前幾天,台灣事實查核中心抓了一條資安新聞的錯誤;但在其錯誤調查報告中,也有一些錯誤存在。
【部分錯誤】媒體報導「德媒:華為沒發現後門,在美國思科卻發現了10個」、「德媒:思科比華為更不安全」?
媒體報導「德媒:華為沒發現後門,在美國思科身上發現了10個」、「德媒:思科比華為更不安全」,經查:…
tfc-taiwan.org.tw
媒體報導「德媒:華為沒發現後門,在美國思科身上發現了10個」、「德媒:思科比華為更不安全」,經查:…
tfc-taiwan.org.tw
摘要一下這篇查核報告的主文:
【部分錯誤⚠】媒體報導「德媒:華為沒發現後門,在美國思科卻發現了10個」?
媒體報導「德媒:華為沒發現後門,在美國思科身上發現了10個」、「德媒:思科比華為更不安全」,經查:
📍一、台灣外電和內容農場係引述德國《每日鏡報》評論,原文提及英國、德國與歐盟等調查,未發現華為有後門設置,而美國思科(Cisco)從2013年起被發現十起安全性漏洞(Security breach)。
📍二、「安全性漏洞」與「後門」(Backdoor)定義與嚴重性不同,思科被發現「安全性漏洞」,不等於被發現「後門」。報導指稱思科有十起「後門」事件,並不準確。
📍三、原文提及,華為與思科皆有資安漏洞的問題,但未進一步比較思科與華為的安全程度。報導指稱「思科比華為更不安全」,與原文文意不相符。
因此,此報導為「部分錯誤」。
在調查報告中,Security breach 翻成「安全性漏洞」;然而這樣的翻譯是有問題的。
名詞釋疑:「漏洞」和「駭侵」不一樣
單純的資安漏洞,在資安界通常是用 vulnerability 這個字;如果用到 breach 就很嚴重了,這表示攻擊行為已經發生了,這是「駭侵」,程度上有所不同。
所以,德文的原文到底是說思科 2013 年以來被發現十個「資安漏洞」,還是「發生十次駭侵事件」?這個可能也要先弄清楚。
Die Europäer sollten Trump nicht blind folgen
Donald Trump hat mit seinem neuesten Schachzug chinesische Mobilfunk-Ausrüster wie Huawei und ZTE de facto vom…
www.tagesspiegel.de
Donald Trump hat mit seinem neuesten Schachzug chinesische Mobilfunk-Ausrüster wie Huawei und ZTE de facto vom…
www.tagesspiegel.de
我用看了原文,以我的破德文程度,當然還是得靠 Google 翻譯;其中的關鍵字「Sicherheitslücken」,用 Google 翻譯得到的結果,是「漏洞」;但如果照這個翻譯,邏輯上就會怪怪的。
為什麼怪?因為一家科技公司,六年來如果只被發現十個資安漏洞,這其實是非常了不起的資安成就;一般的狀況,比較可能是一個月就被發現十個漏洞才對。
大家可以看看下面兩張圖,上圖是思科近年來被提報的資安漏洞數量,下圖是華為的,就知道漏洞真的多到不行。
作者註:大家看這兩張表,可能會以為華為的資安漏洞數量比思科少很多;但不能這樣解讀:首先,思科的產品款式比華為多了近三倍,漏洞比較多是合理的,而且這裡列出的都是已知且被公開提報的漏洞數量,未被發現或未曾公開的漏洞,是不會列在此處的。
另外,資安漏洞也有分等級:大多數的漏洞不見得會造成嚴重危機,有少數漏洞卻可能造成極嚴重的資安風險,所以也不能直接比數量。
所以德國媒體的意思,我認為應該是指「思科六年來發生了十次駭侵事件」,這才夠嚴重到足以去跟華為的後門相比。
單純比數量的話,駭侵事件的數量也比漏洞要少。很多資安單位會提報他們發現的漏洞,在漏洞資料庫上都可以查到,數量真的很多;但真正發生駭侵事件且被公開的數量,相比之下就少得多,因為很多駭侵事件是偵測不到或未被公開的。
我不知道台灣事實查核中心的人,有沒有去諮詢過同時懂德文和資安的專家;但至少應該要去問一下懂資安的人。台灣有很多資安方面的高手,可以去問他們的意見。
總之,漏洞和駭侵行為是不同層次的概念,這點必須要搞清楚。