去年(2017)聖誕節前夕,比特幣(Bitcoin)價格直衝兩萬美元,密碼貨幣的熱潮,也帶動區塊鏈(BlockChain)百花齊放,通訊軟體LINE挟著超過2億LINE用戶數的利基,在今年夏天推出密碼貨幣交易所BITBOX,面對許多交易所駭客危機頻傳,LINE也在資安投入不少心力,除了將朝「無密碼認證」方向邁進,本周更宣布要在台灣招募更多的資安人才。
沒有最完美的資安設計,交易所BITBOX謹慎以對
2018年將邁入尾聲,讀者還有印象的話,今年初密碼貨幣交易平台遭駭事件頻傳,一月時日本加密貨幣交易所Coincheck遭駭引起高度關注,高達5.23億美元(約合新台幣152億元)的「新經幣(NEM)」遭竊,成為全球史上最大規模虛擬貨幣竊案。
正因為如此,LINE今年所推出交易所BITBOX的資安防護,也讓外界格外關心。LINE資深資安工程師安相煥分享說:「世界上沒有最完美的資安設計,但我們希望能做到接近完美。」LINE在推出BITBOX前,已經參考了市面上所有可能發生過的狀況。
「駭客可能就是員工,」安相煥表示,因為熟悉公司內部運作,員工可能會跟外部人士合作在平台上偷錢,「LINE的立場,是傾向不相信員工。」在交易平台上一個閃失,賠掉的都是用戶的辛苦錢,因為LINE會讓許多不同的人持有Key(鑰),來分散被單一攻陷的風險。
此外,在BITBOX上也使用了分層安全(Layered Security)設計,正因為LINE已經學習了市面上所有的攻擊招式,透過分層的系統設計,才不會因為單一缺口,讓整套系統遭到攻陷。
今年八月起,韓國駭客組織「GrayHash」也加入LINE團隊,在旗下成立 「GrayLab」支援旗下資安檢查跟測試。
密碼再見,預計明年開始推生物辨識
此外,LINE也將朝「無密碼認證」方向邁進,計畫導入指紋等生物辨識技術,事實上,LINE在去年六月就宣布加入全球最大身分驗證技術聯盟FIDO,「LINE是FIDO聯盟的董事會成員之一,」LINE資安策略團隊經理市原尚久(Naohisa Ichihara)受訪時表示,FIDO能讓各類連網服務,以生物驗證的方式,更快速、安全的辨識使用者身份,目前FIDO董事會還包括Microsoft、Intel、Google等科技巨頭。
而FIDO通用伺服器認證的好處,是不需取得使用者的個資,LINE台灣資深資安工程師劉威成表示:「現在市面上很多手機都有支援FIDO了,只是相關應用比較少而已。」而LINE的目標,就是希望未來在旗下服務中結合生物辨識技術。
劉威成表示,LINE確實是有規劃用生物辨識技術取代傳統密碼,而FIDO可分為兩種協定,「一種就是取代現有的密碼,另一種就是二階段認證,用密碼加上生物辨識。」採用這兩種協定的差異,就取決於搭配的服務需求。舉例來說,當牽涉到金融轉帳時,可能就需要二階段認證增強安全性,一般通訊服務解鎖,就能直接採用生物辨識取代密碼。
市原尚久表示,預計明年(2019)會陸續推出生物辨識相關服務,最終目標是推展到全球,但目前仍沒有精準的時間表,也不確定會從哪個國家地區開始推行。
隱私權意識提高,LINE擴大招募台灣資安人才
號稱「史上最嚴格個資法」的一般資料保護規定(General Data Protection Regulation,簡稱GDPR)今年五月正式上路後,用戶隱私權意識提高,尤其LINE在今年陸續推出LINE購物、LINE Mobile、LINE Pay 一卡通帳戶、LINE旅遊等新服務,對LINE來說勢必要在資安領域投入更多。
因此,LINE宣布將在台灣擴大資安人才編制,LINE台灣資深資安全工程師劉威成透露,將釋出應用程式安全工程師、資訊安全工程師兩類職位,總共會開放四個職缺。LINE台灣總經理陳立人曾在上個月表示,要在台灣釋出250名職缺,這次資安人力的擴增,就是LINE在台灣擴大投資的象徵。
劉威成認為,台灣無論是在技術或法規上,對於隱私個資的態度都很積極,這就是其中一大優勢。
尤其隨著LINE產品線擴張,所牽涉到的層面越來越廣,以LINE旅遊來說,就會跟許多第三方單位有資料交換問題,「因為會需要資安人力,在產品規劃時就加入討論。」劉威成表示,台灣資安能量豐富,除了可以讓更多服務與在地結合,未來資安職缺也不只是服務台灣市場,也會跟全球市場一起合作。
