即時通訊(IM)軟體帶給人們極大的便利,但傳輸安全問題也浮上檯面。這些軟體雖然都已搭配安全傳輸保密機制,因此外在攻擊者無法截取通訊內容,但其建置的伺服器大多在國外,使用上能否安心?本文將深入探討這些問題。
這個世界的資訊傳遞發展趨勢,已經由傳統的實體接觸的交流,擴大成為不僅是聲音遠距離傳送,連同文字、多媒體、影音的即時傳達,變成了沒有時空限制的全方位通訊環境。歸功於社群軟體與即時通訊的發展,人與人之間聯繫不再受限於地點、國界甚至於時間,就如同將整個世界都拉在一起,隨時隨地都能與遠方的朋友分享周遭的人事物,抑或是情感的交流。
然而,在數量愈來愈龐大的人們依賴著這些軟體,背後所透露的風險危機令人不寒而慄。由於過於依賴及習慣,人們總是不經意地將自己的私事放在社群軟體上。這些私事在某些人看來,可能覺得無所謂,然而對於有心人士,或與當事人有利益糾葛的關係人而言,這些訊息的揭露卻可能造成受害人的人生或事業上重大危機。若將利益層級再往上看,如果公司內部員工透過這些軟體談論工作上的事務,甚至是公司機密;或者政府公部門的人員在這些軟體上大談闊論國家政策或是敏感議題,受影響的不僅是個人隱私,連同國家安全都是十分危殆的。
當然,許多人會說,這些軟體的開發應是注重安全的。譬如以網頁開發的軟體,都會使用TLS(Transport Layer Security)(或SSL)的加密機制避免有心人士擷取網路上的封包。而像是LINE也宣稱提供了點對點的加密機制(End-to-End Encryption,E2EE),每個用戶都有自己專屬的加密金鑰,官方稱之為Letter Sealing(信件資訊密封保護),就算在群組中也有這項保護裝置。若有惡意人士要從網路或其他通訊方式攔截訊息,得到的恐怕也只是一堆亂碼式的密文,可以防止聊天的訊息被惡意揭露。然而,令人擔心的是,通常這些知名的通訊軟體都由國外公司開發,其相關儲存設備及伺服器通常也由國外的這些公司所控制。我們將某些重大機密在這些平台上流通,能不擔心儲存安全的問題嗎?
手機LINE對話資料被截圖的事件屢見不鮮。例如,有學生在LINE群組上的情緒性對話內容,被同學或導師截圖公開,造成當事人極大困擾。此外,也有因使用LINE對話傳錯群組發生之洩密問題,如新聞報導一位潘姓員警本欲傳送在2017年偵辦擄人勒贖案件的進度給合作處理之同事,但卻不小心傳送至討論年金改革的群組之中,造成不小的紛擾。
對於LINE或Facebook公司自身的信賴度,近幾年來也頻遭質疑。根據2018年的報導,LINE公司更改「隱私權政策」並要求使用者同意才能繼續使用(圖1)。雖然LINE公司也宣稱在點對點加密機制下,LINE公司也無法看到對話內容,而且隱私權仍可在設定「提供使用資料」中取消同意,但這已經造成使用者的不信賴感。
此外,根據2019年自由時報的報導,Facebook公司也承認曾經為了確認自動轉錄語音的正確性,進行將旗下的通訊軟體Messenger中的語音通話內容轉成文字以作為審查(圖2)。雖然官方也宣稱後來即停止該項工作,但仍舊引起不小的波瀾與擔憂。更何況Facebook持續被爆出漏洞問題,最近在2019年所爆發的資安問題,導致超過4億用戶的電話號碼個資因而洩漏,事已至此,還能不小心謹慎使用這些軟體嗎?
在即時通訊軟體中強化安全
網路上有許多提出如何保護個人隱私的文章,無論在LINE或是Facebook Messenger都有多種所謂保護隱私的「密技」。許多的安全設定方式、勿隨意與陌生人交朋友,或是參與加入群組要小心是否人員有異樣等等,都是良好的自我保護的習慣。然而,追本溯源,仍然必須有一個技術上可以維護安全的方案,這樣才有可能打造一個安全無虞、可信賴的私密通訊空間。
在政府機關的宣導文件上可以看到許多對於使用通訊軟體的警語及規範,例如在一份名為「LINE來LINE去,LINE出問題」的公務宣導中便說明了相關的操作風險與軟體風險,建議不應使用在機敏的公務文件傳輸上。其主要也擔憂LINE公司可能進行對話通訊側錄的疑慮。對於公司若被駭客入侵,則可能造成檔案及通訊內容洩漏的問題提出了警示。
當然,在國內使用者大多習慣於LINE及Facebook Messenger兩大通訊軟體,若要全面改用其他方式或是軟體並非易事。話雖如此,國內自己打造一套專屬好用的安全通訊程式仍是相當值得期待的。中央研究院資訊科技創新研究中心開發了一套SKI+即時通軟體(https://iptt.sinica.edu.tw/shares/905)(圖3),具備了讓使用者享有絕對的隱私之特性,強調用戶的密鑰連主機伺服器也未取得,無法解密還原通訊雙方的對話。而由國內自行開發的軟體,也提供一個足以令人安心的資料保護通訊平台。
上述軟體唯一讓一般使用者躊躇不前,不會馬上就嚐鮮使用的原因,主要還是在於習慣性與平台的熱門使用程度。大家也會想是否自己的親朋好友也想要使用,在這軟體上能否找到許多新的朋友等。例如以Google在社群平台上面的努力,推出了Google+,然而卻不受到太多的歡迎,無法改變使用者的習慣及吸引新用戶的目光,因此最終在2019年4月2日停用,並陸續刪除帳戶內的資料。這足以說明一個社群軟體的成功,除技術及功能外,仍需要各種人事時地物的相互配合。
因此,本實驗室團隊進行了一個實驗,將自行以外加的方式將傳入即時通訊軟體的資料進行加密,使得資料在進入這些軟體的資料庫前便以自己產生的密鑰加密,整個系統搭配以Facebook Messenger為主,並以良好的配合性讓用戶可以一方面使用自己偏好的通訊軟體,也能在運用時多了一份安心與放心。圖4為實驗系統的簡圖,該系統屬實驗性質,說明安全架構之建立方式。
打造一個屬於你的信賴私密通訊空間
當人們對於網路的依賴愈來愈重,未來網路世界的風險便只會愈來愈高。懂得保護自己才是王道,也才是過好網路生活的不二法門。因此,如何能夠保密資料,一般網路人也需要理解這樣的概念。當加解密的密鑰(Secret Key)掌握在自己手裡,而非由主宰軟體的開發商全面性掌控,才可能有高程度的安全性。因此,針對所進行實驗性質的Facebook Messenger延伸安全組件架構,分成以下三部分做說明:
通訊資訊的加密
在資料通訊前,即可針對通訊的雙方製造專屬的協議密鑰。實驗進行採用快速且安全的橢圓曲線密碼學(ECC)模式來配置通訊雙方的加密鑰匙,而加密方式採用美國國家標準局之國際進階加密標準(Advanced Encryption Standard,AES)進行。因此,就算系統伺服器有意擷取通訊對話,也無法成功破解。開發的方式以網頁瀏覽器之擴充功能套件(Extension)為主要使用者介面,如圖5所示。
當使用者按下主畫面中的加密按鈕後,即可於網頁版的Facebook Messenger中鍵入所欲傳送之文字,該文字即經加密後傳送出去,可以在Messenger中看到密文的情況(如圖6之資料輸入情況)。資料傳輸時是否加密,可由上述〔加密〕按鈕決定。
關於此實驗系統的幾個優勢,接著加以說明:
1. 在原來的Facebook即時通訊軟體下有自己的通訊及資料儲存之保護方式,本方案可說是疊加的資料保護措施,多加了一個用戶可以控制的密鑰配置方案。
2. 可能常有許多的好友會在一起使用電腦,或是不小心開啟網頁被朋友看到聊天的畫面,在尚未被解密之前,使用此套件所呈現的都是如圖6所示的密文狀態,可避免朋友間的尷尬。
當要解密時,可利用主畫面視窗,或是在密文上面按下滑鼠右鍵,然後選擇快速選單中的【解密】,如圖7所示。
密文關鍵字搜尋
在資料加密的情況下,如何能快速找到自己過去曾送出或接收的對話呢?一個比較簡易可行的方式是在加密時即設定好對話的關鍵字,以便於將來搜尋時可以快速找到該對話資料。本實驗系統操作搜尋方式,說明如下:
首先,選擇想要搜尋的關鍵字(下拉式選單,可以新增及修改),然後產生該關鍵字的密文訊息,如圖8所示。 接著複製該密文字串,在Facebook Messenger裡進行搜尋,如圖9所示。
群組加密功能
系統也提供了群組加密的功能。群組管理員(發起者)進行群組註冊後,所有的群組成員便能夠共享相同一把密鑰,如此可防止群組以外的人員竊取對話資料,或截圖洩漏對話的資訊。圖10顯示在Facebook大畫面時的群組加密傳送情況。
社群傳訊軟體的危機與轉機
社群傳訊(即時通訊)軟體已是人們生活中不可或缺的一項工具,無論在一般桌上型電腦、筆記型電腦、平板電腦,甚至於手機都可見其蹤跡。不可諱言,一項方便的軟體帶來了生活型態的改變,也帶來了訊息快速流通之便利,更有大數據分析的商機。然而,這背後所潛藏的惡意威脅也隨之而興起。細數這些可能的危機,有下面幾項:
1.隱私安全的危害。對話內容資料是否會曝光?保護隱私安全的設定是否正確,都會影響對話內容的保護。
2. 帳戶安全。帳戶有被竊用的風險。使用電腦與手機帳戶資訊同步,或借用第三方軟體的資訊登入帳戶時,其安全性更應該要特別重視。
3.好友設定之安全問題。對於來路不明之好友邀請,或是可能冒用認識朋友帳戶之有疑慮的邀約,要格外的謹慎,避免個人隱私洩露。在群組中發言亦須謹慎,確認群組中涵蓋的人員名單是否有異常情況或不認識的人員加入。
4.資訊內容及連結的安全問題。對於通話資料上的一些連結訊息,或是檔案資料,必須要再三確認其安全性,避免惡意連結。未留意的結果可能使得隱私曝光,或是手機、電腦等被植入木馬及後門的危險。
5. 傳輸訊息或資料的隱密性風險。避免在社群之通訊軟體上面傳輸個人、公司,甚至於工作或公務相關的訊息或檔案。必要時須採用安全且能由用戶掌握之密鑰及加密方式進行處理後,再傳輸至即時通訊軟體之中。
而如何將上述的危機,轉換成普羅大眾對於資安意識的認知強化,讓這些惡意攻擊的集團無所遁形,這應是一項重要的議題與行動方案。大家日常之中可以加強的資安意識簡述如下:
1. 了解加密與解密的安全意涵、理解密鑰之安全與保護,並能獲知國際標準的安全加密方式。
2. 熟知帳號安全與通行密碼的機制,了解如何維護帳戶之安全性。
3. 具備隱私安全、認證安全、通訊加密、資料儲存加密以及資料放置雲端之安全意識。
結語
本文展示了在一個可能充滿危機的網路傳輸資訊環境中,透過與現有的即時通訊軟體(以Facebook Messenger為例)結合的方式,達到資訊保護疊加與機密訊息屏蔽的雙重目的。本實驗的解決方案可以讓用戶保有原來的使用習慣及在社群平台中的好友,但能提升軟體使用的安全層級,不啻為現階段可暫行的運作模式。
而最佳的安全模式,須強化所有用戶對於即時通訊使用的安全意識,了解哪些資訊是需要提升其機敏等級,不應任意且無保護地傳輸至這些通訊平台之上。此外,仍建議國內業者及研究單位儘速合力打造屬於國內專屬的即時通訊平台,迎向這網路世代通訊的嶄新趨勢與挑戰。
<本文作者:社團法人台灣E化資安分析管理協會(ESAM, https://www.esam.io/)國立嘉義大學資訊安全實驗室Information Security LAB(NCYU ISLab)於2002年創立,由王智弘教授率領成員們致力於密碼學技術及入侵偵測防禦之應用與研究,其領域包含但不限於密碼學系統、網路安全協定、入侵偵測防禦及運用機器學習之異常偵測技術等。>