關於新竹市數位身分證的試辧以及賞金獵人
即使宣布明年1月1日就開始進行試辦,一直沒有看到新竹市試辦數位身分證的計劃書。理論上,試辦就是要讓人家攻擊呀!
賞金獵人的部分,有看到新聞說是要用邀請的,要邀請哪些團隊去做什麼事?不是希望全世界的駭客都能夠來參與這個活動?還是攻擊的人也是內政部自己邀請來的?好像唐鳯要負責這個計劃,我只要問一個問題,是玩真的,還是玩假的?跟真實的狀況相距有多遠?
如果要玩真的,我想問一下內政部和新竹市政府,試辦應該有真正的系統吧,不會跟我以前在國家高速網路中心擔任資安長做的那些沒有應用系統的資訊安全競賽一樣吧?那是為了資訊安全教育使用,真正要實際運用系統不應該用這種遊戲的態度吧?真實的世界題目並不是防守這一方來設計的!
那連接這個系統上的所有機器,包括讀卡機、網路設備、無線基地台、電腦、伺服器、資料庫、印表機、監視器所有的網通以及周邊設備是真正在使用的嗎?
攻擊中間的路由器有沒有違法?攻擊周邊相關的設備和系統有沒有違法?最好新竹市市政府採購的所有設備都符合資訊安全處的規定,敏感的設備沒有中國製的設備!
新竹市政府有沒有想過,駭客要攻擊新竹市裡面一個系統,不會只針對這個系統,而是周圍可能成為跳板的都是對象,所謂聯網之所在、弱點之所在,這樣才比較類似真實的狀況!
問題是新竹市政府受得了嗎?到時候攻擊新竹市的相關的資通訊系統有違法嗎?
新竹市是不是歡迎大家來攻擊?
原文出處 李忠憲