不料加拿大多倫多大學的公民實驗室研究發現:部分會議的密鑰竟是由中國北京的伺服器所派送的(即使與會各方都不在中國境內)(原始報告)。
立委質詢之後,教育部又緊急地禁止老師使用Zoom,這引發許多老師抗議,包含葉丙成教授的文章〈Zoom好危險、好可怕?!〉。
而6月4日剛過,Zoom再度傳出以「違反中國法律」為由,關閉美國民運人士帳號。
針對葉丙成的文章以及整件事,我必須從幾個層次與角度提出反駁及建議。
一、技術物
首先,葉丙成建議從官方下載就不會有「惡意軟體」的問題。不是這樣的哦,請再看一次關於公民實驗室的報導,是Zoom官方的程式碼本身就會把金鑰傳到中國。
更直白地說,Zoom本身就是惡意軟體,Zoom的伺服器本身就曝露在中共監看風險之中。
用葉文的比喻來說,真實的狀況是:你在外面租「小樹屋」的房間開會,你以為這位房客滿天下的知名房東會尊重你的隱私,沒想到他竟在房間內裝了竊聽器及針孔錄影機;這小樹屋竟落在中共政權管轄範圍之內,原來習近平有權監看監聽所有房間。
其次,「來源不明的連結本來就不可以點,怎能怪Zoom」。
自從Zoom被爆出具有資安漏洞,教育部呼籲學校禁用Zoom軟體。圖片來源:Shutterstock
這件事的主要責任確實不在Zoom,但也不是使用者。要負較大責任的,是微軟。
因為微軟的NTLM有一個(長年拒絕修補的)安全漏洞(註1、2),而Zoom(及其他很多軟體也可能)讓它變得更容易被惡意人士用來竊取Windows作業系統憑證。
做個簡單的比喻:NTLM就像2019年以後的港警,你必須對它表明身份,但它不會你表明身份,最終你可能根本就是喪命在中國內陸公安,或其他假冒港警的惡徒的手裡。
微軟的NTLM(驗證通訊協定)如2019年的香港警察,你與它不是相互透明,而是你必須對它表明身份,但它不會對你表明身份。圖片來源:Shutterstock
如果用「平常亂點連結」輕易地類比,幫微軟把責任推給用戶,這就失焦了,更錯失了絕佳的機會去全面檢討Windows環境普遍存在的資安風險。(延伸閱讀|課程非機密,用Zoom沒關係?成大資安教授:忽略威脅是「真誠的無知」,貪圖方便是「盡責的愚蠢」)
二、技術物的政治性
以上是技術層面的問題。但比技術層面更重要的,是政治層面的問題。
葉丙成認為,「在台灣,Zoom的資安問題,已經不是技術問題,而是政治問題。」這句話所描述的客觀現象我同意,但對於正確方向的建議,我的觀點正好相反。
我認為,台灣人應該要在技術領域更加提升政治意識與危機感,要學會看懂技術物的政治性。我說的「政治」,包含但不侷限於政黨與國家議題;需要提防的對象,包含但不侷限於中國共產黨。
政治是管理眾人之事,軟體是眾人在用的,專屬軟體是大公司在管的;所以軟體世界的許多議題,例如電子前哨基金會 EFF,和此次揭發Zoom暗傳金鑰的公民實驗室最關心的隱私、言論自由、消費者權益、壟斷⋯⋯都是政治議題,也都應該受到更多的重視。
Windows的Dual EC DRBG 後門、蘋果的62078後門、Intel的太上皇CPU、深鎖在臉書裡的數位回憶、讓舊電腦提早垃圾化的「安全開機」、印表機的計畫報廢、蘋果的計畫報廢⋯⋯這些都是電腦軟硬體大廠利用群眾對「技術物政治」的漠不關心所設下的陷井,或默默佔盡用戶(及地球環境生態)便宜的案例。
請注意:這裡談的不是bugs,而是廠商官方刻意、堅決拒絕改變的傷害用戶的作為。
「政治很骯髒,你要躲得遠遠,不要去碰它。把自己的一技之長學好就好。」「讓政治歸政治、體育歸體育,不要什麼事都泛政治化。」
防疫也是呢!
類似這樣的「善意建議」或「專家權威意見」,四、五年級的朋友們聽起來有沒有很耳熟?現在壟斷市場的科技大廠及它們的minions(跟隨者),跟當初壟斷國家治權的政黨一樣,都希望眾人把眼睛閉起來、把腦袋關起來,比較好管理。
他們當然希望,政治最好變成只有掌權的權貴在關心的事。掌權者更會控制媒體跟教育體系,用各種制度與利害關係(例如無關腦波強弱但卻富含商業利益的證照考試制度),去馴化主編/導播/教師/明星⋯⋯讓他們避免喚醒,甚至反過來積極發言壓抑公民的政治與民主意識。
技術物不僅有政治性,而且已然走入、且左右傳統的政治舞臺。
明顯不符合「開放檔案格式」定義的微軟OOXML,卻因為微軟在國際組織ISO裡的政治操作,而竟通過成為國際標準,這就是一例。
知名國際組織被政治力滲透操弄以致失去信譽,這樣的案例並不是武漢肺炎出現後才有的啊!劍橋分析事件更是最明顯、最可怕的現在進行式實例——衛報記者Carole Cadwalladr警告:從英國脫歐案例可看見臉書對民主的威脅。
你不去關心眾人之事是如何被管理的,那就等著被極度關心的人(含政治人物、廠商、教授)管理。(延伸閱讀|李崇僖專欄|國家機器動起來!中國推社會信用評分,拿低分連高鐵票都買不到)
你會越來越習慣自由縮限,越來越習慣沒有選擇;到了一個地步,你會認為「更新並關機」或「更新並重新啟動」這兩個選項,就已經是我的世界裡所有的可能性了;我已經很自由了,Windows哪有縮限我的自由呢,對吧?
我認為,Triumph of the Default(預設值萬歲)及科技與社會研究領域學者Langdon Winner的文章「技術物有政治性嗎?」(中文摘要),應該成為每一位資工領域的大學教授與電腦領域的通識必讀文章。
不,也許最好繞過某些與廠商利益糾葛的資訊教授,這兩篇文章應該直接在大學通識課程裡,成為所有資訊產品消費者的必讀文章。
許多電腦軟體、選單、警告訊息的設計,都充滿了政治算計;例如用高昂的下賊船的代價企圖把用戶留在廠商的手裡,然後對用戶進一步做其他事⋯⋯。
我們政府、資訊長、電機與資訊教授的「技術物政治意識與風險危機感」太低,有些人已經成為廠商的代言人。
(本文獲作者授權,原文標題為〈由中國發金鑰的Zoom、臉腫的教育部、很政治的技術物〉)
【延伸閱讀】
Zoom資安政治學(中)|獨裁政府對單一個資沒興趣?對AI下令,你就可能被撈到!
Zoom資安政治學(下)|微軟、斯科都有侵犯隱私前科——但你還有這種軟體可用
