圖片來源@視覺中國
文丨腦極體
在家辦公、上課成為生活首選,不少國內網友可能會表示「這集我看過」。
但接下來的劇情卻有些出人意料。
雲視頻會議協作工具Zoom使用量暴漲,後續發展卻不是類似「小學生給釘釘好評五星分期付清」的常規反彈,而是以重大安全漏洞被全網質疑,甚至被FBI警告。這就有點玩大了啊!
其實早在2019年7月,就曾傳出Zoom軟體加密缺陷的新聞,伴隨著使用人數短時間內突破2億人,終於摧毀了品牌的堤防。Zoom的「先天bug」開始出現:
比如安全加密手段不嚴,導致數以萬計的私人Zoom視頻被上傳至公開網頁,任何人都可在線圍觀,有的還包括參會人員的個人信息;
甚至還被黑客攻擊(又稱「Zoom Bombing」),有多個Zoom網絡教室和電話會議頻遭「劫持」,在視頻會議期間播放種族歧視甚至色情內容;
這也導致猛漲沒持續多久,Zoom平臺就面臨來自SpaceX、NASA等機構的禁用,紐約市在內的某些學區禁止使用Zoom平臺來網上授課。
有專業人士認為,只有徹底重建Zoom雲端會議的安全技術才能確保會議內容全程加密,在停止更新整改的90天內,想要做到這一點幾乎是不可能的。
顯然,Zoom錯失了這一機遇。但值得注意的是,遠程辦公行業並非危機四伏,畢竟其他上億承載量的軟體可是堅壁清野、固若金湯。
Zoom到底做了什麼?會議軟體的安全水位
首先回歸到Zoom爆雷的核心原因。
一方面,是其技術本身的缺位。
正如其創始人兼執行長袁徵所說——「我們的加密設計可以做得更好」。作為海外創業團隊,Zoom並不具備應對億級規模用戶的先驗意識,這使其內部安全設計中,存在先天的短板。
在Pomerantz律師事務所發起的、針對Zoom的集體訴訟中,就以此為核心打擊點,直指Zoom缺少足夠的數據隱私和安全措施,該公司的視頻通信服務沒有端到端加密,就公司的業務、運營和合規政策做出了重大虛假和誤導性的陳述。
因為Zoom自稱是基於AES-256算法進行端到端加密,但多倫多大學研究人員發現Zoom實際上用的是更弱的AES-128算法,進行的是「傳輸」加密。
二者之間有何區別呢?
端到端加密(E2EE),又稱脫線加密或包加密,每個報文包均是獨立被加密的,使得消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息洩露。
所以攻擊者想要篡改通信內容,也成了不太可能完成的任務,是一種目前比較安全的通信系統。就相當於海外直郵,而不是代理轉發。
而AEW-128這類低等級的加密算法呢,加解密中每輪的密鑰分別由初始密鑰擴展得到。換句話說,只要對每一步操作進行逆向處理,按照相反的順序進行解密即可恢復明文。
也難怪黑客能直接攻擊視頻會議的漏洞了。
但這樣做有什麼影響呢?
一是需要使用安全級別較高的加密算法,以確保傳輸數據能夠得到最高級別的安全保護,「有選擇性地加密」也會帶來額外的算力成本和資源需求。對服務方的安全意識和技術水平提出了更高的要求。
二是阻礙了平臺方的數據感知。由於網際網路服務提供商、通信服務提供商、以及電信服務提供商都無法獲取到這類通信數據,對於許多需要以數據驅動運維策略的平臺來說,無疑缺少了重要的數據養料。
顯然,可以訪問用戶音頻和視頻內容的Zoom,在事實層面都使用了更容易被修改和攻擊的技術。Zoom公司的財務長斯塔伯格就曾直接表示,面對突如其來的「流量高峰」,高管們也沒有考慮因為使用量激增而引入新的技術。
Zoom爆雷的另一個短板,則是產品思維的缺失。
作為一個創業不到兩年的平臺,Zoom在產品細節上考慮的也不夠周全,由此也埋下了安全隱患。
舉個例子,會議主持人可以無需參加者同意錄製視頻,並將其保存在Zoom伺服器或任何雲端、公開網站。而且,錄製好的Zoom視頻都默認以相同的命名方式來保存。
這就導致了兩個問題:首先是命名規則很容易被破解,有網友利用免費的在線搜尋引擎掃描了一下開放的雲存儲空間,一次性搜索出了15000個視頻。
另外則是對用戶的權益告知不到位,如果有用戶通過Facebook等社交網站登錄Zoom,那麼很可能無意間將空間改成公開訪問,自己的YouTube上也能找到Zoom視頻。據《華盛頓郵報》的報導,他們據此看到的視頻有小公司的財務會議,小學生的網課,甚至家庭內部的私密談話等等。
前Facebook安全主管、現任斯坦福網際網路天文臺(Stanford Internet Observatory)負責人Alex Stamos表示,Zoom 的問題包括從愚蠢的設計到嚴重的產品安全缺陷。而在事件頻繁發生後,Zoom也緊急應對,比如停止更新,專注於隱私和安全問題;改變了學校的默認設置,只允許教師共享他們的屏幕等等。
當然,這種西方媒體炸裂式的口誅筆伐,也與Zoom的中國背景不無關係。一方面,相較於同業務競爭對手Avaya、思科和微軟等企業, Zoom的成本優勢源於開發人員都位於中國,數據流「會經過位於中國的伺服器」,也成為英國廣播公司等媒體十分敏感的話題。
此外,在1-3月的全球股市「黑天鵝」期間,Zoom 的股價漲幅卻超過了 100%,市值翻了一倍,其創始人、華人移民袁徵財富增幅達到77%,這次「爆雷」未嘗不是海外媒體在疫情期間的情緒釋放。
雲時代的網絡安全,深而廣的技術模具
那麼,遠程會議的安全水位到底應該有多高?我想這次諸多內地軟體都交出了不錯的答卷。
以國內主流雲廠商的發展趨勢來看,一個滿足億級用戶規模的會議平臺,其安全策略主要體現在四個方面:
一是雲原生安全、全局防禦。
今天,眾多遠程視頻會議都是藉助雲網絡來提供服務的,因此,深入到雲端的信息安全保障對於會議系統來說是重中之重。
公有雲、私有雲、混合雲等多種服務的出現,讓網際網路企業會面對不一樣的資源管理、不一致的安全策略、不同的底層架構、不同的安全工具,由此也必然造成數據隱私、運維人員短缺等問題,因此越來越多的雲服務商傾向於以統一、全面覆蓋的方式來進行安全設計,將網絡的安全水位提升到雲原生級別。
二是全場景覆蓋、實時監測。
在安全架構上,雲平臺需要將內部身份訪問、物理安全、硬體安全、虛擬化安全等全面覆蓋。具體到場景中,主要有以下幾種:
1.業務安全。簡單來說就是對客戶的網絡內容、身份驗證等進行風控,像是自動鑑別色情內容的上傳、防止政策紅線等等;
2.應用安全。對於App的運行環境、用戶服務和數據保護、秘鑰管理等,由雲端進行高等級的全鏈路加密,避免發生類似Zoom這種數據外流的情況。
3.基礎安全。這一點則是在普通用戶感知不到的底層架構,比如主機伺服器的災備,來自中間件、第三方組件的高危漏洞,應對黑客發起的網絡攻擊,並快速阻攔及修復。
三是智能全鏈路,AI使能。
正如前面所說,雲端也對產業安全提出了更為苛刻的新要求,這就讓手握AI武器的新雲服務商,開始向亞馬遜等發起衝擊。
比如這次一些Zoom視頻的暴露,就源於將視頻保存在未受保護的存儲桶中,用戶無意間改成了公開訪問。
值得注意的是,無論是快速奇襲Amazon的谷歌雲,還是國內的華為雲、百度智能雲、阿里雲智能,都將AI作為自身雲解決方案的核心能力。
比如通過AI對漏洞進行優先級排序,不斷進行安全巡檢和漏洞評估,及時監視攻擊活動。使用NLP技術整合威脅情報的整合,網絡上下文分析漏洞的暴露面,並優先修復風險最大的漏洞,想必Zoom事件不至於發酵到今天這種境況。
四是高安全意識,聚焦媒體。
可以預知的是,遠程會議將在很長一段時間內,成為辦公學習的主角。
那麼除了上述基礎層面的安全結構之外,涉及到遠程會議的音視頻媒體技術,自然也要在安全性上面重度押注。
這一方面需要與雲服務廠商進行深度合作與打磨,將媒體網絡技術、編解碼技術等與安全算法相融合;
另外則需要會議軟體平臺自身提升對安全性技術的投入和重視。
以Netflix為例,一直以流媒體視頻著稱的奈飛,就專門成立了一個由80名員工組成的安全團隊,自主開發了很多安全軟體,以針對性地應對網絡安全問題,而不是直接使用大型安全公司提供的通用模式。
原因也很簡單,只有自己的安全團隊,才能填補上「最後10%」安全能力。
Zoom的踩雷告訴我們,「才不配位」,必有災殃;而對安全這柄利劍的敬畏,應該從一開始就懸在網際網路公司頭上。