#風雲詭譎情報戰
台灣位處第一島鏈重要戰略位置,中國為了成為區域霸權,突破第一島鏈一直是其野心,台灣和南海、東海其他更小島嶼,就是中國侵略目標。而為了避免此區域最大強權美國阻止中國的侵略行為,進入21世紀後,中國逐步建構「區域阻絕/反介入(Anti-access/Area-denial,A2/AD)」力量。機艦穿出第一島鏈,打擊美國特混艦隊,甚至對美軍第二/第三島鏈基地進行突襲,癱瘓美國在第一時間介入的力量,是中國要奪取第一島鏈領土所必須獲得的戰略投射能力。
除了三不五時的共機、艦艇遊走,更多的是滲入台灣的問題。我們看到近幾年,中國的千人計畫,背後目的是取得國際先進技術,連NASA都傳出華裔研究員疑似涉入此計畫而遭到指控,甚至還有中情局港裔前幹員為中國竊密被捕。今天早上,也傳出台灣前陣子不明種子、土壤包裹,包裹的轉寄申請帳號,和涉入共諜案的國會前助理同名同姓,疑似可能是同一人。
台灣身為抗中最前線,中國侵略的首要目標,一直都是情報戰的主戰場之一。大家都聽過以前有「小心共諜就在你身邊」的口號,很多人覺得這年代已經離我們很遠,但其實中國竊取情報的行動從來沒有停止。
近來國防部六軍團、八軍團先後發生軍士官洩密未遂案件,國軍保密問題再次受到注目。近期六軍團542旅1名戰車士官,因意圖兜售軍事情資,遭軍方、檢調攔截、法辦,但隨後又發現1名陸軍八軍團中校情報官,竟於漢光演習期間,用未插SIM卡的智慧型手機盜攝訓練計畫等情資,還裝箱郵寄,所幸被攔截成功。
這兩案雖然都成功攔截,也進入司法程序,但也不免擔憂,我們的政府、國軍與社會大眾,對於這類反滲透、反諜報的意識是否確實,以及未來會不會再有繼續發生這類事件的可能性。
#中國持續用各種方式試探我們
共機持續擾台,就是一個範例,除了共軍自身操練需求外,也為了蒐集確認我空軍反應速度等資訊,並從中持續策反相關人員,以獲取戰略資訊。
目前辦公室聯繫後,了解國防部已進行一連串宣導教育,如:
1.說明智慧型手機、隨身儲存裝置的使用範疇
2.宣導提醒應多留意、多觀察,落實查察「誰在破壞國家安全」,也期望官兵皆能養成良好保密習性,建立一支真正能「打勝仗」的軍隊。
3.養成保密觀念,熟記並謹守法規,將保密習性落實於日常工作中。
而國軍洩密,通常可分為:
1.不經意的洩密:要防止不經意的洩密,需要提高保密警覺意識
2.有意的洩密:防止有意的洩密行為,需要建立防護網,並且從根本讓國軍了解為何而戰、為誰而戰、強化使命感
#重新檢討管理SOP與增加門檻
我建議面對此類狀況,可思考:
1.管制裝置:國軍目前需安裝MDM(Mobile Device Managemnt),是國軍和中科院合作的管制程式,國軍進入營區後,即不可開啟手機的GPS、藍芽、無線熱點、相機,這個軟體也會記錄使用手機的時間,並記錄是否開啟不能開的功能,若開啟不當開啟的功能,手機會直接上鎖,要送回資安中心才可解鎖。進入管制營區時,手機若未上鎖,手機將顯示紅色畫面,必須打開程式並上鎖,就會呈現綠色畫面,方便查驗。
而目前洩密未遂案件中,涉案人員則是偷偷攜帶未裝MDM、未插SIM卡的手機進行拍照。所幸在洩密前就被攔截成功。那對於此類狀況,該怎麼在不過度侵犯個人權利範圍內,管制攜帶的裝置,會是國軍在管理上面臨的問題。
除了重新檢討裝置管制的SOP之外,加強國軍的向心力,人員對於周遭的敏感性,也很重要。百密總有一疏,而漏洞在壞的時候,就是人捅出來的,但在好的時候,就會有人補位避免憾事。我們常在網路社群上看到,基層士兵對管理階層不夠以身作則的抱怨,所謂帶人須先帶心,這點在哪個職業都是如此,我們也希望基層和管理階層之間的溝通、交流能更順暢,而不是礙於階級而有所窒礙。
2.增加防制門檻、嚴格管制接觸層級:營區有必要重新檢視、設計分區的層級管制。對於機敏資料,必須權責相符。機敏資料通常有幾個存放方法,書面、實體、電子資料。對於此類存放區域,需要重新檢討能接觸的人員、流程、存放區域。對於區域我們需要增加防治門檻,比如出入區域的人員記錄管控,出入人員攜帶裝置的再檢查,而對於能接觸資料的人員,也需要依資料敏感度再次分層,特別是在3C設備上的電子資料,對於能接觸的人員分層分流,需要更嚴格的管制而對於電子資料,可添加可追蹤性資訊、添加雜訊、增加修正頻率,也是增加門檻的手段。
此外,對於前案能攔截外洩,主要是在於可疑對象的列管,這點我們予以肯定,並需持續更嚴密的追查,針對洩密涉案人員被接觸的模式、人際關係,追查是否還有遺漏的可疑對象。
#勿枉勿縱但也不污衊多數忠誠的國軍
但仍要提醒大家,不要因為少數的害群之馬,就群起撻伐國軍,有更多的是全心守護台灣的官兵,也請大家持續給他們鼓勵,發生這類事情,國軍往往比民眾更難過,別讓他們灰心喪志。守護台灣,不只是國軍的責任,我們人人有責!
中科院mdm 在 [哈拉] 國軍手機MDM使用與常見問題分析說明- 看板Militarylife 的推薦與評價
各位學長姐好,先前本人曾於受訓心得文中提及曾協助隊上弟兄安裝MDM
主要利用的是本人的資工專長(有選修Android相關課程)達成任務
也因此,本人也對整個MDM系統的機制有所深入瞭解與研究
自然而然的也想在此分享給各位,希望可以解決大家長久以來的疑惑!
◎本文已經儘量避免可能含有軍機之成分,但如有所遺漏,還請告知!
◎本文不提倡,亦不會說明如何破解MDM,此為非法行為且可能造成裝置無法使用!
======================================================================
前言
智慧型手機具有多種功能,包含攝影、通訊傳輸及定位等,可能會對國防機密造成影響,
故中科院開發了「手機MDM」,並規定國軍全體凡持用智慧型手機者皆須安裝。該程式在
營區內必須開啟且上鎖,並會限制手機相機、定位及無線資料傳輸(電信網路除外)的使
用。
不過事實上,「MDM」並非國軍首創的名詞,而是「行動裝置管理(Mobile Device
Management)」的縮寫,其為一個被企業界廣泛應用的技術。本文將會說明國軍MDM的使
用及原理,並大致解答一些可能會遇到的問題,期能解除疑惑及誤解。
一、使用方式
版本限制
iOS無特殊限制,Android需要5以上方可使用;
另,Android需要先登出全部的帳號(可至設定內查看)
安裝
iOS:
需要連結到指定的無線網路下載描述檔並安裝
搭配打包成ipa的軟體本體使用
Android:
安裝時需要以USB線連接到電腦
並透過電腦上的工具程式推送apk檔案進入手機
再連線到指定的無線網路進行認證即可使用
解鎖/上鎖
至營區外時,可點選主介面的「解鎖」
並選擇「快速」或「僅GPS」,稍待畫面變為紅色即可解開鎖定的功能
回到營區前,點選主介面的「上鎖」
確認後螢幕變為綠色,即可進入營區
(iOS裝置另需另外手動套用描述檔)
解除安裝
點選「功能選單」→「解除MDM」,確認後會顯示一組代碼
將代碼輸入至裝有MDM管理系統之電腦,可取得對應的解鎖碼
輸入至手機後即自動解開程式並帶出解除安裝畫面
二、程式原理
※因原文作者並非使用iOS,故以下內容將以Android版本的MDM為主
※考慮到可能有機密技術內容,部分內容酌予刪除
國軍MDM並非是以暴力手段強制卸除或阻擋手機之各式功能使用
而是透過Android的企業級功能來實作的
這可以將MDM程式本身設定成一個裝置的擁有者
手機就變成相當於企業配發的裝置
因此,手機內的所有功能皆會受到這個程式的管理
此一猜想可以透過被安裝MDM的手機上
狀態列會顯示「裝置是由貴機構所管理」來得到驗證
由於此企業級功能是在Android 5以上才有提供
故MDM只提供Android 5以上的手機使用
且根據Android官方文件,在設定此企業級功能前
手機內不能有其他已經登入的帳號,所以才會要求必須先登出所有的帳號
三、常見問題
安裝
使用傳輸線連結到電腦了,但手機抓不到
很可能是因為使用的手機傳輸線並非具有完整的傳輸資料功能
(部分廉價線材僅有電力傳送功能(只提供2條線路)
但USB線路有4條)
建議使用原廠線或可以傳輸資料的線材
安裝時電腦的工具程式出現了錯誤訊息「Not allowed to set the device owner
because there are already some accounts on the device」
手機內還有帳號沒有登出,所以無法設定MDM;
請再次檢查是否有帳號沒有登出之外
也可嘗試先解除安裝造成問題的app
(造成問題的app也會顯示在錯誤訊息或紀錄檔中
並以安裝包名稱的形式呈現,例如:com.facebook.orca
(此為臉書app的安裝包名稱))
安裝後第一次開啟MDM app卻閃退
用來線刷的apk版本有時可能過舊,導致會直接閃退
此時可在連結認證用Wifi後,打開手機瀏覽器連結192.168.2.2
依照網頁指示下載apk覆蓋安裝即可
(Android 7以上較有此問題,推測是開發使用的API版本較老造成)
使用
按了「快速解鎖」,卻一直判定為「營區邊界,改為上鎖」
由於定位功能可能會快取最後一次定位的位置
而最後一次定位的位置通常剛好是營區附近
如果快速解鎖一直誤判,可改用「僅GPS」來強制系統重新抓取位置
安裝MDM後,我可以進行系統軟體更新(OTA)/App更新嗎?
如果是指一般的App更新,不論是否為上鎖狀態都可更新;
若為系統軟體更新,為了避免系統設定值被打亂
建議於解鎖狀態下再行更新
隱私權
MDM好像很耗電但又不給關閉?
由於MDM被設為權限凌駕於使用者之上,故使用者不能隨意關閉
(包含強制停止或解除安裝皆然)
但根據測試,將手機設定為靜音、螢幕關閉、行動網路保持開啟下
讓MDM常駐,1天內約消耗10%電量(手機為Asus ZenFone 5 ZE620KL)
不過,目前已知某些功能可以成功阻擋MDM於開機時執行
進而讓MDM不常駐於系統(如Asus手機內建的自啟動管理)
但即使MDM沒有開啟,電量消耗亦相去不遠,故請放心使用
※MDM未常駐時,受限制的功能依然會保持鎖定,敬請安心
MDM會監控我平時的行為嗎?
根據對App本身的剖析,MDM雖有使用鏡頭的權限
但並無證據顯示會隨時錄影錄音等
其權限應僅作為鎖定功能時使用,敬請放心
另,雖App本身有上傳資料的功能
但是也必須要由使用者點選才會啟用
MDM解除安裝後,會殘留東西讓手機故障無法使用?
就技術層面而言,MDM僅僅是使用Android內建的功能
故理論上不會損壞任何的軟硬體,請勿聽信不明來源之謠言
=============================================================
以上內容提供各位參考(尤其是即將入營的學弟妹),有問題也歡迎提出!
而以上當然不是本文的全部內容,如果想要更知道本文完整內容
則請附上適當證明站內信來,將會提供完整文章連結
最後預祝大家的手機都能平安度過在營區內的日子!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.2.69 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Militarylife/M.1574532093.A.C7F.html
實際上,Root的權限更凌駕於MDM所使用的企業級功能之上
(權限等級:Root > 裝置管理者 > 使用者)
所以MDM在Root過的手機上會無法使用正是這個原因
(因為已經有人權限比他大,而這通常不應該發生(Root本身被許多廠商視為破保))
但如果是以企業觀點來說,確實就是管理者=營區電腦
(或者你要說中科院也行,畢竟這App是他們弄的)
可看本人先前的文章,簡單來說就是被幹部發現是好用的工具人所以就(ry
※ 編輯: jh961202 (1.160.2.69 臺灣), 11/24/2019 22:07:11
三星的KNOX也是特例之一,這玩意算是三星自家弄出的一個架構
主要是防止惡意程式,所以可能有動用到類似企業級功能的東西
因此會和MDM使用的機制衝突或許也是意料之中
因為重置手機後會把所有設定值清除,當然包含企業級的設定值
所以還是要交給他們重新安裝(尤其必須要經過認證才能啟動最主要的上鎖功能)
由於設定MDM權限必須動用到USB除錯的功能,所以非得走線刷
因此如果USB不能用,可能就必須換一隻手機囉
※ 編輯: jh961202 (1.163.28.4 臺灣), 12/15/2019 22:34:35
... <看更多>
相關內容