远距办公要注意 资策会吁资安防范不可少

随着新冠肺炎疫情逐渐延烧,不少记者会、座谈会都改成线上进行,也许多学校开始采取远距教学,越来越多企业更开始推行在家工作方案,带动会议视讯软体如Zoom、微软Teams、讯连U会议、思科Webex等使用频率水涨船高。资策会资安所呼吁,虽然远距办公带来不少便利,但网路会议的资安议题也不容忽视。

资策会资安所指出,使用会议视讯软体若忽视资安问题,将造成会议内容外泄、视讯中断、电脑无法运作,或个人机密资料流失等严重结果。以当今最火红的视讯软体Zoom为例,曾有骇客利用Zoom的软体漏洞,进行恶意攻击,主要有3种手法,需要小心防范。

手法一是针对Zoom的Mac用户,任何网站内容只要嵌入恶意程式码,一旦诱使受害者点击就能未经使用者授权,启动Mac的摄影机,这个型式属于资讯泄露漏洞,并不需要特别启动Zoom应用程式,就会受到攻击。

《金融》杨金龙:央行降息还有空间,留意电子零组件中小企业资金周转

央行总裁杨金龙今赴立法院报告,央行提供2000亿元的定向融资纾困,是参考经济部和各银行的相关措施,央行也会滚动式检讨,是否有必要增额。杨金龙肯定此次FED的无限量的宽松措施,至于台湾央行未来是否会再降息,杨金龙表示,当前台湾重贴现率已经是历史新低,要降息央行有还空间,但前题是不会降到零利率或负利率。 至于台湾是否会学习FED无限量的宽松,杨金龙认为,美国以直接金融为主,台湾以间接金融为主,两者不相同。央行希望透过银行中介角色,将资金注入中小企业,纾缓金融周转的困境。若疫情延到下半年,受影响的规模会愈来愈大,但目前看来不致于有金融危机。 鉴于肺炎疫情蔓延导致全球

手法二是阻断服务攻击骇客透过Zoom分享会议连结的功能,发送恶意的会议连结,一旦点击就会开始反复收到错误号码的GET请求,在未经用户许可下,不仅会启动摄影机,还会不断被强制加入无数个无效会议,以达到DoS攻击目的。最令人担忧的是,即使解除安装也无济于事,因为地方网路伺服器还是会帮用户电脑自动重新连结到Zoom的客户端。

手法三则是偷听Zoom视讯会议,Zoom最新漏洞中,由于设计机制的错误,系统会将用户传送的会议 ID 贴上合法或不合法的标签。据此骇客可以利用会议ID自动产生器,透过API不断试误,直到找到合法的会议 ID。假若该会议并没有通行密码,则骇客就能进入参与会议。所幸骇客无法透过这种做法得知会议由谁主持、何时举办,所以实际上骇客很难以此进行针对性的攻击,且一旦骇客出现在出席名单中,也相当容易被注意到。

资策会资安所副主任高传凯表示,手法一与手法二都需要使用者自己触发恶意连结,属于中风险的资安问题,切勿使用Zoom程式4.4.5以下的版本,同时也透过设定「加入会议时关掉相机」以求更多资安保障。而手法三属于风险度相对偏高的列举攻击漏洞,除了Zoom以外也曾发生在Cisco的Webex软体上,将会议设置通行密码可以有效防范此类资安问题

资策会呼吁,全球新冠肺炎疫情仍在延烧,未来远距工作、远距教学、线上发表会、线上研讨会等活动需求势必愈来愈多,大众在使用会议视讯软体时,更应随时做好资安防范。