1.媒体来源: 三立新闻网 2.完整新闻标题: Zoom好可怕？台大教授揭背後真相 3.完整新闻内文: 记者李鸿典／台北报导 武汉肺炎全球肆虐，让视讯会议平台Zoom用户大增，不过，近日却传出恐有资安问题，对 此，台大电机系教授叶丙成在脸书发表长文【Zoom 好危险、好可怕？！】，他在文中提 到，任何软体都有洞，「如果你有真正很机密的事情，我会劝你，别说 Zoom，其他的视 讯软体通通都不该用。那才是真正的安全！」他还直言，在台湾，Zoom的资安问题，已经 不是技术问题，而是政治问题。 以下为叶丙成在脸书发表的【Zoom 好危险、好可怕？！】全文： 最近好几位朋友问我对於 Zoom 视讯会议软体资安问题的看法。但我一直没有想说什麽。 主要的原因是，我对 Zoom 台湾帐号的收费比美国帐号贵，拎北觉得很不爽。所以当 Zoom 被谯的时候，我也懒得说什麽。 但这段期间，网路上对於视讯会议资安问题的报导沸沸扬扬，甚至还变成反对数位教学的 人士用来反对线上补课的论述。而且所谓的「资安威胁」，我看到有很多点是过度解读， 甚至有的说法已经到了反智的地步。 有的学校还因此被教育局处长官要求不能用 Zoom，原先的数位准备全部被打乱。 这一切实在让我看不下去。 所以虽然我知道跟风向不同，我想我还是要说一下我的看法。 先看一下国外知名科技网站 Tom's Guide 针对 Zoom 的资安问题所做的报导，结论是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 结论就是，除非你是英国国防部、SpaceX、或是高科技公司、等这类要讨论高度机密的人 ，不然对於教学、或是一般商务的会议而言，用 Zoom 没有太大风险 (quote: not much risk in using Zoom）。 那大家一直在传的资安问题，到底是怎麽回事？这里面有很多，坦白说真的很瞎，我先抓 几点来说： 1. Zoom Booming： 不是说有什麽 Zoom Bombing 很可怕，用 Zoom 开会上课到一半，会出现有骇客骇入会议 突然丢色情照片扰乱。Zoom 也太糟糕了，居然会被人这样骇入，太糟糕了！ 等等，你有没有去了解过 Zoom Bombing 是怎麽来的？Zoom 的会议室可以设密码。但为 了方便大家连进来开会，大部分使用者都省略不设密码，直接把会议室号码/连结传给大 家。有的人把会议室号码/连结流出给不相干的人，不相干的人进来乱。这叫做「骇入」 ？ 靠杯喔，你在外面租「小树屋」的房间开会，门有锁可以锁而你不锁，被无聊人士闯进来 丢色情图片，这叫被骇入？你叫小树屋要负责？！ 以脸书社团为例，你开一个脸书社团，然後你自己不设成私密而设公开让每个人都可以进 得来。然後有人进来乱贴直销广告、色情照片，你怎麽不说是脸书资安有问题被人「骇入 」？明明就是你自己社团权限没管控好，不是脸书害你被骇啊。 那为什麽你 Zoom 要开属於你们自己人的会议，然後你都不设密码，也没有告诫大家会议 室号码不要给不相干的人。然後被不相干的人闯进来，你才在哭说是软体有问题害你被骇 ？ 我也是傻眼了。 根本就是使用者贪图方便不设会议室密码啊！ （据说 Zoom 已经自动生成密码了，以後这种使用者自己不设防的问题应该就会解决） 2. 安装档有恶意软体： Tom's Guide 上面有说到，有的 Zoom 安装软体可能会被连带偷装帮人挖矿的程式，造成 系统的问题。但 Tom's Guide 也说，这个责任不是 Zoom 的错，因为任何人都有可能制 作出这种恶意的安装档给别人下载安装。 许多人说这是资安问题，我又傻眼了。 每个人都应该要有最基本的资安素养：要安装软体，要从官方网站下载，不要从非原厂网 站下载来源不明的程式安装。 Zoom 你不去人家官方网站下载来装，你偏偏要偷懒从人家给你的来源不明的安装档去安 装，结果电脑免费帮人挖矿，你说是谁的错？如果你就是有这种糟糕习惯的人，你用其他 软体也会帮人家免费挖矿，不会只有 Zoom。 这根本就是使用者偷懒不去官方下载啊！ 要安装软体，请从官方网站下载。这是常识，OK？ 3. 聊天室点了恶意连结，导致系统被骇中毒： 讲到这个，我又傻眼了。来源不明的连结不可以点，这你不知道吗？你在 Line、在 Chrome、在 IE、在 Safari 点了来源不明不该点的连结，会不会中毒？你都知道来源不 明连结点了会出问题，那你为什麽在 Zoom 聊天室还要去点来源不明的连结，然後出事了 才说是 Zoom 资安有问题被骇？ 这根本是使用者手痒乱按不明的连结啊！ ------------ 最後，我再来谈谈真正最重要的资讯安全原则是什麽。 真正的资讯安全，就是要假定任何地方都可能出错，有机密性的东西都完全不该在网路上 跟人家谈。 你今天用 Meet 或 Team 跟别人视讯会议，就会安全？我也是笑笑了。你今天跟人家视讯 会议，说的任何话，都能够被人录制桌面而录下来，事後流出去。 所以真相是，只要你是用视讯会议或网路软体跟人谈事情，不管你是用哪一家的，你都没 有真正的资讯安全。真正的安全是，机密的事情要跟真人实际面对面的口头谈，才会安全 。 喔是吗？你确定对方身上没有偷装录音机？你要不要搜身一下才能确定真正安全？ 如果你是做高科技技术的公司、或是高阶政府单位，有高机密性的资讯，原本就不应该用 任何视讯会议来传达。很多国际大企业都用美国思科 Cisco 的 Webex 系统，相对比较安 全。话说 Webex 是谁开发的？就是 Zoom 的创办人当年所开发的，他离开 Cisco 之前去 创立 Zoom 之前，是副总裁。国际大企业过去十几二十年都用这个人的东西，这个人有没 有问题，这是个参考指标。 任何软体都有洞，你个别搜寻各家软体公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「资安漏洞」，你都会看到每个软体都有洞。越多人用的软体， 越有机会被大家找出洞来，也越有机会让洞被补起来，而变得越安全。 以最多人用的微软为例，这麽多年来的「资安漏洞」、「被骇风险」的新闻不多吗？ Zoom 这段期间因为许多人大量使用，所以被看到的洞自然就比较多（虽然有很多洞我认 为根本上是使用者习惯的问题），之後就看他们是否有补起来。现在的观察是，我看他们 最近的更新满频繁，看起来是有努力在把一些洞补起来。 ------------ 最後的最後，你问我说我会不会改用其他会议软体？ 从资讯安全的角度来说，如同国外网站说的，并没有太大的风险。但在台湾，却被炒作到 好像用了电脑就完了。更别说当中很多的风险，都是使用者自己资安习惯不好，用其他软 体也会遇到的。 我的看法是，在台湾，Zoom 的资安问题，已经不是技术问题，而是政治问题。 Zoom 的创办人来自中国，但他的主要资金来源还是美国的资本市场，Zoom最大外部股东 是Emergence Capital，持股12.5%。红杉资本持股11.4%。跟华为的资金来自政府是不同 的。我不觉得 Zoom 有必要乱搞去得罪他在美国的众多金主投资人。 所以，我会继续用。反正我也没有什麽高机密在网路上跟人家说。真正有什麽很机密不方 便在网路上说的事，就来找我喝咖啡再当面聊吧！ 如果你有真正很机密的事情，我会劝你，别说 Zoom，其他的视讯软体通通都不该用。那 才是真正的安全！ 4.完整新闻连结 (或短网址): https://reurl.cc/xZ9noz 5.备注: 恩果然还是NTU COOL，U简报最赞了~~~~~~~ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.160.22.235 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NTU/M.1586259232.A.964.html ※ 编辑: chaoannricar (1.160.22.235 台湾), 04/07/2020 19:35:06