最近大紅的 ZOOM 繼「透過大量僱用中國工程師大幅降低成本」後 https://pandayoo.com/2020/03/10/zoom/ 現在又被發現會收集與會者電腦上正在執行的「其它程式」跟視窗切換的紀錄，並回報雲端 https://twitter.com/Ouren/status/1241398181205889024 不行我覺得太噁心了，無論是企業風格跟程式的設計思路的都讓人作嘔 以後不會再用他，也會盡量不參與任何使用 zoom 開啟的會議，盡量用其他程式替代（Ex: google meet, jitsi meet） 歡迎參考 EFF 電子前線基金會的報告：https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis

台大教授葉丙成臉書留言 【Zoom 好危險、好可怕？！】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是，我對 Zoom 台灣帳號的收費比美國帳號貴，拎北覺得很不爽。所以當 Zoom 被譙的時候，我也懶得說什麼。 但這段期間，網路上對於視訊會議資安問題的報導沸沸揚揚，甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」，我看到有很多點是過度解讀，甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom，原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同，我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導，結論是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是，除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人，不然對於教學、或是一般商務的會議而言，用 Zoom 沒有太大風險 (quote: not much risk in using Zoom）。 那大家一直在傳的資安問題，到底是怎麼回事？這裡面有很多，坦白說真的很瞎，我先抓幾點來說： 1. Zoom Booming： 不是說有什麼 Zoom Bombing 很可怕，用 Zoom 開會上課到一半，會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了，居然會被人這樣駭入，太糟糕了！ 等等，你有沒有去了解過 Zoom Bombing 是怎麼來的？Zoom 的會議室可以設密碼。但為了方便大家連進來開會，大部分使用者都省略不設密碼，直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人，不相干的人進來亂。這叫做「駭入」？ 靠杯喔，你在外面租「小樹屋」的房間開會，門有鎖可以鎖而你不鎖，被無聊人士闖進來丟色情圖片，這叫被駭入？你叫小樹屋要負責？！ 以臉書社團為例，你開一個臉書社團，然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片，你怎麼不說是臉書資安有問題被人「駭入」？明明就是你自己社團權限沒管控好，不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議，然後你都不設密碼，也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來，你才在哭說是軟體有問題害你被駭？ 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊！ （據說 Zoom 已經自動生成密碼了，以後這種使用者自己不設防的問題應該就會解決） 2. 安裝檔有惡意軟體： Tom's Guide 上面有說到，有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式，造成系統的問題。但 Tom's Guide 也說，這個責任不是 Zoom 的錯，因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題，我又傻眼了。 每個人都應該要有最基本的資安素養：要安裝軟體，要從官方網站下載，不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝，你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝，結果電腦免費幫人挖礦，你說是誰的錯？如果你就是有這種糟糕習慣的人，你用其他軟體也會幫人家免費挖礦，不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊！ 要安裝軟體，請從官方網站下載。這是常識，OK？ 3. 聊天室點了惡意連結，導致系統被駭中毒： 講到這個，我又傻眼了。來源不明的連結不可以點，這你不知道嗎？你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結，會不會中毒？你都知道來源不明連結點了會出問題，那你為什麼在 Zoom 聊天室還要去點來源不明的連結，然後出事了才說是 Zoom 資安有問題被駭？ 這根本是使用者手癢亂按不明的連結啊！ ------------ 最後，我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全，就是要假定任何地方都可能出錯，有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議，就會安全？我也是笑笑了。你今天跟人家視訊會議，說的任何話，都能夠被人錄製桌面而錄下來，事後流出去。 所以真相是，只要你是用視訊會議或網路軟體跟人談事情，不管你是用哪一家的，你都沒有真正的資訊安全。真正的安全是，機密的事情要跟真人實際面對面的口頭談，才會安全。 喔是嗎？你確定對方身上沒有偷裝錄音機？你要不要搜身一下才能確定真正安全？ 如果你是做高科技技術的公司、或是高階政府單位，有高機密性的資訊，原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統，相對比較安全。話說 Webex 是誰開發的？就是 Zoom 的創辦人當年所開發的，他離開 Cisco 之前去創立 Zoom 之前，是副總裁。國際大企業過去十幾二十年都用這個人的東西，這個人有沒有問題，這是個參考指標。 任何軟體都有洞，你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」，你都會看到每個軟體都有洞。越多人用的軟體，越有機會被大家找出洞來，也越有機會讓洞被補起來，而變得越安全。 以最多人用的微軟為例，這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎？ Zoom 這段期間因為許多人大量使用，所以被看到的洞自然就比較多（雖然有很多洞我認為根本上是使用者習慣的問題），之後就看他們是否有補起來。現在的觀察是，我看他們最近的更新滿頻繁，看起來是有努力在把一些洞補起來。 ------------ 最後的最後，你問我說我會不會改用其他會議軟體？ 從資訊安全的角度來說，如同國外網站說的，並沒有太大的風險。但在台灣，卻被炒作到好像用了電腦就完了。更別說當中很多的風險，都是使用者自己資安習慣不好，用其他軟體也會遇到的。 我的看法是，在台灣，Zoom 的資安問題，已經不是技術問題，而是政治問題。 Zoom 的創辦人來自中國，但他的主要資金來源還是美國的資本市場，Zoom最大外部股東是Emergence Capital，持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 有人提到，如果中國政府要求 Zoom 提供使用者資料，他們敢不從嗎？ Google 當初退出中國就是這個原因，因為公司的決策要求的是公司最大利益。在大陸，目前大多數的人用的是阿里巴巴跟微信的會議軟體，用 Zoom 的很少。美國跟其他國家市場，才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府，他在美國的市場絕對雪崩，這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。 董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場，這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況，出現的機會不大。當然，我也有可能是錯的。 但同樣的問題，為什麼大家會認為如果中國政府要求，微軟就不會就範呢？特別微軟在大陸投入很多的資源，也有很大的市場。微軟中國分公司就不會就範？我反而覺得微軟若不從，要冒的風險比 Zoom 大很多。 所以，我會繼續用。反正我的課程教學沒有什麼機密。真正有什麼很機密的事，還是來找我喝咖啡再當面聊吧！ 如果你有真正很機密的事情，我會勸你，別說 Zoom，其他的視訊軟體通通都不該用。那才是真正的安全！ 註：Tom's Guide 評論全文連結：https://bit.ly/2Rg3b8n （歡迎分享）

轉～值得參考 儆醒防範 ——- COVID 19 VACCINE WARNING! MARK OF THE BEAST! MANDATED VACCINE+CHIP 疫苗警告！兽印！强制性疫苗+芯片 https://www.youtube.com/watch?v=IMc74QpJf04 Watchwoman 2020年2月27日 今天是2020年2月27日。一礼拜之前主赐给我一个很长的梦。我今天在这个视频中，只将重要的一部分发布出来。通过这个梦，我要警告大家，务必抵挡政府要你注射的疫苗，因为那里面结合着一个植入芯片，而且这个疫苗将会在你的手上注射！这个芯片就是那“兽印”！ 还有，我们看到有一种防流感的疫苗，也要出来，那是一种严重的流感病毒。 在梦里，有一个邪恶的女人，我已经是个成年人，能够允许她去对我做她要做的事情。她站在我前面，手里拿着一只注射针头，注射管是紫色薰衣草的颜色，里面有液体。她看着我说：“这是为了医治你的焦虑症。”我刚一同意，她立即就给我注射了。然后我感觉自己失去了知觉，无法控制我的身体了。当时我好像半睡半醒的状态，我向下看我的手，上面有两只创可贴，而不是一只创可贴。她说只给我注射一针，为何有两只创可贴呢？ 那个梦还在继续，我看到的下一件事就是，我的名字从生命册上被耶稣的眼泪涂抹了。祂的眼泪流到我的名字上，无论我多么努力，我再也无法将我的名字写回去了。 当我醒来以后，就赶紧把这个梦的内容，详细记录下来。我明白了，这是神在提醒我，即将有一种疫苗，与兽印结合在一起，注射进入我们的人体里，而且还要给全世界的人注射。我认为，他们会知道他们自己正在接受一个芯片在手上，但是, 却以某种方式与疫苗相捆绑。有可能是在同一次注射当中植入的，也可能说是为了预防冠状病毒，或者说是预防即将到来的其它的坏病毒。你必须同意和允许他们在你手上植入这个兽印芯片。 当我进行研究的时候，我发现了一些信息。我将链接放在本视频的下方的“Description Box”里面。 有一种东西，叫做“ID 2020”。那是有世界上最富有的人们所计划运行的，包括比尔·盖茨基金会，以及其他世界上最有的钱人。他们企图要让人们接受一种联合疫苗和追踪芯片，称之为“ID 2020”。他们正在世界上的贫穷地区，开始试验这个东西。 就在2月25日，两天前，CDC宣布，他们要开始在美国进行疫苗注射试验，在那些已经患上冠状病毒的人们身上进行。他们表示很高兴地宣布，他们已经有一种疫苗了，他们认为这看起来很好，但我觉得这很奇怪，怎么会这么快，似乎已经早有预备呢？好像他们早就准备要给人们注射这种疫苗了？ 如果你感染了冠状病毒，也不要参加任何一种像这样的试验，因为我很清楚，这种疫苗，是以某种方式，与兽印芯片相结合。他们企图植入你的右手上面，或是你的额头上面。 我这是一个严重的警告，接受了他们的兽印的人，再也无法进入天国了！因为在圣经《启示录》13:16中说过：“牠又叫众人，无论大小贫富、自主的、为奴的，都在右手里，或是在额里，受一个印记。”14:9“若有人敬拜兽和兽像，在额里，或手里，受了牠的印记（接受了兽印），这人必喝神大怒的酒；此酒斟在神忿怒的杯中纯一不杂。他要在圣天使和羔羊面前，在火与硫磺之中受痛苦。他们受痛苦的烟往上冒，直到永永远远。有谁敬拜兽和兽像，受牠名之印记的，昼夜不得安宁。” 耶稣很快就要回来了。我向那些没有跟随神的人们发出警告。你们很可能要面对这件事情。那些已经感染了冠状病毒的人们，生病的人们，考虑要接受疫苗试验的人们，要坚定持守你对耶稣基督的信仰，相信圣经，拒绝疫苗和兽印。这是从耶稣而来的强烈警告！而且我已经得到了多个印证，我非常清楚，他们要对我们做什么！ 请将此警告，尽可能多地传播出去！愿神祝福你！ ——- 在此影片下方有說明 內容如下： （可自行用網路翻譯下文） ID2020 https://id2020.org/alliance https://www.nowtheendbegins.com/big-pharma-microsoft-silicon-valley-id2020-alliance-combine-vaccinations-with-implantable-microchip-digital-id-mark-beast-end-times/ VACCINE plus MICROCHIP https://principia-scientific.org/id2020-alliance-will-combine-vaccinations-implantable-id-microchips/ US COMPANIES RACE TO TEST CORONA VIRUS VACCINE https://www.cnn.com/2020/02/27/investing/coronavirus-vaccine/index.html US VACCINE TRIALS https://www.cnbc.com/amp/2020/02/25/us-health-officials-say-human-trials-on-coronavirus-vaccine-to-start-in-6-weeks.html

#重大消息 WiFi 常用加密協定 WPA, WPA2 已被攻破！！ 不要使用 WiFi 進行任何機敏資料傳輸！你所有的輸入資訊都有機會被截取！ 盡量使用4G/3G 等私人網路，真要使用公眾WiFi 就掛個私人加密VPN 影響裝置擴及所有 Android/Linux(含大部分基地台)/Windows/Apple 近期請密切注意裝置更新 不要想說更新很麻煩 資料被盜用不會比較方便 (CVE-2017-13077~CVE-2017-13088 這幾個漏洞) --------------------------------- 手法: KRACKs 各大廠更新進度: https://goo.gl/KfNKCk 說明網站: https://www.krackattacks.com/ DEMO: https://www.youtube.com/watch?v=Oh4WURZoR98

標題：中國用來監控新疆的「天網」資料庫有漏洞，超過250萬人的資料以及詳細路徑、座標可能外洩 摘要： 根據報導，名為SenseNets（深網視界）的這間公司，是幫助中國政府建立人臉辨識技術以及群眾臉孔分析的單位之一。而在前幾天，一名知名的資安研究員Victor Gevers，表示他發現了SenseNets的MongoDB 資料庫管理系統的漏洞，該資料庫並沒有密碼保護，一般人可以不經授權就檢視資料庫的內容。 Gevers表示，SenseNets的資料庫擁有2,565724 筆使用者的資料，包含GPS座標的位置資訊。其中不只是使用者名字、還有許多個人的敏感資料，包括身份相關資訊。Gevers表示，他看到的資料包括有名字、居民證ID、居民證註冊日期以及到期日期、性別、國籍、住址、生日資料、照片以及工作資料等等。 除此之外，更重要的應該是由於這間公司的系統還有連接到新疆地區的各個重要公共場所的監控系統以進行辨識，因此每個使用者除了基本資料之外，還有一連串的GPS座標，地點，記錄這個人到過哪些地方。 Victor Gevers 推特爆料： https://twitter.com/0xDUDE/status/1095955674238992384 原始資料： https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/ 引用來源： https://www.techbang.com/posts/68173-someone-face-recognition-company-data-leak-super-25-million-people-data-can-be-obtained

剛去買了一罐 來舒... CNN 有篇新聞在討論 來舒 可以殺除冠狀病毒, 但因為 目前 COVID-19 是新的冠狀病毒, 所以在驗證中, 通過驗證後 廠商就可以加貼說明 可以抗 目前的 COVID-19 冠狀病毒.... https://edition.cnn.com/2020/02/26/health/lysol-clorox-coronavirus-disinfectants-trnd/index.html

https://www.collective-evolution.com/2018/04/24/why-farmed-salmon-is-one-of-the-most-toxic-things-you-can-put-in-your-body/

https://mp.weixin.qq.com/s/YpkE4SBabO1LicF8oRxFdg

【轉換MP3音頻從440Hz轉換為432Hz讓自己身心趨向和諧的方法】 　 國際標準對於MP3的音頻設定標準是設定為440Hz, 所以現行MP3的音樂格式都是440Hz, 但是440Hz卻是對人體有害的音頻, 大家可以從本文附上的圖片看到藉由沙子來測試在受到不同音頻440Hz以及432Hz音頻之後表現出來的差異, 「440Hz」造就的是一個比較「紊亂」的波紋, 但「432Hz」音頻造就的是一個相對「健康」的紋路。 　 音頻造就的效果, 也會對我們身體的每一個「細胞」造成影響, 特定音頻所造就的「好的波紋」會帶給細胞好的訊息, 不只身體會比較「健康」, 自己的心靈也會比較「平靜而趨向光明」, 因此音頻對人的身心影響很大。 　 轉換音頻可以透過以下的方式去轉換, 有興趣的人可以自己去轉換, 手機可以直接下載「432 Player - Free Pure Sound」這個APP就可以直接做轉換。若要轉換檔案可以下載使用「Audacity」的這套軟體, 若在電腦上可以使用「foobar2000的套件功能SoundTouch」直接在聽的時候轉換，也可以自己去聽聽看440Hz以及432Hz音頻差異點在哪裡。 　 432赫茲, 即將回歸自然 : http://fractalenlightenment.com/…/432hz-coming-back-to-natu… 手機可直接將音頻轉成432Hz的APP 《432 Player - Free Pure Sound》 : For Android : https://play.google.com/store/apps/details… For iPhone : https://itunes.apple.com/us/app/432-player/id633600716… 　 Audacity 教學文件 : http://blog.xuite.net/yh96301/blog/50904600 Audacity多個檔案一起轉換432hz音樂的方法 : http://v.youku.com/v_show/id_XMTM1NjQxMDI4MA==.html 直接使用foobar2000的SoundTouch功能播放432Hz音樂(請參考文中有關foobar2000的部分, 不懂英文者可使用Google翻譯): http://www.roelhollander.eu/en/432-tuning/432-music-players/ 　 最後也願所有的地球人都能夠透過這樣的方式, 讓自己的身心更趨向於和諧與平衡, 祝福大家。

「所有Wi-Fi」使用的WPA2已經在今天被發現弱點, 只要你的裝置有用 Wi-Fi, 那你上網的一舉一動就會被壞人監看. 如果你的手機, 電腦, 平板或是基地台在今天之後有更新,請盡早更新 重點整理: 所有設備有更新時請立即更新, 更新前改 Wi-Fi 密碼沒有用, 不要降回WEP, 已經加密的網路活動不受影響(瀏覽器有出現鎖頭) https://www.krackattacks.com/