SMC 資料庫
背景描述:
因應新冠肺炎疫情,使用共同協作或遠端會議軟體辦公的人數增加。但自2019年7月至2020年4月,國外媒體、網路安全研究者,以及加拿大多倫多大學陸續指出視訊會議平台「Zoom」的資安漏洞,而引發了大眾對遠端工作軟體的不信任。
除了美國參議院、美國國家航太總署、德國外交部、澳洲軍方、英國國防部等官方單位,電動車廠商特斯拉(Tesla)、賓士母公司戴姆勒(Daimler)、瑞典電信廠商愛立信(Ericsson)、荷蘭恩智浦半導體(NXP)、美國銀行(BofA)、Google等企業也陸續禁止或警告員工不要使用Zoom。臺灣也於4月7日宣布公務單位及各級學校禁止使用Zoom,並建議使用其他替代軟體。
本次議題相關新聞、報導:
- iThome報導發現Zoom資安漏洞的時間序:近期Zoom的資安事件總覽
- 專家建議如何使用Zoom較安全:有關 Zoom 的資安疑慮與建議
- 經濟日報:新加坡教育部允許教師恢復使用Zoom
- Zoom直至2020年4月底仍持續被指出問題:駭客假借人資發Zoom會議連結,登入個資就外洩、香港中文大學用Zoom考試,疑遭入侵
在Zoom執行長袁征宣布重新調整平台、加強安全性後,雖然新加坡教育部同意恢復使用,但要求在更嚴格的條件下、僅限使用部分功能。為何此次Zoom資安問題如此嚴重?更換軟體或調整安全設定,可以避免資安問題嗎?對此,我們邀請專家回應如下:
專家意見如下:
2020年5月07日
國立中山大學資訊工程學系助理教授 徐瑞壕
Zoom造成的資安問題,有一部分來自Zoom程式設計的缺陷;另外一部分則來自使用者防護資安的意識不足。無論使用者或管理者,都應該有正確的資安知識與素養來面對Zoom的資安問題。整理四項使用者可能對Zoom的資安疑慮如下:
- 我們應該怎麼看待修正資安問題後的Zoom呢?任何軟體在程式設計階段,都有人為疏失所產生的程式錯誤,這也是駭客可以利用的資安漏洞。包含Zoom在內,任何軟體的更新都是為了修正程式錯誤,因此只要是合法的公司,我們都可以相信「官方網站」所釋出的更新程式。然而,使用者本身仍須採取以下的積極防禦措施,如安裝信譽可靠且會定期自動更新的防毒軟體、更新每次會議的識別碼、設定較高強度的會議密碼、不從來源不明的網站下載更新檔案等等。如需進行極機密的會議,要考慮採用由公司或政府機關自行建立的IP語音傳遞服務(Voice over IP, VoIP)會議系統[註1],且需要確認使用者之間的網路連線是否有加密,如虛擬私人網路(Virtual Private Network, VPN)就是因為採用網際網路安全協定(Internet Protocol Security, IPSec)[註2]進行用戶端之間的點對點加密,所以比較安全。當然也可以用開源(Open Source)的視訊會議軟體,因為開源軟體的公開特性,讓所有人都可以持續檢驗軟體的程式設計,確保軟體的安全並即時修補與更新。
- 縱使Zoom本身存在資安問題,那可以用在低機密性的活動嗎?由於Zoom資安問題之一,是未經授權就存取Zoom使用者的裝置內資料,因此也會造成使用者本身嚴重的危害。在不能保證Zoom本身的資安問題有被修正的情況下,應該盡量避免使用。
- Zoom本身不安全,選擇其他的視訊會議軟體就能避免資安的問題嗎?答案是不能,因為每個視訊會議軟體都是由人所設計出來的,很難完全避免設計缺失,有缺失就會危害使用者的系統與裝置。然而,採用具有商譽或是資安專家公認較為安全的視訊軟體,確實能有效的降低資安威脅與攻擊。
- 針對Zoom-Bombing[註3]攻擊的威脅,一般使用者不瞭解軟體或資安的概念時,可以採取以下原則,避免遭受危害。如不隨意點擊來源不明的連結、每次設定會議時皆使用新的識別碼、設定較高強度的密碼,以及採用安全的方式傳送會議識別碼與密碼,較安全的方式包含安全連線(Secure Socket Layer, SSL)的電子郵件服務。
Zoom軟體雖然有保護使用者參加會議的安全授權[註4],並且保密會議影音資料的傳輸過程,但在沒有明確證據顯示Zoom資安問題已經解決,且當使用者的會議含有高度機密的訊息時,應採用被多數資安專家所認可的視訊會議軟體、開源視訊軟體或是機構自行建構的視訊服務系統等。除了Zoom之外,當其他的視訊軟體漸漸擁有大量使用者後,也會成為駭客攻擊與資安專業人士檢視的目標,經過嚴格的測試與檢驗,也可能發現與Zoom一樣的資安問題。因此,提升使用者以及管理者本身的資安素養,才是安全使用各種視訊會議工具來增加生產力的根本。
2020年5月07日
國立台灣大學資訊工程學系暨研究所副教授 蕭旭君
最近視訊會議軟體Zoom的潛在資安風險受到高度關注,我整理了一些相關資訊和建議,希望有助各單位決定是否要使用Zoom。倘若非使用 Zoom不可,我也提出一些會議主持人和與會者能採取的保護措施。本文件許多內容是基於加拿大多倫多大學蒙克全球事務學院公民實驗室(The Citizen Lab)的研究成果,建議也可以參考Citizen Lab公布的「關於 Zoom 資訊安全的常見疑問與回應」,其中也有澄清台灣媒體的錯誤報導。
目前已知Zoom的資安風險有以下四項:
- 不安全的加密配置與實作:Zoom的加密演算法使用不安全的加密模式(Electric Code Book, ECB)[註5],即便網路傳輸經過加密,仍可能洩漏資訊。此外,資安領域普遍建議,應由資安專家設計與實作加密通訊,Zoom自行實作是較不推薦的做法[註6]。
- Zoom 目前未達到聲稱的通訊安全性:Zoom聲稱提供端對端加密(end-to-end encryption),亦即只有與會者才能正確解開加密的通訊內容。然而,實際上Zoom是透過自身的伺服器當作建立金鑰[註7]的中介,因此Zoom仍有能力解密出通訊內容。
- 中國政府審查的風險:部分的Zoom伺服器位於中國,因此可能需配合中國政府的審查要求,提供通訊內容或金鑰。此外,Zoom目前沒有提供透明度報告(Transparency Reports)。透明度報告中應說明處理使用者資料的方式,以及公開給政府單位索取的資料。
- 外人亂入會議的風險(Zoom bombing):Zoom使用9位數的Meeting ID,若使用者沒有進一步設置存取控制或設置密碼,任何人知道或猜到ID就能加入會議。目前已有許多Zoom會議因此受到惡意騷擾。
除上述目前仍有資安風險之處,Zoom過往的資安與隱私問題也受到關注。不過,Zoom目前已經修復以下漏洞,包括針對macOS的重大漏洞、竊取Windows的登入憑證和遠端執行任意程式、在iOS上對Facebook洩漏不必要的設備資訊、利用類似惡意程式的手法繞過需要使用者同意的步驟,讓使用者可能在不知情的情況下被加入會議等。
針對目前尚未解決的資安風險,我有以下建議:
- 我們應該怎麼看待修正資安問題後的Zoom呢?任何軟體在程式設計階段,都有人為疏失所產生的程式錯誤,這也是駭客可以利用的資安漏洞。包含Zoom在內,任何軟體的更新都是為了修正程式錯誤,因此只要是合法的公司,我們都可以相信「官方網站」所釋出的更新程式。然而,使用者本身仍須採取以下的積極防禦措施,如安裝信譽可靠且會定期自動更新的防毒軟體、更新每次會議的識別碼、設定較高強度的會議密碼、不從來源不明的網站下載更新檔案等等。如需進行極機密的會議,要考慮採用由公司或政府機關自行建立的IP語音傳遞服務(Voice over IP, VoIP)會議系統[註1],且需要確認使用者之間的網路連線是否有加密,如虛擬私人網路(Virtual Private Network, VPN)就是因為採用網際網路安全協定(Internet Protocol Security, IPSec)[註2]進行用戶端之間的點對點加密,所以比較安全。當然也可以用開源(Open Source)的視訊會議軟體,因為開源軟體的公開特性,讓所有人都可以持續檢驗軟體的程式設計,確保軟體的安全並即時修補與更新。
- 縱使Zoom本身存在資安問題,那可以用在低機密性的活動嗎?由於Zoom資安問題之一,是未經授權就存取Zoom使用者的裝置內資料,因此也會造成使用者本身嚴重的危害。在不能保證Zoom本身的資安問題有被修正的情況下,應該盡量避免使用。
- Zoom本身不安全,選擇其他的視訊會議軟體就能避免資安的問題嗎?答案是不能,因為每個視訊會議軟體都是由人所設計出來的,很難完全避免設計缺失,有缺失就會危害使用者的系統與裝置。然而,採用具有商譽或是資安專家公認較為安全的視訊軟體,確實能有效的降低資安威脅與攻擊。
針對Zoom-Bombing[註3]攻擊的威脅,一般使用者不瞭解軟體或資安的概念時,可以採取以下原則,避免遭受危害。如不隨意點擊來源不明的連結、每次設定會議時皆使用新的識別碼、設定較高強度的密碼,以及採用安全的方式傳送會議識別碼與密碼,較安全的方式包含安全連線(Secure Socket Layer, SSL)的電子郵件服務。
由於Zoom使用者短期間暴增,因此在短時間內被找出許多資安問題,但這不代表其他視訊會議軟體沒有類似的疑慮。在使用任何視訊會議軟體之前,除了比較軟體功能,也須了解潛在的風險為何,以及評估需信任的對象。即便會議內容本身沒有機密性或敏感性,也應慎重看待可能產生的資安風險,因為不法之徒仍可能利用軟體漏洞入侵使用者電腦。民眾要緩解此類資安威脅,較好的做法是加強管理與會者權限、設置視訊會議密碼,並將作業系統、瀏覽器與視訊會議的桌面軟體皆更新至最新版本。
註釋及參考資料:
[註1] IP語音傳遞服務(Voice over IP, VoIP):透過IP網路傳輸語音資料的技術,也就是一般所謂的網路電話。請參考《邵喻美(2007年9月20日)。VoIP網路電話技術發展與應用。臺灣大學計算機及資訊網路中心。電子報第2期。》
[註2] 網際網路安全協定(Internet Protocol Security, IPSec):是由網際網路工程小組IETF(Internet Engineering Task Force)訂立的開放是網路架構協定,規定IP加密、解密和認證,以及金鑰交換安全。IPSec可確保通訊資料可靠性與完整性,特點是可端對端認證通訊雙方的身分、防止訊息被截取後作其他用途,並加密通訊內容。請參考《奇加互動股份有限公司(2019)ICP IPv4/IPv6 網路安全防護架構技術手冊。附錄八:頁30-31。台北:財團法人台灣網路資訊中心》、《國家通訊傳播委員會(2018)。無線區域網路接取設備及路由設備資通安全檢測技術指引。頁5。》
[註3] Zoom-Bombing:指的是使用Zoom視訊會議時,被駭客竊聽或亂入,駭客可能用色情視訊、仇恨言論等各種方式干擾會議。
[註4]依據Zoom官方服務條款,Zoom會根據行業標準保持合理的物理和技術安全措施,以防止未經授權的內容洩露或存取。
[註5] 電子密碼書(Electric Code Book, ECB)模式:是一種區塊加密演算法的工作模式,在ECB模式中每一個訊息區塊都是獨立加密,因此相同內容的區塊加密後的密文也相同。攻擊者能藉由觀察密文推測未加密訊息的內容。請參考書籍:Boneh, D., & Shoup, V. (2015). A graduate course in applied cryptography. Draft 0.2.
[註6] 根據有重大影響力的美國密碼學者布魯斯·施奈爾(Bruce Schneier)建議,若非資安專業者,不應自行發明和實作密碼學演算法,這也是資安領域的共識。
[註7] 金鑰:是用來進行密碼學演算法操作的的一組秘密資訊。在加密演算法中,需要有相對應的金鑰才能解密被加密的資訊。
版權聲明
本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:
曾雨涵
02-3366-3366#55925