準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

2016/04/29

Line到底安不安全?!其實,Line主要的對象是一般使用者,之前已經有推出一對一的加密功能,但是,還沒有辦法提供Line群組加密功能。而Juiker揪科是以企業級通訊軟體角度出發,整合AD提供聊天室權限控管。

距離520新舊政府交接剩下不到一個月的時間,準行政團隊為了加速內部溝通速度和品質,準行政院發言人童振源對媒體表示,已經將行政團隊等32人設立一個Line溝通群組。不過,政府高層利用Line做政務溝通引發各界對於資安的質疑,準行政院院長林全最後決定,將改由工研院開發的即時通訊軟體揪科(Juiker),並由曾任工研院副院長的準經濟部長李世光擔任窗口,協調內閣需要客製化即時通訊功能。


Line預設一對一對話功能加密,但群組對話還不行

Line在臺灣有極高的滲透率,也因此,不少準內閣成員常用Line作為彼此溝通工具。但是,政府高層若使用Line來討論國家大事,討論過程是否夠安全,是否沒有機密外洩疑慮,更顯得重要。

由於Line是韓國公司NAVER百分之百的子公司,也就是日皮韓骨的即時通訊工具,目前在日本、臺灣等地都有極高的滲透率。在2013年7月,曾經發生過日本的Line伺服器遭到不明人士非法在伺服器中植入帳密竊取程式,有個資外洩風險,NAVER入口網站各項服務會員個資,總計約169萬筆可能外流,但不含日本國內外Line用戶帳密與個資。當時,經過調查,流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱,日本Line公司也針對有個資外洩風險的客戶,寄發修改密碼的信件,要求儘速修改密碼,以免帳號遭到第三者的濫用。

而在2014年6月,便有日本媒體FACTA online報導指出,韓國政府的國家情報局(前KCIA)會在訊息發送的過程中,攔截相關的訊息,不過,這樣的作法在韓國是合法的,但是日本則覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查,韓國國家情報院(前KCIA)也曾利用此手法再將資料轉送至歐洲進行分析,日本Line帳號資訊也有可能因此洩漏給中國騰訊。

不過,Line社長森川亮則在部落格駁斥這樣的質疑,也透過技術人員在部落格回應,Line相關的通訊傳輸都採用RSA 2048位元的加密方式,且包括在無線網路(Wi-Fi)、3G或LTE等通訊環境中,資料也都加密處理。

而Line之前,也曾經推出包括隱藏交談、限時通訊、密碼鎖和4位數的安全PIN碼等功能,但這些功能必須要另外啟動不同的交談功能介面,因此使用上,也較不普遍。直到2015年10月的Line新版本中,預設開啟在一對一對話時提供進階加密功能,可以加密對話,再把加密金鑰存放在使用者的裝置上。不過,Android手機預設開啟,在iOS手機上,對話雙方則必須自行啟動Letter Sealing功能,才能做到雙方對話內容加密、傳輸加密。


據了解,在2015年底升級的Line版本中,已經預設開啟Letter Sealing功能,所有的一對一對話功能,都已經可以做到自動加密,不過,群組對話時,目前無法做到端對端的加密功能,還處於測試階段,需要一段時間才會推出。

公務部門用Line溝通面臨的五大資安議題

雖然Line的App已有部分安全功能,但是對於公務部門使用而言,第一重要的就是通訊時的安全性,除了早期以加密通訊安全為號召的Telegram,強調連業者都無法攔截已經加密的對話資訊並造成轟動後,後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等,都陸續提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密,還無法加密群組對話。

其次,也必須考量即時通訊軟體伺服器的位置。ForceShield技術長林育民表示,因為Line伺服器都在海外,這也意味著臺灣政府沒有能力控管Line的伺服器,如果必須處理使用者帳號被盜用,或者是其他終端設備出現異常狀況時,臺灣政府都沒有能力可以即時反應。

再者,使用者的資料和對話訊息都存放在業者在海外伺服器中,林育民也說,Line無法提供相關的日誌(Log)檔案,一旦發生安全事件或者是資料外洩時,政府的安全部門很難進行後續的調查與追蹤。

第四點,達友科技副總經理林皇興則指出,使用Line這類的通訊軟體還有一個致命隱憂,那就是手機的安全性,像是開放平臺的Android手機或是越獄(Jail Break)後的蘋果手機等,遇到手機簡訊或者是各種即時訊息點擊惡意網址時,更容易被植入惡意程式。資安專家Lightwind Wong也說,手機遺失是最大的資安風險,現階段各家廠商的即時通訊App,都還沒法做到手機一旦遺失,還能夠確保相關對話內容不被外洩。

最後,在資安領域耕耘超過20年的資安專家GasGas表示,缺乏資安意識和對於使用何種3C工具缺乏完善的評估流程,其實才是這次外界對於準行政團隊,使用Line作為溝通工具的最大批評。他指出,沒有一個軟體產品是百分之百安全的,但是,使用者是否具有這樣的意識,是否有一套完整的評估流程,作為選定各種使用工具的參考依據,而不是只是憑習慣或想當然爾做選擇,才是一個行政團隊該具有資安意識的評估流程。

林育民認為,如果臺灣政府要使用這類的即時通訊軟體,除了要確認有提供端對端加密功能外,業者也必須要能提供日誌留存的機制,增加臺灣政府使用這類即時通訊軟體的安全性。


新團隊改弦易轍,決定改用臺灣研發的揪科

在準行政團隊對外宣布採用Line作為溝通工具之際,各界對於資安的疑慮也傳到該團隊的耳中,像是準科技政委吳政忠便率先開砲,傳達外界對於行政團隊採用Line的憂心,而準經濟部長李世光則建議,可以採用由工研院研發的揪科(Juiker)通訊軟體作為Line的替代方案。

工研院研發揪科的團隊,先前也已經透過技轉方式,成為獨立公司源思科技,該公司總經理黃肇嘉表示,準行政團隊已經要求該公司進行相關的報告,但目前的確還不清楚,行政團隊對於即時通訊使用是否有特殊需求,必須等到見面報告後才知道。

黃肇嘉表示,從2012年中旬就開始討論是否要自己研發這類即時通訊軟體,面對國外WhatsApp或是Viber等即時通訊軟體的威脅,也觀察到這種App軟體將深刻影響到臺灣的軟體產業。當時決定開始研發這類的即時通訊軟體時,他說:「為了要和其他競爭對手不一樣,決定整合電信業者,衍生出語音OTT(Over The Top)的服務。」

而揪科切入的角度也與一般強調使用者使用經驗的B2C有落差,他表示,目前B2B企業即時通訊的作法個有不同,像是,思科是從網路的角度來看,微軟從系統的角度出發,Line從手機、Skype從電腦的角度出發,而揪科則從資訊流的角度出發,並研發出聯邦雲的作法,讓電腦訊號傳輸無國界,不過資料卻與訊號分離,可以落地、保留在各國。

工研院從2013年1月著手研發,同年11月就完成開發,為了安全,黃肇嘉表示,揪科採用HTTPS/TLS1.0~1.2的加密演算法,而工研院本身也是揪科第一波的測試者。工研院有八千名員工就有八千臺分機,相關的異動頻繁,紙本列印往往緩不濟急,因此,揪科便開發出企業通訊錄的功能,所有的通訊方式都建置在雲端平臺上,有異動直接在雲端平臺做修正即可,也有利於使用者查詢相關的聯絡人資訊,也可以直接傳訊或打電話。

再者,黃肇嘉也指出,有了雲端的企業通訊錄後,為了確保隱私,在終端顯示時,會隱藏手機號碼的部分數字,使用者可以直接撥打,卻無法看到完整的使用者資訊,不僅確定授權者是有權可以撥打的對象,也保護相關資訊的安全,減少外洩的機會。

第三點,黃肇嘉認為,揪科最大特色就是企業級的聊天室權限控管機制,不僅可以確定誰有權限可以進入到某個聊天室,還可以知道哪些人已經讀取哪些資訊,但哪些人還沒讀取,甚至於,也提供檔案的交換時,是否已經讀取列印等相關記錄。

他指出,因為一般的聊天室是對外公開的形式,但是企業的聊天,也會涉及許多機敏資料的交換和討論,所以,不僅嚴格控管每個人的權限,記錄所有的聊天記錄,甚至於,當員工已經離職後,可以直接從雲端平臺移除該名同仁的權限,系統也會主動把該名同仁從相關的聊天室移除,進一步確保聊天平臺的安全性。

第四點,為了降低Line常見的手機上不明惡意網址訊息帶來的風險,黃肇嘉表示,揪科和趨勢科技合作,只要聊天室中出現各種網址連結,就可以先透過雲端防毒平臺進行網址的掃描,進一步確保使用者的安全。

最後,他指出,揪科也會提供許多API讓企業介接內部系統,也會提供一個雲端的控制平臺,可與企業內部AD或者LDAP整合。

原文出處

其他訊息
嚇!手遊資安危機 數小時恐喪失上億營收

嚇!手遊資安危機 數小時恐喪失上億營收

2016/08/10
Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

Pokemon Go越紅公司損失越大! 歷時兩年開發,上市不到72小時就被駭

2016/07/20
注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!

2016/07/15
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通

2016/04/29
從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

從Google Play下載App保證安全!? 資安業者:超過100款惡意程式會偷資料、點擊詐騙

2016/04/27
網銀App漏洞 金管會關注

網銀App漏洞 金管會關注

2016/04/07
Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

2016/04/07
Android逆向之旅---靜態分析技術來破解Apk

Android逆向之旅---靜態分析技術來破解Apk

2015/11/28
Xcode Ghost事件說明及處理建議

Xcode Ghost事件說明及處理建議

2015/09/22
NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

NEW-【第一季資安報告】加密勒索軟體感染翻兩倍;行動惡意威脅App突破500萬大關!

2015/06/01
Critical GHOST vulnerability affects most Linux Systems

Critical GHOST vulnerability affects most Linux Systems

2015/01/30
會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

會員、個人資料外洩怎麼辦?4個預防資料外洩方法一次看懂!

2017/03/10
駭客工具的氾濫VS企業所面對的資安威脅

駭客工具的氾濫VS企業所面對的資安威脅

2017/05/26
API 安全問題探討

API 安全問題探討

2017/09/09
JAVA世界中不安全的反序列化風險

JAVA世界中不安全的反序列化風險

2018/01/05
來自外部的威脅 - XXE漏洞攻擊成因

來自外部的威脅 - XXE漏洞攻擊成因

2018/06/15
網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!

2019/06/04
要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

要如何預防駭客攻擊?6步驟教你如何提升網路資安的安全性!

2020/01/22
注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

注意!行動裝置App資安檢測最需要注意「防記憶體偵測」技術!

2021/06/22
什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

什麼是Web Cache?3分鐘快速帶你瞭解Web Cache的功能及使用方式!

2021/07/13
如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

如何防範網站速度的延遲及停機?看國外在特賣期間是如何做到的!

2021/07/13
常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

常見手機APP駭客工具-FRIDA,預防你的網站遭受駭客攻擊!

2021/07/13
App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?

2021/07/22
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!

2021/07/30
支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!

2021/08/09
預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!

2021/08/13
什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!

2021/08/20
新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

新型Android安卓駭客破解工具Mhook出現!當心被手機駭客攻擊!

2021/08/26
從零基礎學破解的駭客工具     Magisk Root,     看懂駭客攻擊如何操作!

從零基礎學破解的駭客工具 Magisk Root, 看懂駭客攻擊如何操作!

2021/09/06
什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

什麼是幸運破解器Lucky Patcher?不得不正視的APP資安問題!

2021/09/15
飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

飛馬間諜軟體讓駭客監控你的手機!不點連結就能自動感染

2021/09/16
什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

什麼是DDoS攻擊?一次教你如何做好DDoS防護,保護你的網站!

2021/09/28
APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

APP資安防禦不可輕忽!最新手遊作弊修改器GameGuardian!

2021/10/04
什麼是滲透測試?從網路資安看Client-Side Template Injection

什麼是滲透測試?從網路資安看Client-Side Template Injection

2021/10/07
手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

手機更新後銀行帳密全被盜!小心Flubot惡意軟體入侵

2021/10/07
如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

如何提升網站速度及效能?推薦先搞懂動態v.s靜態網站的差 異!

2021/10/25
網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

網站在中國速度很慢?中國網站加速的CDN內容傳遞最佳實務!

2021/10/25
如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

如何提升網站效能優化?推薦5個改善網站速度的方法一次看!

2021/11/23
線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

線上學習網站速度太慢怎麼辦?透過CDN達到網站加速!

2021/12/13
遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

遇到DDoS駭客攻擊怎麼辦?一站式的雲端安全管理有用嗎?

2021/12/13
企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

企業安全合規5式,做好DDOS防護提升您的網絡安全策略!

2021/12/27
「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

「負載平衡」是什麼意思?網站加速與負載平衡也有關嗎?

2022/01/03
2021最大資安漏洞!修補方式一次完整揭露

2021最大資安漏洞!修補方式一次完整揭露

2022/01/05
SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

SSTI惡意指令注入防不勝防,面對駭客惡意攻擊,要如何戒備與防範?

2022/01/14
內容傳遞網路(CDN)提供哪些服務?Alibaba Cloud CDN如何?

內容傳遞網路(CDN)提供哪些服務?Alibaba Cloud CDN如何?

2022/01/18
網站速度太慢怎麼辦,速度也會影響到網站的轉換率嗎?

網站速度太慢怎麼辦,速度也會影響到網站的轉換率嗎?

2022/01/24
OWASP Top 10 2021 十大常見的弱點與風險,如何做好企業資安防護?

OWASP Top 10 2021 十大常見的弱點與風險,如何做好企業資安防護?

2022/02/22
源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?

源碼檢測是什麼?動態&靜態的弱點掃描測試有什麼不同?

2022/04/06
Hack Talk駭客論壇,深度剖析ICS攻擊與Windows提權威脅!

Hack Talk駭客論壇,深度剖析ICS攻擊與Windows提權威脅!

2022/04/11
2021年OWASP Top 10新規範,有效補強企業資安機制缺陷!

2021年OWASP Top 10新規範,有效補強企業資安機制缺陷!

2022/04/20
【企業案例】《今日新聞》融合CDN技術,網站流量成長 50%

【企業案例】《今日新聞》融合CDN技術,網站流量成長 50%

2022/05/04
2021 OWASP Top 10 A02加密機制失效的問題

2021 OWASP Top 10 A02加密機制失效的問題

2022/05/12
多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

多層式安全防護機制教學!運用 Anti-DDoS、WAF、CDN 和 Cloud Firewall 鞏固線上業務

2022/06/09