亚洲全黄无码一级在线看_国产剧情久久久性色_无码av一区二区三区无码_亚洲成a×人片在线观看

當(dāng)前位置: 首頁 > 科技新聞 >

從Zoom連環(huán)爆雷,聊聊會議軟件的安全水位

時間:2020-04-11 15:33來源:網(wǎng)絡(luò)整理 瀏覽:
圖片來源@視覺中國 文丨腦極體 在家辦公、上課成為生活首選,不少國內(nèi)網(wǎng)友可能會表示“這集我看過”。 但接下來的劇情卻有些出人意料。

圖片來源@視覺中國

文丨腦極體

在家辦公、上課成為生活首選,不少國內(nèi)網(wǎng)友可能會表示“這集我看過”。

但接下來的劇情卻有些出人意料。

視頻會議協(xié)作工具Zoom使用量暴漲,后續(xù)發(fā)展卻不是類似“小學(xué)生給釘釘好評五星分期付清”的常規(guī)反彈,而是以重大安全漏洞被全網(wǎng)質(zhì)疑,甚至被FBI警告。這就有點(diǎn)玩大了??!

其實(shí)早在2019年7月,就曾傳出Zoom軟件加密缺陷的新聞,伴隨著使用人數(shù)短時間內(nèi)突破2億人,終于摧毀了品牌的堤防。Zoom的“先天bug”開始出現(xiàn):

比如安全加密手段不嚴(yán),導(dǎo)致數(shù)以萬計的私人Zoom視頻被上傳至公開網(wǎng)頁,任何人都可在線圍觀,有的還包括參會人員的個人信息;

甚至還被黑客攻擊(又稱“Zoom Bombing”),有多個Zoom網(wǎng)絡(luò)教室和電話會議頻遭“劫持”,在視頻會議期間播放種族歧視甚至色情內(nèi)容;

這也導(dǎo)致猛漲沒持續(xù)多久,Zoom平臺就面臨來自SpaceX、NASA等機(jī)構(gòu)的禁用,紐約市在內(nèi)的某些學(xué)區(qū)禁止使用Zoom平臺來網(wǎng)上授課。

有專業(yè)人士認(rèn)為,只有徹底重建Zoom云端會議的安全技術(shù)才能確保會議內(nèi)容全程加密,在停止更新整改的90天內(nèi),想要做到這一點(diǎn)幾乎是不可能的。

顯然,Zoom錯失了這一機(jī)遇。但值得注意的是,遠(yuǎn)程辦公行業(yè)并非危機(jī)四伏,畢竟其他上億承載量的軟件可是堅壁清野、固若金湯。

Zoom到底做了什么?會議軟件的安全水位

首先回歸到Zoom爆雷的核心原因。

一方面,是其技術(shù)本身的缺位。

正如其創(chuàng)始人兼首席執(zhí)行官袁征所說——“我們的加密設(shè)計可以做得更好”。作為海外創(chuàng)業(yè)團(tuán)隊,Zoom并不具備應(yīng)對億級規(guī)模用戶的先驗(yàn)意識,這使其內(nèi)部安全設(shè)計中,存在先天的短板。

在Pomerantz律師事務(wù)所發(fā)起的、針對Zoom的集體訴訟中,就以此為核心打擊點(diǎn),直指Zoom缺少足夠的數(shù)據(jù)隱私和安全措施,該公司的視頻通信服務(wù)沒有端到端加密,就公司的業(yè)務(wù)、運(yùn)營和合規(guī)政策做出了重大虛假和誤導(dǎo)性的陳述。

因?yàn)閆oom自稱是基于AES-256算法進(jìn)行端到端加密,但多倫多大學(xué)研究人員發(fā)現(xiàn)Zoom實(shí)際上用的是更弱的AES-128算法,進(jìn)行的是“傳輸”加密。

二者之間有何區(qū)別呢?

端到端加密(E2EE),又稱脫線加密或包加密,每個報文包均是獨(dú)立被加密的,使得消息在整個傳輸過程中均受到保護(hù),所以即使有節(jié)點(diǎn)被損壞也不會使消息泄露。

所以攻擊者想要篡改通信內(nèi)容,也成了不太可能完成的任務(wù),是一種目前比較安全的通信系統(tǒng)。就相當(dāng)于海外直郵,而不是代理轉(zhuǎn)發(fā)。

而AEW-128這類低等級的加密算法呢,加解密中每輪的密鑰分別由初始密鑰擴(kuò)展得到。換句話說,只要對每一步操作進(jìn)行逆向處理,按照相反的順序進(jìn)行解密即可恢復(fù)明文。

也難怪黑客能直接攻擊視頻會議的漏洞了。

但這樣做有什么影響呢?

一是需要使用安全級別較高的加密算法,以確保傳輸數(shù)據(jù)能夠得到最高級別的安全保護(hù),“有選擇性地加密”也會帶來額外的算力成本和資源需求。對服務(wù)方的安全意識和技術(shù)水平提出了更高的要求。

二是阻礙了平臺方的數(shù)據(jù)感知。由于互聯(lián)網(wǎng)服務(wù)提供商、通信服務(wù)提供商、以及電信服務(wù)提供商都無法獲取到這類通信數(shù)據(jù),對于許多需要以數(shù)據(jù)驅(qū)動運(yùn)維策略的平臺來說,無疑缺少了重要的數(shù)據(jù)養(yǎng)料。

顯然,可以訪問用戶音頻和視頻內(nèi)容的Zoom,在事實(shí)層面都使用了更容易被修改和攻擊的技術(shù)。Zoom公司的首席財務(wù)官斯塔伯格就曾直接表示,面對突如其來的“流量高峰”,高管們也沒有考慮因?yàn)槭褂昧考ぴ龆胄碌募夹g(shù)。

Zoom爆雷的另一個短板,則是產(chǎn)品思維的缺失。

作為一個創(chuàng)業(yè)不到兩年的平臺,Zoom在產(chǎn)品細(xì)節(jié)上考慮的也不夠周全,由此也埋下了安全隱患。

舉個例子,會議主持人可以無需參加者同意錄制視頻,并將其保存在Zoom服務(wù)器或任何云端、公開網(wǎng)站。而且,錄制好的Zoom視頻都默認(rèn)以相同的命名方式來保存。

這就導(dǎo)致了兩個問題:首先是命名規(guī)則很容易被破解,有網(wǎng)友利用免費(fèi)的在線搜索引擎掃描了一下開放的云存儲空間,一次性搜索出了15000個視頻。

另外則是對用戶的權(quán)益告知不到位,如果有用戶通過Facebook等社交網(wǎng)站登錄Zoom,那么很可能無意間將空間改成公開訪問,自己的YouTube上也能找到Zoom視頻。據(jù)《華盛頓郵報》的報道,他們據(jù)此看到的視頻有小公司的財務(wù)會議,小學(xué)生的網(wǎng)課,甚至家庭內(nèi)部的私密談話等等。

前Facebook安全主管、現(xiàn)任斯坦?;ヂ?lián)網(wǎng)天文臺(Stanford Internet Observatory)負(fù)責(zé)人Alex Stamos表示,Zoom 的問題包括從愚蠢的設(shè)計到嚴(yán)重的產(chǎn)品安全缺陷。而在事件頻繁發(fā)生后,Zoom也緊急應(yīng)對,比如停止更新,專注于隱私和安全問題;改變了學(xué)校的默認(rèn)設(shè)置,只允許教師共享他們的屏幕等等。

當(dāng)然,這種西方媒體炸裂式的口誅筆伐,也與Zoom的中國背景不無關(guān)系。一方面,相較于同業(yè)務(wù)競爭對手Avaya、思科和微軟等企業(yè), Zoom的成本優(yōu)勢源于開發(fā)人員都位于中國,數(shù)據(jù)流“會經(jīng)過位于中國的服務(wù)器”,也成為英國廣播公司等媒體十分敏感的話題。

此外,在1-3月的全球股市“黑天鵝”期間,Zoom 的股價漲幅卻超過了 100%,市值翻了一倍,其創(chuàng)始人、華人移民袁征財富增幅達(dá)到77%,這次“爆雷”未嘗不是海外媒體在疫情期間的情緒釋放。

云時代的網(wǎng)絡(luò)安全,深而廣的技術(shù)模具

那么,遠(yuǎn)程會議的安全水位到底應(yīng)該有多高?我想這次諸多內(nèi)地軟件都交出了不錯的答卷。

以國內(nèi)主流云廠商的發(fā)展趨勢來看,一個滿足億級用戶規(guī)模的會議平臺,其安全策略主要體現(xiàn)在四個方面:

一是云原生安全、全局防御。

今天,眾多遠(yuǎn)程視頻會議都是借助云網(wǎng)絡(luò)來提供服務(wù)的,因此,深入到云端的信息安全保障對于會議系統(tǒng)來說是重中之重。

公有云、私有云、混合云等多種服務(wù)的出現(xiàn),讓互聯(lián)網(wǎng)企業(yè)會面對不一樣的資源管理、不一致的安全策略、不同的底層架構(gòu)、不同的安全工具,由此也必然造成數(shù)據(jù)隱私、運(yùn)維人員短缺等問題,因此越來越多的云服務(wù)商傾向于以統(tǒng)一、全面覆蓋的方式來進(jìn)行安全設(shè)計,將網(wǎng)絡(luò)的安全水位提升到云原生級別。

二是全場景覆蓋、實(shí)時監(jiān)測。

在安全架構(gòu)上,云平臺需要將內(nèi)部身份訪問、物理安全、硬件安全、虛擬化安全等全面覆蓋。具體到場景中,主要有以下幾種:

1.業(yè)務(wù)安全。簡單來說就是對客戶的網(wǎng)絡(luò)內(nèi)容、身份驗(yàn)證等進(jìn)行風(fēng)控,像是自動鑒別色情內(nèi)容的上傳、防止政策紅線等等;

2.應(yīng)用安全。對于App的運(yùn)行環(huán)境、用戶服務(wù)和數(shù)據(jù)保護(hù)、秘鑰管理等,由云端進(jìn)行高等級的全鏈路加密,避免發(fā)生類似Zoom這種數(shù)據(jù)外流的情況。

3.基礎(chǔ)安全。這一點(diǎn)則是在普通用戶感知不到的底層架構(gòu),比如主機(jī)服務(wù)器的災(zāi)備,來自中間件、第三方組件的高危漏洞,應(yīng)對黑客發(fā)起的網(wǎng)絡(luò)攻擊,并快速阻攔及修復(fù)。

三是智能全鏈路,AI使能。

正如前面所說,云端也對產(chǎn)業(yè)安全提出了更為苛刻的新要求,這就讓手握AI武器的新云服務(wù)商,開始向亞馬遜等發(fā)起沖擊。

比如這次一些Zoom視頻的暴露,就源于將視頻保存在未受保護(hù)的存儲桶中,用戶無意間改成了公開訪問。

值得注意的是,無論是快速奇襲Amazon的谷歌云,還是國內(nèi)的華為云、百度智能云、阿里云智能,都將AI作為自身云解決方案的核心能力。

比如通過AI對漏洞進(jìn)行優(yōu)先級排序,不斷進(jìn)行安全巡檢和漏洞評估,及時監(jiān)視攻擊活動。使用NLP技術(shù)整合威脅情報的整合,網(wǎng)絡(luò)上下文分析漏洞的暴露面,并優(yōu)先修復(fù)風(fēng)險最大的漏洞,想必Zoom事件不至于發(fā)酵到今天這種境況。

四是高安全意識,聚焦媒體。

可以預(yù)知的是,遠(yuǎn)程會議將在很長一段時間內(nèi),成為辦公學(xué)習(xí)的主角。

那么除了上述基礎(chǔ)層面的安全結(jié)構(gòu)之外,涉及到遠(yuǎn)程會議的音視頻媒體技術(shù),自然也要在安全性上面重度押注。

這一方面需要與云服務(wù)廠商進(jìn)行深度合作與打磨,將媒體網(wǎng)絡(luò)技術(shù)、編解碼技術(shù)等與安全算法相融合;

另外則需要會議軟件平臺自身提升對安全性技術(shù)的投入和重視。

以Netflix為例,一直以流媒體視頻著稱的奈飛,就專門成立了一個由80名員工組成的安全團(tuán)隊,自主開發(fā)了很多安全軟件,以針對性地應(yīng)對網(wǎng)絡(luò)安全問題,而不是直接使用大型安全公司提供的通用模式。

原因也很簡單,只有自己的安全團(tuán)隊,才能填補(bǔ)上“最后10%”安全能力。

Zoom的踩雷告訴我們,“才不配位”,必有災(zāi)殃;而對安全這柄利劍的敬畏,應(yīng)該從一開始就懸在互聯(lián)網(wǎng)公司頭上。

更多精彩內(nèi)容,關(guān)注鈦媒體微信號(ID:taimeiti),或者下載鈦媒體App

責(zé)任編輯:

推薦內(nèi)容