目前分類:06 資訊安全 (10)

瀏覽方式: 標題列表 簡短摘要
新頭殼newtalk | 郜敏 綜合報導

瑞士研究團隊發現,藍牙含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序竊取用戶裝置內的資料。圖為駭客示意圖。   圖:新頭殼資料照

瑞士研究團隊發現,藍牙含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序竊取用戶裝置內的資料。圖為駭客示意圖。   圖:新頭殼資料照

瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne)研究團隊最近發表一份研究報告,指藍牙無線通訊協定含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序,藉機存取用戶裝置內的資料。專家指出,這種「藍牙偽裝攻擊」(Bluetooth Impersonation Attack,BIAS)適用所有版本的藍牙,恐波及市場上高達數十億含有藍牙的裝置(包括手機、iPad和筆電等)。
研究團隊已經通知藍牙技術聯盟(SIG),聯盟也對藍牙晶片供應商提出一些建議,包括禁止降低加密金鑰的難度、3C裝置在進行傳統認證時應啟動交互認證機制等。聯盟也更新了藍牙核心規範,提高駭客攻擊裝置的難度。研究人員舉例,當兩支手機透過藍牙第一次配對時,必須先透過一個長期金鑰進行連線,之後就可以直接用這個金鑰配對,不必重複認證。不過,由於藍牙6種核心規格中的基本傳輸速率(Basic Rate,BR)與增強資料速率(Enhanced Data Rate,EDR)有安全漏洞,因此駭客可以偽裝成先前曾與該手機配對過的裝置,藉此繞過認證程序,即為藍牙偽裝攻擊。

瑞士洛桑聯邦理工學院研究團隊發表一份關於藍牙的資安研究報告。   圖:截取自網路
瑞士洛桑聯邦理工學院研究團隊發表一份關於藍牙的資安研究報告。   圖:截取自網路

https://newtalk.tw/news/view/2020-05-25/411584

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

2020-04-15 17:17經濟日報 編譯陳律安/綜合外電
  •  
  •  

根據路透取得的備忘錄,渣打銀行執行長溫拓思(Bill Winters)上周告知員工,不要使用視訊會議平台Zoom或Google視訊軟體Hangouts舉行線上會議,原因是網安疑慮,成為全球第一家禁止員工使用Zoom的大型銀行。

產業專家表示,無論是Zoom或Hangouts,對話加密水準都不如思科的Webex、微軟的Teams,或Blue Jeans Network公司的產品。

銀行業者格外擔憂網安問題,因為法規會懲罰其洩漏客戶個資,儘管可能是無心的。兩位渣打銀行員工透露,目前渣打銀行職員多使用Blue Jeans。

在Zoom的需求因新冠肺炎疫情而大增後,有不速之客利用其資安漏洞闖進會議、散布色情內容或發表種族歧視言論,導致許多機構棄用Zoom,例如馬斯克的SpaceX公司,紐約的公立學校體系、台灣與德國政府,而渣打銀行也加入這一行列。

由前思科主管袁征創辦與領導的Zoom,上周延攬前臉書資安長史塔莫斯(Alex Stamos)擔任顧問,以平息外界的隱私與資安疑慮。

渣打銀行也加入禁用Zoom的行列。路透
渣打銀行也加入禁用Zoom的行列。路透

https://money.udn.com/money/story/5599/4494231?from=ednappsharing

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是,我對 Zoom 台灣帳號的收費比美國帳號貴,拎北覺得很不爽。所以當 Zoom 被譙的時候,我也懶得說什麼。

但這段期間,網路上對於視訊會議資安問題的報導沸沸揚揚,甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」,我看到有很多點是過度解讀,甚至有的說法已經到了反智的地步。

有的學校還因此被教育局處長官要求不能用 Zoom,原先的數位準備全部被打亂。

這一切實在讓我看不下去。

所以雖然我知道跟風向不同,我想我還是要說一下我的看法。

先看一下國外知名科技網站 Tom’s Guide 針對 Zoom 的資安問題所做的報導,結論是:

“We disagree with that decision, because we think Zoom is safe to use for meetings that aren’t highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there’s not much risk in using Zoom.”

結論就是,除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人,不然對於教學、或是一般商務的會議而言,用 Zoom 沒有太大風險 (quote: not much risk in using Zoom)。

那大家一直在傳的資安問題,到底是怎麼回事?這裡面有很多,坦白說真的很瞎,我先抓幾點來說:

1.Zoom Booming:

不是說有什麼 Zoom Bombing 很可怕,用 Zoom 開會上課到一半,會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了,居然會被人這樣駭入,太糟糕了!

等等,你有沒有去了解過 Zoom Bombing 是怎麼來的?Zoom 的會議室可以設密碼。但為了方便大家連進來開會,大部分使用者都省略不設密碼,直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人,不相干的人進來亂。這叫做「駭入」?

靠杯喔,你在外面租「小樹屋」的房間開會,門有鎖可以鎖而你不鎖,被無聊人士闖進來丟色情圖片,這叫被駭入?你叫小樹屋要負責?!

以臉書社團為例,你開一個臉書社團,然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片,你怎麼不說是臉書資安有問題被人「駭入」?明明就是你自己社團權限沒管控好,不是臉書害你被駭啊。

那為什麼你 Zoom 要開屬於你們自己人的會議,然後你都不設密碼,也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來,你才在哭說是軟體有問題害你被駭?

我也是傻眼了。

根本就是使用者貪圖方便不設會議室密碼啊!

(據說 Zoom 已經自動生成密碼了,以後這種使用者自己不設防的問題應該就會解決)

2.安裝檔有惡意軟體:

Tom’s Guide 上面有說到,有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式,造成系統的問題。但 Tom’s Guide 也說,這個責任不是 Zoom 的錯,因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。

許多人說這是資安問題,我又傻眼了。

每個人都應該要有最基本的資安素養:要安裝軟體,要從官方網站下載,不要從非原廠網站下載來源不明的程式安裝。

Zoom 你不去人家官方網站下載來裝,你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝,結果電腦免費幫人挖礦,你說是誰的錯?如果你就是有這種糟糕習慣的人,你用其他軟體也會幫人家免費挖礦,不會只有 Zoom。

這根本就是使用者偷懶不去官方下載啊!

要安裝軟體,請從官方網站下載。這是常識,OK?

 

3.聊天室點了惡意連結,導致系統被駭中毒:

講到這個,我又傻眼了。來源不明的連結不可以點,這你不知道嗎?你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結,會不會中毒?

你都知道來源不明連結點了會出問題,那你為什麼在 Zoom 聊天室還要去點來源不明的連結,然後出事了才說是 Zoom 資安有問題被駭?

這根本是使用者手癢亂按不明的連結啊!

最後,我再來談談真正最重要的資訊安全原則是什麼。

真正的資訊安全,就是要假定任何地方都可能出錯,有機密性的東西都完全不該在網路上跟人家談。

你今天用 Meet 或 Team 跟別人視訊會議,就會安全?我也是笑笑了。你今天跟人家視訊會議,說的任何話,都能夠被人錄製桌面而錄下來,事後流出去。

所以真相是,只要你是用視訊會議或網路軟體跟人談事情,不管你是用哪一家的,你都沒有真正的資訊安全。真正的安全是,機密的事情要跟真人實際面對面的口頭談,才會安全。

喔是嗎?你確定對方身上沒有偷裝錄音機?你要不要搜身一下才能確定真正安全?

如果你是做高科技技術的公司、或是高階政府單位,有高機密性的資訊,原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統,相對比較安全。

話說 Webex 是誰開發的?就是 Zoom 的創辦人當年所開發的,他離開 Cisco 之前去創立 Zoom 之前,是副總裁。國際大企業過去十幾二十年都用這個人的東西,這個人有沒有問題,這是個參考指標。

任何軟體都有洞,你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」,你都會看到每個軟體都有洞。越多人用的軟體,越有機會被大家找出洞來,也越有機會讓洞被補起來,而變得越安全。

以最多人用的微軟為例,這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎?

Zoom 這段期間因為許多人大量使用,所以被看到的洞自然就比較多(雖然有很多洞我認為根本上是使用者習慣的問題),之後就看他們是否有補起來。現在的觀察是,我看他們最近的更新滿頻繁,看起來是有努力在把一些洞補起來。

最後的最後,你問我說我會不會改用其他會議軟體?

從資訊安全的角度來說,如同國外網站說的,並沒有太大的風險。但在台灣,卻被炒作到好像用了電腦就完了。更別說當中很多的風險,都是使用者自己資安習慣不好,用其他軟體也會遇到的。

我的看法是,在台灣,Zoom 的資安問題,已經不是技術問題,而是政治問題。

Zoom 的創辦人來自中國,但他的主要資金來源還是美國的資本市場,Zoom最大外部股東是Emergence Capital,持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。

有人提到,如果中國政府要求 Zoom 提供使用者資料,他們敢不從嗎?

Google 當初退出中國就是這個原因,因為公司的決策要求的是公司最大利益。在大陸,目前大多數的人用的是阿里巴巴跟微信的會議軟體,用 Zoom 的很少。美國跟其他國家市場,才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府,他在美國的市場絕對雪崩,這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。

董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場,這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況,出現的機會不大。當然,我也有可能是錯的。

但同樣的問題,為什麼大家會認為如果中國政府要求,微軟就不會就範呢?特別微軟在大陸投入很多的資源,也有很大的市場。微軟中國分公司就不會就範?我反而覺得微軟若不從,要冒的風險比 Zoom 大很多。

所以,我會繼續用。反正我也沒有什麼高機密在網路上跟人家說。真正有什麼很機密不方便在網路上說的事,就來找我喝咖啡再當面聊吧!

如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視訊軟體通通都不該用。那才是真正的安全!

新聞來源:台大電機葉丙成教授臉書

 

https://ctee.com.tw/news/policy/248303.html

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

 

中時電子報 
防疫在家上班潮興起,遠端線上會議的Zoom成為近期寵兒,但是持續爆發資安問題,引發疑慮。(Zoom提供/黃慧雯台北傳真)

防疫在家上班潮興起,遠端線上會議的Zoom成為近期寵兒,但是持續爆發資安問題,引發疑慮。(Zoom提供/黃慧雯台北傳真)

因新冠肺炎(COVID-19)衝擊而衍生的在家工作、遠距教學潮流,帶動了包含 Zoom、Microsoft Team、Google Hangout Meets 等視訊會議工具的興起。然而其中的 Zoom 近期陸續爆發嚴重資安問題,讓用戶對它的好感驟降,成為近期熱議焦點。外媒報導發現竟然有超過 3 百名 Zoom 用戶的資料在暗網(Dark web)被盜賣,令人對於它的安全性更感憂心。

《Mashable》報導,網路安全機構 Sixgill 的分析師 Dov Lerner 發現,有 352 名 Zoom 用戶的帳號資料遭到盜取,並且在暗網(無法被一般搜尋引擎索引,只能使用特殊軟體、特殊授權才能存取的網路)被轉賣,當中包含了電子郵件信箱以及帳號密碼、會議ID、還有主辦人姓名等資料。其中,被盜賣的 Zoom 用戶資料還被分級,包含付費購買企業版或商用版的種類,顯示這些帳號具有更高的價值。

分析師 Dov Lerner 指出,這些遭到盜賣的 Zoom 用戶資料,主要都是個人用戶,大多來自使用 Zoom 來進行線上教學與視訊會議的教育機構以及小型公司團體;其中,他還發現有一名用戶是美國主要醫療保健用品的供應商。

Zoom 是以主打視訊會議功能起家的服務,提供免費版單次會議時間 40 分鐘、企業版則沒有限制時間的服務。疫情期間,Zoom 還將免費版同時會議人數上限從 10 人調升為 100 人,因此當在家工作、遠距教學潮興起時,成為不少機構與個人的選項之一。不過卻持續爆發資安疑慮,包含美國聯邦調查局(FBI)提醒,Zoom 因為爆紅已經成為網路犯罪者的最新目標;前國家安全局(NSA)員工、兼網路安全研究者Patrick Wardle則是發現 Zoom 的 Mac 版本存在一個漏洞,會讓電腦的攝影鏡頭以及麥克風更容易被駭客入侵。此外還包含 Zoom iOS版使用了 Facebook 軟體開發套件(SDK)而會向 Facebook 傳送許多非必要資訊(設備螢幕尺寸、系統版本等等)資料(此問題已修復),資安問題不斷。

因此,行政院也在 4 月 7 日通函各公務機關及特定非公務機關,若因業務需求必須召開遠端視訊會議,不應使用具資通安全疑慮的產品,例如ZOOM。後續也要求各級學校不要用ZOOM來進行遠距教學。中華電信也宣布停售 Zoom 相關產品。

此外,繼先前美國太空總署(NASA)以及太空探索技術公司(SpaceX)紛紛宣布禁止員工使用 Zoom 之後,《Business Insider》也報導,Google 也因為 Zoom 的資安疑慮,禁止員工使用 Zoom。

針對 Zoom 所爆發的一連串資安問題,Zoom CEO 袁徵(Eric Yuan)在稍早之前進行的 YouTube 直播中,也直接向公眾道歉,並且直接回答網路問題長達兩個多小時。針對產品所包含的資安疑慮,Zoom 已經透過官方部落格宣布,未來 90 天內將會暫停更新產品,專注於修復資安相關問題,並且將針對如何避免「zoombombing」(未經邀請的使用者突然加入視訊會議、且發表色情內容或種族歧視言論的新興問題)提出解決方法。

文章來源:Mashable

(中時電子報)

 

https://www.chinatimes.com/realtimenews/20200409001842-260412?chdtv

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

2020-04-08 19:51經濟日報 數位部內容中心
  •  
  •  

 

雲端視訊會議軟體Zoom被爆有資安疑慮,教育部7日宣布各級學校禁用。 報系資料照
雲端視訊會議軟體Zoom被爆有資安疑慮,教育部7日宣布各級學校禁用。 報系資料照
 
新冠肺炎疫情延燒,民間陸續採取遠距工作,但視訊會議軟體Zoom卻被爆出資安漏洞。行政院資安處7日下令,政府機關禁用Zoom。不過這項指令卻引起大學教授和網友的熱烈討論,各有不同意見。(防新冠肺炎兼顧資安 行政院下令:政府機關禁用Zoom

教育部7日發函請各校停用Zoom教學。有些高中老師在教育部的臉書粉絲專頁留言批評教育部反應太慢;推行遠距教學的無界塾塾長、台大電機系教授葉丙成也表示,教育部一紙公文讓老師們一個月來的努力白費,也讓認真準備遠距教學的老師受到冷嘲熱諷。(一紙公文停用Zoom…老師心血白費

葉丙成指出,政府和各級學校在宣布暫停使用Zoom之前,應該要委託資安團隊來評估,結果出爐後,讓老師知道能否重新開始用Zoom,或是得完全禁用。(Zoom真的完全不能用?葉丙成籲找資安團隊評估

教育部以資安為由,要求各校不要使用Zoom系統,引發各校反彈,但專長資安的成大電機工程系教授李忠憲認為,有資安的問題原本就不該用,即使要再花時間金錢去學另一套軟體,還是值得的,如果堅持「教學沒有資安問題」硬要使用,「就是一種無知」相當危險。(禁用Zoom引反彈惹議 資安專家:明知不安全還堅持用是無知

Zoom創辦人袁征。 美聯社
Zoom創辦人袁征。 美聯社
 

對此,網友也留言表示意見,包括「老師教學生,有國家機密?」、「早該做了,沒什麼好可惜」、「有那麼多可以選,非要用Zoom?不就是裝好就用了嗎?花多少時間?」也有人針對資安問題討論,網友提到使用視訊軟體「你的臉就是個資!」

也有網友在PTT網路論壇上爆掛,「Zoom的研發中心在中國蘇州」,搜出Zoom過去在蘇州研發中心的招聘廣告,當時刊登的公司名稱為「軟視軟件(蘇州)有限公司」。Zoom被爆出訊息傳送到中國大陸,國外包括NASA、特斯拉、紐約市各級學校都將停用,台灣並不是唯一。(Zoom創辦人是他...身價暴漲幕後

網友提到「會使用Zoom就是看上它便宜好用,也許政府機關和企業要更審慎挑選軟體,不是便宜就好。」也有人想到「當初從美國開始,各國開始跟進的華為禁令,很大一部分也是資安問題」,顯示資訊安全的重要性。

延伸閱讀

遠距軟體Zoom傳資安疑慮 教育部發函請各校停用
Zoom真的不能用嗎?有關Zoom的資安疑慮與建議
教學禁用Zoom 基層教師轟:超前部署1個月完全做白工
Zoom出包 本土視訊服務竄起

https://money.udn.com/money/story/5648/4477111?utm_source=moneylinemobile&utm_medium=share

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

 

工商 

當紅視訊會議軟體Zoom,在美國掀起科技業、學校退用潮後,再爆FBI也示警資安疑慮,SpaceX、NASA先後宣布禁用,清明長假結束後,分組異地上班的各家企業將又廣泛需召開視訊會議,那又該怎麼辦?
隨著全球新冠病毒疫情不斷升溫,國際科技公司及美國加州科技新創圈,近日來接續發布最新資安政策,除了不再使用ZOOM作為視訊會議管道,要求公事需用Skype for business 與 Microsoft Team,也可能用 webex,如果員工個人連繫、或與朋友個別談話,建議使用FACETIME。在國內的國立大學線上教學系統,也有Google Hangouts Meet 、Microsoft Team的學校帳號登入,加上一層資安保護。

跨國公司的分公司分散在世界各地,需配合當地政府法令讓員工在家上班(Work From Home,WFH),台灣韋萊韜悅(Willis Towers Watson)資安風險管理與保險業務專家吳明璋指出,目前的作法無形中增加資安的風險,除了要求員工一再更新電腦的修補程式、使用加密硬碟與設定自動的螢幕鎖定,WFH員工需使用兩階段加密(MFA)與VPN進行遠距工作上的連線。

Willis Towers Watson總部甫於上周公布最新「即時通訊平台資安政策」(Policy on the Use of Instant/Ephemeral Messaging Platforms),甚至更嚴格規定,不管是和客戶或同事之間交換的資訊,僅限於使用公司同意的Skype、Teams或Webex。對於目前市場疑慮很深的Zoom軟體,該公司一再嚴格檢視其中的可能資安漏洞。

韋萊韜悅對於所謂的「商業往來資訊」,也定義十分清楚,吳明璋說,「包括、但不限於」公司端提供給客戶的服務、報價或費用討論、提案、商業策略、財務資料、員工或客戶個人資料、保險資訊、客戶或廠商名單、機密的專業技能,規定詳盡目的,無不就是要自己先作好潛在資安漏洞的防堵。

基於Zoom的使用者愈來愈多,一旦被邀請參加Zoom而無法拒絕,由中研院兩位資訊專家呂紹勳、陳伶志撰寫的《有關 Zoom 的資安疑慮與建議》,已成為最佳指南針,文中提出的7點建議措施,提醒使用者應在進入視訊會議之前,應自行作好的資安防護:

1.使用Zoom進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)

2.建議從Zoom政府版網頁下載軟體,並且隨時保持讓程式更新到最新版本。

3.在Zoom系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook 或Google 帳號登入的方式進行認證。

4.舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。

5.邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或Line等)

6.在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。

7.若為臺灣學術網路使用者,可使用教育部提供的Zoom服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

@參考資料:.Cyber risk, coronavirus and insurance coveragehttps://www.willistowerswatson.com/en-US/Insights/2020/03/client-alert-cyber-risk-coronavirus-and-insurance-coverage.有關Zoom的資安疑慮與建議https://medium.com/@lingjyhchen/有關-zoom-的資安疑慮與建議-87c89e44eaf1

(工商 )

https://www.chinatimes.com/realtimenews/20200405003038-260410?chdtv

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

 

工商 
視訊會議軟體ZOOM在新冠疫情中爆紅,也因此被肉搜出問題大。(圖/陳碧芬後製)

視訊會議軟體ZOOM在新冠疫情中爆紅,也因此被肉搜出問題大。(圖/陳碧芬後製)

基於現在多需在家工作、也無法出國開會,視訊會議成為串連全球的數位工具,主流的三大視訊平台:Google Meet、Microsoft TEAM、和ZOOM平台,就屬ZOOM是快速竄紅,但是科技圈持續發現它的問題重重,包括先前被質疑將使用者個資轉賣臉書,後來又有Zoom-Bombing惡作劇圖片轟炸,以及美國時間2日的最新訊息,Windows 版 的Zoom 使用者會被駭客入侵,其中的安全漏洞會使得使用者的 Windows 作業系統憑證被竊取。
美國新聞評論網站VOX專欄記者莫瑞森(Sara Morrison)分析,Zoom的真正、首要問題,是缺乏透明度!隱私權政策措辭含糊,行銷手法令人誤解,無論是在後端或是前端,都明顯缺乏隱私保護。

美國加州科技新創圈對此特別在意,建議減少彼此透過ZOOM連繫,也有美國公立學校主動宣布禁用,如維吉尼亞州的Fairfax County,紐約州總檢察長Letitia James也親自寫信指控該公司的隱私侵犯做法,在一傳十、十傳百下,美國掀起ZOOM的退用潮。

莫瑞森指出,這些通後門的技術問題應該要先被仔細探究,否則一旦Zoom成為疫情中必不可少的主流軟體時,就可能形成另一枚糟透了的定時炸彈。

為了隔離員工而進行的在家上班,居家使用者目前多透過暫時性、或隨意湊合的方式,連線到具商業敏感性的工作網路上,都是沒有企業級防火牆的安全防護,存在的風險令人擔心,但多數資訊人員也無法在緊急下,作到速度和資安的盡善盡美。

(工商 )

https://www.chinatimes.com/realtimenews/20200403001894-260412?chdtv

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

隨著新冠肺炎疫情逐漸延燒,不少記者會、座談會都改成線上進行,也許多學校開始採取遠距教學,越來越多企業更開始推行在家工作方案,帶動會議視訊軟體如Zoom、微軟Teams、訊連U會議、思科Webex等使用頻率水漲船高。資策會資安所呼籲,雖然遠距辦公帶來不少便利,但網路會議的資安議題也不容忽視。

資策會資安所指出,使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷、電腦無法運作,或個人機密資料流失等嚴重結果。以當今最火紅的視訊軟體Zoom為例,曾有駭客利用Zoom的軟體漏洞,進行惡意攻擊,主要有3種手法,需要小心防範。

手法一是針對Zoom的Mac用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動Mac的攝影機,這個型式屬於資訊洩露漏洞,並不需要特別啟動Zoom應用程式,就會受到攻擊。

手法二是阻斷服務攻擊(DoS, Denial of Service)駭客透過Zoom分享會議連結的功能,發送惡意的會議連結,一旦點擊就會開始反覆收到錯誤號碼的GET請求,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到DoS攻擊目的。最令人擔憂的是,即使解除安裝也無濟於事,因為地方網路伺服器還是會幫用戶電腦自動重新連結到Zoom的客戶端。

手法三則是偷聽Zoom視訊會議,Zoom最新漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議 ID 貼上合法(valid)或不合法(invalid)的標籤。據此駭客可以利用會議ID自動產生器,透過API不斷試誤,直到找到合法的會議 ID。假若該會議並沒有通行密碼,則駭客就能進入參與會議。所幸駭客無法透過這種做法得知會議由誰主持、何時舉辦,所以實際上駭客很難以此進行針對性的攻擊,且一旦駭客出現在出席名單中,也相當容易被注意到。

資策會資安所副主任高傳凱表示,手法一與手法二都需要使用者自己觸發惡意連結,屬於中風險的資安問題,切勿使用Zoom程式4.4.5以下的版本,同時也透過設定「加入會議時關掉相機」以求更多資安保障。而手法三屬於風險度相對偏高的列舉攻擊漏洞,除了Zoom以外也曾發生在Cisco的Webex軟體上,將會議設置通行密碼可以有效防範此類資安問題。

 

資策會呼籲,全球新冠肺炎疫情仍在延燒,未來遠距工作、遠距教學、線上發表會、線上研討會等活動需求勢必愈來愈多,大眾在使用會議視訊軟體時,更應隨時做好資安防範。


延伸閱讀

 

 

遠距辦公首重資安 破解駭客三大手法  

雲端網路資安ETF 防疫新藍海

 

https://ctee.com.tw/news/tech/244673.html

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷、電腦無法運作,或個人機密資料流失等嚴重結果,資策會資安所觀察,以當今最火紅的視訊軟體Zoom為例,曾有駭客利用Zoom的軟體漏洞,進行惡意攻擊。

資安所指出,這其中主要有3種手法,第一種是遠端監控資安攻擊,針對Zoom的Mac用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動Mac的攝影機,這個型式屬於資訊洩露漏洞,並不需要特別啟動Zoom應用程式,就會受到攻擊。

其次是阻斷服務攻擊(Denial of Service,DoS),駭客透過Zoom分享會議連結的功能,發送惡意的會議連結,一旦點擊就會開始反覆收到錯誤號碼的GET請求,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到DoS攻擊目的。最令人擔憂的是,即使解除安裝也無濟於事,因為地方網路伺服器還是會幫用戶電腦自動重新連結到Zoom的客戶端。

 

最後是,偷聽Zoom視訊會議,在Zoom最新的漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議ID貼上合法(valid)或不合法(invalid)的標籤。

據此,駭客可以利用會議ID自動產生器,透過API不斷試誤,直到找到合法的會議ID。而若該會議並沒有通行密碼,則駭客就能進入參與會議。所幸駭客無法透過這種做法得知會議由誰主持、何時舉辦,所以實際上駭客很難以此進行針對性的攻擊,且一旦駭客出現在出席名單中,也相當容易被注意到。

資策會資安所副主任高傳凱表示,手法一與手法二都需要使用者自己觸發惡意連結,屬於中風險的資安問題,他提醒用戶務必更新到最新版本,切勿使用Zoom程式4.4.5以下的版本,同時也透過設定「加入會議時關掉相機」以求更多資安保障。

至於手法三屬於風險度相對偏高的列舉攻擊(enumeration attack)漏洞,除了Zoom外,也曾發生在Cisco的Webex軟體上,高傳凱建議,除了將應用程式更新到最新版本外,也別忘了將會議設置通行密碼(Password for Meeting)的功能打開,可以有效防範此類資安問題。

 

https://ctee.com.tw/news/tech/244267.html

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

 

工商時報 

資策會資安所觀察,使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷等嚴重結果。

以Zoom為例,主要有3種手法:

手法一:遠端監控資安攻擊,針對Zoom的Mac用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動Mac的攝影機,這個型式屬於資訊洩露漏洞。

手法二:阻斷服務攻擊(DoS), 駭客發送惡意的會議連結,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到DoS攻擊目的。

手法三:偷聽Zoom視訊會議,在Zoom最新的漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議ID貼上合法或不合法的標籤。

據此,駭客可以利用會議ID自動產生器,找到合法的會議ID。而若該會議並沒有通行密碼,則駭客就能進入參與會議。

而手法三屬於風險度相對偏高的列舉攻擊漏洞,除了Zoom外,也曾發生在Cisco的Webex軟體上,資策會資安所副主任高傳凱建議除了將應用程式更新到最新版本外,也別忘了將會議設置通行密碼的功能打開,可以有效防範此類資安問題。

https://www.chinatimes.com/newspapers/20200329000424-260210?chdtv

顏明輝_美商ERA 發表在 痞客邦 留言(0) 人氣()

您尚未登入,將以訪客身份留言。亦可以上方服務帳號登入留言

請輸入暱稱 ( 最多顯示 6 個中文字元 )

請輸入標題 ( 最多顯示 9 個中文字元 )

請輸入內容 ( 最多 140 個中文字元 )

請輸入左方認證碼:

看不懂,換張圖

請輸入驗證碼