1.媒体来源:
iThome
2.完整新闻标题:
准行政团队Line国事作法急转弯,准经长受命客制台版即时通
3.完整新闻内文:
距离520新旧政府交接剩下不到一个月的时间,准行政团队为了加速内部沟通速度和品质,
准行政院发言人童振源对媒体表示,已经将行政团队等32人设立一个Line沟通群组。不过,
政府高层利用Line做政务沟通引发各界对于资安的质疑,准行政院院长林全最后决定,将
改由工研院开发的即时通讯软件揪科(Juiker),并由曾任工研院副院长的准经济部长
李世光担任窗口,协调内阁需要客制化即时通讯功能。
Line默认一对一对话功能加密,但群组对话还不行
Line在台湾有极高的渗透率,也因此,不少准内阁成员常用Line作为彼此沟通工具。但是
,政府高层若使用Line来讨论国家大事,讨论过程是否够安全,是否没有机密外泄疑虑,
更显得重要。
由于Line是韩国公司NAVER百分之百的子公司,也就是日皮韩骨的即时通讯工具,目前在
日本、台湾等地都有极高的渗透率。在2013年7月,曾经发生过日本的Line服务器遭到不明
人士非法在服务器中植入帐密窃取程式,有个资外泄风险,NAVER入口网站各项服务会员
个资,总计约169万笔可能外流,但不含日本国内外Line用户帐密与个资。当时,经过调查
,流出的个资包括帐号ID、电子邮件信箱、Hash加密的密码与帐号暱称,日本Line公司也
针对有个资外泄风险的客户,寄发修改密码的信件,要求尽速修改密码,以免帐号遭到第
三者的滥用。
而在2014年6月,便有日本媒体FACTA online报导指出,韩国政府的国家情报局(前KCIA)
会在讯息发送的过程中,拦截相关的讯息,不过,这样的作法在韩国是合法的,但是日本则
觉得不可以坐视这样的问题继续发生。根据FACTA online追查,韩国国家情报院(前KCIA)
也曾利用此手法再将资料转送至欧洲进行分析,日本Line帐号资讯也有可能因此泄漏给中国
腾讯。
不过,Line社长森川亮则在部落格驳斥这样的质疑,也透过技术人员在部落格回应,Line
相关的通讯传输都采用RSA 2048位元的加密方式,且包括在无线网络(Wi-Fi)、3G或LTE等
通讯环境中,资料也都加密处理。
公务部门用Line沟通面临的五大资安议题
虽然Line的App已有部分安全功能,但是对于公务部门使用而言,第一重要的就是通讯时的
安全性,除了早期以加密通讯安全为号召的Telegram,强调连业者都无法拦截已经加密的
对话资讯并造成轰动后,后来包括苹果iMessage、WhatsApp甚至是近期的Viber等,都陆续
提供端对端的加密功能。至于Line的端对端加密功能只能做到一对一对话的加密,还无法
加密群组对话。
其次,也必须考量即时通讯软件服务器的位置。ForceShield技术长林育民表示,因为Line
服务器都在海外,这也意味着台湾政府没有能力控管Line的服务器,如果必须处理使用者
帐号被盗用,或者是其他终端设备出现异常状况时,台湾政府都没有能力可以即时反应。
再者,使用者的资料和对话讯息都存放在业者在海外服务器中,林育民也说,Line无法提供
相关的日志(Log)档案,一旦发生安全事件或者是资料外泄时,政府的安全部门很难进行
后续的调查与追踪。
第四点,达友科技副总经理林皇兴则指出,使用Line这类的通讯软件还有一个致命隐忧,
那就是手机的安全性,像是开放平台的Android手机或是越狱(Jail Break)后的苹果手机
等,遇到手机短信或者是各种即时讯息点击恶意网址时,更容易被植入恶意程式。资安专家Light
wind Wong也说,手机遗失是最大的资安风险,现阶段各家厂商的即时通讯App,都还没法
做到手机一旦遗失,还能够确保相关对话内容不被外泄。
最后,在资安领域耕耘超过20年的资安专家GasGas表示,缺乏资安意识和对于使用何种3C
工具缺乏完善的评估流程,其实才是这次外界对于准行政团队,使用Line作为沟通工具的
最大批评。他指出,没有一个软件产品是百分之百安全的,但是,使用者是否具有这样的
意识,是否有一套完整的评估流程,作为选定各种使用工具的参考依据,而不是只是凭习惯
或想当然尔做选择,才是一个行政团队该具有资安意识的评估流程。
林育民认为,如果台湾政府要使用这类的即时通讯软件,除了要确认有提供端对端加密功能
外,业者也必须要能提供日志留存的机制,增加台湾政府使用这类即时通讯软件的安全性。
新团队改弦易辙,决定改用台湾研发的揪科
在准行政团队对外宣布采用Line作为沟通工具之际,各界对于资安的疑虑也传到该团队的
耳中,像是准科技政委吴政忠便率先开砲,传达外界对于行政团队采用Line的忧心,而
准经济部长李世光则建议,可以采用由工研院研发的揪科(Juiker)通讯软件作为Line的
替代方案。
工研院研发揪科的团队,先前也已经透过技转方式,成为独立公司源思科技,该公司总经理
黄肇嘉表示,准行政团队已经要求该公司进行相关的报告,但目前的确还不清楚,行政团队
对于即时通讯使用是否有特殊需求,必须等到见面报告后才知道。
黄肇嘉表示,从2012年中旬就开始讨论是否要自己研发这类即时通讯软件,面对国外
WhatsApp或是Viber等即时通讯软件的威胁,也观察到这种App软件将深刻影响到台湾的软件
产业。当时决定开始研发这类的即时通讯软件时,他说:“为了要和其他竞争对手不一样,
决定整合电信业者,衍生出语音OTT(Over The Top)的服务。”
而揪科切入的角度也与一般强调使用者使用经验的B2C有落差,他表示,目前B2B企业即时
通讯的作法个有不同,像是,思科是从网络的角度来看,微软从系统的角度出发,Line从
手机、Skype从电脑的角度出发,而揪科则从资讯流的角度出发,并研发出联邦云的作法,
让电脑讯号传输无国界,不过资料却与讯号分离,可以落地、保留在各国。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/105663