資通安全處:[資安通告] 蘋果iPhone手機存在高風險漏洞，蘋果呼籲用戶儘快進行更新 各位長官同仁好， 蘋果iPhone手機存在高風險漏洞，駭客只要發送惡意訊息到您iPhone手機上的iMessage中，就算您沒有打開訊息，駭客還是可以入侵到您的iPhone手機，以竊取手機上的資訊、監聽通話等，風險頗高。 蘋果已在14日對各種裝置推出緊急修補更新程式，除了蘋果iPhone手機外，蘋果智慧型手錶(Apple watch)、蘋果平板(iPad)、影音撥放機(iPod touch)和蘋果電腦(筆電)也都受影響，蘋果呼籲用戶儘快更新。 總公司資安處

分享有關葉教授寫的Zoom,資安問題。雖然有些庶民用語，但還滿切實際的，給大家參考。 葉丙成教授寫的 【Zoom 好危險、好可怕？！】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是，我對 Zoom 台灣帳號的收費比美國帳號貴，拎北覺得很不爽。所以當 Zoom 被譙的時候，我也懶得說什麼。 但這段期間，網路上對於視訊會議資安問題的報導沸沸揚揚，甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」，我看到有很多點是過度解讀，甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom，原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同，我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導，結論是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是，除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人，不然對於教學、或是一般商務的會議而言，用 Zoom 沒有太大風險 (quote: not much risk in using Zoom）。 那大家一直在傳的資安問題，到底是怎麼回事？這裡面有很多，坦白說真的很瞎，我先抓幾點來說： 1. Zoom Booming： 不是說有什麼 Zoom Bombing 很可怕，用 Zoom 開會上課到一半，會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了，居然會被人這樣駭入，太糟糕了！ 等等，你有沒有去了解過 Zoom Bombing 是怎麼來的？Zoom 的會議室可以設密碼。但為了方便大家連進來開會，大部分使用者都省略不設密碼，直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人，不相干的人進來亂。這叫做「駭入」？ 靠杯喔，你在外面租「小樹屋」的房間開會，門有鎖可以鎖而你不鎖，被無聊人士闖進來丟色情圖片，這叫被駭入？你叫小樹屋要負責？！ 以臉書社團為例，你開一個臉書社團，然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片，你怎麼不說是臉書資安有問題被人「駭入」？明明就是你自己社團權限沒管控好，不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議，然後你都不設密碼，也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來，你才在哭說是軟體有問題害你被駭？ 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊！ （據說 Zoom 已經自動生成密碼了，以後這種使用者自己不設防的問題應該就會解決） 2. 安裝檔有惡意軟體： Tom's Guide 上面有說到，有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式，造成系統的問題。但 Tom's Guide 也說，這個責任不是 Zoom 的錯，因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題，我又傻眼了。 每個人都應該要有最基本的資安素養：要安裝軟體，要從官方網站下載，不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝，你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝，結果電腦免費幫人挖礦，你說是誰的錯？如果你就是有這種糟糕習慣的人，你用其他軟體也會幫人家免費挖礦，不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊！ 要安裝軟體，請從官方網站下載。這是常識，OK？ 3. 聊天室點了惡意連結，導致系統被駭中毒： 講到這個，我又傻眼了。來源不明的連結不可以點，這你不知道嗎？你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結，會不會中毒？你都知道來源不明連結點了會出問題，那你為什麼在 Zoom 聊天室還要去點來源不明的連結，然後出事了才說是 Zoom 資安有問題被駭？ 這根本是使用者手癢亂按不明的連結啊！ ------------ 最後，我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全，就是要假定任何地方都可能出錯，有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議，就會安全？我也是笑笑了。你今天跟人家視訊會議，說的任何話，都能夠被人錄製桌面而錄下來，事後流出去。 所以真相是，只要你是用視訊會議或網路軟體跟人談事情，不管你是用哪一家的，你都沒有真正的資訊安全。真正的安全是，機密的事情要跟真人實際面對面的口頭談，才會安全。 喔是嗎？你確定對方身上沒有偷裝錄音機？你要不要搜身一下才能確定真正安全？ 如果你是做高科技技術的公司、或是高階政府單位，有高機密性的資訊，原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統，相對比較安全。話說 Webex 是誰開發的？就是 Zoom 的創辦人當年所開發的，他離開 Cisco 之前去創立 Zoom 之前，是副總裁。國際大企業過去十幾二十年都用這個人的東西，這個人有沒有問題，這是個參考指標。 任何軟體都有洞，你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」，你都會看到每個軟體都有洞。越多人用的軟體，越有機會被大家找出洞來，也越有機會讓洞被補起來，而變得越安全。 以最多人用的微軟為例，這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎？ Zoom 這段期間因為許多人大量使用，所以被看到的洞自然就比較多（雖然有很多洞我認為根本上是使用者習慣的問題），之後就看他們是否有補起來。現在的觀察是，我看他們最近的更新滿頻繁，看起來是有努力在把一些洞補起來。 ------------ 最後的最後，你問我說我會不會改用其他會議軟體？ 從資訊安全的角度來說，如同國外網站說的，並沒有太大的風險。但在台灣，卻被炒作到好像用了電腦就完了。更別說當中很多的風險，都是使用者自己資安習慣不好，用其他軟體也會遇到的。 我的看法是，在台灣，Zoom 的資安問題，已經不是技術問題，而是政治問題。 Zoom 的創辦人來自中國，但他的主要資金來源還是美國的資本市場，Zoom最大外部股東是Emergence Capital，持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 所以，我會繼續用。反正我也沒有什麼高機密在網路上跟人家說。真正有什麼很機密不方便在網路上說的事，就來找我喝咖啡再當面聊吧！ 如果你有真正很機密的事情，我會勸你，別說 Zoom，其他的視訊軟體通通都不該用。那才是真正的安全！ （歡迎分享）

台大教授葉丙成臉書留言 【Zoom 好危險、好可怕？！】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是，我對 Zoom 台灣帳號的收費比美國帳號貴，拎北覺得很不爽。所以當 Zoom 被譙的時候，我也懶得說什麼。 但這段期間，網路上對於視訊會議資安問題的報導沸沸揚揚，甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」，我看到有很多點是過度解讀，甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom，原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同，我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導，結論是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是，除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人，不然對於教學、或是一般商務的會議而言，用 Zoom 沒有太大風險 (quote: not much risk in using Zoom）。 那大家一直在傳的資安問題，到底是怎麼回事？這裡面有很多，坦白說真的很瞎，我先抓幾點來說： 1. Zoom Booming： 不是說有什麼 Zoom Bombing 很可怕，用 Zoom 開會上課到一半，會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了，居然會被人這樣駭入，太糟糕了！ 等等，你有沒有去了解過 Zoom Bombing 是怎麼來的？Zoom 的會議室可以設密碼。但為了方便大家連進來開會，大部分使用者都省略不設密碼，直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人，不相干的人進來亂。這叫做「駭入」？ 靠杯喔，你在外面租「小樹屋」的房間開會，門有鎖可以鎖而你不鎖，被無聊人士闖進來丟色情圖片，這叫被駭入？你叫小樹屋要負責？！ 以臉書社團為例，你開一個臉書社團，然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片，你怎麼不說是臉書資安有問題被人「駭入」？明明就是你自己社團權限沒管控好，不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議，然後你都不設密碼，也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來，你才在哭說是軟體有問題害你被駭？ 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊！ （據說 Zoom 已經自動生成密碼了，以後這種使用者自己不設防的問題應該就會解決） 2. 安裝檔有惡意軟體： Tom's Guide 上面有說到，有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式，造成系統的問題。但 Tom's Guide 也說，這個責任不是 Zoom 的錯，因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題，我又傻眼了。 每個人都應該要有最基本的資安素養：要安裝軟體，要從官方網站下載，不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝，你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝，結果電腦免費幫人挖礦，你說是誰的錯？如果你就是有這種糟糕習慣的人，你用其他軟體也會幫人家免費挖礦，不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊！ 要安裝軟體，請從官方網站下載。這是常識，OK？ 3. 聊天室點了惡意連結，導致系統被駭中毒： 講到這個，我又傻眼了。來源不明的連結不可以點，這你不知道嗎？你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結，會不會中毒？你都知道來源不明連結點了會出問題，那你為什麼在 Zoom 聊天室還要去點來源不明的連結，然後出事了才說是 Zoom 資安有問題被駭？ 這根本是使用者手癢亂按不明的連結啊！ ------------ 最後，我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全，就是要假定任何地方都可能出錯，有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議，就會安全？我也是笑笑了。你今天跟人家視訊會議，說的任何話，都能夠被人錄製桌面而錄下來，事後流出去。 所以真相是，只要你是用視訊會議或網路軟體跟人談事情，不管你是用哪一家的，你都沒有真正的資訊安全。真正的安全是，機密的事情要跟真人實際面對面的口頭談，才會安全。 喔是嗎？你確定對方身上沒有偷裝錄音機？你要不要搜身一下才能確定真正安全？ 如果你是做高科技技術的公司、或是高階政府單位，有高機密性的資訊，原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統，相對比較安全。話說 Webex 是誰開發的？就是 Zoom 的創辦人當年所開發的，他離開 Cisco 之前去創立 Zoom 之前，是副總裁。國際大企業過去十幾二十年都用這個人的東西，這個人有沒有問題，這是個參考指標。 任何軟體都有洞，你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」，你都會看到每個軟體都有洞。越多人用的軟體，越有機會被大家找出洞來，也越有機會讓洞被補起來，而變得越安全。 以最多人用的微軟為例，這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎？ Zoom 這段期間因為許多人大量使用，所以被看到的洞自然就比較多（雖然有很多洞我認為根本上是使用者習慣的問題），之後就看他們是否有補起來。現在的觀察是，我看他們最近的更新滿頻繁，看起來是有努力在把一些洞補起來。 ------------ 最後的最後，你問我說我會不會改用其他會議軟體？ 從資訊安全的角度來說，如同國外網站說的，並沒有太大的風險。但在台灣，卻被炒作到好像用了電腦就完了。更別說當中很多的風險，都是使用者自己資安習慣不好，用其他軟體也會遇到的。 我的看法是，在台灣，Zoom 的資安問題，已經不是技術問題，而是政治問題。 Zoom 的創辦人來自中國，但他的主要資金來源還是美國的資本市場，Zoom最大外部股東是Emergence Capital，持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 有人提到，如果中國政府要求 Zoom 提供使用者資料，他們敢不從嗎？ Google 當初退出中國就是這個原因，因為公司的決策要求的是公司最大利益。在大陸，目前大多數的人用的是阿里巴巴跟微信的會議軟體，用 Zoom 的很少。美國跟其他國家市場，才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府，他在美國的市場絕對雪崩，這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。 董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場，這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況，出現的機會不大。當然，我也有可能是錯的。 但同樣的問題，為什麼大家會認為如果中國政府要求，微軟就不會就範呢？特別微軟在大陸投入很多的資源，也有很大的市場。微軟中國分公司就不會就範？我反而覺得微軟若不從，要冒的風險比 Zoom 大很多。 所以，我會繼續用。反正我的課程教學沒有什麼機密。真正有什麼很機密的事，還是來找我喝咖啡再當面聊吧！ 如果你有真正很機密的事情，我會勸你，別說 Zoom，其他的視訊軟體通通都不該用。那才是真正的安全！ 註：Tom's Guide 評論全文連結：https://bit.ly/2Rg3b8n （歡迎分享）

今天讓你們多讀一些........ " 特斯拉的秘密” 電動馬達和內燃機引擎都是古老的科技，但過去一百多年，人類選擇了內燃機搭配汽油作為主要的陸上運輸模式，一百多年的發展下來，引擎因此成為相當精密的產業，工業成熟度很高，但內燃機現在面臨Clayton Christensen說的「破壞性創新」，將被一個相對比較低等的科技，給徹底的破壞。 破壞性創新的特點是「低一點」的科技，因為生產成本的下降，而得以吃掉比較高科技的產品市場。內燃機加上油箱，就是汽油車的動力系統，而馬達加上電池，則是電動車的動力系統。內燃機引擎因為經過一個世紀以來的開發，已經沒有低成本的生產方式，而油箱基本上不佔任何生產成本，所以也沒有什麼成本下降的空間。但馬達加上電池，卻有很大的空間。馬達也許像引擎一樣古老，但大電量的電池，卻是「新科技」，一個不斷地還在更新進程的新科技。隨著電動車的需求增加，投入電池開發、生產的新創事業，不計其數，因為有利可圖，進而趨動更多人投入開發。 特斯拉的電池很貴，一開始的Roadster，因為技術不成熟，所以有提供客戶換電池的服務，要價一萬二千美金。現在的特斯拉，電池保固八年，所以幾乎都還沒有客人需要換電池。馬斯克說，再過幾年，電池模組大概可以賣5千到7千美金。這才約十年的工夫，價格就砍下這麼多，而且這個比較便宜的電池，壽命還比較長，充電比較快，安全性也比較高，而且容量還更大。而且電池的開發，不純只為電動車。除了電子產品需要鋰電池外，一旦鋰電池成本再降下來，家家戶戶都會裝上一顆大電池，離峰時充電，尖峰時放電，搭配綠色能源生產，電池會徹底改變家戶使用電力的方式。而更成熟的電池科技，又會回頭過來，降低電動車的成本。這個正向回饋的機制，不但內燃機產業沒有，連燃料電池也沒有。有人用的東西，才會有誘因開發更便宜的產品。 這個資本主義的精神，厲害到連天然資源的稀缺，都可以想辦法克服。原先鋰電池的量產，有一個大關卡是稀土金屬「鈷」的使用，電池裡，鈷的價值比鋰還高，但鈷的產量很少。馬斯克在今年有一場重頭秀，叫做「電池日Battery Day」，很多專家都預期，特斯拉將會發佈和中國廠家「寧德時代」的共同研發成果，不用鈷的電池。特斯拉真的達到不用，甚至只是少用，鈷元素，那電池成本的下降速度就更快，會更快拉平和內燃機車的成本差距。 彭博的一個報告估算，現在電動車的製造成本，大約有近四成是在電池身上，五年內，就會降到三成以內，到時電動車和內燃機的成本就會拉平。 而電池以外的差別，還有很多。舉例來說，電池馬達和引擎以外的傳動系統(drivetrain)，原理也不盡相同。據估算，馬達大概只需20個部件，而內燃機要200個。而這十倍的用料差別，影響很多層面，因為差別不只在數目而已。內燃機就是進行不斷爆炸式的燃燒汽油，進油、進氣、點火、爆炸、排氣的循環不斷地進行，過程複雜且傷害零件，所以要潤滑、要過濾氣體，廢氣還要觸媒轉換，每一個零件，都有故障的可能。 2015年有一個調查，全美汽車維修的前十五項熱門，全部是濾網、火星塞、進氣、排氣系統的控制和感應器，只有一項是電動車可能有的，就是油箱蓋/充電插座蓋的替換，便宜地不得了的工序。為什麼特斯拉不用廣設維修點？因為電動車不用換機油、不用換進氣濾網，馬達也幾乎也不會壞。車子系統的基本差別，回頭過來，還會影響銷售方式。豐田需要銷售代理賣車，也需要這些代理維修車輛。而事實上，對很多代理來說，維修才是真正賺錢的部門。但特斯拉的車，很少需要進廠，所以也可以跳過這個中間人，只要開一個直營廠，就可以應付好幾個州的維修需求。 但20個部件和200個部件的差別，還不只於此。豐田的200個部件，也許就代表了200家上游，這200家上游做的生意，都是和內燃機有關的生意，也許有少許部件，是可以用在電動車，但大部份是不行的。也就是說，這200個上游，沒有任何的誘因，幫豐田快速轉進到電動車。豐田越快切換，他們就越早丟了生意。所以九百萬輛的商機，背後就是代表百萬、千萬人的生機，在豐田內外，都充滿了抵制開發電動車的既得利益。如果不是特斯拉的威脅迫在眉睫，這些既得利益，到死都不想開發電動車。 豐田及傳統汽車大廠卡死在內燃機，造成成本居高不下，還有一個設計思維上的巨大不同。 比較高級一點的車，會讓你客製一些配備，比如說比較先進的安全系統，但傳統車廠是你選定了，再加減就不容易，真要加裝，就要進廠大動手腳。但如果你訂特斯拉，有些功能是要加錢，但你日後要加也可以，付錢後就可以啟動。功能一直在那裡，只是特斯拉隱藏起來而已。 這道理在特斯拉和蘋果比較像，和豐田比較不像。特斯拉和蘋果其實都是電腦公司，只是他們生產的電腦，一個當手機用，一個當車子用。如果車子的設計，是繞著電腦轉，所有的功能，都連在這電腦，日後的軟體更新，不用連硬體一起動，就可以技術升級。蘋果手機可以一代又一代的更新作業系統而變得更強大，特斯拉也可以。對特斯拉來說，要多一個功能，就是把硬體連到車子的大腦，就可以由軟體來中央控制。但對繞著引擎運轉的豐田來說，多一個功能，簡單如多一個照相機，那就是要再多一個電腦，多一個介面連結，工程浩大而困難，而這個多出來的電腦晶片，很可能和其它系統，尤其是動力系統，完全沒有關係。 把硬體裝上電腦，要比把軟體裝上硬體困難多了。 日經曾把一台特斯拉拆開給豐田的工程師看。工程師看了，搖搖頭，在科技上，豐田至少落後特斯拉六年。特斯拉的系統，環繞著兩個大電腦晶片組，控制著所有的系統，動力、環境偵測、空調、驅動、娛樂系統等等，通通由這兩個大腦控制。而這兩個大腦，上面只有印著特斯拉的名字，不像豐田，通通是上游供應商的名字。也就是說，特斯拉開發並完全掌握這兩個大腦，從晶片設計到程式編寫，全都是自家搞的。也許晶片是讓台積電做的，但設計是特斯拉內部做的。 以電腦為核心的生產，還有一個內燃機沒有的效果，摩爾定律，即電晶體數目每兩年倍增的了不起矽谷定律。摩爾定律也許沒有之前那麼神了，但晶片越來越強大且便宜的趨勢還是在。特斯拉花最多的錢在電池和電腦上，而這兩個品項，又最受科技發展影響，成本隨年下降。請問豐田要怎麼競爭？ 美日德各三大傳統車廠，會被洗牌洗掉一半以上，因為他們都受制於舊的生產方式，都擺脫不了內燃機的過往成功。以前矽谷專家喜歡說，這是一場戰爭，看是特斯拉先學會造車，還是傳統車廠先搞懂電動車。現在這場比賽結果已經出爐，特斯拉取得了勝利。不過我認為傳統車廠裡，還是會有幾家存活，豐田其實是機會最大的大廠之一，寶馬和賓士也許是另外的倖存者，但未來太複雜，沒有人知道。 所以回到股價的問題上。取得生產科技勝利的特斯拉，年銷九百萬輛不會只是夢。但如果年銷可達九百萬輛，可以有現在這個每股一千五百元的價值嗎？距離這個系列文章的開始，才幾天而已，特斯拉股票又漲了一成。這個股票，已經不是九百萬輛與否的問題，而是史上最大的多空交戰。有二百億美金的資金正在放空特斯拉，也同時有多頭推升特斯拉市值超過二千五百億，說實話，沒有人在談基本面了。 我是認為，長期來說，特斯拉成為一兆美金的公司，只是時間早晚，也就是說，一股五千美金，也不是問題。但現在買特斯拉，你能安安穩穩地抱到那一天嗎？你能在股價跌回兩百元一股，也不怕嗎？"