impart information and ideas through any media and regardless of frontiers.
侵犯了基本的人權。對於平台服務業者而言,他們並不希望違反人權,也無法掌控使用者上傳的資料是否為非法,站在尊重人權的立場,也沒有業者想去承擔內容審查(censorship)的工作。

然而上述會導致侵害人權的議題,都是需要正視的問題,各國政府希望能以最快、最嚴格的方式去進行但對科技業者、人權團體來說,這些從上游服務端阻斷、過濾內容的行為都是侵犯人權的,甚至可能會觸及各國的個人資料保護法或其他類似法規,他們希望能與政府及學者對談,也許是自教育的角度或是當執法人員需要資料時,業者該如何配合或是共同想出一個框架或規範,能保護網路使用者,也能協維護社會與國家的穩定,但又不會侵犯人權。

參與FIRST-TC 技術座談會

本次的FIRST技術座談會在本次APRICOT會議中擁有一整天的議程。這次的議程裡邀請亞太區、日本、韓國、馬來西亞的CERT至現場分享,還有邀請一組「紅隊(Red Team)」到現場,介紹他們曾經受邀,對某公司網路與電腦安全所進行的測試;最後則是請到日本的講者,介紹他們實際所進行的網路安全事件演練。

在上午分別由日本與馬來西亞CERT團隊的簡報中,都提到在過去的案例裡,曾經藉由解析 IP來源後,發現有94%的惡意軟體與釣魚網站都來自於台灣的HiNet 中華電信或主機是在中華電信,而馬來西亞CERT則舉出曾發生過假造當地銀行網址,偽造網站以騙取個資的釣魚網站來源是在台灣。
日本CERT分析IP來源結果,有94%惡意軟體及釣魚網站的主機都來自於中華電信。(原始投影片)


馬來西亞CERT 發現來自台灣的註冊域名假冒當地銀行。(原始投影片)


先前由國家中山科學研究院所負責的 TWCERT/CC (台灣電腦網路危機處理暨協調中心)在今年一月正式編制入TWNIC。同在現場的 TWNIC 副執行長也於現場積極與其他CERT連繫,了解這些案例的狀況,也表示希望日後 CERT 之間能彼此互相交流訊息;中華電信與其他相關單位也緊急的去確認、處理相關資訊。

除了CERT之間的報告外,其中的 Red Team 和日本網安團隊的網路安全事件演練,都讓人印象深刻。往往公司在擬訂了全公司的網路安全或資訊安全政策或規範後,最無法管理的,可能是人為的活動或是末端使用者的行為導致整個安全網失效。例如有些公司不允許員工使用私人的硬碟、電腦插入公司的電腦中,或是政府部會不允許內部電腦使用外部的網路儲存服務。但往往會因為高階主管職務上的需求,或是外派人員的業務機動性,會使用私人的儲存設備或是網路儲存服務,將檔案攜至公司外部,這些都有可能成為整個安全網路中的弱點。都需要在公司擬訂網路與資訊安全政策時,不能只單一的看公司內部的營運需求,而要視公司人員的職責,可能進行分級的權限管理,然而這都需要耐心和長時間的討論,也需要公司的網路管理人員一同參與,了解不同權限的設定困難度,也有助於制訂具有彈性的網路安全政策或規範。

會議空檔時,與 TWNIC 執行長討論,對於目前在臺灣看到的網路安全會議、年會、駭客大會、國際交流…等活動,普遍著眼於整個網路生態體系裡,偏末端的網路或電腦安全的討論,當然可能會談到網路伺服器的安全、受到攻擊的反應和降低風險,但這些都屬於事後的亡羊補牢,需要探討和演練,如日本銀行就曾模擬一場逼真的當面臨網路攻擊時,從董事會、公關部門、行銷部門、網路安全部門、到職員個人的應變處理演練,也是消費者、使用者端最容易有感受的部份。

那有無事先的預防呢?事實上,ICANN 呼籲呼籲各網域都應全面部署「域名系統安全擴充」(Domain Name System Security Extension,簡稱 DNSSEC ),藉由數位簽章以及雜湊比對的方式,驗證DNS伺服器結果的有效性,以預防中間人攻擊;APNIC 在推動的「資源公鑰基礎設施」(Resource Public Key Infrastructure,簡稱 RPKI )和 Internet Society (ISOC) 的「路由安全相互協議規範」(Mutually Agreed Norms for Routing Security,簡稱 MANRS )…等,這些都屬於網路基礎架構中所需要注意及佈署的網路安全協定或作法。這些網路安全對於處於網路安全環節末端的使用者來說,都是較難理解或是佈署的部份,但對於網路安全的企業,或是希望藉由網路科技來進行的應用發展,則需要從架構的基底層安全就需要注意,例如討論智慧城市或各種網路科技生活應用時,除了消費者資料與隱私保護之外,如何驗證資料傳輸的安全、資料交換、如何避免域名的假造或污染,這些都在整個網路安全治理的議題中,每一環節都需要討論及加強防護與注意。




留言

這個網誌中的熱門文章

讀百年孤寂的一些感想

馬奎斯的小說,買回家的那天晚上就讀的欲罷不能。第一次閱畢,只能感受到文字所帶給我的感受,當我讀第二次、第三次後,總在生活裡的某些情境下憶起書中的情節與書中人物的苦悶。這場空虛夢幻開始於愛情與理想-老邦迪亞帶著易家蘭與朋友們離開家鄉,開創了馬康多這個奇幻的城市;也結束於愛情與理想-倭良諾與小亞瑪蘭塔的亂倫生下了預言中帶著豬尾巴的嬰兒,之後倭良諾翻譯完吉卜賽人的手稿,整個馬康多毀滅。這個家族的女性:易家蘭的堅毅性格與匹達黛的沉默付出;叫亞瑪蘭塔的女孩總是勇敢追求愛情而心態扭曲;這個家族的男人一生都在追求著自己生命中的目標,亞克迪奧的狂妄無羈,先是追求情欲,他的兒子追求名利;老邦迪亞追求著心中的理想(新的生活、發明);小邦迪亞追求政治上的勝利與心靈的平靜、席甘多與席根鐸兄弟兩人,哥哥追求的是欲望的滿足,弟弟追求的是心靈上的滿足與事實的存在;卡碧娥追求的「當女王」的夢想,而這個家族又與吉卜賽人有著密不可分的關係。當我啃食著書中文字時,馬奎斯的文字也在我的腦海裡建立著一幅又一幅的圖像:從有著鳥鳴鐘與銀杏葉的美麗城市、莉比卡張著大眼驚恐的坐在小椅上吮著手指的灰藍色畫面,;卡碧娥處於高地的城市除了虛偽的白色聖潔外還有一種孤獨的藍色;小邦迪亞與莫氏柯蒂近乎於天真的愛情與最後政治鬥爭的失敗而封閉是一種苦悶摻著靛藍色的灰;美女瑞米迪娥的升天是白色與藍色的純潔,對比著卡碧娥愚昧的世俗、席根多與席甘鐸在死亡前的面容與棺木被放反了墓穴、美美為了愛情的放蕩、最後倭良諾讀完吉卜賽人留下手稿的那一陣風…所有的畫面總蒙上一層昏暗的黃色光,對我而,那是一種孤單與遺忘。當我身在雨下個不停又溼冷的淡水時,腦海裡閃過的是書中四年多的雨季;當妖精國王講到失眠時,我腦海裡浮現的是馬康多的集體失眠;當夏日一陣風拂過,閃過的是倭良諾最後發現整個邦迪亞家族是一場夢幻的空虛與毀滅。而黃昏的夕陽,總讓我想起倭良諾與小亞瑪蘭塔放肆的愛情。我們總在生命中追求著自己的理想,如書中的每個角色:追求愛情、追求名利、追求所謂的「真實」,總在生命的最後一刻才發現自己的一生甚至所看到的一切是一個虛幻的畫面,就像馬康多,這個城市從未存在過,對書中的人而言,馬康多是存在著的,但對我們而言馬康多是虛構的、建構在文字與腦海裡的。我所看到的世界是我腦海裡建構出來的世界,這個城市是我心中的馬康多,眼裡所見的是腦中點線面建構出來的空間,而我的心情就…

【隨手記】不歡迎匿名回應者

致 小白先生/女士,你的編號是47,727,就是喜歡當藏鏡人是吧?只要是匿名回應,管你留了什麼好的、壞的、非商業性、公益活動,我就是不放出來。要說什麼好話什麼義正言辭,回你自己家說去,在我這裡,少用匿名在這裡長篇大論,具名回應是種禮貌,你對我沒禮貌,我何必把你說的話放在自家的部落格裡?柯南說:「兇手是會回去案發現場檢視自己成果的。」這是貓玲玲提醒我的,哈哈哈。Technorati Tags:

【隨手記】能吃最幸福

今年年初有做巧克力嗎?應該是有的,我腦海裡還有和偉展兩個人把做好的松露巧克力拿去E61和大家一起吃。松露巧克力的做法是向阿餅學的,簡單又好做,不過我們並不常做巧克力,一來是要清洗工具說真的有點懶,二來是巧克力磚如果沒用完也很浪費,並不是三百六十五天都有那種好心情做巧克力或是煮義大利麵的-題外話,今年還真的沒煮到義大利麵。有一些網路流傳的信件或研究裡都說吃巧克力會使心情愉悅,或是與心愛的人一起吃巧克力有催情的作用。對女孩子來說,巧克力是既愛又懼的食物,它的甜美與香氣讓人一吃再吃,但一塊巧克力的成份不只可可,其中的脂肪與糖都是身材殺手。在身體不舒服時來杯巧克力熱飲會使身體舒暢,同時會產生幸福感,而且巧克力有豐富的鐵質,對女孩子來說算是不錯的營養食品。我自己最喜歡喝E61的巧克力,那不止是幸福感而已,每每在體力欠佳或是心情低落的同時,來一杯熱巧,喝下去的第一口就會讓笑容浮出來,而且口感就像在吃巧克力布朗尼蛋糕一樣厚實但不膩。市面上有很多品牌的巧克力,便宜的在便利商店裡十元就有一條,有人偏好大波露巧克力,我最近則喜歡MON CHERI,裡面有包櫻桃和酒的巧克力,在便利商店就買的到,在便利商店的通路裡不算便宜,但很好吃,裡面的酒有點嗆是真的。貴一點的,應該很多人都聽過GODIVA這個牌子的巧克力,據說是賭神在賭博時吃的巧克力就是這個來自於比利時且有八十年歷史的巧克力。101一樓就有這麼一個小小的專櫃,我們偶爾去逛超市前會先逛逛一樓的LUSH、歐舒丹和這個可以稱為「貴」族的巧克力專櫃。GODIVA的巧克力是稱斤論兩來賣的,像我所接觸的水晶和半寶石一樣,品質優良等級的水晶是要拿到電子秤上稱重,以一克多少錢來計價的,拿鈦晶來說,髮絲排列整齊光亮,晶體透明清徹透亮的一克在市價上約二百至二百五十元,碧璽和舒俱徠石更貴…扯遠了。回到主題,當我第一次聽到GODIVA的小姐跟我說他們的巧克力是以一克多少錢來賣時,腦袋裡自動的轉換成水晶的計價。第一次吃到GODIVA是在E61吧!如果我沒記錯話,是同在店裡的客人請的,就是含可可濃度不同的巧克力,後來我們有時去逛超市時,若當時有閒錢或是遇到特殊節日,我們也會買點特殊口味的巧克力來吃,之前經濟較穩定時也會買回家送給沒吃過的美少男和妹妹吃-人生就是要多多嚐試不同的東西。我偏好Raspberry口味的巧克力,可能因為我本身就喜歡覆盆子莓的味道,以前在…