เนื่องจากเป็นแอปพลิเคชั่นวีดีโอคอนเฟอเรนซ์ที่ใช้งานง่าย เข้าประชุมพร้อมกันได้เป็นร้อยคน ภาพวีดีโอทั้งชัดทั้งลื่น ลงชื่อเข้าใช้ปับก็สามารถเปิดห้องประชุมออนไลน์ได้โดยไม่เก็บเงิน (ใช้ประชุมฟรีได้ 40 นาทีแล้วก็ต้องปิดห้องประชุมแล้วเปิดใหม่) แอปพลิเคชั่นสามารถใช้ผ่าน OS ที่คนทั้งโลกใช้กันทั่วไป Windows, Linux, Mac, iOS, Android แอปนี้จึงได้รับความนิยมมาตั้งแต่ก่อนช่วงกักตัว Covid-19 และยิ่งพีคสุดๆในช่วงนี้ครับ.

แต่ทว่าในหน้าข่าวต่างประเทศ โดยเฉพาะอย่างยิ่งข่าวจากทางสหรัฐอเมริกา มักจะไปในแนวทางโจมตีแอปพลิเคชั่นนี้นะครับ เหตุผลที่มองแอปนี้ในทางลบอย่างนั้น มีสาเหตุหลายอย่างให้คิดนะครับ.

ปัญหาความปลอดภัย

มองรวมๆว่าฟีเจอร์หลัก คือ การทำวีดีโอคอนเฟอเรนซ์ อย่างมีคุณภาพ แอปพลิเคชั่นนี้ก็ทำงานได้น่าชมเชยนะครับ แต่พอมองในส่วนอื่นๆที่ไม่เกี่ยวกับฟีเจอร์หลักๆ เช่น การรักษาความปลอดภัยของห้องประชุม หรือ การเข้ารหัสของเสียงและภาพในการประชุม กลับพบปัญหาชวนให้ระแวงหลายจุด. ดังที่ทางการสหรัฐและกิจการสัญชาติสหรัฐและที่อื่นๆในหลายๆประเทศหลายที่ เช่น SpaceX, Google (zdnet.com 8 เม.ย. 63 https://tinyurl.com/ts4btdc), NASA และ ก็โรงเรียนประถมมัธยมหลายแห่งในทั่วโลก ก็เริ่มที่จะรับ zoom ไม่ไหวและสั่งห้ามใช้นะครับ (TechRepublic 9 เม.ย. 63 https://tinyurl.com/tudmldu)

1. Zoom Bombing

คือ ปัญหาการเข้าไปก่อกวนห้องประชุมออนไลน์ แชร์คอนเทนต์ 18+ หรือ โชว์อะไรต่ออะไรที่รบกวนการประชุมหรือการเรียนโดยไม่พึงประสงค์ เกิดขึ้นจากผู้ก่อกวนทราบถึงหมายเลขห้องประชุม และ พาสเวิร์ดในการเข้าร่วม หรือ พาสเวิร์ดเดาง่าย หรือ ไม่ใช้พาสเวิร์ดเลย…

คลิป 18+ (กรุณาใช้วิจารณญาณในการรับชม)

ปัญหานี้ ก่อกวนสถานศึกษาหลายแห่งเลยนะครับ เช่น โรงเรียนในนอร์เวย์ 26 มี.ค. 63  (https://tinyurl.com/t6ezb4c) โรงเรียนในเมืองซอลเลคซิตี้ 1 เม.ย. 63 (https://tinyurl.com/ucavjny) โรงเรียนที่สิงคโปร์ 9 เม.ย. 63   (https://tinyurl.com/wueusyn

British PM Zoom Meeting Screen

แค็ปจาก https://youtu.be/MLC8ortWfH0

นายกอังกฤษ คุณบอริส (คนที่ติดโควิดต้องหามเข้าicuคนนั้นล่ะ) และ ทางการของอังกฤษก็ใช้ Zoom ในการประชุมงานราชการ อย่างสวนกระแสการต่อต้านของสหรัฐนะครับ การเริ่มต้นพูดถึงความปลอดภัยconcallผ่านซูมที่อังกฤษ เกิดขึ้นตอนที่คุณบอริสโพสแชร์หน้าจอประชุม แล้วในหน้าจอนั้นมีเลข ID ห้องประชุมโชว์หรา. 

8 เม.ย. 63 ซูมจึงแก้ปัญหา Zoom Bombing ในขั้นต้นด้วยการไม่แสดง หมายเลขห้องประชุม และ เพิ่มเซตติ้งต่างๆให้โฮสยกระดับความปลอดภัยในการประชุมได้สะดวก. (บล็อคของซูม 8 เม.ย. 63 https://tinyurl.com/u3n4cg6)

2. ประเด็นเกี่ยวกับการเข้ารหัสป้องกันการดักข้อมูล

แอปสำหรับแชทต่างๆ หรือ เว็บไซต์ที่เรารับชมทั่วๆไปในปัจจุบันจะมีการเข้ารหัส ด้วยเจตนาหลัก คือ ให้ข้อมูลส่งถึงผู้ที่ควรจะได้รับเท่านั้น บุคคลที่3 ที่ไม่มีกุญแจรหัสสำหรับถอดรหัส ก็จะอ่านข้อมูลภาพและเสียงไม่ออก. 

การดักข้อมูล ก็คือการลักลอบรับข้อมูลทั้งที่ไม่ได้มีสิทธิ์จะได้รับข้อมูลนั้นๆนะครับ 

encryption

encryption

นักวิชาการมหาวิทยาลัยโตรอนโต้ (แคนาดา) บันทึกในรายงานห้องแล็บ “Citizen Lab” เอาไว้ดังนี้

  1. ซูมเข้ารหัสในการปกป้องข้อมูลที่อ่อนด้อยมากๆ และ รหัสเหล่านี้บางครั้งก็ทำขึ้นด้วยเซิร์ฟเวอร์ในประเทศจีน ทั้งๆที่องค์ประชุมทุกคนอยู่ในอเมริกาเหนือทุกคน. 
  2. ทั้งวีดีโอและเสียงในการวีดีโอคอนเฟอเรนซ์ พึ่งพาการเข้ารหัสแบบบ้านๆ ทำให้ฟีเจอร์ “Waiting Room” มีช่องทางให้โจมตีได้ 
  3. ซูมมีพนักงานในสาขาย่อยทั้ง 3 สาขาอยู่ 700 คน ทำงานอยู่ในจีนแผ่นดินใหญ่. 
  4. บริการของซูม “เก็บ-ความ-ลับ-ไม่-อยู่” และมีโอกาสที่จะต้องเปิดเผยกุญแจรหัสสำหรับถอดข้อมูลภาพและเสียง ให้กับทางการจีนหากทางการบี้มา.

ว่ากันว่าซูมสามารถดักข้อมูลได้จากประเทศจีนจริงไหม?

เว็บไซต์เดียวกันนี้รายงานว่า ซูมแจ้งกับผู้บริโภคว่าใช้การเข้ารหัสที่ผู้เข้าร่วมประชุมทุกคน ใครไม่อยู่ในห้องประชุมก็จะไม่มีรหัส จึงดักข้อมูลไม่ได้. แต่ทว่า…

Oded Gal หัวหน้าแผนกดูแลผลิตภัณฑ์ ออกมาเขียนบล็อคขอโทษแทนบริษัทตัวเองที่พูดว่ามี “การเข้ารหัสที่ผู้เข้าร่วมประชุมทุกคน” “Capable of using end-to-end encryption” (blog ของ Zoom 1 เม.ย. 63 https://tinyurl.com/ro5hfv7

ทาง TheIntercept_ ตั้งข้อสังเกตว่า ซูมมีเซิร์ฟเวอร์สำหรับจัดการกับกุญแจที่ใช้เข้า/ถอดรหัส 5 เครื่องในประเทศจีน จากทั้งหมด 73 เครื่องซึ่งเซิร์ฟเวอร์เครื่องที่เหลืออยู่ในสหรัฐ. Citizen Lab โดยนาย Bill Marczak และ นาย John Scott-Railton ทดลองประชุมด้วยซูมจากสหรัฐอเมริกาและแคนาดา แล้วพบว่ากุญแจที่ใช้ถอดรหัสดังกล่าว ถูกส่งด้วยวิธี TLS จากเซิร์ฟเวอร์ในปักกิ่ง! 

รายงานระบุว่า หากกุญแจเข้ารหัสถูกทำขึ้นที่เซิร์ฟเวอร์ในเมืองจีน ก็มีสิทธิว่าหากรัฐบาลจีนสั่งให้เปิดเผยกุญแจ หรือผู้ประสงค์ร้ายที่ได้สิทธิตรงนี้ไป สุดท้ายเมื่อได้กุญแจถอดรหัสแล้ว หากสามารถเข้าถึงเครือข่ายที่ผู้เข้าร่วมประชุมใช้งานอยู่ ก็จะดักข้อมูลภาพและเสียงของวีดีโอคอนเฟอเรนซ์ได้

TheIntercept_ ยังมีอธิบายเพิ่มเติม เกี่ยวกับจุดอ่อนของกุญแจเข้ารหัสชนิด AES ที่ซูมใช้อยู่นะครับ ศึกษาจากในโพสของ TheIntercept_ (TheIntercept_ 3 เม.ย. 63 https://tinyurl.com/w8mzte3

สรุป

ประเด็นข้อบกพร่องด้านกุญแจรหัสส่งมาจากเมืองจีน ยังคงเป็นข้อกังขานะครับ เอาจริงๆ ผมยังไม่รู้หรอกว่าคู่แข่งรายอื่นๆในตลาดวีดีโอคอนเฟอเรนซ์ เข้ารหัสข้อมูลที่ไหน/อย่างไร/ปลอดภัยกับใคร?? แล้วจะคุ้มค่าเท่าซูมไหมนะครับ. จึงอยากให้พิจารณาตรงนี้กรณีที่เนื้อหาการประชุมเป็นเรื่องที่อ่อนไหวนะครับ.