--- title: 反對電子驗證預算講稿 tags: 模擬政府, 模擬立法院, 電子投票, 驗證, 選委會, 學代會, 學生會, NTUSA, NTUSC, SA, SC --- # 小故事 首先跟各位學代分享一個小故事。今年二月，我們系學會用來存放考古題的Google Drive被盜，導致上個學期，我們系上的同學都過得非常崩潰；今年六月，要製作畢業紀念冊時，存放四年來半數以上的照片以及畢業照的Google Drive被盜，導致我們開學後才開始發放畢冊。兩起事件的原因都是社交攻擊。 　 雖然我們系學會跟電子投票、電子驗證沒什麼關係，不過我想，我們系上已經是整個校園中，資安意識處於金字塔頂端的一群人了，這個講法應該沒什麼人反對。即使是在金字塔頂端的人，還有可能被盜用兩次，並且被勒索Bitcoin贖金，各位學代覺得，選委會如果使用Google Drive來存放我們的個資，那被盜至少一次的機率有多高？ 　 # Google真的安全嗎？ ### 攻擊成功率 只要各位學代稍微動動手指，就可以知道，其實Google並不安全。一項Google在2017年的[研究][1]指出，當年度的第三方攻擊總共有33億次，成功率為7%，這數字看起來不多，不過其實累計也有2.31億次攻擊成功。同一份研究指出，更容易進行的是網路釣魚，Google總共偵測到1240萬次網路釣魚，成功率是驚人的25%，每四次就有一次成功。這樣的規模，與Google的用戶數相較，其實高得驚人。 [1]:https://technews.tw/2017/11/16/google-research-report-on-phishing-keyloggers-and-stolen-passwords/ 　 在2018年，也就是去年，Google才歡慶用戶數突破了15億人次。我剛剛才說到，在2017年，第三方攻擊總共成功了2.31億次，也就是說每6.5位用戶就有一個被成功攻擊。況且在網路的世界，每項數據都是爆炸性的成長，實際成功率應該更高，可能是每5位用戶就有1位被成功攻擊。如果再將網路釣魚算進來，各位都學過高中數學，這兩種攻擊可以視為獨立事件；也就是說，成功躲過這兩種攻擊的幸運兒僅有64.3%。 　 ### G Suite 明碼儲存 更糟糕的是，今年五月，[Google才承認][2]，由於源起於2005年的一項漏洞，導致在今年五月之前所有的G Suite帳戶的密碼都是以明碼儲存。什麼叫做明碼呢？也就是說，如果某用戶abcdef的密碼是123456，那麼Google就是直接在資料庫寫上：abcdef的密碼是123456；在資安人員眼中，這種行為跟把鑰匙插在門上沒兩樣。 [2]:https://technews.tw/2017/11/16/google-research-report-on-phishing-keyloggers-and-stolen-passwords/ 　 幾乎可以說是每三位用戶，甚至更低，就有一位是不安全的。各位學代覺得我們的資料可以忍受多少機率被盜取？更何況，除了直接攻擊之外，Google還被披露出有各式各樣的後門、XSS等等[漏洞][3]。事實上，在資安的世界，從來不敢說某個系統是安全的，只能說某個系統最少需要花費多久的時間來攻破。 [3]:https://fnc.ebc.net.tw/FncNews/headline/43423 　 # 關於個資 除了Google之外，其實我們的政府部門也爆發出多起個資外洩的事件。根據公視的[報導][4]指出，光是近十年來，包括銓敘部、國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵等多個政府單位，以及十數個公立醫院、大學或企業都曾經發現大規模個資外洩的事件，平均一年至少一起，而這還只是有被發現的事件，加上沒有被發現的恐怕是多得驚人。 [4]:https://newslab.pts.org.tw/news/70 　 在2017年，全球市佔率第二的網路安全公司賽門鐵克，曾經發布一項報告，當中指明台灣被網路攻擊的次數為全球第五、亞洲第一，政府部門平均每個月被攻擊2000到4000萬次，每年高達4.8億次攻擊。[科技部長也說][5]，光是去年四月，新竹科學園區遭受的攻擊就高達68億次。 [5]:https://www.setn.com/News.aspx?NewsID=375503 　 其實，這些資安事件或是個資外洩事件或許跟我們真的都沒有關係，只是各位，你們怎麼知道這些事件什麼時候會發生在我們身上呢？而我們的個資，又難道是為了貪圖一點方便、節省一點行政成本就可以被交出去的呢？ 　 # 電子投票的失敗 自從2014年5月開始採用電子投票之後，歷經十數次投票，僅有一次沒有發生問題，而至今所產生的問題包括驗證問題、投票系統問題、網路問題等等，不一而足。投票是個象徵性的行為，是選民直接參與政治的儀式。而所謂電子投票，不僅僅包含投票本身，亦包含驗證身份的行為在內。當我們的學生會因為財務因素，並未有足夠的預算來支持電子投票，屢屢壓榨工程師——業界一個小系統至少也是十萬元起跳，而我們的工程價金僅有兩萬五千元——並不斷剝奪選民應有的權利，事實上已經造成選委會公信力的低落，並且導致「電子投票」乃至「投票」此一名詞，成為台大學生間的一個笑話。在上個學年度，吳奕柔會長在整個任期都被奚落為「違法會長」，僅是因為選委會採用電子投票的一次失誤。長此以往，不僅是投票、或是選委會將成為台大學生自治的笑話。 　 # 學生政府的成立及威信 我們的學生自治會有今天的成果，事實上是早在1980年代，甚至更早，就開始對威權黨國抗爭而來。在1985年，前立委李文忠同學甚至因為推動普選而被退學。自1988建立學生政府以來，每年都不間斷的被異議人士抨擊，而校內也有不同的非議聲音。投票出包乃是最直接、最有力的攻擊。完整、無紕漏的投票行為，廣義來說屬於程序正義的一環。如果在會內沒有完整的程序正義，我們在很多校園事件、或甚至是社會事件，都無從發聲。長此以往，沒有舞台的學生自治將不再受到重視，也無從履行對學生的責任，更無從履行台大作為第一學府所應承擔的社會責任，最後肇致學生自治大厦傾塌。覆巢之下，豈有完卵？在現今財力、能力不足以支持電子投票的條件下，我們不應該為了行政方便，而葬送我們寶貴的個資、自治前輩的犧牲，乃至學生政府的威信。