資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 1623|回復: 0

[報導] 準行政團隊 Line 國事作法急轉彎 準經長受命客製臺版即時通

[複製鏈接]
發表於 2018-3-23 14:24:07 | 顯示全部樓層 |閱讀模式
準行政團隊 Line 國事作法急轉彎,準經長受命客製臺版即時通

Line 到底安不安全?!其實,Line 主要的對象是一般使用者,之前已經有推出一對一的加密功能,但是,還沒有辦法提供 Line 群組加密功能。而 Juiker 揪科是以企業級通訊軟體角度出發,整合 AD 提供聊天室權限控管

文/黃彥棻 | 2016-04-29發表



距離 520 新舊政府交接剩下不到一個月的時間,準行政團隊為了加速內部溝通速度和品質,準行政院發言人童振源對媒體表示,已經將行政團隊等 32 人設立一個 Line 溝通群組。不過,政府高層利用 Line 做政務溝通引發各界對於資安的質疑,準行政院院長林全最後決定,將改由工研院開發的即時通訊軟體揪科 (Juiker),並由曾任工研院副院長的準經濟部長李世光擔任窗口,協調內閣需要客製化即時通訊功能。

Line 預設一對一對話功能加密,但群組對話還不行

Line 在臺灣有極高的滲透率,也因此,不少準內閣成員常用 Line 作為彼此溝通工具。但是,政府高層若使用 Line 來討論國家大事,討論過程是否夠安全,是否沒有機密外洩疑慮,更顯得重要。

由於 Line 是韓國公司 NAVER 百分之百的子公司,也就是日皮韓骨的即時通訊工具,目前在日本、臺灣等地都有極高的滲透率。在 2013 年 7 月,曾經發生過日本的 Line 伺服器遭到不明人士非法在伺服器中植入帳密竊取程式,有個資外洩風險,NAVER 入口網站各項服務會員個資,總計約 169 萬筆可能外流,但不含日本國內外 Line 用戶帳密與個資。當時,經過調查,流出的個資包括帳號 ID、電子郵件信箱、Hash 加密的密碼與帳號暱稱,日本 Line 公司也針對有個資外洩風險的客戶,寄發修改密碼的信件,要求儘速修改密碼,以免帳號遭到第三者的濫用。

而在 2014 年 6 月,便有日本媒體 FACTA online 報導指出,韓國政府的國家情報局 (前 KCIA) 會在訊息發送的過程中,攔截相關的訊息,不過,這樣的作法在韓國是合法的,但是日本則覺得不可以坐視這樣的問題繼續發生。根據 FACTA online 追查,韓國國家情報院 (前 KCIA) 也曾利用此手法再將資料轉送至歐洲進行分析,日本 Line 帳號資訊也有可能因此洩漏給中國騰訊。

不過,Line 社長森川亮則在部落格駁斥這樣的質疑,也透過技術人員在部落格回應,Line 相關的通訊傳輸都採用 RSA 2048 位元的加密方式,且包括在無線網路 (Wi-Fi)、3G 或 LTE 等通訊環境中,資料也都加密處理。

而 Line 之前,也曾經推出包括隱藏交談、限時通訊、密碼鎖和 4 位數的安全 PIN 碼等功能,但這些功能必須要另外啟動不同的交談功能介面,因此使用上,也較不普遍。直到 2015 年 10 月的 Line 新版本中,預設開啟在一對一對話時提供進階加密功能,可以加密對話,再把加密金鑰存放在使用者的裝置上。不過,Android 手機預設開啟,在 iOS 手機上,對話雙方則必須自行啟動 Letter Sealing 功能,才能做到雙方對話內容加密、傳輸加密。

據了解,在 2015 年底升級的 Line 版本中,已經預設開啟 Letter Sealing 功能,所有的一對一對話功能,都已經可以做到自動加密,不過,群組對話時,目前無法做到端對端的加密功能,還處於測試階段,需要一段時間才會推出。

公務部門用 Line 溝通面臨的五大資安議題

雖然 Line 的 App 已有部分安全功能,但是對於公務部門使用而言,第一重要的就是通訊時的安全性,除了早期以加密通訊安全為號召的 Telegram,強調連業者都無法攔截已經加密的對話資訊並造成轟動後,後來包括蘋果 iMessage、WhatsApp 甚至是近期的 Viber 等,都陸續提供端對端的加密功能。至於 Line 的端對端加密功能只能做到一對一對話的加密,還無法加密群組對話。

其次,也必須考量即時通訊軟體伺服器的位置。ForceShield 技術長林育民表示,因為 Line 伺服器都在海外,這也意味著臺灣政府沒有能力控管 Line 的伺服器,如果必須處理使用者帳號被盜用,或者是其他終端設備出現異常狀況時,臺灣政府都沒有能力可以即時反應。

再者,使用者的資料和對話訊息都存放在業者在海外伺服器中,林育民也說,Line 無法提供相關的日誌 (Log) 檔案,一旦發生安全事件或者是資料外洩時,政府的安全部門很難進行後續的調查與追蹤。

第四點,達友科技副總經理林皇興則指出,使用 Line 這類的通訊軟體還有一個致命隱憂,那就是手機的安全性,像是開放平臺的 Android 手機或是越獄 (Jail Break) 後的蘋果手機等,遇到手機簡訊或者是各種即時訊息點擊惡意網址時,更容易被植入惡意程式。資安專家 Lightwind Wong 也說,手機遺失是最大的資安風險,現階段各家廠商的即時通訊 App,都還沒法做到手機一旦遺失,還能夠確保相關對話內容不被外洩。

最後,在資安領域耕耘超過 20 年的資安專家 GasGas 表示,缺乏資安意識和對於使用何種 3C 工具缺乏完善的評估流程,其實才是這次外界對於準行政團隊,使用 Line 作為溝通工具的最大批評。他指出,沒有一個軟體產品是百分之百安全的,但是,使用者是否具有這樣的意識,是否有一套完整的評估流程,作為選定各種使用工具的參考依據,而不是只是憑習慣或想當然爾做選擇,才是一個行政團隊該具有資安意識的評估流程。

林育民認為,如果臺灣政府要使用這類的即時通訊軟體,除了要確認有提供端對端加密功能外,業者也必須要能提供日誌留存的機制,增加臺灣政府使用這類即時通訊軟體的安全性。

新團隊改弦易轍,決定改用臺灣研發的揪科

在準行政團隊對外宣布採用 Line 作為溝通工具之際,各界對於資安的疑慮也傳到該團隊的耳中,像是準科技政委吳政忠便率先開砲,傳達外界對於行政團隊採用 Line 的憂心,而準經濟部長李世光則建議,可以採用由工研院研發的揪科 (Juiker) 通訊軟體作為 Line 的替代方案。

工研院研發揪科的團隊,先前也已經透過技轉方式,成為獨立公司源思科技,該公司總經理黃肇嘉表示,準行政團隊已經要求該公司進行相關的報告,但目前的確還不清楚,行政團隊對於即時通訊使用是否有特殊需求,必須等到見面報告後才知道。

黃肇嘉表示,從 2012 年中旬就開始討論是否要自己研發這類即時通訊軟體,面對國外 WhatsApp 或是 Viber 等即時通訊軟體的威脅,也觀察到這種 App 軟體將深刻影響到臺灣的軟體產業。當時決定開始研發這類的即時通訊軟體時,他說:「為了要和其他競爭對手不一樣,決定整合電信業者,衍生出語音OTT (Over The Top) 的服務。」

而揪科切入的角度也與一般強調使用者使用經驗的 B2C 有落差,他表示,目前 B2B 企業即時通訊的作法個有不同,像是,思科是從網路的角度來看,微軟從系統的角度出發,Line 從手機、Skype 從電腦的角度出發,而揪科則從資訊流的角度出發,並研發出聯邦雲的作法,讓電腦訊號傳輸無國界,不過資料卻與訊號分離,可以落地、保留在各國。

工研院從 2013 年 1 月著手研發,同年 11 月就完成開發,為了安全,黃肇嘉表示,揪科採用 HTTPS/TLS1.0~1.2 的加密演算法,而工研院本身也是揪科第一波的測試者。工研院有八千名員工就有八千臺分機,相關的異動頻繁,紙本列印往往緩不濟急,因此,揪科便開發出企業通訊錄的功能,所有的通訊方式都建置在雲端平臺上,有異動直接在雲端平臺做修正即可,也有利於使用者查詢相關的聯絡人資訊,也可以直接傳訊或打電話。

再者,黃肇嘉也指出,有了雲端的企業通訊錄後,為了確保隱私,在終端顯示時,會隱藏手機號碼的部分數字,使用者可以直接撥打,卻無法看到完整的使用者資訊,不僅確定授權者是有權可以撥打的對象,也保護相關資訊的安全,減少外洩的機會。

第三點,黃肇嘉認為,揪科最大特色就是企業級的聊天室權限控管機制,不僅可以確定誰有權限可以進入到某個聊天室,還可以知道哪些人已經讀取哪些資訊,但哪些人還沒讀取,甚至於,也提供檔案的交換時,是否已經讀取列印等相關記錄。

他指出,因為一般的聊天室是對外公開的形式,但是企業的聊天,也會涉及許多機敏資料的交換和討論,所以,不僅嚴格控管每個人的權限,記錄所有的聊天記錄,甚至於,當員工已經離職後,可以直接從雲端平臺移除該名同仁的權限,系統也會主動把該名同仁從相關的聊天室移除,進一步確保聊天平臺的安全性。

第四點,為了降低 Line 常見的手機上不明惡意網址訊息帶來的風險,黃肇嘉表示,揪科和趨勢科技合作,只要聊天室中出現各種網址連結,就可以先透過雲端防毒平臺進行網址的掃描,進一步確保使用者的安全。

最後,他指出,揪科也會提供許多 API 讓企業介接內部系統,也會提供一個雲端的控制平臺,可與企業內部 AD 或者 LDAP 整合。

資料來源: iThome - https://www.ithome.com.tw/news/105663
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-10-21 09:53 , Processed in 30.127748 second(s), 27 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表