图片来源@视觉中国
文丨脑极体
在家办公、上课成为生活首选,不少国内网友可能会表示“这集我看过”。
但接下来的剧情却有些出人意料。
云视频会议协作工具 Zoom 使用量暴涨,后续发展却不是类似“小学生给钉钉好评五星分期付清”的常规反弹,而是以重大安全漏洞被全网质疑,甚至被 FBI 警告。这就有点玩大了啊!
其实早在 2019 年 7 月,就曾传出 Zoom 软件加密缺陷的新闻,伴随着使用人数短时间内突破 2 亿人,终于摧毁了品牌的堤防。Zoom 的“先天 bug”开始出现:
比如安全加密手段不严,导致数以万计的私人 Zoom 视频被上传至公开网页,任何人都可在线围观,有的还包括参会人员的个人信息;
甚至还被黑客攻击(又称“Zoom Bombing”),有多个 Zoom 网络教室和电话会议频遭“劫持”,在视频会议期间播放种族歧视甚至色情内容;
这也导致猛涨没持续多久,Zoom 平台就面临来自 SpaceX、NASA 等机构的禁用,纽约市在内的某些学区禁止使用 Zoom 平台来网上授课。
有专业人士认为,只有彻底重建 Zoom 云端会议的安全技术才能确保会议内容全程加密,在停止更新整改的 90 天内,想要做到这一点几乎是不可能的。
显然,Zoom 错失了这一机遇。但值得注意的是,远程办公行业并非危机四伏,毕竟其他上亿承载量的软件可是坚壁清野、固若金汤。
Zoom 到底做了什么?会议软件的安全水位
首先回归到 Zoom 爆雷的核心原因。
一方面,是其技术本身的缺位。
正如其创始人兼首席执行官袁征所说——“我们的加密设计可以做得更好”。作为海外创业团队,Zoom 并不具备应对亿级规模用户的先验意识,这使其内部安全设计中,存在先天的短板。
在 Pomerantz 律师事务所发起的、针对 Zoom 的集体诉讼中,就以此为核心打击点,直指 Zoom 缺少足够的数据隐私和安全措施,该公司的视频通信服务没有端到端加密,就公司的业务、运营和合规政策做出了重大虚假和误导性的陈述。
因为 Zoom 自称是基于 AES-256 算法进行端到端加密,但多伦多大学研究人员发现 Zoom 实际上用的是更弱的 AES-128 算法,进行的是“传输”加密。
二者之间有何区别呢?
端到端加密(E2EE),又称脱线加密或包加密,每个报文包均是独立被加密的,使得消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
所以攻击者想要篡改通信内容,也成了不太可能完成的任务,是一种目前比较安全的通信系统。就相当于海外直邮,而不是代理转发。
而 AEW-128 这类低等级的加密算法呢,加解密中每轮的密钥分别由初始密钥扩展得到。换句话说,只要对每一步操作进行逆向处理,按照相反的顺序进行解密即可恢复明文。
也难怪黑客能直接攻击视频会议的漏洞了。
但这样做有什么影响呢?
一是需要使用安全级别较高的加密算法,以确保传输数据能够得到最高级别的安全保护,“有选择性地加密”也会带来额外的算力成本和资源需求。对服务方的安全意识和技术水平提出了更高的要求。
二是阻碍了平台方的数据感知。由于互联网服务提供商、通信服务提供商、以及电信服务提供商都无法获取到这类通信数据,对于许多需要以数据驱动运维策略的平台来说,无疑缺少了重要的数据养料。
显然,可以访问用户音频和视频内容的 Zoom,在事实层面都使用了更容易被修改和攻击的技术。Zoom 公司的首席财务官斯塔伯格就曾直接表示,面对突如其来的“流量高峰”,高管们也没有考虑因为使用量激增而引入新的技术。
Zoom 爆雷的另一个短板,则是产品思维的缺失。
作为一个创业不到两年的平台,Zoom 在产品细节上考虑的也不够周全,由此也埋下了安全隐患。
举个例子,会议主持人可以无需参加者同意录制视频,并将其保存在 Zoom 服务器或任何云端、公开网站。而且,录制好的 Zoom 视频都默认以相同的命名方式来保存。
这就导致了两个问题:首先是命名规则很容易被破解,有网友利用免费的在线搜索引擎扫描了一下开放的云存储空间,一次性搜索出了 15000 个视频。
另外则是对用户的权益告知不到位,如果有用户通过 Facebook 等社交网站登录 Zoom,那么很可能无意间将空间改成公开访问,自己的 YouTube 上也能找到 Zoom 视频。据《华盛顿邮报》的报道,他们据此看到的视频有小公司的财务会议,小学生的网课,甚至家庭内部的私密谈话等等。
前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人 Alex Stamos 表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷。而在事件频繁发生后,Zoom 也紧急应对,比如停止更新,专注于隐私和安全问题;改变了学校的默认设置,只允许教师共享他们的屏幕等等。
当然,这种西方媒体炸裂式的口诛笔伐,也与 Zoom 的中国背景不无关系。一方面,相较于同业务竞争对手 Avaya、思科和微软等企业, Zoom 的成本优势源于开发人员都位于中国,数据流“会经过位于中国的服务器”,也成为英国广播公司等媒体十分敏感的话题。
此外,在1-3 月的全球股市“黑天鹅”期间,Zoom 的股价涨幅却超过了 100%,市值翻了一倍,其创始人、华人移民袁征财富增幅达到 77%,这次“爆雷”未尝不是海外媒体在疫情期间的情绪释放。
云时代的网络安全,深而广的技术模具
那么,远程会议的安全水位到底应该有多高?我想这次诸多内地软件都交出了不错的答卷。
以国内主流云厂商的发展趋势来看,一个满足亿级用户规模的会议平台,其安全策略主要体现在四个方面:
一是云原生安全、全局防御。
今天,众多远程视频会议都是借助云网络来提供服务的,因此,深入到云端的信息安全保障对于会议系统来说是重中之重。
公有云、私有云、混合云等多种服务的出现,让互联网企业会面对不一样的资源管理、不一致的安全策略、不同的底层架构、不同的安全工具,由此也必然造成数据隐私、运维人员短缺等问题,因此越来越多的云服务商倾向于以统一、全面覆盖的方式来进行安全设计,将网络的安全水位提升到云原生级别。
二是全场景覆盖、实时监测。
在安全架构上,云平台需要将内部身份访问、物理安全、硬件安全、虚拟化安全等全面覆盖。具体到场景中,主要有以下几种:
1. 业务安全。简单来说就是对客户的网络内容、身份验证等进行风控,像是自动鉴别色情内容的上传、防止政策红线等等;
2. 应用安全。对于 App 的运行环境、用户服务和数据保护、秘钥管理等,由云端进行高等级的全链路加密,避免发生类似 Zoom 这种数据外流的情况。
3. 基础安全。这一点则是在普通用户感知不到的底层架构,比如主机服务器的灾备,来自中间件、第三方组件的高危漏洞,应对黑客发起的网络攻击,并快速阻拦及修复。
三是智能全链路,AI 使能。
正如前面所说,云端也对产业安全提出了更为苛刻的新要求,这就让手握 AI 武器的新云服务商,开始向亚马逊等发起冲击。
比如这次一些 Zoom 视频的暴露,就源于将视频保存在未受保护的存储桶中,用户无意间改成了公开访问。
值得注意的是,无论是快速奇袭 Amazon 的谷歌云,还是国内的华为云、百度智能云、阿里云智能,都将 AI 作为自身云解决方案的核心能力。
比如通过 AI 对漏洞进行优先级排序,不断进行安全巡检和漏洞评估,及时监视攻击活动。使用 NLP 技术整合威胁情报的整合,网络上下文分析漏洞的暴露面,并优先修复风险最大的漏洞,想必 Zoom 事件不至于发酵到今天这种境况。
四是高安全意识,聚焦媒体。
可以预知的是,远程会议将在很长一段时间内,成为办公学习的主角。
那么除了上述基础层面的安全结构之外,涉及到远程会议的音视频媒体技术,自然也要在安全性上面重度押注。
这一方面需要与云服务厂商进行深度合作与打磨,将媒体网络技术、编解码技术等与安全算法相融合;
另外则需要会议软件平台自身提升对安全性技术的投入和重视。
以 Netflix 为例,一直以流媒体视频著称的奈飞,就专门成立了一个由 80 名员工组成的安全团队,自主开发了很多安全软件,以针对性地应对网络安全问题,而不是直接使用大型安全公司提供的通用模式。
原因也很简单,只有自己的安全团队,才能填补上“最后 10%”安全能力。
Zoom 的踩雷告诉我们,“才不配位”,必有灾殃;而对安全这柄利剑的敬畏,应该从一开始就悬在互联网公司头上。