從Zoom連環爆雷,聊聊會議軟件的安全水位互聯網+
導讀
Zoom的踩雷告訴我們,“才不配位”,必有災殃
Zoom的踩雷告訴我們,“才不配位”,必有災殃
在家辦公、上課成為生活首選,不少國內網友可能會表示“這集我看過”。
但接下來的劇情卻有些出人意料。
云視頻會議協作工具Zoom使用量暴漲,后續發展卻不是類似“小學生給釘釘好評五星分期付清”的常規反彈,而是以重大安全漏洞被全網質疑,甚至被FBI警告。這就有點玩大了啊!
其實早在2019年7月,就曾傳出Zoom軟件加密缺陷的新聞,伴隨著使用人數短時間內突破2億人,終于摧毀了品牌的堤防。Zoom的“先天bug”開始出現:
比如安全加密手段不嚴,導致數以萬計的私人Zoom視頻被上傳至公開網頁,任何人都可在線圍觀,有的還包括參會人員的個人信息;
甚至還被黑客攻擊(又稱“Zoom Bombing”),有多個Zoom網絡教室和電話會議頻遭“劫持”,在視頻會議期間播放種族歧視甚至色情內容;
這也導致猛漲沒持續多久,Zoom平臺就面臨來自SpaceX、NASA等機構的禁用,紐約市在內的某些學區禁止使用Zoom平臺來網上授課。
有專業人士認為,只有徹底重建Zoom云端會議的安全技術才能確保會議內容全程加密,在停止更新整改的90天內,想要做到這一點幾乎是不可能的。
顯然,Zoom錯失了這一機遇。但值得注意的是,遠程辦公行業并非危機四伏,畢竟其他上億承載量的軟件可是堅壁清野、固若金湯。
Zoom到底做了什么? 會議軟件的安全水位
首先回歸到Zoom爆雷的核心原因。
一方面,是其技術本身的缺位。
正如其創始人兼首席執行官袁征所說——“我們的加密設計可以做得更好”。作為海外創業團隊,Zoom并不具備應對億級規模用戶的先驗意識,這使其內部安全設計中,存在先天的短板。
在Pomerantz律師事務所發起的、針對Zoom的集體訴訟中,就以此為核心打擊點,直指Zoom缺少足夠的數據隱私和安全措施,該公司的視頻通信服務沒有端到端加密,就公司的業務、運營和合規政策做出了重大虛假和誤導性的陳述。
因為Zoom自稱是基于AES-256算法進行端到端加密,但多倫多大學研究人員發現Zoom實際上用的是更弱的AES-128算法,進行的是“傳輸”加密。
二者之間有何區別呢?
端到端加密(E2EE),又稱脫線加密或包加密,每個報文包均是獨立被加密的,使得消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
所以攻擊者想要篡改通信內容,也成了不太可能完成的任務,是一種目前比較安全的通信系統。就相當于海外直郵,而不是代理轉發。
而AEW-128這類低等級的加密算法呢,加解密中每輪的密鑰分別由初始密鑰擴展得到。換句話說,只要對每一步操作進行逆向處理,按照相反的順序進行解密即可恢復明文。
也難怪黑客能直接攻擊視頻會議的漏洞了。
但這樣做有什么影響呢?
一是需要使用安全級別較高的加密算法,以確保傳輸數據能夠得到最高級別的安全保護,“有選擇性地加密”也會帶來額外的算力成本和資源需求。對服務方的安全意識和技術水平提出了更高的要求。
二是阻礙了平臺方的數據感知。由于互聯網服務提供商、通信服務提供商、以及電信服務提供商都無法獲取到這類通信數據,對于許多需要以數據驅動運維策略的平臺來說,無疑缺少了重要的數據養料。
顯然,可以訪問用戶音頻和視頻內容的Zoom,在事實層面都使用了更容易被修改和攻擊的技術。Zoom公司的首席財務官斯塔伯格就曾直接表示,面對突如其來的“流量高峰”,高管們也沒有考慮因為使用量激增而引入新的技術。
Zoom爆雷的另一個短板,則是產品思維的缺失。
作為一個創業不到兩年的平臺,Zoom在產品細節上考慮的也不夠周全,由此也埋下了安全隱患。
舉個例子,會議主持人可以無需參加者同意錄制視頻,并將其保存在Zoom服務器或任何云端、公開網站。而且,錄制好的Zoom視頻都默認以相同的命名方式來保存。
這就導致了兩個問題:首先是命名規則很容易被破解,有網友利用免費的在線搜索引擎掃描了一下開放的云存儲空間,一次性搜索出了15000個視頻。
另外則是對用戶的權益告知不到位,如果有用戶通過Facebook等社交網站登錄Zoom,那么很可能無意間將空間改成公開訪問,自己的YouTube上也能找到Zoom視頻。據《華盛頓郵報》的報道,他們據此看到的視頻有小公司的財務會議,小學生的網課,甚至家庭內部的私密談話等等。
前Facebook安全主管、現任斯坦福互聯網天文臺(Stanford Internet Observatory)負責人Alex Stamos表示,Zoom 的問題包括從愚蠢的設計到嚴重的產品安全缺陷。而在事件頻繁發生后,Zoom也緊急應對,比如停止更新,專注于隱私和安全問題;改變了學校的默認設置,只允許教師共享他們的屏幕等等。
當然,這種西方媒體炸裂式的口誅筆伐,也與Zoom的中國背景不無關系。一方面,相較于同業務競爭對手Avaya、思科和微軟等企業, Zoom的成本優勢源于開發人員都位于中國,數據流“會經過位于中國的服務器”,也成為英國廣播公司等媒體十分敏感的話題。
此外,在1-3月的全球股市“黑天鵝”期間,Zoom 的股價漲幅卻超過了 100%,市值翻了一倍,其創始人、華人移民袁征財富增幅達到77%,這次“爆雷”未嘗不是海外媒體在疫情期間的情緒釋放。
云時代的網絡安全,深而廣的技術模具
那么,遠程會議的安全水位到底應該有多高?我想這次諸多內地軟件都交出了不錯的答卷。
以國內主流云廠商的發展趨勢來看,一個滿足億級用戶規模的會議平臺,其安全策略主要體現在四個方面:
一是云原生安全、全局防御。
今天,眾多遠程視頻會議都是借助云網絡來提供服務的,因此,深入到云端的信息安全保障對于會議系統來說是重中之重。
公有云、私有云、混合云等多種服務的出現,讓互聯網企業會面對不一樣的資源管理、不一致的安全策略、不同的底層架構、不同的安全工具,由此也必然造成數據隱私、運維人員短缺等問題,因此越來越多的云服務商傾向于以統一、全面覆蓋的方式來進行安全設計,將網絡的安全水位提升到云原生級別。
二是全場景覆蓋、實時監測。
在安全架構上,云平臺需要將內部身份訪問、物理安全、硬件安全、虛擬化安全等全面覆蓋。具體到場景中,主要有以下幾種:
1.業務安全。簡單來說就是對客戶的網絡內容、身份驗證等進行風控,像是自動鑒別色情內容的上傳、防止政策紅線等等;
2.應用安全。對于App的運行環境、用戶服務和數據保護、秘鑰管理等,由云端進行高等級的全鏈路加密,避免發生類似Zoom這種數據外流的情況。
3.基礎安全。這一點則是在普通用戶感知不到的底層架構,比如主機服務器的災備,來自中間件、第三方組件的高危漏洞,應對黑客發起的網絡攻擊,并快速阻攔及修復。
三是智能全鏈路,AI使能。
正如前面所說,云端也對產業安全提出了更為苛刻的新要求,這就讓手握AI武器的新云服務商,開始向亞馬遜等發起沖擊。
比如這次一些Zoom視頻的暴露,就源于將視頻保存在未受保護的存儲桶中,用戶無意間改成了公開訪問。
值得注意的是,無論是快速奇襲Amazon的谷歌云,還是國內的華為云、百度智能云、阿里云智能,都將AI作為自身云解決方案的核心能力。
比如通過AI對漏洞進行優先級排序,不斷進行安全巡檢和漏洞評估,及時監視攻擊活動。使用NLP技術整合威脅情報的整合,網絡上下文分析漏洞的暴露面,并優先修復風險最大的漏洞,想必Zoom事件不至于發酵到今天這種境況。
四是高安全意識,聚焦媒體。
可以預知的是,遠程會議將在很長一段時間內,成為辦公學習的主角。
那么除了上述基礎層面的安全結構之外,涉及到遠程會議的音視頻媒體技術,自然也要在安全性上面重度押注。
這一方面需要與云服務廠商進行深度合作與打磨,將媒體網絡技術、編解碼技術等與安全算法相融合;
另外則需要會議軟件平臺自身提升對安全性技術的投入和重視。
以Netflix為例,一直以流媒體視頻著稱的奈飛,就專門成立了一個由80名員工組成的安全團隊,自主開發了很多安全軟件,以針對性地應對網絡安全問題,而不是直接使用大型安全公司提供的通用模式。
原因也很簡單,只有自己的安全團隊,才能填補上“最后10%”安全能力。
Zoom的踩雷告訴我們,“才不配位”,必有災殃;而對安全這柄利劍的敬畏,應該從一開始就懸在互聯網公司頭上。
但接下來的劇情卻有些出人意料。
云視頻會議協作工具Zoom使用量暴漲,后續發展卻不是類似“小學生給釘釘好評五星分期付清”的常規反彈,而是以重大安全漏洞被全網質疑,甚至被FBI警告。這就有點玩大了啊!
其實早在2019年7月,就曾傳出Zoom軟件加密缺陷的新聞,伴隨著使用人數短時間內突破2億人,終于摧毀了品牌的堤防。Zoom的“先天bug”開始出現:
比如安全加密手段不嚴,導致數以萬計的私人Zoom視頻被上傳至公開網頁,任何人都可在線圍觀,有的還包括參會人員的個人信息;
甚至還被黑客攻擊(又稱“Zoom Bombing”),有多個Zoom網絡教室和電話會議頻遭“劫持”,在視頻會議期間播放種族歧視甚至色情內容;
這也導致猛漲沒持續多久,Zoom平臺就面臨來自SpaceX、NASA等機構的禁用,紐約市在內的某些學區禁止使用Zoom平臺來網上授課。
有專業人士認為,只有徹底重建Zoom云端會議的安全技術才能確保會議內容全程加密,在停止更新整改的90天內,想要做到這一點幾乎是不可能的。
顯然,Zoom錯失了這一機遇。但值得注意的是,遠程辦公行業并非危機四伏,畢竟其他上億承載量的軟件可是堅壁清野、固若金湯。
Zoom到底做了什么? 會議軟件的安全水位
首先回歸到Zoom爆雷的核心原因。
一方面,是其技術本身的缺位。
正如其創始人兼首席執行官袁征所說——“我們的加密設計可以做得更好”。作為海外創業團隊,Zoom并不具備應對億級規模用戶的先驗意識,這使其內部安全設計中,存在先天的短板。
在Pomerantz律師事務所發起的、針對Zoom的集體訴訟中,就以此為核心打擊點,直指Zoom缺少足夠的數據隱私和安全措施,該公司的視頻通信服務沒有端到端加密,就公司的業務、運營和合規政策做出了重大虛假和誤導性的陳述。
因為Zoom自稱是基于AES-256算法進行端到端加密,但多倫多大學研究人員發現Zoom實際上用的是更弱的AES-128算法,進行的是“傳輸”加密。
二者之間有何區別呢?
端到端加密(E2EE),又稱脫線加密或包加密,每個報文包均是獨立被加密的,使得消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
所以攻擊者想要篡改通信內容,也成了不太可能完成的任務,是一種目前比較安全的通信系統。就相當于海外直郵,而不是代理轉發。
而AEW-128這類低等級的加密算法呢,加解密中每輪的密鑰分別由初始密鑰擴展得到。換句話說,只要對每一步操作進行逆向處理,按照相反的順序進行解密即可恢復明文。
也難怪黑客能直接攻擊視頻會議的漏洞了。
但這樣做有什么影響呢?
一是需要使用安全級別較高的加密算法,以確保傳輸數據能夠得到最高級別的安全保護,“有選擇性地加密”也會帶來額外的算力成本和資源需求。對服務方的安全意識和技術水平提出了更高的要求。
二是阻礙了平臺方的數據感知。由于互聯網服務提供商、通信服務提供商、以及電信服務提供商都無法獲取到這類通信數據,對于許多需要以數據驅動運維策略的平臺來說,無疑缺少了重要的數據養料。
顯然,可以訪問用戶音頻和視頻內容的Zoom,在事實層面都使用了更容易被修改和攻擊的技術。Zoom公司的首席財務官斯塔伯格就曾直接表示,面對突如其來的“流量高峰”,高管們也沒有考慮因為使用量激增而引入新的技術。
Zoom爆雷的另一個短板,則是產品思維的缺失。
作為一個創業不到兩年的平臺,Zoom在產品細節上考慮的也不夠周全,由此也埋下了安全隱患。
舉個例子,會議主持人可以無需參加者同意錄制視頻,并將其保存在Zoom服務器或任何云端、公開網站。而且,錄制好的Zoom視頻都默認以相同的命名方式來保存。
這就導致了兩個問題:首先是命名規則很容易被破解,有網友利用免費的在線搜索引擎掃描了一下開放的云存儲空間,一次性搜索出了15000個視頻。
另外則是對用戶的權益告知不到位,如果有用戶通過Facebook等社交網站登錄Zoom,那么很可能無意間將空間改成公開訪問,自己的YouTube上也能找到Zoom視頻。據《華盛頓郵報》的報道,他們據此看到的視頻有小公司的財務會議,小學生的網課,甚至家庭內部的私密談話等等。
前Facebook安全主管、現任斯坦福互聯網天文臺(Stanford Internet Observatory)負責人Alex Stamos表示,Zoom 的問題包括從愚蠢的設計到嚴重的產品安全缺陷。而在事件頻繁發生后,Zoom也緊急應對,比如停止更新,專注于隱私和安全問題;改變了學校的默認設置,只允許教師共享他們的屏幕等等。
當然,這種西方媒體炸裂式的口誅筆伐,也與Zoom的中國背景不無關系。一方面,相較于同業務競爭對手Avaya、思科和微軟等企業, Zoom的成本優勢源于開發人員都位于中國,數據流“會經過位于中國的服務器”,也成為英國廣播公司等媒體十分敏感的話題。
此外,在1-3月的全球股市“黑天鵝”期間,Zoom 的股價漲幅卻超過了 100%,市值翻了一倍,其創始人、華人移民袁征財富增幅達到77%,這次“爆雷”未嘗不是海外媒體在疫情期間的情緒釋放。
云時代的網絡安全,深而廣的技術模具
那么,遠程會議的安全水位到底應該有多高?我想這次諸多內地軟件都交出了不錯的答卷。
以國內主流云廠商的發展趨勢來看,一個滿足億級用戶規模的會議平臺,其安全策略主要體現在四個方面:
一是云原生安全、全局防御。
今天,眾多遠程視頻會議都是借助云網絡來提供服務的,因此,深入到云端的信息安全保障對于會議系統來說是重中之重。
公有云、私有云、混合云等多種服務的出現,讓互聯網企業會面對不一樣的資源管理、不一致的安全策略、不同的底層架構、不同的安全工具,由此也必然造成數據隱私、運維人員短缺等問題,因此越來越多的云服務商傾向于以統一、全面覆蓋的方式來進行安全設計,將網絡的安全水位提升到云原生級別。
二是全場景覆蓋、實時監測。
在安全架構上,云平臺需要將內部身份訪問、物理安全、硬件安全、虛擬化安全等全面覆蓋。具體到場景中,主要有以下幾種:
1.業務安全。簡單來說就是對客戶的網絡內容、身份驗證等進行風控,像是自動鑒別色情內容的上傳、防止政策紅線等等;
2.應用安全。對于App的運行環境、用戶服務和數據保護、秘鑰管理等,由云端進行高等級的全鏈路加密,避免發生類似Zoom這種數據外流的情況。
3.基礎安全。這一點則是在普通用戶感知不到的底層架構,比如主機服務器的災備,來自中間件、第三方組件的高危漏洞,應對黑客發起的網絡攻擊,并快速阻攔及修復。
三是智能全鏈路,AI使能。
正如前面所說,云端也對產業安全提出了更為苛刻的新要求,這就讓手握AI武器的新云服務商,開始向亞馬遜等發起沖擊。
比如這次一些Zoom視頻的暴露,就源于將視頻保存在未受保護的存儲桶中,用戶無意間改成了公開訪問。
值得注意的是,無論是快速奇襲Amazon的谷歌云,還是國內的華為云、百度智能云、阿里云智能,都將AI作為自身云解決方案的核心能力。
比如通過AI對漏洞進行優先級排序,不斷進行安全巡檢和漏洞評估,及時監視攻擊活動。使用NLP技術整合威脅情報的整合,網絡上下文分析漏洞的暴露面,并優先修復風險最大的漏洞,想必Zoom事件不至于發酵到今天這種境況。
四是高安全意識,聚焦媒體。
可以預知的是,遠程會議將在很長一段時間內,成為辦公學習的主角。
那么除了上述基礎層面的安全結構之外,涉及到遠程會議的音視頻媒體技術,自然也要在安全性上面重度押注。
這一方面需要與云服務廠商進行深度合作與打磨,將媒體網絡技術、編解碼技術等與安全算法相融合;
另外則需要會議軟件平臺自身提升對安全性技術的投入和重視。
以Netflix為例,一直以流媒體視頻著稱的奈飛,就專門成立了一個由80名員工組成的安全團隊,自主開發了很多安全軟件,以針對性地應對網絡安全問題,而不是直接使用大型安全公司提供的通用模式。
原因也很簡單,只有自己的安全團隊,才能填補上“最后10%”安全能力。
Zoom的踩雷告訴我們,“才不配位”,必有災殃;而對安全這柄利劍的敬畏,應該從一開始就懸在互聯網公司頭上。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
