專制軟體竊取國家機密

毛慶禎

輔仁大學圖書資訊學系

2003/10/5

專制軟體產生封閉格式的檔案, 偷偷儲藏使用者的相關資訊, 洩露國家機密, 英國國防部顧問凱利因而身亡。美國發動的伊拉克戰爭, 難以收場, 起點正是專制軟體。

========
人命關天
========

2002年9月, 英國首相辦公室發表伊拉克武器現況報告, 強調伊拉克可以在四十五分鐘內啟動生化武器, 冀望民眾和國會支持政府對伊拉克開戰的政策。該報告以專制軟體的封閉格式檔案製成, 洩露整個造假的過程, 到了2003年六月, 英國國防部顧問凱利向英國國家廣播公司指述其內容係造假, 接受國會的調查後, 於壓力下喪命。

2003年2月6日, 英國公佈伊拉克情報檔案, 同時把該封閉格式檔案在網站上公布, 任人下載; 好事者以分析該檔案後, 赫然發現有四個人參與該檔案的製作, 新聞記者依照線索, 很快就找出這四個人的服務單位, 漢彌爾(Paul Hamill, 外交部)、普瑞特(John Pratt, 首相秘書)、布萊克蕭(Alison Blackshaw, 首相私人新聞秘書)、嵌(Murtaza Khan, 首相新聞秘書)。

在6月23日的國會聽證會裡, 發現足以佐證的事實, 外交部同仁漢彌爾把該檔案交給首相府, 存在秘書嵌的硬碟裡, 首相秘書普瑞特將檔案轉存在磁碟片裡, 交給首相私人新聞秘書布萊克蕭, 再轉給美國國務卿包威爾, 直接在聯合國的大會公佈。

這份文件聲稱其資料來自情報單位, 假裝是全新的研究成果, 其實主要抄襲自以色列一個學術機構的研究生論文, 打字錯誤及蹩腳的文法都沒有調整, 不但沒有徵求同意, 也沒有附註。

雖然, 這個檔案已經從官方網站被移除, 仍可從其他地方下載。布萊爾政府學乖了, 續公佈其他伊拉克情報檔案及政府公告時, 祗有.pdf檔, 再也不敢採用以專制軟體製作成封閉格式檔案。

========
洩露機密
========

根據2003年4月的一份研究指出, 從網路上隨意摘取公開的十萬份封閉格式檔案, 幾乎每份都有令人尷尬的私密資訊, 大體可分為幾類:
  1. 經手人的姓名及暱稱
  2. 機構名稱
  3. 軟體版本及文件格式
  4. 儲存檔案的路徑
  5. 編製文件的電腦機型
  6. 印表機型
  7. 電子郵件信頭及伺服器
  8. 已被刪除的部份文字
  9. 同時開檔的其他文件
專制軟體廠商非常清楚該封閉格式檔案隱藏資訊的功能, 辯稱其為檔案的銓釋資料(metadata), 並且建議若干方法, 消除這些銓釋資料。

不過, 最後一項私密資訊, 很明顯地是軟體錯誤; 同時打開兩個封閉格式檔案, 把第一個檔案存檔, 以電子郵件傳送給他人, 第二個檔案的內容也同時被附在裡面。不管基於什麼理由, 都沒有必要這麼做。

========
國家安全
========

我們的政府全面採用專制軟體, 對外公告大量使用封閉格式的檔案, 內部行政作業也毫不避諱; 各級學校競相傳授專制軟體, 把操作專制軟體的能力, 視為資訊教育的指標之一; 求才求職皆以製作封閉格式軟體為必要條件。授權費、著作財產權已經不是重點, 而是國家的安全完全暴露在專制軟體之下, 被發現的祗是鳳毛麟角而已。

對岸的鄰居, 早就警覺專制軟體對國家安全的危害, 極力發展自由軟體, 要求政府機關採用自由軟體, 企圖擺脫來自假想敵的壓力, 並在今年9月於高棉首府金邊與日本韓國簽署協議書, 合作研發自由軟體作業系統。

國防軍備上投資數千億, 購買製造先進的船艦及飛機, 構建飛彈防禦系統等, 企圖保障人民的生命財產, 卻採用專制軟體以致國家機密任人竊取, 形同讓軍人未經訓練徒手赴戰場, 主政者何其殘忍。

========
執法單位
========

八月份全球性的疾風電腦病毒(MSBlast), 肇因於專制軟體本身的漏洞, 廠商事先知情, 卻故意不去修補, 這個部份是否有責任, 尚有待法律還給使用者公道。美國的消費者已於9月30日向洛杉磯高等法院提起集體訴訟, 指控專制軟體廠商不公平競爭並侵犯消費者權益。

專制軟體廠商要求使用者簽署授權合約(EULA), 才能使用其軟體, 要求使用者放棄對於產品瑕疵的告訴權, 以規避對產品的責任。歷次的法院判決也認可這些授權條款的合法性, 除非發生人命, 軟體廠商是不受產品瑕疪的影響。

這次再度挑戰此合約的合法性, 指控不公平競爭, 壟斷市場。專制軟體廠商回應, 軟體本身的漏洞沒有錯, 是病毒來侵犯的錯; 侵犯使用者的隱私, 是基於使用者授權合約的同意。

廠商應為產品負責, 但是軟體不在此限。小口果凍的廠商在美國出事, 被法院判罰天價; 汽車設計或生產出了狀況, 造成生命財產損失, 也是以天價做收; 華航大園空難及新航中正機場空難, 都有鉅額賠償的訴訟進行中。專制軟體本身的缺陷, 招來一堆軟體病毒, 廠商卻能全身而退, 毫無責任, 像話嗎?

========
轉換實例
========

向專制軟體說「不」的企業很多, 能夠存活的也不在少數。美國加州的音樂人公司全面採用自由軟體, 已經三年, 是企業中的異數。

音樂人是吉他琴弦製造商, 被商業軟體聯會查獲若干未經授權的專制軟體, 以10萬美元合解, 並被專制軟體廠商做為廣告的例子, 警告其他企業看緊軟體版權。

自認奉公法的音樂人, 在不知覺的情況下被舉發, 沒有任何溝通的機會, 30餘年的商譽被踐踏, 寧願從重學打算盤, 也要把專制軟體掃地出門, 絕不跟羞辱該公司的廠商往來。

三年來, 什麼事也沒發生, 公司正常運作, 消除沒有任何售後服務的專制軟體, 採用自由軟體後, 反而願意主動協助的社群朋友增多了。

桃園縣陽明國小及大安國小、嘉義市崇文國小、台北縣福營國中、台南女子技術學院等校, 都以自由軟體電腦教室, 做為教學的的工具; 大安國小及福營國中更是純自由軟體電腦教室, 完全不摻雜專制軟體。

您能忍受專制軟體對我們的欺凌嗎?

專制軟體在危害社會公平正義、阻斷文化傳承、拉大貧富差距等議題上, 早就為人詬病, 在資本主義的社會裡, 祗是喊喊而已。現在出現國家安全的危機, 機密資料外洩, 政府還能坐視嗎?

參考資料
  1. 病毒通知: W32.Blaster.Worm/ Nachi, Blaster-D, Welchia, http://www.microsoft.com/taiwan/support/content/W32Blaster.HTM
  2. Glen Rangwala, [casi] Intelligence? the British dossier on Iraq's security infrastructure, 05 Feb 2003,  http://www.casi.org.uk/discuss/2003/msg00457.html
  3. Richard M. Smith, Microsoft Word bytes Tony Blair in the butt, June 30, 2003,  http://www.computerbytesman.com/privacy/blair.htm
  4. 英國政府在2003年1月30日公佈的伊拉克情報檔案,Iraq's Security and Intelligence Network: A Guide and Analysis, 原來在http://www.number-10.gov.uk/output/Page7111.asp, 已被拿掉, 可以從這裡讀取第三者的備份http://www.computerbytesman.com/privacy/blair.doc
  5. 劍橋大學 Dr Glen Rangwala, Claims in Secretary of State Colin Powell’s UN Presentation concerning Iraq, 5th Feb 2003, http://middleeastreference.org.uk/powell030205.html
  6. 公開的.doc檔幾乎全部都含有令人尷尬的私密資料, Simon Byers, Scalable Exploitation of, and Responses to Information Leakage: Through Hidden Data in Published Documents, 2003/04/03, http://www.user-agent.org/word_docs.pdf
  7. Antiword: a free MS Word document reader, http://www.winfield.demon.nl/
  8. catdoc and xls2csv - free MS-Office format readers, http://www.45.free.net/~vitus/ice/catdoc/; 連結至其他11種相關的軟體
  9. The hidden dangers of documents: Dot.life - how technology changes us By Mark Ward, http://news.bbc.co.uk/1/hi/technology/3154479.stm

  10. 加州人告發微軟 - 龔斷市場無心防毒, Microsoft Faces Class Action Over Virus Crashes, Thu October 2, 2003 09:38 PM ET, By Kevin Krolicki and Reed Stevenson, http://www.reuters.com/newsArticle.jhtml?type=topNews&storyID=3550845
  11. 沒有微軟的日子,David Becker原著•陳奭璁譯 25/08/2003, http://taiwan.cnet.com/enterprise/trend/story/0,2000040474,20082681,00.htm

毛慶禎
臺北縣新莊市輔仁大學圖書資訊學系
Tel: 02 29031111 ext 2334, 3244(研究室) - Fax: 02 29017405
E-mail: mao@blue.lins.fju.edu.tw
http://www.lins.fju.edu.tw/mao/works/proprietary.htm