加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專(zhuān)業(yè)用戶(hù)
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • Zoom 到底做了什么?
    •  
    • 會(huì)議軟件的安全水位
    • 云時(shí)代的網(wǎng)絡(luò)安全,深而廣的技術(shù)模具
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

從Zoom連環(huán)爆雷,聊聊會(huì)議軟件的安全水位

2020/04/13
65
閱讀需 12 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

在家辦公、上課成為生活首選,不少?lài)?guó)內(nèi)網(wǎng)友可能會(huì)表示“這集我看過(guò)”。

但接下來(lái)的劇情卻有些出人意料。

云視頻會(huì)議協(xié)作工具 Zoom 使用量暴漲,后續(xù)發(fā)展卻不是類(lèi)似“小學(xué)生給釘釘好評(píng)五星分期付清”的常規(guī)反彈,而是以重大安全漏洞被全網(wǎng)質(zhì)疑,甚至被 FBI 警告。這就有點(diǎn)玩大了?。?/p>

其實(shí)早在 2019 年 7 月,就曾傳出 Zoom 軟件加密缺陷的新聞,伴隨著使用人數(shù)短時(shí)間內(nèi)突破 2 億人,終于摧毀了品牌的堤防。Zoom 的“先天 bug”開(kāi)始出現(xiàn):

比如安全加密手段不嚴(yán),導(dǎo)致數(shù)以萬(wàn)計(jì)的私人 Zoom 視頻被上傳至公開(kāi)網(wǎng)頁(yè),任何人都可在線(xiàn)圍觀(guān),有的還包括參會(huì)人員的個(gè)人信息;

甚至還被黑客攻擊(又稱(chēng)“Zoom Bombing”),有多個(gè) Zoom 網(wǎng)絡(luò)教室和電話(huà)會(huì)議頻遭“劫持”,在視頻會(huì)議期間播放種族歧視甚至色情內(nèi)容;

這也導(dǎo)致猛漲沒(méi)持續(xù)多久,Zoom 平臺(tái)就面臨來(lái)自 SpaceX、NASA 等機(jī)構(gòu)的禁用,紐約市在內(nèi)的某些學(xué)區(qū)禁止使用 Zoom 平臺(tái)來(lái)網(wǎng)上授課。

有專(zhuān)業(yè)人士認(rèn)為,只有徹底重建 Zoom 云端會(huì)議的安全技術(shù)才能確保會(huì)議內(nèi)容全程加密,在停止更新整改的 90 天內(nèi),想要做到這一點(diǎn)幾乎是不可能的。

顯然,Zoom 錯(cuò)失了這一機(jī)遇。但值得注意的是,遠(yuǎn)程辦公行業(yè)并非危機(jī)四伏,畢竟其他上億承載量的軟件可是堅(jiān)壁清野、固若金湯。

Zoom 到底做了什么?

?

會(huì)議軟件的安全水位

首先回歸到 Zoom 爆雷的核心原因。

一方面,是其技術(shù)本身的缺位。

正如其創(chuàng)始人兼首席執(zhí)行官袁征所說(shuō)——“我們的加密設(shè)計(jì)可以做得更好”。作為海外創(chuàng)業(yè)團(tuán)隊(duì),Zoom 并不具備應(yīng)對(duì)億級(jí)規(guī)模用戶(hù)的先驗(yàn)意識(shí),這使其內(nèi)部安全設(shè)計(jì)中,存在先天的短板。

在 Pomerantz 律師事務(wù)所發(fā)起的、針對(duì) Zoom 的集體訴訟中,就以此為核心打擊點(diǎn),直指 Zoom 缺少足夠的數(shù)據(jù)隱私和安全措施,該公司的視頻通信服務(wù)沒(méi)有端到端加密,就公司的業(yè)務(wù)、運(yùn)營(yíng)和合規(guī)政策做出了重大虛假和誤導(dǎo)性的陳述。

因?yàn)?Zoom 自稱(chēng)是基于 AES-256 算法進(jìn)行端到端加密,但多倫多大學(xué)研究人員發(fā)現(xiàn) Zoom 實(shí)際上用的是更弱的 AES-128 算法,進(jìn)行的是“傳輸”加密。

二者之間有何區(qū)別呢?

端到端加密(E2EE),又稱(chēng)脫線(xiàn)加密或包加密,每個(gè)報(bào)文包均是獨(dú)立被加密的,使得消息在整個(gè)傳輸過(guò)程中均受到保護(hù),所以即使有節(jié)點(diǎn)被損壞也不會(huì)使消息泄露。

所以攻擊者想要篡改通信內(nèi)容,也成了不太可能完成的任務(wù),是一種目前比較安全的通信系統(tǒng)。就相當(dāng)于海外直郵,而不是代理轉(zhuǎn)發(fā)。

而 AEW-128 這類(lèi)低等級(jí)的加密算法呢,加解密中每輪的密鑰分別由初始密鑰擴(kuò)展得到。換句話(huà)說(shuō),只要對(duì)每一步操作進(jìn)行逆向處理,按照相反的順序進(jìn)行解密即可恢復(fù)明文。

也難怪黑客能直接攻擊視頻會(huì)議的漏洞了。

但這樣做有什么影響呢?

一是需要使用安全級(jí)別較高的加密算法,以確保傳輸數(shù)據(jù)能夠得到最高級(jí)別的安全保護(hù),“有選擇性地加密”也會(huì)帶來(lái)額外的算力成本和資源需求。對(duì)服務(wù)方的安全意識(shí)和技術(shù)水平提出了更高的要求。

二是阻礙了平臺(tái)方的數(shù)據(jù)感知。由于互聯(lián)網(wǎng)服務(wù)提供商、通信服務(wù)提供商、以及電信服務(wù)提供商都無(wú)法獲取到這類(lèi)通信數(shù)據(jù),對(duì)于許多需要以數(shù)據(jù)驅(qū)動(dòng)運(yùn)維策略的平臺(tái)來(lái)說(shuō),無(wú)疑缺少了重要的數(shù)據(jù)養(yǎng)料。

顯然,可以訪(fǎng)問(wèn)用戶(hù)音頻和視頻內(nèi)容的 Zoom,在事實(shí)層面都使用了更容易被修改和攻擊的技術(shù)。Zoom 公司的首席財(cái)務(wù)官斯塔伯格就曾直接表示,面對(duì)突如其來(lái)的“流量高峰”,高管們也沒(méi)有考慮因?yàn)槭褂昧考ぴ龆胄碌募夹g(shù)。

Zoom 爆雷的另一個(gè)短板,則是產(chǎn)品思維的缺失。

作為一個(gè)創(chuàng)業(yè)不到兩年的平臺(tái),Zoom 在產(chǎn)品細(xì)節(jié)上考慮的也不夠周全,由此也埋下了安全隱患。

舉個(gè)例子,會(huì)議主持人可以無(wú)需參加者同意錄制視頻,并將其保存在 Zoom 服務(wù)器或任何云端、公開(kāi)網(wǎng)站。而且,錄制好的 Zoom 視頻都默認(rèn)以相同的命名方式來(lái)保存。

這就導(dǎo)致了兩個(gè)問(wèn)題:首先是命名規(guī)則很容易被破解,有網(wǎng)友利用免費(fèi)的在線(xiàn)搜索引擎掃描了一下開(kāi)放的云存儲(chǔ)空間,一次性搜索出了 15000 個(gè)視頻。

另外則是對(duì)用戶(hù)的權(quán)益告知不到位,如果有用戶(hù)通過(guò) Facebook 等社交網(wǎng)站登錄 Zoom,那么很可能無(wú)意間將空間改成公開(kāi)訪(fǎng)問(wèn),自己的 YouTube 上也能找到 Zoom 視頻。據(jù)《華盛頓郵報(bào)》的報(bào)道,他們據(jù)此看到的視頻有小公司的財(cái)務(wù)會(huì)議,小學(xué)生的網(wǎng)課,甚至家庭內(nèi)部的私密談話(huà)等等。

前 Facebook 安全主管、現(xiàn)任斯坦?;ヂ?lián)網(wǎng)天文臺(tái)(Stanford Internet Observatory)負(fù)責(zé)人 Alex Stamos 表示,Zoom 的問(wèn)題包括從愚蠢的設(shè)計(jì)到嚴(yán)重的產(chǎn)品安全缺陷。而在事件頻繁發(fā)生后,Zoom 也緊急應(yīng)對(duì),比如停止更新,專(zhuān)注于隱私和安全問(wèn)題;改變了學(xué)校的默認(rèn)設(shè)置,只允許教師共享他們的屏幕等等。

當(dāng)然,這種西方媒體炸裂式的口誅筆伐,也與 Zoom 的中國(guó)背景不無(wú)關(guān)系。一方面,相較于同業(yè)務(wù)競(jìng)爭(zhēng)對(duì)手 Avaya、思科和微軟等企業(yè), Zoom 的成本優(yōu)勢(shì)源于開(kāi)發(fā)人員都位于中國(guó),數(shù)據(jù)流“會(huì)經(jīng)過(guò)位于中國(guó)的服務(wù)器”,也成為英國(guó)廣播公司等媒體十分敏感的話(huà)題。

此外,在 1-3 月的全球股市“黑天鵝”期間,Zoom 的股價(jià)漲幅卻超過(guò)了 100%,市值翻了一倍,其創(chuàng)始人、華人移民袁征財(cái)富增幅達(dá)到 77%,這次“爆雷”未嘗不是海外媒體在疫情期間的情緒釋放。

云時(shí)代的網(wǎng)絡(luò)安全,深而廣的技術(shù)模具

那么,遠(yuǎn)程會(huì)議的安全水位到底應(yīng)該有多高?我想這次諸多內(nèi)地軟件都交出了不錯(cuò)的答卷。

以國(guó)內(nèi)主流云廠(chǎng)商的發(fā)展趨勢(shì)來(lái)看,一個(gè)滿(mǎn)足億級(jí)用戶(hù)規(guī)模的會(huì)議平臺(tái),其安全策略主要體現(xiàn)在四個(gè)方面:

一是云原生安全、全局防御。

今天,眾多遠(yuǎn)程視頻會(huì)議都是借助云網(wǎng)絡(luò)來(lái)提供服務(wù)的,因此,深入到云端的信息安全保障對(duì)于會(huì)議系統(tǒng)來(lái)說(shuō)是重中之重。

公有云、私有云、混合云等多種服務(wù)的出現(xiàn),讓互聯(lián)網(wǎng)企業(yè)會(huì)面對(duì)不一樣的資源管理、不一致的安全策略、不同的底層架構(gòu)、不同的安全工具,由此也必然造成數(shù)據(jù)隱私、運(yùn)維人員短缺等問(wèn)題,因此越來(lái)越多的云服務(wù)商傾向于以統(tǒng)一、全面覆蓋的方式來(lái)進(jìn)行安全設(shè)計(jì),將網(wǎng)絡(luò)的安全水位提升到云原生級(jí)別。

二是全場(chǎng)景覆蓋、實(shí)時(shí)監(jiān)測(cè)。

在安全架構(gòu)上,云平臺(tái)需要將內(nèi)部身份訪(fǎng)問(wèn)、物理安全、硬件安全、虛擬化安全等全面覆蓋。具體到場(chǎng)景中,主要有以下幾種:

1. 業(yè)務(wù)安全。簡(jiǎn)單來(lái)說(shuō)就是對(duì)客戶(hù)的網(wǎng)絡(luò)內(nèi)容、身份驗(yàn)證等進(jìn)行風(fēng)控,像是自動(dòng)鑒別色情內(nèi)容的上傳、防止政策紅線(xiàn)等等;

2. 應(yīng)用安全。對(duì)于 App 的運(yùn)行環(huán)境、用戶(hù)服務(wù)和數(shù)據(jù)保護(hù)、秘鑰管理等,由云端進(jìn)行高等級(jí)的全鏈路加密,避免發(fā)生類(lèi)似 Zoom 這種數(shù)據(jù)外流的情況。

3. 基礎(chǔ)安全。這一點(diǎn)則是在普通用戶(hù)感知不到的底層架構(gòu),比如主機(jī)服務(wù)器的災(zāi)備,來(lái)自中間件、第三方組件的高危漏洞,應(yīng)對(duì)黑客發(fā)起的網(wǎng)絡(luò)攻擊,并快速阻攔及修復(fù)。

三是智能全鏈路,AI 使能。

正如前面所說(shuō),云端也對(duì)產(chǎn)業(yè)安全提出了更為苛刻的新要求,這就讓手握 AI 武器的新云服務(wù)商,開(kāi)始向亞馬遜等發(fā)起沖擊。

比如這次一些 Zoom 視頻的暴露,就源于將視頻保存在未受保護(hù)的存儲(chǔ)桶中,用戶(hù)無(wú)意間改成了公開(kāi)訪(fǎng)問(wèn)。

值得注意的是,無(wú)論是快速奇襲 Amazon 的谷歌云,還是國(guó)內(nèi)的華為云、百度智能云、阿里云智能,都將 AI 作為自身云解決方案的核心能力。

比如通過(guò) AI 對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序,不斷進(jìn)行安全巡檢和漏洞評(píng)估,及時(shí)監(jiān)視攻擊活動(dòng)。使用 NLP 技術(shù)整合威脅情報(bào)的整合,網(wǎng)絡(luò)上下文分析漏洞的暴露面,并優(yōu)先修復(fù)風(fēng)險(xiǎn)最大的漏洞,想必 Zoom 事件不至于發(fā)酵到今天這種境況。

四是高安全意識(shí),聚焦媒體。

可以預(yù)知的是,遠(yuǎn)程會(huì)議將在很長(zhǎng)一段時(shí)間內(nèi),成為辦公學(xué)習(xí)的主角。

那么除了上述基礎(chǔ)層面的安全結(jié)構(gòu)之外,涉及到遠(yuǎn)程會(huì)議的音視頻媒體技術(shù),自然也要在安全性上面重度押注。

這一方面需要與云服務(wù)廠(chǎng)商進(jìn)行深度合作與打磨,將媒體網(wǎng)絡(luò)技術(shù)、編解碼技術(shù)等與安全算法相融合;

另外則需要會(huì)議軟件平臺(tái)自身提升對(duì)安全性技術(shù)的投入和重視。

以 Netflix 為例,一直以流媒體視頻著稱(chēng)的奈飛,就專(zhuān)門(mén)成立了一個(gè)由 80 名員工組成的安全團(tuán)隊(duì),自主開(kāi)發(fā)了很多安全軟件,以針對(duì)性地應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題,而不是直接使用大型安全公司提供的通用模式。

原因也很簡(jiǎn)單,只有自己的安全團(tuán)隊(duì),才能填補(bǔ)上“最后 10%”安全能力。

Zoom 的踩雷告訴我們,“才不配位”,必有災(zāi)殃;而對(duì)安全這柄利劍的敬畏,應(yīng)該從一開(kāi)始就懸在互聯(lián)網(wǎng)公司頭上。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜