最大的資安漏洞是使用者?LINE 資安長和 Intertrust 技術長訪談

LINE 與 Intertrust 聯合舉辦的第一屆資安高峰會上禮拜在東京剛剛結束,INSIDE 在會後也訪問到了 LINE 的資安長中山剛志與 Intertrust 技術長 David Maher,請他們談談資安的重要性、未來趨勢,以及使用者需求與安全性的矛盾。
評論
▲LINE 資安長中山剛志
▲LINE 資安長中山剛志
評論

LINE 與 Intertrust 聯合舉辦的第一屆資安高峰會上禮拜在東京剛剛結束,INSIDE 在會後也訪問到了 LINE 的資安長中山剛志與 Intertrust 技術長 David Maher,請他們談談資安的重要性、未來趨勢,以及使用者需求與安全性的矛盾。

為什麼換個手機 LINE 對話就不見?

根據 LINE 官網,LINE 目前採用 LEGY 協定並預設開啟點對點加密、刪除就真的不留痕跡的 true delete 、還有多一層保障的兩階段驗證等。當然,LINE 資安人員也坦承,他們時常接到使用者對於認證方式繁瑣,以及資料不易備份或復原的反映,目前在 Android 手機上因為沒有像 iCloud 一樣的官方備份,必須逐則訊息備份,也是因為每則訊息獨立加密,分別需要不同的鑰匙來開的緣故。

LINE 資安長中山剛志解釋,LINE 源於日本,對於隱私保密的要求也遵循日本水準,再根據各國法律微調,並且將使用者通訊隱私防護擺在第一順位,而非以大量交友為優先。因此預設採用點對點加密等措施就是確保用戶對話不會輕易外流,甚至 LINE 本身也不會留存。

身為全日本第一家公布 透明度報告 的公司,報告中清楚揭示官方向 LINE 要求提供資料的次數。中山剛志也藉此強調 LINE 對用戶隱私的重視,手在空中大幅比劃,熱情地解釋道,「就算警察來要資料,我們也會要求必須有法院命令;就算用法院命令調閱資料,基於點對點加密,LINE 這邊也沒有留存對話內容,提供不了什麼資訊。」

難道沒有便利與安全兼顧的方案?

中山剛志透露,這次加入提倡免密碼驗證技術的 FIDO 董事會,就是看好生物特徵辨識的便利,也是 LINE 未來建置安全驗證的重點選項之一。要達到高安全性,軟體服務可能會要求使用者設定複雜又難記的密碼。但透過難以取代的指紋、臉部、虹膜等生物特徵來驗證,就可以省去設定密碼的麻煩。

另外 LINE 和在安全領域已有數十年經驗的 Intertrust 展開合作,具體項目尚未確定,不過找出既便利又安全的驗證機制,將是 LINE 資安近期的主要方向。

別把鑰匙交出去!使用者的資安意識必須提升

近年除了以高超技術破解密碼以外,更興起 社交工程 釣魚來騙取使用者的登入資訊。鎖再精密也不能把鑰匙交出去,就算安全機制再嚴謹,若使用者親手交出帳號密碼那也只是白忙一場。

中山剛志舉例,如果陌生人冒充你家人寄信,跟你要銀行帳號密碼,而此時使用者的安全意識不足,把相關資訊雙手奉上,那帳戶當然就被偷了。不論是在台灣或是日本,很多人都缺乏資安意識,因此使用者教育就更顯重要。於是 LINE 擔起企業社會責任,自己動手推行資安教育,除了這次偏向紀錄探討的高峰會,去年更已在日本全國超過 1500 所學校施行網路威脅教育。

中山剛志元氣十足地說道,隨著 LINE 服務從即時通訊到將來進入 物聯網 、AI 領域,都需要帶動使用者跟上,這也是 LINE 的使命。

連網程度越高,暴露風險愈高

▲Intertrust CTO David Maher

談到物聯網,Intertrust 的技術長 David Maher 也提出從 PC 時代到行動時代的資安演進,聯網程度愈來愈高,連應用程式都變成遠端下載而非透過實體光碟安裝。「透過網路,別人的程式碼就能進入你的裝置並運行,防範起來就更複雜。」

不過行動作業系統如 Android、iOS 等也因為資安發展經驗累積,從一開始的架構上,安全性就已經比桌機原生的 Windows、MacOS 好。

David Maher 表示 Intertrust 通常與軟硬體製造商合作,制定安全標準,比如自動車的安全規範等。由於 Intertrust 很少直接面對使用者,Maher 也希望能透過與 LINE 合作,獲得更多服務應用上的回饋。

Maher 認為,到了物聯網時代,家裡所有設備都可連網,要是碰上最近很紅的勒索軟體那可會讓你的生活瞬間從便利變得悲慘,不只是控制電燈,「現在已經有飯店門鎖系統被攻擊,最近 WannaCry 事件也傳出英國一家醫院受到影響。」

安全和便利也許是兩難,而兩全則是技術人永遠的追求

 

在愈來愈開放的聯網世界中,對於未來的資安技術,Maher 認為基本必須「軟硬兼施」,強化硬體可以防範進入系統前的解鎖,而進入軟體後,他也看好這次會議中提到的白箱加密。應用上 Maher 認為這次大會中提到的 FIDO 生物驗證,就是讓驗證變得更方便又兼顧安全性的實例。

另外提到使用者對資安的態度,Maher 則閉上眼陷入長考,慢慢說道「『資訊安全』是很難單賣的,人們總是覺得高標準的資安只是基本必備門檻。」而前面中山剛志資訊長提到使用上便利性與安全性的兩難,Maher 認為雖然在技術突破前,的確得考量兩者的平衡,不過長期來說,這正是產品設計者永遠的功課,而便利與安全隨著時代都正往更好的方向前進,「以前手上拿一堆東西,就沒有手開車門;現在已經能做到鑰匙靠近車門就會自動打開。」對 Maher 來說,能聽到使用者的不合理要求,才是技術進步的動力。

「我很喜歡聽使用者抱怨,這可以讓我知道怎麼讓事情變得更好。」

Maher 一掃方才苦思的表情,變回興奮參與這場大會的技術人,迫不急待要踏上追尋安全和便利兩全的征途。

延伸閱讀: