从Zoom连环爆雷,聊聊会议软件的安全水位

2020 年 4 月 17 日

从Zoom连环爆雷,聊聊会议软件的安全水位

在家办公、上课成为生活首选,不少国内网友可能会表示“这集我看过”。


但接下来的剧情却有些出人意料。


云视频会议协作工具 Zoom 使用量暴涨,后续发展却不是类似“小学生给钉钉好评五星分期付清”的常规反弹,而是以重大安全漏洞被全网质疑,甚至被 FBI 警告。这就有点玩大了啊!


其实早在 2019 年 7 月,就曾传出 Zoom 软件加密缺陷的新闻,伴随着使用人数短时间内突破 2 亿人,终于摧毁了品牌的堤防。Zoom 的“先天 bug”开始出现:


比如安全加密手段不严,导致数以万计的私人 Zoom 视频被上传至公开网页,任何人都可在线围观,有的还包括参会人员的个人信息;


甚至还被黑客攻击(又称“Zoom Bombing”),有多个 Zoom 网络教室和电话会议频遭“劫持”,在视频会议期间播放种族歧视甚至色情内容;



这也导致猛涨没持续多久,Zoom 平台就面临来自 SpaceX、NASA 等机构的禁用,纽约市在内的某些学区禁止使用 Zoom 平台来网上授课。


有专业人士认为,只有彻底重建 Zoom 云端会议的安全技术才能确保会议内容全程加密,在停止更新整改的 90 天内,想要做到这一点几乎是不可能的。


显然,Zoom 错失了这一机遇。但值得注意的是,远程办公行业并非危机四伏,毕竟其他上亿承载量的软件可是坚壁清野、固若金汤。


Zoom 到底做了什么?会议软件的安全水位


首先回归到 Zoom 爆雷的核心原因。


一方面,是其技术本身的缺位。


正如其创始人兼首席执行官袁征所说——“我们的加密设计可以做得更好”。作为海外创业团队,Zoom 并不具备应对亿级规模用户的先验意识,这使其内部安全设计中,存在先天的短板。


在 Pomerantz 律师事务所发起的、针对 Zoom 的集体诉讼中,就以此为核心打击点,直指 Zoom 缺少足够的数据隐私和安全措施,该公司的视频通信服务没有端到端加密,就公司的业务、运营和合规政策做出了重大虚假和误导性的陈述。


因为 Zoom 自称是基于 AES-256 算法进行端到端加密,但多伦多大学研究人员发现 Zoom 实际上用的是更弱的 AES-128 算法,进行的是“传输”加密。



二者之间有何区别呢?


端到端加密(E2EE),又称脱线加密或包加密,每个报文包均是独立被加密的,使得消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。


所以攻击者想要篡改通信内容,也成了不太可能完成的任务,是一种目前比较安全的通信系统。就相当于海外直邮,而不是代理转发。


而 AEW-128 这类低等级的加密算法呢,加解密中每轮的密钥分别由初始密钥扩展得到。换句话说,只要对每一步操作进行逆向处理,按照相反的顺序进行解密即可恢复明文。


也难怪黑客能直接攻击视频会议的漏洞了。


但这样做有什么影响呢?


一是需要使用安全级别较高的加密算法,以确保传输数据能够得到最高级别的安全保护,“有选择性地加密”也会带来额外的算力成本和资源需求。对服务方的安全意识和技术水平提出了更高的要求。


二是阻碍了平台方的数据感知。由于互联网服务提供商、通信服务提供商、以及电信服务提供商都无法获取到这类通信数据,对于许多需要以数据驱动运维策略的平台来说,无疑缺少了重要的数据养料。


显然,可以访问用户音频和视频内容的 Zoom,在事实层面都使用了更容易被修改和攻击的技术。Zoom 公司的首席财务官斯塔伯格就曾直接表示,面对突如其来的“流量高峰”,高管们也没有考虑因为使用量激增而引入新的技术。



Zoom 爆雷的另一个短板,则是产品思维的缺失。


作为一个创业不到两年的平台,Zoom 在产品细节上考虑的也不够周全,由此也埋下了安全隐患。


举个例子,会议主持人可以无需参加者同意录制视频,并将其保存在 Zoom 服务器或任何云端、公开网站。而且,录制好的 Zoom 视频都默认以相同的命名方式来保存。


这就导致了两个问题:首先是命名规则很容易被破解,有网友利用免费的在线搜索引擎扫描了一下开放的云存储空间,一次性搜索出了 15000 个视频。


另外则是对用户的权益告知不到位,如果有用户通过 Facebook 等社交网站登录 Zoom,那么很可能无意间将空间改成公开访问,自己的 YouTube 上也能找到 Zoom 视频。据《华盛顿邮报》的报道,他们据此看到的视频有小公司的财务会议,小学生的网课,甚至家庭内部的私密谈话等等。


前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人 Alex Stamos 表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷。而在事件频繁发生后,Zoom 也紧急应对,比如停止更新,专注于隐私和安全问题;改变了学校的默认设置,只允许教师共享他们的屏幕等等。



当然,这种西方媒体炸裂式的口诛笔伐,也与 Zoom 的中国背景不无关系。一方面,相较于同业务竞争对手 Avaya、思科和微软等企业, Zoom 的成本优势源于开发人员都位于中国,数据流“会经过位于中国的服务器”,也成为英国广播公司等媒体十分敏感的话题。


此外,在 1-3 月的全球股市“黑天鹅”期间,Zoom 的股价涨幅却超过了 100%,市值翻了一倍,其创始人、华人移民袁征财富增幅达到 77%,这次“爆雷”未尝不是海外媒体在疫情期间的情绪释放。


云时代的网络安全,深而广的技术模具


那么,远程会议的安全水位到底应该有多高?我想这次诸多内地软件都交出了不错的答卷。


以国内主流云厂商的发展趋势来看,一个满足亿级用户规模的会议平台,其安全策略主要体现在四个方面:


一是云原生安全、全局防御。


今天,众多远程视频会议都是借助云网络来提供服务的,因此,深入到云端的信息安全保障对于会议系统来说是重中之重。


公有云、私有云、混合云等多种服务的出现,让互联网企业会面对不一样的资源管理、不一致的安全策略、不同的底层架构、不同的安全工具,由此也必然造成数据隐私、运维人员短缺等问题,因此越来越多的云服务商倾向于以统一、全面覆盖的方式来进行安全设计,将网络的安全水位提升到云原生级别。


二是全场景覆盖、实时监测。


在安全架构上,云平台需要将内部身份访问、物理安全、硬件安全、虚拟化安全等全面覆盖。具体到场景中,主要有以下几种:


1.业务安全。简单来说就是对客户的网络内容、身份验证等进行风控,像是自动鉴别色情内容的上传、防止政策红线等等;


2.应用安全。对于 App 的运行环境、用户服务和数据保护、秘钥管理等,由云端进行高等级的全链路加密,避免发生类似 Zoom 这种数据外流的情况。


3.基础安全。这一点则是在普通用户感知不到的底层架构,比如主机服务器的灾备,来自中间件、第三方组件的高危漏洞,应对黑客发起的网络攻击,并快速阻拦及修复。



三是智能全链路,AI 使能。


正如前面所说,云端也对产业安全提出了更为苛刻的新要求,这就让手握 AI 武器的新云服务商,开始向亚马逊等发起冲击。


比如这次一些 Zoom 视频的暴露,就源于将视频保存在未受保护的存储桶中,用户无意间改成了公开访问。


值得注意的是,无论是快速奇袭 Amazon 的谷歌云,还是国内的华为云、百度智能云、阿里云智能,都将 AI 作为自身云解决方案的核心能力。


比如通过 AI 对漏洞进行优先级排序,不断进行安全巡检和漏洞评估,及时监视攻击活动。使用 NLP 技术整合威胁情报的整合,网络上下文分析漏洞的暴露面,并优先修复风险最大的漏洞,想必 Zoom 事件不至于发酵到今天这种境况。



四是高安全意识,聚焦媒体。


可以预知的是,远程会议将在很长一段时间内,成为办公学习的主角。


那么除了上述基础层面的安全结构之外,涉及到远程会议的音视频媒体技术,自然也要在安全性上面重度押注。


这一方面需要与云服务厂商进行深度合作与打磨,将媒体网络技术、编解码技术等与安全算法相融合;


另外则需要会议软件平台自身提升对安全性技术的投入和重视。


以 Netflix 为例,一直以流媒体视频著称的奈飞,就专门成立了一个由 80 名员工组成的安全团队,自主开发了很多安全软件,以针对性地应对网络安全问题,而不是直接使用大型安全公司提供的通用模式。


原因也很简单,只有自己的安全团队,才能填补上“最后 10%”安全能力。


Zoom 的踩雷告诉我们,“才不配位”,必有灾殃;而对安全这柄利剑的敬畏,应该从一开始就悬在互联网公司头上。


本文转载自脑极体公众号。


原文链接:https://mp.weixin.qq.com/s/CDJE2dfvCz2Mn0zvAgGmbg


2020 年 4 月 17 日 16:00686

评论

发布
暂无评论
发现更多内容

java基础思维导图,让java不再难懂 (建议收藏))

码哥小胖

Spring Boot Java 面试 Java 分布式

游戏夜读 | 互动剧的黎明到了?

game1night

马匹、马镫、马车,和华为的数据基础设施革新

脑极体

架构师训练营第4周总结

aoeiuvzcs

区块链正处于手脚并用攀爬的“攻坚时刻”

CECBC区块链专委会

数据上链 市场选择

nightingale安装详解

曾祥斌

自动特征工程在推荐系统中的研究

天枢数智运营

人工智能 推荐系统

信创舆情一线--印度封禁59款中国App

统小信uos

App 舆情 印度

架构师训练营 第五周 作业

Poplar

ThreadPoolExecutor 线程池使用

郭儿的跋涉

线程 多线程 线程池

四面阿里巴巴回来分享面经总结,定级P7架构师

小吴选手

架构 技术 Spring Boot 阿里 Java 面试

向女朋友解释乐观锁与悲观锁的小妙招!

小闫

spring 面试 Spring Cloud 乐观锁 悲观锁

阿里技术官:这样带你学Spring全家桶,其实没你想的那么难

小吴选手

spring Spring Cloud Spring Boot

系统架构师week04 Homework - 互联网架构技术手段和方案

尔东雨田

极客大学架构师训练营

分布式柔性事务之最大努力通知事务详解

古月木易

分布式事务

一致性hash

彭阿三

一致性hash

Kafka 消息丢失与消费精确一次性

古月木易

kafka

高效程序员的七个好习惯——你有吗?

小谈

JVM Java 面试 springboot 程序员素养 SpringCloud

AndroidStudio真机调试 - Waiting for Debugger

麦叔

Android Studio 真机调试

分布式柔性事务之最大努力通知事务详解

奈学教育

分布式事务

测试开发工程师修炼手册—测试技能大盘点

Zoe

测试工程师产出

忘掉 Snowflake,感受一下性能高出 587 倍的全局唯一 ID 生成算法

今日长剑在握

golang redis 架构 分布式 CAP

猿灯塔:疫情冲击,去体验远程面试被怼10分钟,今年Java开发找工作真难

猿灯塔

Redis分布式锁课堂开课了!

小闫

redis Spring Cloud Redis项目

五分钟让你搞懂Nginx负载均衡原理及四种负载均衡算法

架构大数据双料架构师

理解 Mysql 索引底层原理只需这一篇就够了

小谈

MySQL 数据结构 Spring Cloud Spring Boot Java 面试

2020年7月国产数据库排行:华为、腾讯发新品,中兴、阿里结硕果

墨天轮

数据库 阿里 排行榜

太阳马戏团在疫情下的组合式创新

石云升

商业模式 组合式创新 思想实验

Kafka 消息丢失与消费精确一次性

奈学教育

kafka

听说你还没学Spring就被源码编译劝退了?30+张图带你玩转Spring编译

程序员DMZ

spring Spring源码编译

原创 | TDD工具集:JUnit、AssertJ和Mockito (二十五)运行测试-在IDE中运行测试

编程道与术

Java intellij-idea 编程 TDD 单元测试

从Zoom连环爆雷,聊聊会议软件的安全水位-InfoQ