从 Zoom 连环爆雷,聊聊会议软件的安全水位

发布于:2020 年 4 月 17 日 16:00

从Zoom连环爆雷,聊聊会议软件的安全水位

在家办公、上课成为生活首选,不少国内网友可能会表示“这集我看过”。

但接下来的剧情却有些出人意料。

云视频会议协作工具 Zoom 使用量暴涨,后续发展却不是类似“小学生给钉钉好评五星分期付清”的常规反弹,而是以重大安全漏洞被全网质疑,甚至被 FBI 警告。这就有点玩大了啊!

其实早在 2019 年 7 月,就曾传出 Zoom 软件加密缺陷的新闻,伴随着使用人数短时间内突破 2 亿人,终于摧毁了品牌的堤防。Zoom 的“先天 bug”开始出现:

比如安全加密手段不严,导致数以万计的私人 Zoom 视频被上传至公开网页,任何人都可在线围观,有的还包括参会人员的个人信息;

甚至还被黑客攻击(又称“Zoom Bombing”),有多个 Zoom 网络教室和电话会议频遭“劫持”,在视频会议期间播放种族歧视甚至色情内容;

从Zoom连环爆雷,聊聊会议软件的安全水位

这也导致猛涨没持续多久,Zoom 平台就面临来自 SpaceX、NASA 等机构的禁用,纽约市在内的某些学区禁止使用 Zoom 平台来网上授课。

有专业人士认为,只有彻底重建 Zoom 云端会议的安全技术才能确保会议内容全程加密,在停止更新整改的 90 天内,想要做到这一点几乎是不可能的。

显然,Zoom 错失了这一机遇。但值得注意的是,远程办公行业并非危机四伏,毕竟其他上亿承载量的软件可是坚壁清野、固若金汤。

Zoom 到底做了什么?会议软件的安全水位

首先回归到 Zoom 爆雷的核心原因。

一方面,是其技术本身的缺位。

正如其创始人兼首席执行官袁征所说——“我们的加密设计可以做得更好”。作为海外创业团队,Zoom 并不具备应对亿级规模用户的先验意识,这使其内部安全设计中,存在先天的短板。

在 Pomerantz 律师事务所发起的、针对 Zoom 的集体诉讼中,就以此为核心打击点,直指 Zoom 缺少足够的数据隐私和安全措施,该公司的视频通信服务没有端到端加密,就公司的业务、运营和合规政策做出了重大虚假和误导性的陈述。

因为 Zoom 自称是基于 AES-256 算法进行端到端加密,但多伦多大学研究人员发现 Zoom 实际上用的是更弱的 AES-128 算法,进行的是“传输”加密。
从Zoom连环爆雷,聊聊会议软件的安全水位

二者之间有何区别呢?

端到端加密(E2EE),又称脱线加密或包加密,每个报文包均是独立被加密的,使得消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。

所以攻击者想要篡改通信内容,也成了不太可能完成的任务,是一种目前比较安全的通信系统。就相当于海外直邮,而不是代理转发。

而 AEW-128 这类低等级的加密算法呢,加解密中每轮的密钥分别由初始密钥扩展得到。换句话说,只要对每一步操作进行逆向处理,按照相反的顺序进行解密即可恢复明文。

也难怪黑客能直接攻击视频会议的漏洞了。

但这样做有什么影响呢?

一是需要使用安全级别较高的加密算法,以确保传输数据能够得到最高级别的安全保护,“有选择性地加密”也会带来额外的算力成本和资源需求。对服务方的安全意识和技术水平提出了更高的要求。

二是阻碍了平台方的数据感知。由于互联网服务提供商、通信服务提供商、以及电信服务提供商都无法获取到这类通信数据,对于许多需要以数据驱动运维策略的平台来说,无疑缺少了重要的数据养料。

显然,可以访问用户音频和视频内容的 Zoom,在事实层面都使用了更容易被修改和攻击的技术。Zoom 公司的首席财务官斯塔伯格就曾直接表示,面对突如其来的“流量高峰”,高管们也没有考虑因为使用量激增而引入新的技术。

从Zoom连环爆雷,聊聊会议软件的安全水位

Zoom 爆雷的另一个短板,则是产品思维的缺失。

作为一个创业不到两年的平台,Zoom 在产品细节上考虑的也不够周全,由此也埋下了安全隐患。

举个例子,会议主持人可以无需参加者同意录制视频,并将其保存在 Zoom 服务器或任何云端、公开网站。而且,录制好的 Zoom 视频都默认以相同的命名方式来保存。

这就导致了两个问题:首先是命名规则很容易被破解,有网友利用免费的在线搜索引擎扫描了一下开放的云存储空间,一次性搜索出了 15000 个视频。

另外则是对用户的权益告知不到位,如果有用户通过 Facebook 等社交网站登录 Zoom,那么很可能无意间将空间改成公开访问,自己的 YouTube 上也能找到 Zoom 视频。据《华盛顿邮报》的报道,他们据此看到的视频有小公司的财务会议,小学生的网课,甚至家庭内部的私密谈话等等。

前 Facebook 安全主管、现任斯坦福互联网天文台 (Stanford Internet Observatory) 负责人 Alex Stamos 表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷。而在事件频繁发生后,Zoom 也紧急应对,比如停止更新,专注于隐私和安全问题;改变了学校的默认设置,只允许教师共享他们的屏幕等等。

从Zoom连环爆雷,聊聊会议软件的安全水位

当然,这种西方媒体炸裂式的口诛笔伐,也与 Zoom 的中国背景不无关系。一方面,相较于同业务竞争对手 Avaya、思科和微软等企业, Zoom 的成本优势源于开发人员都位于中国,数据流“会经过位于中国的服务器”,也成为英国广播公司等媒体十分敏感的话题。

此外,在 1-3 月的全球股市“黑天鹅”期间,Zoom 的股价涨幅却超过了 100%,市值翻了一倍,其创始人、华人移民袁征财富增幅达到 77%,这次“爆雷”未尝不是海外媒体在疫情期间的情绪释放。

云时代的网络安全,深而广的技术模具

那么,远程会议的安全水位到底应该有多高?我想这次诸多内地软件都交出了不错的答卷。

以国内主流云厂商的发展趋势来看,一个满足亿级用户规模的会议平台,其安全策略主要体现在四个方面:

一是云原生安全、全局防御。

今天,众多远程视频会议都是借助云网络来提供服务的,因此,深入到云端的信息安全保障对于会议系统来说是重中之重。

公有云、私有云、混合云等多种服务的出现,让互联网企业会面对不一样的资源管理、不一致的安全策略、不同的底层架构、不同的安全工具,由此也必然造成数据隐私、运维人员短缺等问题,因此越来越多的云服务商倾向于以统一、全面覆盖的方式来进行安全设计,将网络的安全水位提升到云原生级别。

二是全场景覆盖、实时监测。

在安全架构上,云平台需要将内部身份访问、物理安全、硬件安全、虚拟化安全等全面覆盖。具体到场景中,主要有以下几种:

1. 业务安全。简单来说就是对客户的网络内容、身份验证等进行风控,像是自动鉴别色情内容的上传、防止政策红线等等;

2. 应用安全。对于 App 的运行环境、用户服务和数据保护、秘钥管理等,由云端进行高等级的全链路加密,避免发生类似 Zoom 这种数据外流的情况。

3. 基础安全。这一点则是在普通用户感知不到的底层架构,比如主机服务器的灾备,来自中间件、第三方组件的高危漏洞,应对黑客发起的网络攻击,并快速阻拦及修复。

从Zoom连环爆雷,聊聊会议软件的安全水位

三是智能全链路,AI 使能。

正如前面所说,云端也对产业安全提出了更为苛刻的新要求,这就让手握 AI 武器的新云服务商,开始向亚马逊等发起冲击。

比如这次一些 Zoom 视频的暴露,就源于将视频保存在未受保护的存储桶中,用户无意间改成了公开访问。

值得注意的是,无论是快速奇袭 Amazon 的谷歌云,还是国内的华为云、百度智能云、阿里云智能,都将 AI 作为自身云解决方案的核心能力。

比如通过 AI 对漏洞进行优先级排序,不断进行安全巡检和漏洞评估,及时监视攻击活动。使用 NLP 技术整合威胁情报的整合,网络上下文分析漏洞的暴露面,并优先修复风险最大的漏洞,想必 Zoom 事件不至于发酵到今天这种境况。

从Zoom连环爆雷,聊聊会议软件的安全水位

四是高安全意识,聚焦媒体。

可以预知的是,远程会议将在很长一段时间内,成为办公学习的主角。

那么除了上述基础层面的安全结构之外,涉及到远程会议的音视频媒体技术,自然也要在安全性上面重度押注。

这一方面需要与云服务厂商进行深度合作与打磨,将媒体网络技术、编解码技术等与安全算法相融合;

另外则需要会议软件平台自身提升对安全性技术的投入和重视。

以 Netflix 为例,一直以流媒体视频著称的奈飞,就专门成立了一个由 80 名员工组成的安全团队,自主开发了很多安全软件,以针对性地应对网络安全问题,而不是直接使用大型安全公司提供的通用模式。

原因也很简单,只有自己的安全团队,才能填补上“最后 10%”安全能力。

Zoom 的踩雷告诉我们,“才不配位”,必有灾殃;而对安全这柄利剑的敬畏,应该从一开始就悬在互联网公司头上。

本文转载自脑极体公众号。

原文链接: https://mp.weixin.qq.com/s/CDJE2dfvCz2Mn0zvAgGmbg

阅读数:23 发布于:2020 年 4 月 17 日 16:00

评论

发布
暂无评论