99视频在线精品,精品国产香蕉伊思人在线,岛国视频在线

從Zoom連環(huán)爆雷，聊聊會(huì)議軟件的安全水位互聯(lián)網(wǎng)+

腦極體 2020-04-13 10:16

分享到：

導(dǎo)讀

Zoom的踩雷告訴我們，“才不配位”，必有災(zāi)殃

Zoom的踩雷告訴我們，“才不配位”，必有災(zāi)殃在家辦公、上課成為生活首選，不少國內(nèi)網(wǎng)友可能會(huì)表示“這集我看過”。
但接下來的劇情卻有些出人意料。
云視頻會(huì)議協(xié)作工具Zoom使用量暴漲，后續(xù)發(fā)展卻不是類似“小學(xué)生給釘釘好評(píng)五星分期付清”的常規(guī)反彈，而是以重大安全漏洞被全網(wǎng)質(zhì)疑，甚至被FBI警告。這就有點(diǎn)玩大了??！
其實(shí)早在2019年7月，就曾傳出Zoom軟件加密缺陷的新聞，伴隨著使用人數(shù)短時(shí)間內(nèi)突破2億人，終于摧毀了品牌的堤防。Zoom的“先天bug”開始出現(xiàn)：
比如安全加密手段不嚴(yán)，導(dǎo)致數(shù)以萬計(jì)的私人Zoom視頻被上傳至公開網(wǎng)頁，任何人都可在線圍觀，有的還包括參會(huì)人員的個(gè)人信息；
甚至還被黑客攻擊（又稱“Zoom Bombing”），有多個(gè)Zoom網(wǎng)絡(luò)教室和電話會(huì)議頻遭“劫持”，在視頻會(huì)議期間播放種族歧視甚至色情內(nèi)容；

這也導(dǎo)致猛漲沒持續(xù)多久，Zoom平臺(tái)就面臨來自SpaceX、NASA等機(jī)構(gòu)的禁用，紐約市在內(nèi)的某些學(xué)區(qū)禁止使用Zoom平臺(tái)來網(wǎng)上授課。
有專業(yè)人士認(rèn)為，只有徹底重建Zoom云端會(huì)議的安全技術(shù)才能確保會(huì)議內(nèi)容全程加密，在停止更新整改的90天內(nèi)，想要做到這一點(diǎn)幾乎是不可能的。
顯然，Zoom錯(cuò)失了這一機(jī)遇。但值得注意的是，遠(yuǎn)程辦公行業(yè)并非危機(jī)四伏，畢竟其他上億承載量的軟件可是堅(jiān)壁清野、固若金湯。

Zoom到底做了什么？會(huì)議軟件的安全水位
首先回歸到Zoom爆雷的核心原因。
一方面，是其技術(shù)本身的缺位。
正如其創(chuàng)始人兼首席執(zhí)行官袁征所說——“我們的加密設(shè)計(jì)可以做得更好”。作為海外創(chuàng)業(yè)團(tuán)隊(duì)，Zoom并不具備應(yīng)對(duì)億級(jí)規(guī)模用戶的先驗(yàn)意識(shí)，這使其內(nèi)部安全設(shè)計(jì)中，存在先天的短板。
在Pomerantz律師事務(wù)所發(fā)起的、針對(duì)Zoom的集體訴訟中，就以此為核心打擊點(diǎn)，直指Zoom缺少足夠的數(shù)據(jù)隱私和安全措施，該公司的視頻通信服務(wù)沒有端到端加密，就公司的業(yè)務(wù)、運(yùn)營(yíng)和合規(guī)政策做出了重大虛假和誤導(dǎo)性的陳述。
因?yàn)閆oom自稱是基于AES-256算法進(jìn)行端到端加密，但多倫多大學(xué)研究人員發(fā)現(xiàn)Zoom實(shí)際上用的是更弱的AES-128算法，進(jìn)行的是“傳輸”加密。

二者之間有何區(qū)別呢？
端到端加密（E2EE），又稱脫線加密或包加密，每個(gè)報(bào)文包均是獨(dú)立被加密的，使得消息在整個(gè)傳輸過程中均受到保護(hù)，所以即使有節(jié)點(diǎn)被損壞也不會(huì)使消息泄露。
所以攻擊者想要篡改通信內(nèi)容，也成了不太可能完成的任務(wù)，是一種目前比較安全的通信系統(tǒng)。就相當(dāng)于海外直郵，而不是代理轉(zhuǎn)發(fā)。
而AEW-128這類低等級(jí)的加密算法呢，加解密中每輪的密鑰分別由初始密鑰擴(kuò)展得到。換句話說，只要對(duì)每一步操作進(jìn)行逆向處理，按照相反的順序進(jìn)行解密即可恢復(fù)明文。
也難怪黑客能直接攻擊視頻會(huì)議的漏洞了。
但這樣做有什么影響呢？
一是需要使用安全級(jí)別較高的加密算法，以確保傳輸數(shù)據(jù)能夠得到最高級(jí)別的安全保護(hù)，“有選擇性地加密”也會(huì)帶來額外的算力成本和資源需求。對(duì)服務(wù)方的安全意識(shí)和技術(shù)水平提出了更高的要求。
二是阻礙了平臺(tái)方的數(shù)據(jù)感知。由于互聯(lián)網(wǎng)服務(wù)提供商、通信服務(wù)提供商、以及電信服務(wù)提供商都無法獲取到這類通信數(shù)據(jù)，對(duì)于許多需要以數(shù)據(jù)驅(qū)動(dòng)運(yùn)維策略的平臺(tái)來說，無疑缺少了重要的數(shù)據(jù)養(yǎng)料。
顯然，可以訪問用戶音頻和視頻內(nèi)容的Zoom，在事實(shí)層面都使用了更容易被修改和攻擊的技術(shù)。Zoom公司的首席財(cái)務(wù)官斯塔伯格就曾直接表示，面對(duì)突如其來的“流量高峰”，高管們也沒有考慮因?yàn)槭褂昧考ぴ龆胄碌募夹g(shù)。

Zoom爆雷的另一個(gè)短板，則是產(chǎn)品思維的缺失。
作為一個(gè)創(chuàng)業(yè)不到兩年的平臺(tái)，Zoom在產(chǎn)品細(xì)節(jié)上考慮的也不夠周全，由此也埋下了安全隱患。
舉個(gè)例子，會(huì)議主持人可以無需參加者同意錄制視頻，并將其保存在Zoom服務(wù)器或任何云端、公開網(wǎng)站。而且，錄制好的Zoom視頻都默認(rèn)以相同的命名方式來保存。
這就導(dǎo)致了兩個(gè)問題：首先是命名規(guī)則很容易被破解，有網(wǎng)友利用免費(fèi)的在線搜索引擎掃描了一下開放的云存儲(chǔ)空間，一次性搜索出了15000個(gè)視頻。
另外則是對(duì)用戶的權(quán)益告知不到位，如果有用戶通過Facebook等社交網(wǎng)站登錄Zoom，那么很可能無意間將空間改成公開訪問，自己的YouTube上也能找到Zoom視頻。據(jù)《華盛頓郵報(bào)》的報(bào)道，他們據(jù)此看到的視頻有小公司的財(cái)務(wù)會(huì)議，小學(xué)生的網(wǎng)課，甚至家庭內(nèi)部的私密談話等等。
前Facebook安全主管、現(xiàn)任斯坦?；ヂ?lián)網(wǎng)天文臺(tái)(Stanford Internet Observatory)負(fù)責(zé)人Alex Stamos表示，Zoom 的問題包括從愚蠢的設(shè)計(jì)到嚴(yán)重的產(chǎn)品安全缺陷。而在事件頻繁發(fā)生后，Zoom也緊急應(yīng)對(duì)，比如停止更新，專注于隱私和安全問題；改變了學(xué)校的默認(rèn)設(shè)置，只允許教師共享他們的屏幕等等。

當(dāng)然，這種西方媒體炸裂式的口誅筆伐，也與Zoom的中國背景不無關(guān)系。一方面，相較于同業(yè)務(wù)競(jìng)爭(zhēng)對(duì)手Avaya、思科和微軟等企業(yè)， Zoom的成本優(yōu)勢(shì)源于開發(fā)人員都位于中國，數(shù)據(jù)流“會(huì)經(jīng)過位于中國的服務(wù)器”，也成為英國廣播公司等媒體十分敏感的話題。
此外，在1-3月的全球股市“黑天鵝”期間，Zoom 的股價(jià)漲幅卻超過了 100%，市值翻了一倍，其創(chuàng)始人、華人移民袁征財(cái)富增幅達(dá)到77%，這次“爆雷”未嘗不是海外媒體在疫情期間的情緒釋放。

云時(shí)代的網(wǎng)絡(luò)安全，深而廣的技術(shù)模具
那么，遠(yuǎn)程會(huì)議的安全水位到底應(yīng)該有多高？我想這次諸多內(nèi)地軟件都交出了不錯(cuò)的答卷。
以國內(nèi)主流云廠商的發(fā)展趨勢(shì)來看，一個(gè)滿足億級(jí)用戶規(guī)模的會(huì)議平臺(tái)，其安全策略主要體現(xiàn)在四個(gè)方面：
一是云原生安全、全局防御。
今天，眾多遠(yuǎn)程視頻會(huì)議都是借助云網(wǎng)絡(luò)來提供服務(wù)的，因此，深入到云端的信息安全保障對(duì)于會(huì)議系統(tǒng)來說是重中之重。
公有云、私有云、混合云等多種服務(wù)的出現(xiàn)，讓互聯(lián)網(wǎng)企業(yè)會(huì)面對(duì)不一樣的資源管理、不一致的安全策略、不同的底層架構(gòu)、不同的安全工具，由此也必然造成數(shù)據(jù)隱私、運(yùn)維人員短缺等問題，因此越來越多的云服務(wù)商傾向于以統(tǒng)一、全面覆蓋的方式來進(jìn)行安全設(shè)計(jì)，將網(wǎng)絡(luò)的安全水位提升到云原生級(jí)別。
二是全場(chǎng)景覆蓋、實(shí)時(shí)監(jiān)測(cè)。
在安全架構(gòu)上，云平臺(tái)需要將內(nèi)部身份訪問、物理安全、硬件安全、虛擬化安全等全面覆蓋。具體到場(chǎng)景中，主要有以下幾種：
1.業(yè)務(wù)安全。簡(jiǎn)單來說就是對(duì)客戶的網(wǎng)絡(luò)內(nèi)容、身份驗(yàn)證等進(jìn)行風(fēng)控，像是自動(dòng)鑒別色情內(nèi)容的上傳、防止政策紅線等等；
2.應(yīng)用安全。對(duì)于App的運(yùn)行環(huán)境、用戶服務(wù)和數(shù)據(jù)保護(hù)、秘鑰管理等，由云端進(jìn)行高等級(jí)的全鏈路加密，避免發(fā)生類似Zoom這種數(shù)據(jù)外流的情況。
3.基礎(chǔ)安全。這一點(diǎn)則是在普通用戶感知不到的底層架構(gòu)，比如主機(jī)服務(wù)器的災(zāi)備，來自中間件、第三方組件的高危漏洞，應(yīng)對(duì)黑客發(fā)起的網(wǎng)絡(luò)攻擊，并快速阻攔及修復(fù)。

三是智能全鏈路，AI使能。
正如前面所說，云端也對(duì)產(chǎn)業(yè)安全提出了更為苛刻的新要求，這就讓手握AI武器的新云服務(wù)商，開始向亞馬遜等發(fā)起沖擊。
比如這次一些Zoom視頻的暴露，就源于將視頻保存在未受保護(hù)的存儲(chǔ)桶中，用戶無意間改成了公開訪問。
值得注意的是，無論是快速奇襲Amazon的谷歌云，還是國內(nèi)的華為云、百度智能云、阿里云智能，都將AI作為自身云解決方案的核心能力。
比如通過AI對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序，不斷進(jìn)行安全巡檢和漏洞評(píng)估，及時(shí)監(jiān)視攻擊活動(dòng)。使用NLP技術(shù)整合威脅情報(bào)的整合，網(wǎng)絡(luò)上下文分析漏洞的暴露面，并優(yōu)先修復(fù)風(fēng)險(xiǎn)最大的漏洞，想必Zoom事件不至于發(fā)酵到今天這種境況。

四是高安全意識(shí)，聚焦媒體。
可以預(yù)知的是，遠(yuǎn)程會(huì)議將在很長(zhǎng)一段時(shí)間內(nèi)，成為辦公學(xué)習(xí)的主角。
那么除了上述基礎(chǔ)層面的安全結(jié)構(gòu)之外，涉及到遠(yuǎn)程會(huì)議的音視頻媒體技術(shù)，自然也要在安全性上面重度押注。
這一方面需要與云服務(wù)廠商進(jìn)行深度合作與打磨，將媒體網(wǎng)絡(luò)技術(shù)、編解碼技術(shù)等與安全算法相融合；
另外則需要會(huì)議軟件平臺(tái)自身提升對(duì)安全性技術(shù)的投入和重視。
以Netflix為例，一直以流媒體視頻著稱的奈飛，就專門成立了一個(gè)由80名員工組成的安全團(tuán)隊(duì)，自主開發(fā)了很多安全軟件，以針對(duì)性地應(yīng)對(duì)網(wǎng)絡(luò)安全問題，而不是直接使用大型安全公司提供的通用模式。
原因也很簡(jiǎn)單，只有自己的安全團(tuán)隊(duì)，才能填補(bǔ)上“最后10%”安全能力。
Zoom的踩雷告訴我們，“才不配位”，必有災(zāi)殃；而對(duì)安全這柄利劍的敬畏，應(yīng)該從一開始就懸在互聯(lián)網(wǎng)公司頭上。

Zoom 安全視頻加密會(huì)議

分享到：

1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范，任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源；
2.TMT觀察網(wǎng)的原創(chuàng)文章，請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源：TMT觀察網(wǎng)"，不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任；
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。

麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

從Zoom連環(huán)爆雷，聊聊會(huì)議軟件的安全水位互聯(lián)網(wǎng)+

從Zoom連環(huán)爆雷，聊聊會(huì)議軟件的安全水位互聯(lián)網(wǎng)+