智財局封網法案:勞民傷財,無成效還會禍及無辜

智財局封網法案:勞民傷財,無成效還會禍及無辜

阻斷服務攻擊 (Denial-of-service attack) 是常見的攻擊手法,前一陣子台灣與菲律賓之間的駭客大戰,很多網友在短時間內大量開啟特定網頁阻斷服務,很有趣的是,台灣近日吵得沸沸揚揚的事件,智財局打算以保護著作權的名義推出封鎖境外網站法案,就安全技術的角度來看,這是讓著作權擁有者可以合法的使用阻斷服務攻擊去攻擊境外的侵權網站,使國內使用者無法接觸該網站裡的資訊,主要方法是命令 ISP 進行封鎖,有物報導周欽華律師的文章 智財局擬修法封鎖境外侵權網站:違憲、危險、愚蠢 已經從法律人的角度說明此法案的問題所在,然而身為資訊安全的研究者,更讓我在意的是這樣的攻擊手法是否有效,以及有沒有可能濫傷無辜和帶來什麼負面影響。

攻擊手法的方案

附錄一  封鎖技術簡介

封鎖技術 說明 封鎖方式 優劣分析
IP 位址(Internet Protocol Address)封鎖 IP 位址:類似家中電話號碼,指示網站在網路上是附著在哪一個硬體上,例如xx.xxx.x.xx。 ISP 將特定 IP 位址列為黑名單,使網路流量不流經該處。 執行簡易,但破解也很簡單。網站只要搬到新的伺服器,即可取得新的 IP 位址。
網域名稱(Domain Name System, DNS)封鎖 網域名稱:如 www.tipo.gov.twISP 的 DNS 功能就是將網域名稱導向特定IP位址。 ISP 告訴使用者,某網域名稱不存在,或將使用者導向另一個網頁並說明該網域名稱已被封鎖及其被封鎖的原因。 使用者只要能夠輸入網站的 IP 位址取代輸入網域名稱,即可破解 DNS 封鎖。
網頁地址(Uniform Resource Locator, URL)封鎖 網頁地址:每一個網頁都有一個網頁地址(URL),如http://www.tipo.gov.tw/ch/index.aspx ISP 對網頁所傳送封包的內容進行檢查,藉以封鎖特定內容的網頁。 封鎖成本高,惟以此種技術進行封鎖者,被破解的難度較以上兩者高。

根據智財局的開會所討論的方案,如上表所示,分別有 “IP封鎖"、"域名封鎖" 和 “網址封鎖" 三種方案。如果我開一堂資訊安全課程,給學生一個題目 “如何以最低成本有效封鎖特定網站" ,這樣的作業大概會被打零分,因為光是最基本的觀念就錯誤百出,從智財局的出席名單中發現,裡面清一色都是法律專業人士,沒有專業的資訊從業人員參與討論,更別說是資訊安全領域的專家。

封鎖手法一:IP 位址封鎖

IPv4 與  IPv6 的差別

筆者一望即知,老師在上課,智財局都沒在聽,網際網路正面臨著新舊交接的尷尬年代,當初網際網路的設計者沒料到網路發展會如此驚人,因此一開始在設計 IP 地址時,只設定 4 個位元組的長度,可以提供約四十多億組不同地址,隨著網路爆炸性成長,地址數量已經不敷使用,於是設計新版的網路地址,叫 IPv6,舊版的就叫 IPv4,IPv6 能提供的地址數量有 3.4 ×10的38 次方組,有人這麼形容

[box] 替地球上的每一粒沙分配一個IPv6地址都有餘[/box]

也就是說,當 IPv6 漸漸取代 IPv4,IP 的地址封鎖更不切實際,被封鎖的地址不過是一粒恆河裡的沙。

共用 IP 或網段也遭殃

難道 IPv4 就可以封鎖嗎?當然是可以封鎖,問題出在無辜的人會受害,在智財局的觀點裡,一個網站就是一個或多個 IP,把這些 IP 封掉就等於封掉單一網站,然而事實不是這樣,正因為 IPv4 即將用罄的問題,很多網站都是共用同一個 IP,主機商和網站架站者為了節省成本,會把同一台實體主機切割成很多個 虛擬主機 分租給不同的客戶,讀者可以想像買一棟房子,隔間起來租給學生的方式,這些學生們共用的都是同一個地址,也就是所謂的 IP,當智財局要求 ISP 封鎖這個 IP 時,雖然那位侵權的壞學生好像被懲罰了,但好學生們也遭受池魚之殃。

雲端 IP 池

現今雲端服務供應商越來越多,IP 使用者在上個鐘頭可能是甲,下一個鐘頭可能就變成乙,主機租用的概念不像以前是固定的形式,不管是 Amazon Web ServiceRackSpaceLinodeDigitalOcean 這類主機商都提供以小時收費的主機服務,上一個侵權使用者發現 IP 被封鎖,下一個正當的使用者如果不幸被分配到這個受到封鎖的 IP,那麼他也成了無辜的受害者。

CDN 服務

IP 共用並不是只有上述兩者才會出現的問題,CDN (Content delivery network) 服務也會出現同樣的狀況,像是CloudFlareAkamaiCDNetworks,這些公司都提供讓網站加速的服務,其運作原理是事先透過他們的伺服器將內容傳到世界各地的節點,當使用者請求內容,就可以從最接近的節點讀取來減少等待的時間,因為連線是透過這些公司的節點,依筆者一望即知智財局對網路理解的程度來看,智財局可能以為 CDN 公司的 IP 就是侵權網站,而將它封鎖,所有使用 CDN 服務的網站會同時遭殃。

有物報告也是 CDN 服務的使用者之一,如果有一天讀者發現連上有物報告顯示 “此網站因侵權遭到封鎖" ,一種可能是著作權利人不喜歡這個網站所發表的言論而一望即知發現有物皆是侵權而合法封鎖,另一種可能是某個也利用同樣 CDN 服務的侵權網站被封鎖,有物因為倒霉而掃到颱風尾。

零成本破解:換個 IP

破解的方法很簡單,換個 IP 就好了,對於合法經營的網站,需要換 IP 是很少遇到的狀況,換 IP 可能意味著重新設定整體系統,成本相當昂貴,對於侵權網站可能只是例行公事,只要寫封信告訴主機商

[box] 我的網站被中國大陸的金盾防火牆誤鎖了,麻煩幫我換一組 IP[/box]

然後等主機商幫你換好 IP 和重新設定,破解的成本因此是零,或著使用者利用中間的代理伺服器即可破解,也就是所謂的翻牆。

受害者的損害求償由全民買單

IP 封鎖手法所面臨的風險是無辜的合法網站會在莫名奇妙的狀況下被封鎖,情況除了筆者列舉的,還有很多意想不到的狀況,我國恐將面臨許多國外無辜受害者的損害求償,舉例來說,筆者預估不久的將來我的文章會暴紅,每天因文章著作的收入一百萬,如果不幸被智財局封鎖一個月,筆者可以向智財局官員還有著作權團體提出三千萬元的市值損害求償,如果這些人不認帳而是由國庫支出,最終還是全民買單。

封鎖手法二:域名封鎖

境外網站,無權可管

封鎖域名最大的問題在於各國的域名管轄權都是屬於各國所有,以 .tw 結尾來說是 TWNIC 管理的,當侵權網站是架在 .tw 的域名上,要求 TWINC 封鎖此域名是做得到的,但當域名是 .com 或是 .cn,我國對於這些域名的管理機構沒有任何實質的影響力,只能退而求其次,要求國內的 ISP 的 DNS 伺服器,一律對於欲封鎖的網域回傳篡改過的指定 IP 位址。

安全性與信任問題

雖然透過法律命令強制國內所有 DNS 伺服器篡改特定的 DNS 內容可以達到一點點效果,然而卻帶來非常嚴重的安全性問題,DNS 被篡改不論是任何理由,即使是合法的,從安全的角度來看,都會使國內的 DNS 伺服器不被大眾信認,因為要如何分辯是被駭客、病毒篡改的,還是由政府下令篡改的。

零成本破解:更改 DNS 伺服器

要解決 DNS 封鎖,只要避開使用國內的 DNS 伺服器即可,其最終極的結果就是全台灣的使用者都改用國外的或是不受篡改的 DNS 伺服器,繞過的成本幾乎是零,除此之外,到時候我國的網路最基礎的 DNS 服務都得依賴國外供應,等於是生殺大權操握在別人手裡,如果其它國家的 DNS 伺服器提供者亂改 DNS,對於沒有加密連線的網站來說可以重新導向任一個網站而不容易被發現,會造成非常嚴重的後果。

又是全民買單,域名轉移與價值損害問題

有人把域名比擬為網路的不動產,DNS 封鎖當然一樣會造成無辜的受害者,域名本身是可以被交易的,假設某個人的域名被封鎖之後,賣給另一個人,另一個人經營合法的網站,但是發現因為先前的封鎖命令,使得台灣的使用者無法連上該域名的網站,域名本身的價值就受到損害,域名的價格是可以很驚人的,好的域名都是好幾棟豪宅的價格,這些受害者如果認為其域名因為我國政府的行政封鎖命令造成域名價值授損,而來控告相關人士也是可能發生的事情,依照其域名價值的一定比例、甚至倍數求償,都會是天文數字。

封鎖手法三:網址封鎖

侵害隱私,檢查傳送內容

封鎖網址的基本技術性質其實就是封包內容審查,舉例來講,好像在進出台北市的路口都設置警察,所有經過的車子都會被警察攔下來,並仔細檢查車子內部,如果發現這台車子(封包)  的目的地是所謂的侵權網站,或是內容屬於侵權資料,就會被攔下來,不只是侵犯隱私等等各種違憲的疑慮,就算從技術層面上來看也有很大的問題。

逐一過濾,成本極度昂貴

中國大陸的金盾系統目前使用的就是類似這樣的檢查方式,雖然看起來好像很有效,其實花費是很昂貴的,想像台北市的所有車子進出都得停車受檢,需要多少警力才能讓檢查順暢?答案是 ISP 得添購大量的高階硬體防火牆設備才有辦法應付整個國家網路資料進出的量,成本會大幅度增加,除此之外,因為所有封包都得經過審查,勢必對網路連線速度造成影響,而台灣對外有連線的 ISP 並不是只有中華電信,其它業者在同樣的法律規範下也得添購昂貴的設備,當然可能有些廠商不願意購買足夠的設備讓審查順暢,結果就是所有的封包會卡在出口檢查的關卡。

零成本破解:封包內容加密

聽起來好像很美好的著作權保護方式,全民付出額外的上網費用後終於可以阻擋侵權,是這樣嗎?

並非如此,要解決這類阻擋方式只要把封包加密,以網頁來說,其實就是 HTTP 連線改成 HTTPS 連線,這類加密連線在現今的網路世界中早已經是標準,很多知名網站都是全程加密連線,不只有是電子商務網站或網路銀行,解不開封包不知道裡面的內容,自然無法進行審查並決定是否阻斷,因此破解的成本也是零

當然,更進一步封鎖的方法也有,那就是把加密連線的管道都封鎖,中國大陸為了避免人民翻牆或進行密秘通訊也有這樣的做法,當目前的法案通過後著作權利人團體發現他們的方法這麼簡單就被破解,下一步可能就是立法阻擋或管制加密連線,以保護著作權的理由來限制人民的秘密通訊自由,但破解方法太多種,即使是中國政府盡全力想控制言遮敝訊息都無法做到盡善盡美。

封網法案:勞民傷財,花大錢卻無實質效果

分析以上封鎖方案之後,得到一個結論,說沒有人的權益會因此受害肯定是騙人的,而且

  • 封鎖可能花費全民難以估算的成本來達成
  • 封鎖無可避免的會造成無辜的使用者受害
  • 破解上述封鎖方案的成本基本上都是零或低到可以忽略

為什麼這麼難做到完全封鎖?

網際網路一開始的目的就不是為了被封鎖而設計的,而是為了軍事用途,希望任何節點被攻擊都還能夠繼續提供服務,利用法律的手段試圖限制網路自由來達成特定目的都是白費力氣,平白浪費全民資源。

在追求國外的 “先進” 法律的同時,其實韓國正好經過五年的網路控制實驗才宣告失敗,五年期間不知道損失全民多少成本在荒謬的法案上,卻沒有達到當初宣稱的效果,南韓去年宣佈取消實行五年的網路實名制,這個制度的目的是為了避免散佈謠言或製造激進言論,後來發現沒有證據證明實名制法案有任何實質效果,反而有一堆負面效果,一來是大眾怕懲罰不敢發表言論,二來是個人資料被盜取的問題,再來就是韓國人民改使用國外的服務來避免規範,最終只有損害南韓全國的國力,我國如果通過這種違憲法案,除了本文提到的各種損害以外,不僅達不到目的,又得花人民的納稅錢透過釋憲來推翻這個違憲法案,實在是勞民傷財,損人不利己。

有人說台灣的創作人都支持封網法案,筆者認為正因為網路的發明打破壟斷,每個人都能自由創作,這的確影響產業結構,然而將環境的改變只怪罪於盜版而不求改變,智財局服務的對象也似乎不是全體創作人,而是少數特定人士,難怪法案受到質疑,筆者在此以創作人的身份反對這種浪費資源又無法保護著作權的法案,希望更多台灣的創作人出來反對如此荒謬的法案。


圖片來源:blmurch
→現在就加入有物報告,觀看更多言之有物的文章。

«

»

科技島讀-你的未來趨勢嚮導

有物推出新產品囉!

由有物報告團隊製作的最新產品-科技島讀

透過閱讀科技島讀,你將能夠掌握科技趨勢,從更高的視角觀察科技將如何改變世界。

現在就前往 >> 科技島讀