#科技快訊
小米稍早發出新聞稿,表示注意到近期由立陶宛資訊安全主管部門(NCSC)發佈之「具有 5G 功能手機的資訊安全評估」報告,非常嚴肅地對待該報告中的指控;儘管對報告中部份結論持不同意見,正與獨立的第三方機構與專家接觸,以評估報告中的觀點;小米對裝置的完整性,以及業務執行的合規性有信心,並相信第三方機構會向我們的用戶和合作夥伴證明這一點。
除此之外,小米回應該報告中提到的兩個主要懷疑:
一、 所謂的審查
小米的設備不會限制或過濾使用者接到或發出的任何訊息;小米從來沒有,將來也不會限制或遮蔽我們手機用戶的任何個人行為,例如搜尋、打電話、瀏覽網頁或使用第三方廠商通訊軟體。NCSC 的報告並沒有指控小米這麼做。
該報告中說明是小米對廣告管理軟體的使用,該軟體以很受限的能力來管理,透過小米自有 APP(例如小米影片和小米流覽器等)推送到小米手機上的付費廣告,以保護使用者免受令人不快的內容的影響,比如色情、暴力、仇恨言論、以及可能冒犯當地使用者的資訊。這一做法在智慧型手機與互聯網行業相當普遍。
小米不時檢視廣告管理系統政策,來確保它們滿足用戶的需求和期待。
小米致力於在所有司法管轄區都以負責任的、透明的方式運營。我們致力於持續的改進和創新,並希望積極與用戶、監管方和利益各方交流。
二、 資料處理和資料傳輸
該報告也錯誤地傳遞了關於小米資料管理方面的資;事實上,小米完全符合 GDPR 的所有要求,包括對終端使用者資料的提交、處理和傳輸。小米在所有系統、應用程式和服務上做到了合於規範,對個人資料的任何使用均獲得了最終用戶的有效同意,並始終符合歐盟及其成員國的地方法律法規。
小米的營運符合 ISO / IEC 27001 資訊安全管理標準和 ISO / IEC 27701 隱私資訊管理體系的要求;從 2016 年起,小米也收到了 TrustArc 每年一次的企業隱私安全認證,這些保證了小米為終端使用者提供最大限度的隱私安全保護。
小米強調用戶隱私安全是奮鬥方向,會以最高標準營運並遵守一切本地和區域的法律規定。
更多科技報導在 滔科技
#小米
同時也有1部Youtube影片,追蹤數超過1,470的網紅蕭美琴立委辦公室,也在其Youtube影片中提到,口頭質詢─ ▶在這次國安高層會議結論,決議於行政院成立一個食品安全辦公室。本席原則上同意需要一個跨部會的協調機制,但參考過去行政院成立過的資通安全辦公室、國土安全辦公室、反恐辦公室等,每個預算都不多,能發揮的作用有限。未來食安辦公室能發揮多少作用,本席非常擔心。本席請教國安局長有關資訊安全問題,過去...
「資訊安全 結論」的推薦目錄:
- 關於資訊安全 結論 在 Tnn滔新聞 Facebook 的最佳貼文
- 關於資訊安全 結論 在 滔科技 Facebook 的最佳貼文
- 關於資訊安全 結論 在 Facebook 的精選貼文
- 關於資訊安全 結論 在 蕭美琴立委辦公室 Youtube 的最佳解答
- 關於資訊安全 結論 在 網路安全文章、資訊安全作文在PTT/mobile01評價與討論 的評價
- 關於資訊安全 結論 在 網路安全文章、資訊安全作文在PTT/mobile01評價與討論 的評價
- 關於資訊安全 結論 在 資訊安全威脅與防護(章節字幕版) - YouTube 的評價
- 關於資訊安全 結論 在 Facebook個人帳號密碼被駭!?你該怎麼做?資訊安全心得分享 的評價
資訊安全 結論 在 滔科技 Facebook 的最佳貼文
小米稍早發出新聞稿,表示注意到近期由立陶宛資訊安全主管部門(NCSC)發佈之「具有 5G 功能手機的資訊安全評估」報告,非常嚴肅地對待該報告中的指控;儘管對報告中部份結論持不同意見,正與獨立的第三方機構與專家接觸,以評估報告中的觀點;小米對裝置的完整性,以及業務執行的合規性有信心,並相信第三方機構會向我們的用戶和合作夥伴證明這一點。
除此之外,小米回應該報告中提到的兩個主要懷疑:
一、 所謂的審查
小米的設備不會限制或過濾使用者接到或發出的任何訊息;小米從來沒有,將來也不會限制或遮蔽我們手機用戶的任何個人行為,例如搜尋、打電話、瀏覽網頁或使用第三方廠商通訊軟體。NCSC 的報告並沒有指控小米這麼做。
該報告中說明是小米對廣告管理軟體的使用,該軟體以很受限的能力來管理,透過小米自有 APP(例如小米影片和小米流覽器等)推送到小米手機上的付費廣告,以保護使用者免受令人不快的內容的影響,比如色情、暴力、仇恨言論、以及可能冒犯當地使用者的資訊。這一做法在智慧型手機與互聯網行業相當普遍。
小米不時檢視廣告管理系統政策,來確保它們滿足用戶的需求和期待。
小米致力於在所有司法管轄區都以負責任的、透明的方式運營。我們致力於持續的改進和創新,並希望積極與用戶、監管方和利益各方交流。
二、 資料處理和資料傳輸
該報告也錯誤地傳遞了關於小米資料管理方面的資;事實上,小米完全符合 GDPR 的所有要求,包括對終端使用者資料的提交、處理和傳輸。小米在所有系統、應用程式和服務上做到了合於規範,對個人資料的任何使用均獲得了最終用戶的有效同意,並始終符合歐盟及其成員國的地方法律法規。
小米的營運符合 ISO / IEC 27001 資訊安全管理標準和 ISO / IEC 27701 隱私資訊管理體系的要求;從 2016 年起,小米也收到了 TrustArc 每年一次的企業隱私安全認證,這些保證了小米為終端使用者提供最大限度的隱私安全保護。
小米強調用戶隱私安全是奮鬥方向,會以最高標準營運並遵守一切本地和區域的法律規定。
小米台灣 Xiaomi Taiwan
資訊安全 結論 在 Facebook 的精選貼文
從 ProtonMail 事件,再談私隱與隱身
文:薯伯伯
最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件,事緣一名法國社運人士被法國警方調查,法國警方透過歐洲刑警與瑞士警方交涉,瑞士警方向瑞士法院申請命令,要求 ProtonMail 監察涉事法國社運人士的 IP 地址,ProtonMail 如令執行。在法國警方提交給當地法庭的文件顯示,顯示了涉事者的 IP 地址。
這件事引起牽然大波的原因,是因為 ProtonMail 一直標榜安全及尊重私隱,而大多數用戶是真誠地相信該公司維持「零記錄政策」(no log policy),但 ProtonMail 的公司事後指出,在一般的情況下不會記錄用戶 IP,只有在收到瑞士法院的要求,才會開始記錄用戶的 IP 地址。
這件事引起不少香港人的關注及擔憂,我認為是好事,這顯示不少香港人早已脫離資安無明無知之心。正是因為了解資安對自己的重要,才會因資安事件而心生恐懼,從而作出相應的行動及策略,這是非常重大的進步。
我之前一直沒有評論 ProtonMail 事件,並非沒有看法,而是不願倉猝下結論,寧願多花一點時間去了解情況,以及等待各方回應,再給讀者建議。
我先說一下我的結論,然後再討論當中的細節及分析理據。
一,我的結論
我依然認為 Proton Technologies 是可靠的公司,而我仍然使用這家公司的 ProtonMail 及 ProtonVPN 作為自己最主要的電郵及 VPN 服務供應商。
(注:我以前多次介紹 ProtonMail 及 ProtonMail,每一次介紹都是用普通的連結,而非介紹人 referral 連結。讀者看完我的文章而選用該兩個服務,對我完全沒有利益,而我使用 ProtonMail 及 ProtonVPN 時,也是自己付費,沒有任何形式的贊助。)
二,不同場景
這宗案件最太的爭議,是當 Proton Technologies 公司收到瑞士法院的命令時,同意開始記錄客戶的 IP 地址。我們用五個不同的情況去逐一分析,當位於瑞士的 Proton 收到不同司法管轄區發出的法庭命令後,會如何應對。
Proton 公司主要有兩個服務,一是電郵,另一個是 VPN。目前涉事的是電郵的服務,但我也會討論一下他們對 VPN 的可能處理手法。
Case 1:在完全沒有法庭命令的情況下,ProtonMail 及 ProtonVPN 均不會記錄客戶的 IP 地址。但要留意這是不為,而非不能,也就是說在一般情況下,Proton 並不會記錄 ProtonMail 及 ProtonVPN 用戶的 IP 地址,但他們是有能力這樣做,只是在沒有命令的情況下,他們不會這樣做。
Case 2:假如瑞士警方拿到日內瓦州法院或瑞士聯邦最高法院的法院命令,由於 Proton 的註冊地是瑞士,法院的命令足以迫使 Proton 開始記錄 ProtonMail 的用戶 IP 地址。
Case 3:承上,值得留意的是,即使有日內瓦州法院或瑞士聯邦最高法院的法院命令,但該規定不能針對 VPN 供應商,也就是瑞士註冊的 VPN 供應商,在任何情況下也沒有法律責任去記錄客戶的 IP,而 Proton 對其 VPN 用戶,是一直保護他們原來的 IP,目前沒有向第三方交出過相關數據。這次上了新聞的人,是使用 ProtonMail 電郵用家戶,而該用戶沒有使用 VPN 連接郵件服務。
Case 4:當美國警方透過美國法院發出命令,要求位於瑞士的公司交出客戶資料,就必須要得到日內瓦州法院或瑞士聯邦最高法院的批準。而 Proton 不能單方面與美國的 FISA 法庭(外國情報監視法庭)合作,否則即屬違反瑞士法律。
Case 5:即使有瑞士法院的命令,ProtonMail 也只能記錄客戶的 IP 地址,而不能突破其 AES-256 加密,亦不能查看到客戶的電郵的主體文本內容,但要注意的是,電郵的 metadata,包括發送人的電郵地址、電郵主題,則不屬加密的部份。
Case 6:歐盟區內的法院向瑞士法院提出申請,獲批的機會較大。
Case 7:極權國家向瑞士法院提出批出命令,獲批的機會較小。
三,討論
當 ProtonMail 配合瑞士法院命令,記錄並交出法國社運人士的 IP 地址,有不少人來信,想我建議一些「更為安全」的電郵服務。但任何公司均會受其註冊地的司法管轄,例如另一間著名的安全郵箱服務供應商是 Tutanota,註冊地是德國,同樣會受德國法律規管。
承接 Case 3 的情況,如果用戶在連接 ProtonMail 服務時,有同時使用 ProtonVPN,即使瑞士法院同時向兩間公司發出命令要求記錄客戶 IP,但由於相關規定只適用於 Mail,而不能套用在 VPN 上,所以 Mail 要記錄 IP,但 VPN 則不會記錄,最終也就是無法得知使用者的 IP。
ProtonMail 本身亦有提供 TOR 版本的 ProtonMail(https://protonmail.com/tor),那就是連技術上也難以記錄用戶 IP 地址。
四,私隱與匿名
我發覺不少用戶混淆了私隱與匿名的概念,兩者看似相關,在實際執行時卻是兩個完全不同的事物。坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法。要做到完全不留任何個人痕迹的「隱身」,不只牽涉極度複雜的操作,加上淵博的學識,還有非常考驗耐力及堅忍力。
舉個例子,有人頻密更換電話卡,以為使用「太空卡」就能隱藏自己身份,但卻把多張「太空卡」輪流放入同一部手提電話使用,當中也包括與自己有關連的電話卡,那麼其他電話卡就不算是匿名了。又或者用家本身很小心,把不同的太空卡放在不同手機,卻經常把太空機與自己常用的手機同時打開,出雙入對,那也做不到真正的匿名。
我曾經聽過有人跟我說買了「太空卡」,追問之下才知對方居然認為使用「沒有個人登記的八達通購買自由鳥」就當是「太空卡」,我就覺得非常不安。
我撰寫的資安文章,一直強調的是私隱,而非隱身。隱身是極為複雜的操作,對於大部份讀者而言,必須覺察自己不能輕易隱身的技術現實。有關隱身的討論,請參看:〈零基資安訓練營(九):如果要完全隱藏網上身份〉
https://www.patreon.com/posts/38185283
五,防患
使用網上服務時,必須清楚明瞭自己的需要以及其服務的限制。以 ProtonMail 的為例,分三種情況去講:
A. 電郵內容文本:如果電郵用家只是想把電郵文本的內容加密,使用 ProtonMail 很合適。
B. 隱藏 IP:如果電郵用家想隱藏自己的 IP,每次連接 ProtonMail 時就應該使用 ProtonVPN,又或是使用 TOR 的登入點,但可能還是有其他蛛絲馬跡能查看到當時人的真實身份。
C. 電郵標題:這項資料未能加密,敏感資料不應寫在電郵標題。
六,尾聲
如果是要防止電郵內容被偷窺,收件及寄件雙方均使用 ProtonMail 是很合適的做法。以涉事法國社運人士的情況來看,ProtonMail 提供了其 IP 地址,卻沒有(亦不能)提交其加密的電郵文本內容。
收尾再重申我的結論:我目前仍然認為 ProtonMail 是安全的電郵供應商,而我的電郵地址上就是自己的名字,我清楚知道自己要求的是電郵文本內容加密,而非隱藏自己的身份。
如果要保持高度匿名,那就要使用 TOR、VPN,上網地點也要非常講究,必須經常轉換上網地點,像斯諾登在發佈 NSA 大規模監控公民的消息時,就是開車去搜尋 Wi-Fi 訊號,每次上網十多分鐘就要停下來。
ProtonMail 事件引起多人關注,而從不少讀者及朋友的反應來看,不只是關注,更引起不安。我很樂見這種不安,我相信這種不安其實是好事,這代表大眾更為注重資訊保安,早已脫離盲目相信安全無事的時代。不過在注意安全的同時,更要明白自己想保護的是甚麼類型的數據。遠離無知,保持警惕,但不過度恐慌,才能更掌握人民的科技優勢。
🔑 【超務實長清單整理:Do not make it easy!(2021年9月更新)】 https://www.patreon.com/posts/55578887
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
資訊安全 結論 在 蕭美琴立委辦公室 Youtube 的最佳解答
口頭質詢─
▶在這次國安高層會議結論,決議於行政院成立一個食品安全辦公室。本席原則上同意需要一個跨部會的協調機制,但參考過去行政院成立過的資通安全辦公室、國土安全辦公室、反恐辦公室等,每個預算都不多,能發揮的作用有限。未來食安辦公室能發揮多少作用,本席非常擔心。本席請教國安局長有關資訊安全問題,過去資通安全辦公室相關會議,國安局多久參加一次?國土安全會議多久舉行一次?參加人員層級為何?
國安局局長李翔宙:有關資通安全辦公室每兩月有一次高層幹部協調會。國土安全辦公室會議時間為不定期,參加人員為副處長率組長參加。
▶過去國安局蒐集許多與業務無關之資訊,本席問國安局有無蒐集食安相關資料?
國安局局長李翔宙:國安局有蒐集,食安問題有轉知衛福部。
▶可見現今國安單位的意見往往不被有關單位重視,本席非反對成立跨部會協調功能之食安辦公室,而是擔心該辦公室要如何運作、會議決策能否落實。過去經驗顯然沒有發揮應有功能,國安單位發現了問題,意見卻沒有被有關單位重視。
國安局局長李翔宙:國安局會盡力把相關機制建立完整。
▶近日農委會釋出未來不排除引進農業外勞,甚至包含中國勞工,本席想了解農委會事前有無徵詢國安局的意見?國安局的態度是甚麼?當前農村面對很多面向的問題,不是輸入廉價勞工就能解決,尤其是輸入有國安疑慮的中國籍勞工。
國安局局長李翔宙:農委會沒有徵詢國安局的意見。目前農委會是要先提出完整研討報告後,我們國安單位才會提出意見。
▶ 農委會一案原來預定明年一月就要上路,經各方質疑才可能延宕。現在已經十月,國安單位竟仍尚未被徵詢與提供意見,難道對於農村政策、中國勞工入台等問題都不擔心?本席固然知道國安局只是整個審查機制的一環,但這凸顯了大問題,就是國安單位的意見已經受到忽略。
資訊安全 結論 在 網路安全文章、資訊安全作文在PTT/mobile01評價與討論 的推薦與評價
在資訊安全結論這個討論中,有超過5篇Ptt貼文,作者chandler0227也提到: 車評不敢說的秘密實車拆解最新GOLF 8代全新車就生鏽還變相漲價?|實車拆解| : 新車購買全 ... ... <看更多>
資訊安全 結論 在 資訊安全威脅與防護(章節字幕版) - YouTube 的推薦與評價
00:00 開始06:10 今日的網路安全14:41 資安 概念/木桶原理22:04 資訊安全 三要素34:57 國外 資訊安全 事件與趨勢51:54 2016:一銀盜領案53:09 資訊安全 威脅 ... ... <看更多>
資訊安全 結論 在 網路安全文章、資訊安全作文在PTT/mobile01評價與討論 的推薦與評價
在資訊安全結論這個討論中,有超過5篇Ptt貼文,作者chandler0227也提到: 車評不敢說的秘密實車拆解最新GOLF 8代全新車就生鏽還變相漲價?|實車拆解| : 新車購買全 ... ... <看更多>