問:最近華為在一個Linux相關的開放源碼項目,做了一些十分具爭議性的事,雖然未有危及 Linux的安全,但行為仍然引起質疑,究竟發生了甚麼事?
李建軍:有一個叫OpenWall的項目,這個項目為不少Linux套件,以至Android本身提供加強保安功能。最近,有一個叫華為核心自我保護的程式碼上傳到OpenWall群體,但這個程式碼被 OpenWall群體發現充滿漏洞,而且有關漏洞並非一些無心之失,而被懷疑是刻意留下的後門,遭到社群普遍質疑。
周一(11日)華為出面否認程式碼係由華為公司發出,表示只是華為個別員工所為。又施壓要求發現問題的安全測評廠商刪改有關文章,以撇清華為與事件的關係。但安全測評廠商發現,上傳程式碼的人是華為公司等級最高的首席安全部門成員,故拒絕修改用詞。
而華為的種種行為,已經令開放源碼群體質疑,中國政府會否透過中國公司,留下一些暗藏木馬或後門的程式碼, 為滲透或破壞全球的Linux主機甚至手機做準備。
問:事件對一般用家而言,暫時有沒有任何威脅?
李建軍:對大部分用家而言,只要你不使用中國品牌的手機,你仍然很安全,因為開放源碼群體的成員會把關,不會隨便放有問題的程式碼入正式Linux或Android版本之中,所以暫時你未受影響。
只不過,假如你使用小米、華為一類中國品牌手機,就難以擔保不受影響,除非你本身是技術專家, 水平十分之高,否則你很難知道究竟你用的手機作業系統有否包括有問題的程式碼在內;而即使你有能力偵查到系統中是否被植入病毒程式碼,當你 發現程式碼有問題時,都已經太遲,因為在此之前,你輸入手機中的個資可能已被盜用。
所以一直以來在翻牆問答中,我都不建議聽眾使用中國品牌 的手機,原因是有保安,以至翻牆效能上的考慮,特別這些中國公司與政府的關係千絲萬縷,他們要執行中國當局的政策,一般人是難以察覺。美國總統特朗普延長禁止使用中國特定公司的電訊設備政策一年,在技術上,其實是有實證支持,至少這次OpenWall事件,已經是一個證據, 去支持總統的決定。
問:開放源碼社群會否因中國人人多勢眾,而最終好像維基百科中文版一樣,被一些特定立場的人,甚至傾向中國政府的人劫持?
李建軍:開放源碼社群是比較難被劫持的,因為始終程式碼有否有保安問題,並不能夠單憑投票就可以作出決定,不像維基百科,只要你夠人多,就可以霸佔大量不同的監管職位,甚至將個 別條目,以知名度不足等等奇怪理由刪除。在開放源碼群體,只要你提供的程式碼有保安疑慮 ,其他人就可以視作臭蟲(Bug,即程式錯誤)來修改或拒絕採納相關的程式碼。中國當局要派公司和人去劫持開放源碼社群,並非易事。
只不過,中國當局肯定會持續派出不同的人以及公司,向開放源碼群體「貢獻」有問題的程式碼,社群有可能需要長期在警戒狀態,防止有問題的代碼最終成功混入,影響安全。特別像華為、聯想一類公司都屬於國際級大公司,亦持有不同的技術專利,你很難阻止他們主動向社群貢獻程式碼。因此,開放源碼社群中的各路技術專家,他們其實在國際上十分重要,因為沒有他們為程式碼把關,以現時世界各地的公司以至個人對Linux作業系統,以至Android的依賴程度,如果有木馬或後門混入其中,後果不堪設想。因此,這次華為懷疑向開放源碼群體提供有可能有後門的程式碼,其實是一次不容忽略的事件,也是一次重大的警告。
0:00 / 0:00