線上開會怕私隱外洩？一文學識多個網絡安全對策 – Yan Law

早在新冠肺炎疫情爆發初期，為降低病毒在社區內傳播的風險，不少負責任的企業鼓勵或允許員工Home Office，沒想到竟然令網上會議軟件Zoom突然爆紅，用戶數量由去年12月的一千萬激增至今年3月的兩億！偏偏這時Zoom被連環爆出私隱外洩、駭客入侵、保安漏洞等醜聞，引起公眾關注網絡安全問題，隨後美國、英國、德國、加拿大、台灣、新加坡等地的政商界亦以「資安漏洞」為由宣布停用使用此軟件，促使更多人聞Zoom色變。

在眾多網上會議軟件中，Zoom因為操作容易、功能多樣而大受歡迎（只要透過邀請網址或查詢會議ID的方式即可以電腦、手機或平板來進行視訊會議，還能錄下視訊過程、共享螢幕畫面、進行即時文字對話等）；現在卻因資安設計不良而被棄？上周三（4月8日）Zoom創辦人兼行政總裁袁征舉行YouTube直播，親自就私隱漏洞問題向用戶公開致歉、承諾將全力修正問題，並介紹軟件的私隱更新。究竟Zoom還安全與否？如果平日有需要用Zoom或其他視像會議軟件，又該如何保護自己？

編者想，絕大多數人擔心的是「Zoom-Bombing」騷擾現象，皆因駭客能夠透過會議ID自動產生器來破解Zoom會議 ID（甚至取得沒有密碼保護的Zoom連結），在不驚動主持人的情況下滲入會議，然後惡意發放色情、暴力或令人反感的影音和圖片；甚至可以透過這種方式竊取 Zoom 用戶的 Windows登入密碼，從而注入程式來存取裝置上的攝影機與麥克風。雖然香港暫時未有發生「暗網洩露Zoom帳號資料事件」，但早前宣道國際學校就有Zoom課堂遭駭客入侵，實在令人憂心。據悉，校方回覆查詢時稱「畫面短暫播了一些令人反感的內容」，已向警方報案，並決定即時將網上教學暫停兩天，為防止同類型事件再次發生。

在一連串的資安問題爆出後，Zoom馬上推出緊急更新版本，表示已修補漏洞並強化安全性與隱密性，更新內容包括：

1. 預先啟用會議密碼設定，並新增了防止用隨機掃描會議ID 的方法來加入會議的措施。
2. 用戶可為會議設置「等候室」，任何人想加入會議，都必須通過會議主持人的允許才可加入。
3. 不在會議視窗的狀況列上顯示（原本會直接出現的）用戶ID。
4. 加入「保安」按鈕，主持人可在所有人加入會議後鎖住會議，不讓其他人再加入；參與會議者中途無法隨意改名，聯絡人的資料也不會再自動顯示。

5. 在Zoom解除安裝程序中，加入完全移除本地主機網頁伺服器的選項，還會連帶一併刪除使用者儲存的設定。

至於有不少人提出的伺服器問題，Zoom為此新增了一項新功能：付費用戶可自行選擇服務連接的伺服器，務求可加強用戶在資料傳送路徑的選擇上的控制權。據了解，目前Zoom的資料中心以群分為以下區域：美國、加拿大、歐洲、印度、澳州、中國大陸、拉丁美洲、日本／香港。要留意的是，當用戶選擇不使用特定區域的資料中心時，該區域之Zoom會議室連接器（CRC）亦將不允許連接到個人會議或網路研討會，同時電話撥入功能亦無法使用。

有些謹慎為上的用戶，或許早已因信任感大打折扣而轉用其他通訊軟件，例如 Google Hangouts Meet、Skype、Microsoft Teams、CyberLink U Metting、Cisco WebEx 等。但如果是慣常或因工作／學習需要而必須使用Zoom呢？用戶最基本可以先做好以下幾點：

1. 使用最新版本的 Zoom 軟件和保安軟件
2. 提防任何不明的 UNC 連結
3. 切勿在會議期間分享機密資訊
4. 使用有意義的顯示名稱，別使用網上暱稱
5. 小心保護你的 Zoom 帳戶及留心可疑的帳戶活動

詳細保安貼士和主持會議者的安全建議，可以參考香港電腦保安事故協調中心（HKCERT）的建議 。
其實，不只Zoom，不同的通訊工具或會議軟件都有機會出現資料保安漏洞，想盡可能保障自己，可以做好以下4點：
1. 使用正版軟件：使用由軟件開發商提供的程式來更新軟件；安裝並開啟防火牆和入侵檢測系統；更新電腦病毒和間諜軟件的定義檔，以及定期使用防病毒軟件來掃描電腦。
2. 加強電子郵件和密碼保安：設置嚴謹的密碼（最好包含大小寫英文、數字及符號），並最少每90天定期更改；不要使用容易受到黑客攻擊的電腦登入電子郵件帳戶、電子銀行服務或進行涉及敏感資料的操作。
3. 加強電腦系統保安：避免瀏覽任何可疑網站、開啓可疑的電郵及即時短訊；不要下載來源或性質不明的附件；將涉及個人資料的電腦檔案加密處理。
4. 避免使用公共無線網絡服務：日常將無線網絡功能關閉；如有必要使用公共無線網絡時，不要發送敏感／個人資料，過後亦應刪除網絡首選列表的相關記錄；確保無線網絡卡驅動程式為最新版本。

身處互聯網時代，每個人在互聯網上的一舉一動，都會留下「數碼足印」，建構成「大數據」。所以，無論有沒有發生這次「Zoom事件」，我們都必須要認清一個事實：維持網絡安全、保護個人資料是「修不完的功課」。

原文：經濟通

#科技 #生活 #商業 #社會

#zoom資安七大漏洞的對應措施

上週四（9日）立法院國民黨團召開記者會，抨擊教育部無配套措施就禁止使用zoom，且未說明教學與資安疑慮的關係。更有國民黨籍立委表示「如果真的有陸方監控，真的有情資問題，那不是很好嗎？」，認為反而可利用zoom來「反反滲透」，讓中國了解台灣民主自由價值。

其實，遠在教育部上週二（7日）發布禁止各級學校使用有資安疑慮的聲明之前，我的臉書從三月開始就陸續有關於zoom的資安問題討論。這幾天更是沸沸揚揚，有認為基於對該公司背後的中資、大量中國境內工程師以及數據流往中國的不信任，支持教育部的決策、認為不該使用；也有不少朋友認為zoom的許多疑慮都來自於新創公司常犯的便宜行事，只要修正就好，視自己的資安需求斟酌要不要使用。

面對臉書上的各方見解，我決定來請教 #強者我朋友！這次請到的是台灣工程師的矽谷故事的Winston大大，目前正在做監控系統的新創（Startup)，他為我整理了目前常見的七大疑慮，並提供對應的方法。

以下，給對zoom有疑慮和曾經下載過zoom的朋友，提供資訊安全的補強方法：

①#亂入的惡作劇攻擊（zoom bombing）
由於zoom的會議預設無密碼、會議 ID 過短而很好猜，所以容易讓有心人士亂入，發生下述②的問題。
➡︎預防的方法很簡單，就是 #所有的會議都要設定密碼！

②#公開會議裡的陌生人與不明訊息
第一點的 zoom bombing 讓有心人士可以直接加入沒有被邀請的會議，在會議中進行釣魚工作，最嚴重的狀況是邀請與會者下載安裝間諜軟體，導致電腦手機成為駭客可以遠端控制的殭屍網路（botnet）。
➡︎這事不限於在zoom發生，不管在哪裡，#都不要亂點來路不明的連結或是下載奇怪的東西，這是資訊安全的基本防護。

③#被駭客抓到你的密碼
zoom有一個安全漏洞可以讓駭客抓到你的 windows hash 過後的密碼。
➡︎ #讓他抓不到你的路徑 如下，請直接從 windows 作業系統中禁止： Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers and set to "Deny all".

④#蒐集大量使用者個人資料
其實大部份人不太在意這件事情，有不少軟體、網站都有類似的行為。
➡︎最好的處理方式就是 #用一台沒有連接你任何社交帳戶的電腦/手機使用 zoom ，這樣他們什麼也抓不到。但是如果你之前已經使用過 facebook 、google 、或是 linkedin 登入的話，他們已經知道了⋯⋯來不及了。

⑤#各式軟體安全疑慮
zoom的程式中使用了一些常用於電腦病毒的方法和造成登錄憑證漏洞，在macOS跟Windows 系統中都產生了一些資訊安全問題。
➡︎要避免風險的方式是 #用一台專門的電腦/手機來進行 zoom 的會議，會議後立刻關機斷電，該機不能做任何其他用途。

⑥#謊騙加密等級
Zoom先前宣稱有做到全面的End-to-End (E2E) Encryption 點對點加密。事後卻被發現，他們只有「聊天室」有E2E，「視訊」是沒有的，而其安全防護也被資安專家認為有破口；作為一個標榜資訊安全的公司，用謊言欺騙信賴它的使用者，是違背其宣稱的核心價值的。
➡︎無解，不要用 zoom 來討論公司或國家機密！

⑦#加密的金鑰被送到北京
加密的金鑰被送到北京的機器去，可說是這次教育部禁用的關鍵因素，強者我朋友認為，這應該不是故意要做什麼攻擊，只是zoom便宜行事，這也表示標榜注重資訊安全的zoom其實沒有很重視資訊安全。
➡︎無解，在意就不要用 zoom！

👆綜觀上面七點，從 #資訊安全、#企業誠信 到 #中國因素，就看大家的選擇囉！關於zoom的資訊安全漏洞，一直都有許多討論，創辦人也一直都是中國人，教育部推翻先前推薦zoom的決策過程確實有點令人措手不及。

👊回到新竹市，因為擔心教師們重新適應新軟體可能帶來的教學與受教權益的衝擊，我也向教育處瞭解我們新竹市學校的目前狀況。

教育處表示，由於一開始就 #要求各校至少要採取兩種以上的方案來模擬演練，所以當zoom不能用時，備案的啟動都還算順利。

也歡迎老師同學們和我分享你的視訊軟體選擇，防疫期間有任何疑問和建議也都可以和我聯絡喔！

————
參考資料連結🔗
Zoom's Encryption Keys Are Sometimes Being Sent to China, Report Finds
https://reurl.cc/j7R0qD

Zoom security bug lets attackers steal Windows passwords
https://reurl.cc/xZ1q0V

————
大家還記得上次的「強者我朋友」是聊什麼嗎？😂