和 台大教授葉丙成臉書留言 【Zoom 好危險、好可怕?!】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是,我對 Zoom 台灣帳號的收費比美國帳號貴,拎北覺得很不爽。所以當 Zoom 被譙的時候,我也懶得說什麼。 但這段期間,網路上對於視訊會議資安問題的報導沸沸揚揚,甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」,我看到有很多點是過度解讀,甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom,原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同,我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導,結論是: "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是,除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人,不然對於教學、或是一般商務的會議而言,用 Zoom 沒有太大風險 (quote: not much risk in using Zoom)。 那大家一直在傳的資安問題,到底是怎麼回事?這裡面有很多,坦白說真的很瞎,我先抓幾點來說: 1. Zoom Booming: 不是說有什麼 Zoom Bombing 很可怕,用 Zoom 開會上課到一半,會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了,居然會被人這樣駭入,太糟糕了! 等等,你有沒有去了解過 Zoom Bombing 是怎麼來的?Zoom 的會議室可以設密碼。但為了方便大家連進來開會,大部分使用者都省略不設密碼,直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人,不相干的人進來亂。這叫做「駭入」? 靠杯喔,你在外面租「小樹屋」的房間開會,門有鎖可以鎖而你不鎖,被無聊人士闖進來丟色情圖片,這叫被駭入?你叫小樹屋要負責?! 以臉書社團為例,你開一個臉書社團,然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片,你怎麼不說是臉書資安有問題被人「駭入」?明明就是你自己社團權限沒管控好,不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議,然後你都不設密碼,也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來,你才在哭說是軟體有問題害你被駭? 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊! (據說 Zoom 已經自動生成密碼了,以後這種使用者自己不設防的問題應該就會解決) 2. 安裝檔有惡意軟體: Tom's Guide 上面有說到,有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式,造成系統的問題。但 Tom's Guide 也說,這個責任不是 Zoom 的錯,因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題,我又傻眼了。 每個人都應該要有最基本的資安素養:要安裝軟體,要從官方網站下載,不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝,你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝,結果電腦免費幫人挖礦,你說是誰的錯?如果你就是有這種糟糕習慣的人,你用其他軟體也會幫人家免費挖礦,不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊! 要安裝軟體,請從官方網站下載。這是常識,OK? 3. 聊天室點了惡意連結,導致系統被駭中毒: 講到這個,我又傻眼了。來源不明的連結不可以點,這你不知道嗎?你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結,會不會中毒?你都知道來源不明連結點了會出問題,那你為什麼在 Zoom 聊天室還要去點來源不明的連結,然後出事了才說是 Zoom 資安有問題被駭? 這根本是使用者手癢亂按不明的連結啊! ------------ 最後,我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全,就是要假定任何地方都可能出錯,有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議,就會安全?我也是笑笑了。你今天跟人家視訊會議,說的任何話,都能夠被人錄製桌面而錄下來,事後流出去。 所以真相是,只要你是用視訊會議或網路軟體跟人談事情,不管你是用哪一家的,你都沒有真正的資訊安全。真正的安全是,機密的事情要跟真人實際面對面的口頭談,才會安全。 喔是嗎?你確定對方身上沒有偷裝錄音機?你要不要搜身一下才能確定真正安全? 如果你是做高科技技術的公司、或是高階政府單位,有高機密性的資訊,原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統,相對比較安全。話說 Webex 是誰開發的?就是 Zoom 的創辦人當年所開發的,他離開 Cisco 之前去創立 Zoom 之前,是副總裁。國際大企業過去十幾二十年都用這個人的東西,這個人有沒有問題,這是個參考指標。 任何軟體都有洞,你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」,你都會看到每個軟體都有洞。越多人用的軟體,越有機會被大家找出洞來,也越有機會讓洞被補起來,而變得越安全。 以最多人用的微軟為例,這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎? Zoom 這段期間因為許多人大量使用,所以被看到的洞自然就比較多(雖然有很多洞我認為根本上是使用者習慣的問題),之後就看他們是否有補起來。現在的觀察是,我看他們最近的更新滿頻繁,看起來是有努力在把一些洞補起來。 ------------ 最後的最後,你問我說我會不會改用其他會議軟體? 從資訊安全的角度來說,如同國外網站說的,並沒有太大的風險。但在台灣,卻被炒作到好像用了電腦就完了。更別說當中很多的風險,都是使用者自己資安習慣不好,用其他軟體也會遇到的。 我的看法是,在台灣,Zoom 的資安問題,已經不是技術問題,而是政治問題。 Zoom 的創辦人來自中國,但他的主要資金來源還是美國的資本市場,Zoom最大外部股東是Emergence Capital,持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 有人提到,如果中國政府要求 Zoom 提供使用者資料,他們敢不從嗎? Google 當初退出中國就是這個原因,因為公司的決策要求的是公司最大利益。在大陸,目前大多數的人用的是阿里巴巴跟微信的會議軟體,用 Zoom 的很少。美國跟其他國家市場,才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府,他在美國的市場絕對雪崩,這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。 董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場,這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況,出現的機會不大。當然,我也有可能是錯的。 但同樣的問題,為什麼大家會認為如果中國政府要求,微軟就不會就範呢?特別微軟在大陸投入很多的資源,也有很大的市場。微軟中國分公司就不會就範?我反而覺得微軟若不從,要冒的風險比 Zoom 大很多。 所以,我會繼續用。反正我的課程教學沒有什麼機密。真正有什麼很機密的事,還是來找我喝咖啡再當面聊吧! 如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視訊軟體通通都不該用。那才是真正的安全! 註:Tom's Guide 評論全文連結:https://bit.ly/2Rg3b8n (歡迎分享) 此篇相同回報者之文章列表
Order By:13 articles
- 台南奇美許文龍剛逝世不要錯過法國電視如何介紹他 奇美博物館1000個小提琴,乃世界寶藏 版權問題 這條影片 只在台灣免費看到 香港看不到 不要錯過 https://youtu.be/3VGdugSjcxY?si=tq64S8oOY8PF-VtS3 人回報・6 個月前
- 詐騙集團開始上工了!千萬別點!你的錢會被騙光光!記住別點進去!4 人回報・1 年前
- https://www.msn.com/zh-tw/news/living/%E7%AD%89%E4%B8%8D%E5%88%B0%E4%B8%AD%E5%A4%AE%E8%A9%A6%E5%8A%91-%E9%98%BF%E5%A7%A8-%E6%8D%A8%E4%B8%8D%E5%BE%97%E4%BB%8A%E5%BB%A3%E7%99%BC%E5%8D%83%E6%94%AF%E5%BF%AB%E7%AF%A9/ar-AAWVZeB?ocid=msedgdhp&pc=U531&cvid=0c3fc3788c624534a9b3c97d49a98e131 人回報・2 年前
- 染疫不快篩、不通報 婦產科醫「就是一個感冒」:吃藥隔離就好 | ETtoday新聞雲 https://www.ettoday.net/amp/amp_news.php7?news_id=2242534&from=ampshare-line-fixed1 人回報・2 年前
- 陽性率達49%「染疫機率非常高」 專家籲:別去這地方 | TVBS | LINE TODAY https://liff.line.me/1454987169-1WAXAP3K/v2/article/3Nzp5qW?utm_source=lineshare1 人回報・2 年前
- 全世界都被耍了!!!! 威爾史密斯、克里斯洛克、美國影藝學院發聲明證實:「巴掌」風波全是事前串通好的表演 . 正當全球都在為第 94 屆奧斯卡頒獎典禮上出現的「那巴掌」爭論不休時,當事人和主辦單位忽然對外拋下震撼彈,逆轉了整個局面。今天稍早,威爾史密斯、克里斯洛克、潔達蘋姬史密斯、以及美國影藝學院在各自的官方社群帳號上貼出了聲明稿,他們坦承,這整起事件其實是為衝高奧斯卡長年低迷不振的討論度和收視率所安排: . 威爾史密斯(Will Smith)的聲明:「哈哈哈不好意思啦,這幾天嚇到大家了,不過這也代表,我們確實帶來了一場劇力萬鈞的大秀,對吧?我和克里斯都幾十年的麻吉了,彼此的底線在哪,其實我們都很清楚,而我們是從不越過那條線的。 . 當初影藝學院向我們提出這個企劃時,其實我和克里斯是有點猶豫的,我們的確都曾擔心,這是否會玩得太過火。但影藝學院迫切需要我們的協助,他們需要藉助不同的手法來吸引人們關注這些平常鮮少會被討論的獨立製片作品,這全是為了推廣藝術,而演藝圈畢竟是個大家庭,彼此當然要互相照顧嘛。希望你們還滿意我們的『演出』啦,哈哈哈。」 . 克里斯洛克(Chris Rock)的聲明:「嘿大家,只是想讓你們知道,我和威爾一切安好啦,我們沒事,只是跟大家開了個小玩笑,你們應該不介意吧?如果你們還很不爽的話,那我告訴你們一件事,整個橋段唯一絕無虛假的部分,就是威爾那一巴掌,威爾是很崇尚方法派演技的,所以那一掌完全是來真的,而這也讓我的臉頰到現在都還腫腫的,這大概就是玩笑開太大的代價吧(笑臉符號)。」 . 潔達蘋姬史密斯(Jada Pinkett Smith)的聲明:「大家都被我那時對克里斯翻的白眼給騙到了,對吧?希望明年影藝學院會提名我這次的演出,給予我應得的肯定(笑到哭符號)。不好意思,驚動到各位了哈哈,但這也意味著我們的演出相當成功呢!」 . 影藝學院(The Academy)的聲明:「真是抱歉,跟全世界的觀眾們開了個大玩笑。正如你們所知,奧斯卡近年的收視率並不是十分亮眼,為了提收視率,我們的團隊可以說是絞盡了腦汁才出此下策。 . 我們最初的本意,不僅是衝刺收視,同時也希望替大眾關注度偏低的入圍作品帶來更多的目光,但很顯然,此次的演出效果遠超乎原先預期,整場活動的新聞焦點全落在這段演出,而非我們原本想要推廣的其它入圍作品。關於這點,我們會再另行檢討,並於日後做出節目方向的調整,也感謝各位的指教與收看。」 . 洛克的原文聲明: https://reurl.cc/Epxb10 . 潔達的原文聲明: https://reurl.cc/Rj59yx . 史密斯的原文聲明: https://reurl.cc/VjAm4y . 影藝學院的原文聲明: https://reurl.cc/Wk68RL5 人回報・1 則回應・2 年前
- 郭台銘捐BNT真的被卡了? 這份文件顯示國人施打的疫苗「沒一支是原產國原廠製造」 中央卻耍官威要求民間捐贈須原廠授權1 人回報・3 年前
- 確診病例11298、死亡260、死亡率2.30%1 人回報・3 年前
- 提醒一下,真實的事件: 打過針並非是不會得Covid-19, 只是得到了之後沒有反應,不發燒、不咳嗽⋯等現象。 我有個朋友的女兒是醫療人員,疫苗兩針都打過了,之後被感染得到Covid-19,沒有現象,卻把病毒帶回家傳給父母,現在父親還在醫院。 女兒難過之極,疫情以來她對父母隔離都非常小心,唉! 大家要小心,相互提醒!31 人回報・3 則回應・3 年前
- https://youtu.be/hWhaymtbORs2 人回報・1 則回應・3 年前
- 台大教授葉丙成臉書留言 【Zoom 好危險、好可怕?!】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是,我對 Zoom 台灣帳號的收費比美國帳號貴,拎北覺得很不爽。所以當 Zoom 被譙的時候,我也懶得說什麼。 但這段期間,網路上對於視訊會議資安問題的報導沸沸揚揚,甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」,我看到有很多點是過度解讀,甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom,原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同,我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導,結論是: "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是,除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人,不然對於教學、或是一般商務的會議而言,用 Zoom 沒有太大風險 (quote: not much risk in using Zoom)。 那大家一直在傳的資安問題,到底是怎麼回事?這裡面有很多,坦白說真的很瞎,我先抓幾點來說: 1. Zoom Booming: 不是說有什麼 Zoom Bombing 很可怕,用 Zoom 開會上課到一半,會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了,居然會被人這樣駭入,太糟糕了! 等等,你有沒有去了解過 Zoom Bombing 是怎麼來的?Zoom 的會議室可以設密碼。但為了方便大家連進來開會,大部分使用者都省略不設密碼,直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人,不相干的人進來亂。這叫做「駭入」? 靠杯喔,你在外面租「小樹屋」的房間開會,門有鎖可以鎖而你不鎖,被無聊人士闖進來丟色情圖片,這叫被駭入?你叫小樹屋要負責?! 以臉書社團為例,你開一個臉書社團,然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片,你怎麼不說是臉書資安有問題被人「駭入」?明明就是你自己社團權限沒管控好,不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議,然後你都不設密碼,也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來,你才在哭說是軟體有問題害你被駭? 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊! (據說 Zoom 已經自動生成密碼了,以後這種使用者自己不設防的問題應該就會解決) 2. 安裝檔有惡意軟體: Tom's Guide 上面有說到,有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式,造成系統的問題。但 Tom's Guide 也說,這個責任不是 Zoom 的錯,因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題,我又傻眼了。 每個人都應該要有最基本的資安素養:要安裝軟體,要從官方網站下載,不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝,你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝,結果電腦免費幫人挖礦,你說是誰的錯?如果你就是有這種糟糕習慣的人,你用其他軟體也會幫人家免費挖礦,不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊! 要安裝軟體,請從官方網站下載。這是常識,OK? 3. 聊天室點了惡意連結,導致系統被駭中毒: 講到這個,我又傻眼了。來源不明的連結不可以點,這你不知道嗎?你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結,會不會中毒?你都知道來源不明連結點了會出問題,那你為什麼在 Zoom 聊天室還要去點來源不明的連結,然後出事了才說是 Zoom 資安有問題被駭? 這根本是使用者手癢亂按不明的連結啊! ------------ 最後,我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全,就是要假定任何地方都可能出錯,有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議,就會安全?我也是笑笑了。你今天跟人家視訊會議,說的任何話,都能夠被人錄製桌面而錄下來,事後流出去。 所以真相是,只要你是用視訊會議或網路軟體跟人談事情,不管你是用哪一家的,你都沒有真正的資訊安全。真正的安全是,機密的事情要跟真人實際面對面的口頭談,才會安全。 喔是嗎?你確定對方身上沒有偷裝錄音機?你要不要搜身一下才能確定真正安全? 如果你是做高科技技術的公司、或是高階政府單位,有高機密性的資訊,原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統,相對比較安全。話說 Webex 是誰開發的?就是 Zoom 的創辦人當年所開發的,他離開 Cisco 之前去創立 Zoom 之前,是副總裁。國際大企業過去十幾二十年都用這個人的東西,這個人有沒有問題,這是個參考指標。 任何軟體都有洞,你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」,你都會看到每個軟體都有洞。越多人用的軟體,越有機會被大家找出洞來,也越有機會讓洞被補起來,而變得越安全。 以最多人用的微軟為例,這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎? Zoom 這段期間因為許多人大量使用,所以被看到的洞自然就比較多(雖然有很多洞我認為根本上是使用者習慣的問題),之後就看他們是否有補起來。現在的觀察是,我看他們最近的更新滿頻繁,看起來是有努力在把一些洞補起來。 ------------ 最後的最後,你問我說我會不會改用其他會議軟體? 從資訊安全的角度來說,如同國外網站說的,並沒有太大的風險。但在台灣,卻被炒作到好像用了電腦就完了。更別說當中很多的風險,都是使用者自己資安習慣不好,用其他軟體也會遇到的。 我的看法是,在台灣,Zoom 的資安問題,已經不是技術問題,而是政治問題。 Zoom 的創辦人來自中國,但他的主要資金來源還是美國的資本市場,Zoom最大外部股東是Emergence Capital,持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 有人提到,如果中國政府要求 Zoom 提供使用者資料,他們敢不從嗎? Google 當初退出中國就是這個原因,因為公司的決策要求的是公司最大利益。在大陸,目前大多數的人用的是阿里巴巴跟微信的會議軟體,用 Zoom 的很少。美國跟其他國家市場,才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府,他在美國的市場絕對雪崩,這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。 董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場,這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況,出現的機會不大。當然,我也有可能是錯的。 但同樣的問題,為什麼大家會認為如果中國政府要求,微軟就不會就範呢?特別微軟在大陸投入很多的資源,也有很大的市場。微軟中國分公司就不會就範?我反而覺得微軟若不從,要冒的風險比 Zoom 大很多。 所以,我會繼續用。反正我的課程教學沒有什麼機密。真正有什麼很機密的事,還是來找我喝咖啡再當面聊吧! 如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視訊軟體通通都不該用。那才是真正的安全! 註:Tom's Guide 評論全文連結:https://bit.ly/2Rg3b8n (歡迎分享)1 人回報・1 則回應・4 年前
- 厲害,馬上就有人利用口罩來犯罪,這個要傳出去,以免再有人受害。1 人回報・1 則回應・4 年前
- 蘇蘅/選舉中的地獄犬:恐懼的力量 https://udn.com/news/story/7340/3886123?from=udn_ch2cate6643sub7340_pulldownmenu1 人回報・1 則回應・5 年前