1.媒體來源:
iThome
2.完整新聞標題:
準行政團隊Line國事作法急轉彎,準經長受命客製臺版即時通
3.完整新聞內文:
距離520新舊政府交接剩下不到一個月的時間,準行政團隊為了加速內部溝通速度和品質,
準行政院發言人童振源對媒體表示,已經將行政團隊等32人設立一個Line溝通群組。不過,
政府高層利用Line做政務溝通引發各界對於資安的質疑,準行政院院長林全最後決定,將
改由工研院開發的即時通訊軟體揪科(Juiker),並由曾任工研院副院長的準經濟部長
李世光擔任窗口,協調內閣需要客製化即時通訊功能。
Line預設一對一對話功能加密,但群組對話還不行
Line在臺灣有極高的滲透率,也因此,不少準內閣成員常用Line作為彼此溝通工具。但是
,政府高層若使用Line來討論國家大事,討論過程是否夠安全,是否沒有機密外洩疑慮,
更顯得重要。
由於Line是韓國公司NAVER百分之百的子公司,也就是日皮韓骨的即時通訊工具,目前在
日本、臺灣等地都有極高的滲透率。在2013年7月,曾經發生過日本的Line伺服器遭到不明
人士非法在伺服器中植入帳密竊取程式,有個資外洩風險,NAVER入口網站各項服務會員
個資,總計約169萬筆可能外流,但不含日本國內外Line用戶帳密與個資。當時,經過調查
,流出的個資包括帳號ID、電子郵件信箱、Hash加密的密碼與帳號暱稱,日本Line公司也
針對有個資外洩風險的客戶,寄發修改密碼的信件,要求儘速修改密碼,以免帳號遭到第
三者的濫用。
而在2014年6月,便有日本媒體FACTA online報導指出,韓國政府的國家情報局(前KCIA)
會在訊息發送的過程中,攔截相關的訊息,不過,這樣的作法在韓國是合法的,但是日本則
覺得不可以坐視這樣的問題繼續發生。根據FACTA online追查,韓國國家情報院(前KCIA)
也曾利用此手法再將資料轉送至歐洲進行分析,日本Line帳號資訊也有可能因此洩漏給中國
騰訊。
不過,Line社長森川亮則在部落格駁斥這樣的質疑,也透過技術人員在部落格回應,Line
相關的通訊傳輸都採用RSA 2048位元的加密方式,且包括在無線網路(Wi-Fi)、3G或LTE等
通訊環境中,資料也都加密處理。
公務部門用Line溝通面臨的五大資安議題
雖然Line的App已有部分安全功能,但是對於公務部門使用而言,第一重要的就是通訊時的
安全性,除了早期以加密通訊安全為號召的Telegram,強調連業者都無法攔截已經加密的
對話資訊並造成轟動後,後來包括蘋果iMessage、WhatsApp甚至是近期的Viber等,都陸續
提供端對端的加密功能。至於Line的端對端加密功能只能做到一對一對話的加密,還無法
加密群組對話。
其次,也必須考量即時通訊軟體伺服器的位置。ForceShield技術長林育民表示,因為Line
伺服器都在海外,這也意味著臺灣政府沒有能力控管Line的伺服器,如果必須處理使用者
帳號被盜用,或者是其他終端設備出現異常狀況時,臺灣政府都沒有能力可以即時反應。
再者,使用者的資料和對話訊息都存放在業者在海外伺服器中,林育民也說,Line無法提供
相關的日誌(Log)檔案,一旦發生安全事件或者是資料外洩時,政府的安全部門很難進行
後續的調查與追蹤。
第四點,達友科技副總經理林皇興則指出,使用Line這類的通訊軟體還有一個致命隱憂,
那就是手機的安全性,像是開放平臺的Android手機或是越獄(Jail Break)後的蘋果手機
等,遇到手機簡訊或者是各種即時訊息點擊惡意網址時,更容易被植入惡意程式。資安專家Light
wind Wong也說,手機遺失是最大的資安風險,現階段各家廠商的即時通訊App,都還沒法
做到手機一旦遺失,還能夠確保相關對話內容不被外洩。
最後,在資安領域耕耘超過20年的資安專家GasGas表示,缺乏資安意識和對於使用何種3C
工具缺乏完善的評估流程,其實才是這次外界對於準行政團隊,使用Line作為溝通工具的
最大批評。他指出,沒有一個軟體產品是百分之百安全的,但是,使用者是否具有這樣的
意識,是否有一套完整的評估流程,作為選定各種使用工具的參考依據,而不是只是憑習慣
或想當然爾做選擇,才是一個行政團隊該具有資安意識的評估流程。
林育民認為,如果臺灣政府要使用這類的即時通訊軟體,除了要確認有提供端對端加密功能
外,業者也必須要能提供日誌留存的機制,增加臺灣政府使用這類即時通訊軟體的安全性。
新團隊改弦易轍,決定改用臺灣研發的揪科
在準行政團隊對外宣布採用Line作為溝通工具之際,各界對於資安的疑慮也傳到該團隊的
耳中,像是準科技政委吳政忠便率先開砲,傳達外界對於行政團隊採用Line的憂心,而
準經濟部長李世光則建議,可以採用由工研院研發的揪科(Juiker)通訊軟體作為Line的
替代方案。
工研院研發揪科的團隊,先前也已經透過技轉方式,成為獨立公司源思科技,該公司總經理
黃肇嘉表示,準行政團隊已經要求該公司進行相關的報告,但目前的確還不清楚,行政團隊
對於即時通訊使用是否有特殊需求,必須等到見面報告後才知道。
黃肇嘉表示,從2012年中旬就開始討論是否要自己研發這類即時通訊軟體,面對國外
WhatsApp或是Viber等即時通訊軟體的威脅,也觀察到這種App軟體將深刻影響到臺灣的軟體
產業。當時決定開始研發這類的即時通訊軟體時,他說:「為了要和其他競爭對手不一樣,
決定整合電信業者,衍生出語音OTT(Over The Top)的服務。」
而揪科切入的角度也與一般強調使用者使用經驗的B2C有落差,他表示,目前B2B企業即時
通訊的作法個有不同,像是,思科是從網路的角度來看,微軟從系統的角度出發,Line從
手機、Skype從電腦的角度出發,而揪科則從資訊流的角度出發,並研發出聯邦雲的作法,
讓電腦訊號傳輸無國界,不過資料卻與訊號分離,可以落地、保留在各國。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/105663