#zoom資安七大漏洞的對應措施
上週四(9日)立法院國民黨團召開記者會,抨擊教育部無配套措施就禁止使用zoom,且未說明教學與資安疑慮的關係。更有國民黨籍立委表示「如果真的有陸方監控,真的有情資問題,那不是很好嗎?」,認為反而可利用zoom來「反反滲透」,讓中國了解台灣民主自由價值。
其實,遠在教育部上週二(7日)發布禁止各級學校使用有資安疑慮的聲明之前,我的臉書從三月開始就陸續有關於zoom的資安問題討論。這幾天更是沸沸揚揚,有認為基於對該公司背後的中資、大量中國境內工程師以及數據流往中國的不信任,支持教育部的決策、認為不該使用;也有不少朋友認為zoom的許多疑慮都來自於新創公司常犯的便宜行事,只要修正就好,視自己的資安需求斟酌要不要使用。
面對臉書上的各方見解,我決定來請教 #強者我朋友!這次請到的是台灣工程師的矽谷故事的Winston大大,目前正在做監控系統的新創(Startup),他為我整理了目前常見的七大疑慮,並提供對應的方法。
以下,給對zoom有疑慮和曾經下載過zoom的朋友,提供資訊安全的補強方法:
①#亂入的惡作劇攻擊(zoom bombing)
由於zoom的會議預設無密碼、會議 ID 過短而很好猜,所以容易讓有心人士亂入,發生下述②的問題。
➡︎預防的方法很簡單,就是 #所有的會議都要設定密碼!
②#公開會議裡的陌生人與不明訊息
第一點的 zoom bombing 讓有心人士可以直接加入沒有被邀請的會議,在會議中進行釣魚工作,最嚴重的狀況是邀請與會者下載安裝間諜軟體,導致電腦手機成為駭客可以遠端控制的殭屍網路(botnet)。
➡︎這事不限於在zoom發生,不管在哪裡,#都不要亂點來路不明的連結或是下載奇怪的東西,這是資訊安全的基本防護。
③#被駭客抓到你的密碼
zoom有一個安全漏洞可以讓駭客抓到你的 windows hash 過後的密碼。
➡︎ #讓他抓不到你的路徑 如下,請直接從 windows 作業系統中禁止: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers and set to "Deny all".
④#蒐集大量使用者個人資料
其實大部份人不太在意這件事情,有不少軟體、網站都有類似的行為。
➡︎最好的處理方式就是 #用一台沒有連接你任何社交帳戶的電腦/手機使用 zoom ,這樣他們什麼也抓不到。但是如果你之前已經使用過 facebook 、google 、或是 linkedin 登入的話,他們已經知道了⋯⋯來不及了。
⑤#各式軟體安全疑慮
zoom的程式中使用了一些常用於電腦病毒的方法和造成登錄憑證漏洞,在macOS跟Windows 系統中都產生了一些資訊安全問題。
➡︎要避免風險的方式是 #用一台專門的電腦/手機來進行 zoom 的會議,會議後立刻關機斷電,該機不能做任何其他用途。
⑥#謊騙加密等級
Zoom先前宣稱有做到全面的End-to-End (E2E) Encryption 點對點加密。事後卻被發現,他們只有「聊天室」有E2E,「視訊」是沒有的,而其安全防護也被資安專家認為有破口;作為一個標榜資訊安全的公司,用謊言欺騙信賴它的使用者,是違背其宣稱的核心價值的。
➡︎無解,不要用 zoom 來討論公司或國家機密!
⑦#加密的金鑰被送到北京
加密的金鑰被送到北京的機器去,可說是這次教育部禁用的關鍵因素,強者我朋友認為,這應該不是故意要做什麼攻擊,只是zoom便宜行事,這也表示標榜注重資訊安全的zoom其實沒有很重視資訊安全。
➡︎無解,在意就不要用 zoom!
👆綜觀上面七點,從 #資訊安全、#企業誠信 到 #中國因素,就看大家的選擇囉!關於zoom的資訊安全漏洞,一直都有許多討論,創辦人也一直都是中國人,教育部推翻先前推薦zoom的決策過程確實有點令人措手不及。
👊回到新竹市,因為擔心教師們重新適應新軟體可能帶來的教學與受教權益的衝擊,我也向教育處瞭解我們新竹市學校的目前狀況。
教育處表示,由於一開始就 #要求各校至少要採取兩種以上的方案來模擬演練,所以當zoom不能用時,備案的啟動都還算順利。
也歡迎老師同學們和我分享你的視訊軟體選擇,防疫期間有任何疑問和建議也都可以和我聯絡喔!
————
參考資料連結🔗
Zoom's Encryption Keys Are Sometimes Being Sent to China, Report Finds
https://reurl.cc/j7R0qD
Zoom security bug lets attackers steal Windows passwords
https://reurl.cc/xZ1q0V
————
大家還記得上次的「強者我朋友」是聊什麼嗎?😂
蒐集大量使用者個人資料 在 簡述兩則近期美國聯邦貿易委員會與Facebook、Google及 ... 的推薦與評價
本文以下謹簡介此兩個案例,或可作為我國企業於蒐集或利用消費者個人隱私資料之借鏡 ... 程式透過Graph API大量獲得超過實際使用該第三方應用程式者的個人資料,包括: ... ... <看更多>