原标题:準行政团队Line国事作法急转弯,準经长受命客製台版揪科规格
準行政院团队使用Line作为沟通工具引发资安疑虑,準阁揆林全裁定,由準经济部长李世光接洽,行政团队採用工研院研发揪科的可行性。
图片来源:iThome
距离520新旧政府交接剩下不到一个月的时间,準行政团队为了加速内部沟通速度和品质,準行政院发言人童振源对媒体表示,已经将行政团队等32人设立一个Line沟通群组。不过,政府高层利用Line做政务沟通引发各界对于资安的质疑,準行政院院长林全最后决定,将改由工研院开发的即时通讯软体揪科(Juiker),并由曾任工研院副院长的準经济部长李世光担任窗口,协调内阁需要客製化即时通讯功能。
Line预设一对一对话功能加密,但群组对话还不行
Line在台湾有极高的渗透率,也因此,不少準内阁成员常用Line作为彼此沟通工具。但是,政府高层若使用Line来讨论国家大事,讨论过程是否够安全,是否没有机密外洩疑虑,更显得重要。
由于Line是韩国公司NAVER百分之百的子公司,也就是日皮韩骨的即时通讯工具,目前在日本、台湾等地都有极高的渗透率。在2013年7月,曾经发生过日本的Line伺服器遭到不明人士非法在伺服器中植入帐密窃取程式,有个资外洩风险,NAVER入口网站各项服务会员个资,总计约169万笔可能外流,但不含日本国内外Line用户帐密与个资。当时,经过调查,流出的个资包括帐号ID、电子邮件信箱、Hash加密的密码与帐号暱称,日本Line公司也针对有个资外洩风险的客户,寄发修改密码的信件,要求儘速修改密码,以免帐号遭到第三者的滥用。
而在2014年6月,便有日本媒体FACTA online报导指出,韩国政府的国家情报局(前KCIA)会在讯息发送的过程中,拦截相关的讯息,不过,这样的作法在韩国是合法的,但是日本则觉得不可以坐视这样的问题继续发生。根据FACTA online追查,韩国国家情报院(前KCIA)也曾利用此手法再将资料转送至欧洲进行分析,日本Line帐号资讯也有可能因此洩漏给中国腾讯。
不过,Line社长森川亮则在部落格驳斥这样的质疑,也透过技术人员在部落格回应,Line相关的通讯传输都採用RSA 2048位元的加密方式,且包括在无线网路(Wi-Fi)、3G或LTE等通讯环境中,资料也都加密处理。
而Line之前,也曾经推出包括隐藏交谈、限时通讯、密码锁和4位数的安全PIN码等功能,但这些功能必须要另外启动不同的交谈功能介面,因此使用上,也较不普遍。直到2015年10月的Line新版本中,预设开启在一对一对话时提供进阶加密功能,可以加密对话,再把加密金钥存放在使用者的装置上。不过,Android手机预设开启,在iOS手机上,对话双方则必须自行启动Letter Sealing功能,才能做到双方对话内容加密、传输加密。
据了解,在2015年底升级的Line版本中,已经预设开启Letter Sealing功能,所有的一对一对话功能,都已经可以做到自动加密,不过,群组对话时,目前无法做到端对端的加密功能,还处于测试阶段,需要一段时间才会推出。
公务部门用Line沟通面临的五大资安议题
虽然Line的App已有部分安全功能,但是对于公务部门使用而言,第一重要的就是通讯时的安全性,除了早期以加密通讯安全为号召的Telegram,强调连业者都无法拦截已经加密的对话资讯并造成轰动后,后来包括苹果iMessage、WhatsApp甚至是近期的Viber等,都陆续提供端对端的加密功能。至于Line的端对端加密功能只能做到一对一对话的加密,还无法加密群组对话。
其次,也必须考量即时通讯软体伺服器的位置。ForceShield技术长林育民表示,因为Line伺服器都在海外,这也意味着台湾政府没有能力控管Line的伺服器,如果必须处理使用者帐号被盗用,或者是其他终端设备出现异常状况时,台湾政府都没有能力可以即时反应。
再者,使用者的资料和对话讯息都存放在业者在海外伺服器中,林育民也说,Line无法提供相关的日誌(Log)档案,一旦发生安全事件或者是资料外洩时,政府的安全部门很难进行后续的调查与追蹤。
第四点,达友科技副总经理林皇兴则指出,使用Line这类的通讯软体还有一个致命隐忧,那就是手机的安全性,像是开放平台的Android手机或是越狱(Jail Break)后的苹果手机等,遇到手机简讯或者是各种即时讯息点击恶意网址时,更容易被植入恶意程式。资安专家Lightwind Wong也说,手机遗失是最大的资安风险,现阶段各家厂商的即时通讯App,都还没法做到手机一旦遗失,还能够确保相关对话内容不被外洩。
最后,在资安领域耕耘超过20年的资安专家GasGas表示,缺乏资安意识和对于使用何种3C工具缺乏完善的评估流程,其实才是这次外界对于準行政团队,使用Line作为沟通工具的最大批评。他指出,没有一个软体产品是百分之百安全的,但是,使用者是否具有这样的意识,是否有一套完整的评估流程,作为选定各种使用工具的参考依据,而不是只是凭习惯或想当然尔做选择,才是一个行政团队该具有资安意识的评估流程。
林育民认为,如果台湾政府要使用这类的即时通讯软体,除了要确认有提供端对端加密功能外,业者也必须要能提供日誌留存的机制,增加台湾政府使用这类即时通讯软体的安全性。
新团队改弦易辙,决定改用台湾研发的揪科
在準行政团队对外宣布採用Line作为沟通工具之际,各界对于资安的疑虑也传到该团队的耳中,像是準科技政委吴政忠便率先开砲,传达外洩对于行政团队採用Line的忧心,而準经济部长李世光则建议,可以採用由工研院研发的揪科(Juiker)通讯软体作为Line的替代方案。
工研院研发揪科的团队,先前也已经透过技转方式,成为独立公司源思科技,该公司总经理黄肇嘉表示,準行政团队已经要求该公司进行相关的报告,但目前的确还不清楚,行政团队对于即时通讯使用是否有特殊需求,必须等到见面报告后才知道。
黄肇嘉表示,从2012年中旬就开始讨论是否要自己研发这类即时通讯软体,面对国外WhatsApp或是Viber等即时通讯软体的威胁,也观察到这种App软体将深刻影响到台湾的软体产业。当时决定开始研发这类的即时通讯软体时,他说:「为了要和其他竞争对手不一样,决定整合电信业者,衍生出语音OTT(Over The Top)的服务。」
而揪科切入的角度也与一般强调使用者使用经验的B2C有落差,他表示,目前B2B企业即时通讯的作法个有不同,像是,思科是从网路的角度来看,微软从系统的角度出发,Line从手机而Skype从电脑的角度出发,而揪科则从资讯流的角度出发,并研发出联邦云的作法,让电脑讯号传输无国界,不过资料却与讯号分离,可以落地、保留在各国。
工研院从2013年1月着手研发,同年11月就完成开发,为了安全,黄肇嘉表示,揪科採用HTTPS/TLS1.0~1.2的加密演算法,而工研院本身也是揪科第一波的测试者。工研院有八千名员工就有八千台分机,相关的异动频繁,纸本列印往往缓不济急,因此,揪科便开发出企业通讯录的功能,所有的通讯方式都建置在云端平台上,有异动直接在云端平台做修正即可,也有利于使用者查询相关的联络人资讯,也可以直接传讯或打电话。
再者,黄肇嘉也指出,有了云端的企业通讯录后,为了确保隐私,在终端显示时,会隐藏手机号码的部分数字,使用者可以直接拨打,却无法看到完整的使用者资讯,不仅确定授权者是有权可以拨打的对象,也保护相关资讯的安全,减少外洩的机会。
第三点,黄肇嘉认为,揪科最大特色就是企业级的聊天室权限控管机制,不仅可以确定谁有权限可以进入到某个聊天室,还可以知道哪些人已经读取哪些资讯,但哪些人还没读取,甚至于,也提供档案的交换时,是否已经读取列印等相关记录。
他指出,因为一般的聊天室是对外公开的形式,但是企业的聊天,也会涉及许多机敏资料的交换和讨论,所以,不仅严格控管每个人的权限,记录所有的聊天记录,甚至于,当员工已经离职后,可以直接从云端平台移除该名同仁的权限,系统也会主动把该名同仁从相关的聊天室移除,进一步确保聊天平台的安全性。
第四点,为了降低Line常见的手机上不明恶意网址讯息带来的风险,黄肇嘉表示,揪科和趋势科技合作,只要聊天室中出现各种网址连结,就可以先透过云端防毒平台进行网址的扫描,进一步确保使用者的安全。最后,他指出,揪科也会提供许多API让企业介接内部系统,也会提供一个云端的控制平台,可与企业内部AD或者LDAP整合。
相关:
三星 Note6 原型机规格曝光,5.8 英寸荧幕、4000 毫安时电池、6GB RAM
近日?GSM Helpdesk?获得了一些关于 Note 6 的消息,其中包括和 S7 一样有两个 CPU 版本,并且使用了 4000 毫安时电池和 6GB RAM。据 GSM Helpdesk 表示,他们获知了两款 Note 6 的原型机的一些情况,两种款式分别为
《向20位ceo学聪明工作法》老师没教你的职场街头智慧!学起来..下次就换你了(员工想升迁加薪必看)
有时候...看着高阶领导人在企业中呼风唤雨,你是否好奇他们是如何到达今天这个地位?这些CEO如何思考?他们曾遭逢挫折难题吗?如何发挥才能与热情?如何超越自我,一路向上提升?要在职场上成功致胜,你可以向CEO看齐
扬子晚报讯(通讯员 叶方龙 记者 范晓林)14日上午11点,家住六合区冶浦社区的市民柏女士骑一辆 电动车 从单位回家,照平时习惯,柏女士将自己装有电脑、手机、银行卡及现金等物品的手提包摆放在 电动车 踏板 上,然
HTC 10 正式发表之后,宣告 2016 上半年会在台湾推出的 Qualcomm Snapdragon 820 高阶手机数量大致底定,除了近期开卖的?LG G5、即将开卖的 HTC 10,还有预计年中推出的 Sony Xperia?X Performance,以及小米手机 5,
联力跨足电源供应器市场,推出 2 款 SFX-L 规格中高功率产品
Mini-ITX 机壳塞入 ATX 电源供应器,通常会让內部空间变得很拥挤,甚至是妨碍到空气流通效果,最佳应变之道无非是改采用 SFX 电源供应器。联力不断推出各式 Mini-ITX 铝质机壳,或许是嗅到这潜在商机,毅然决定跨足