信息化觀察網(wǎng)

從在會(huì)議中播放色情內(nèi)容的“Zoom轟炸”，到偷偷向Facebook發(fā)送用戶數(shù)據(jù)，視頻會(huì)議軟件Zoom的隱私丑聞還在繼續(xù)。

據(jù)多個(gè)外媒報(bào)道，安全研究員Patrick Jackson近日在亞馬遜云計(jì)算平臺(tái)（AWS）上發(fā)現(xiàn)了15000個(gè)公開的Zoom會(huì)議視頻，內(nèi)容包括醫(yī)療會(huì)議、商務(wù)會(huì)議、小學(xué)課堂等。

會(huì)議發(fā)起人錄制視頻時(shí)，無需獲得參會(huì)者的同意，僅會(huì)向參會(huì)者發(fā)送錄制開始的提醒。這也導(dǎo)致Zoom會(huì)議視頻被公開后，很多當(dāng)事人看到自己的臉、聲音和個(gè)人信息感到很驚訝，因?yàn)樗麄儺?dāng)時(shí)根本沒有意識(shí)到被錄下來了。

錄制完成后，會(huì)議發(fā)起人可以選擇把視頻存在本地或上傳Zoom服務(wù)器。不過，也有人會(huì)選擇再把視頻上傳到AWS這種第三方云平臺(tái)上，且不設(shè)置密碼。

據(jù)《華盛頓郵報(bào)》報(bào)道，Jackson通過“一個(gè)簡(jiǎn)單的在線搜索”，就找到了15000個(gè)完全公開的Zoom會(huì)議視頻。“很多視頻都被保存在單獨(dú)的、沒有密碼的線上存儲(chǔ)空間里”，他說，因?yàn)閆oom對(duì)視頻的命名非常單一，所以他很容易地找到了大量視頻，而且任何人都能下載觀看。

本文之中這種在相關(guān)政策高壓下便可改的不良隱私慣例（功能侵犯?jìng)€(gè)人隱私）暫且不論，更值得我們注意的，還是那些安全方面的重大漏洞。

血淋淋的安全漏洞幾近成為行業(yè)“現(xiàn)狀”

在ZOOM的安全漏洞中，最令人不安的是被夸大的安全功能（端到端加密），其在網(wǎng)站和營(yíng)銷材料中使用“端到端加密”字樣，但實(shí)際上并非如此，Zoom既沒有提供嚴(yán)格意義上的端到端加密功能，其加密強(qiáng)度也存在夸大嫌疑(加拿大公民實(shí)驗(yàn)室分析發(fā)現(xiàn)Zoom聲稱的AES-256加密并不存在，所有與會(huì)者都是以ECB模式使用單個(gè)AES-128密鑰來加密音頻和視頻)，這會(huì)讓用戶產(chǎn)生不必要的安全感。

同時(shí)目前就Zoom加密問題發(fā)聲的密碼學(xué)家都強(qiáng)調(diào)說，Zoom的集中式密鑰管理系統(tǒng)和不透明的密鑰生成是該公司過去的端到端加密聲明以及當(dāng)前混亂的消息傳遞的最大問題。

而這在近期并非是孤例，半年以來小米、獵豹、微盟都已因?yàn)殡[私安全翻車，智安物聯(lián)網(wǎng)在早期發(fā)布的“小米爆雷！智能監(jiān)控安全和隱私真就不可兼得？”一文中也曾剖析過年初小米爆雷的原因和解決之道。但令人遺憾的是，多數(shù)行業(yè)內(nèi)的公司并沒有吸取過去的教訓(xùn)，依舊是拿著“成功企業(yè)”的“錯(cuò)題本”抄的非常開心。

成功的企業(yè)是怎么做的？

以某知名企業(yè)為例，其設(shè)備采用多種安全保護(hù)機(jī)制為個(gè)人隱私保駕護(hù)航，例如密碼提醒、保護(hù)機(jī)制，其設(shè)備會(huì)自動(dòng)提醒用戶修改初始密碼，并對(duì)新密碼評(píng)定安全等級(jí)，當(dāng)多次輸入錯(cuò)誤密碼設(shè)備自動(dòng)將用戶名鎖定以防止“窮舉法”的暴力破解；同時(shí)附帶IP、MAC地址綁定功能?？蓪⒂脩裘c指定的IP、MAC地址進(jìn)行綁定，綁定后僅該IP或MAC的主機(jī)可訪問設(shè)備。而碼流加密機(jī)制從根本上解決了設(shè)備網(wǎng)絡(luò)應(yīng)用隱私安全問題（其產(chǎn)品支持AES等碼流加密算法，即使實(shí)時(shí)碼流被截獲，也會(huì)因?yàn)闊o密鑰無法解碼)。

而另一家知名企業(yè)在設(shè)備與云的傳輸方面，先是為設(shè)備本身增加出廠隨機(jī)驗(yàn)證碼，以保證無驗(yàn)證碼則無法查看視頻及圖像。再通過數(shù)字證書的安全認(rèn)證機(jī)制保證用戶數(shù)據(jù)安全性，并且每個(gè)設(shè)備都有自己的密鑰和證書來與服務(wù)器進(jìn)行身份驗(yàn)證,獲得會(huì)話密鑰。最后在云存儲(chǔ)數(shù)據(jù)傳輸過程采用ssl進(jìn)行加密，保證傳輸過程中數(shù)據(jù)不會(huì)被截獲。

差距巨大的背后，到底藏著什么樣的原因？

引用網(wǎng)友一段夸張的描述“真正重視安全和隱私的公司，有CPO(首席隱私官)、有年薪千萬的CISO、有充足的網(wǎng)絡(luò)安全預(yù)算和人才、有完善的風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)控制和安全運(yùn)營(yíng)架構(gòu)、有基于安全做頂層設(shè)計(jì)、流程設(shè)計(jì)和產(chǎn)品設(shè)計(jì)的“安全設(shè)計(jì)”思維、董事會(huì)同時(shí)還了解企業(yè)的安全現(xiàn)狀、安全威脅和安全策略。這一切的一切那些爆雷的公司有嗎”？

在網(wǎng)友怒懟那些“坑蒙拐騙”的公司背后，其實(shí)是一條過去的“邏輯”在作祟。在主流的思想中，高昂的加密成本只有本身實(shí)力雄厚的企業(yè)才能承擔(dān)，中小企業(yè)受制于自身體量難以承擔(dān)這巨額的成本，這就導(dǎo)致了很多中小企業(yè)甚至不乏大廠，平日里對(duì)安全相關(guān)隨便投投，一旦出事就指望“應(yīng)急公關(guān)”。但這種邏輯并不可取，或者說一句過分的話“沒有金剛鉆就別攬瓷器活”。

混亂之中的解決之道

客觀來說，視頻產(chǎn)品安全問題在整個(gè)行業(yè)內(nèi)長(zhǎng)期存在，對(duì)于企業(yè)說安全就是生命力、生產(chǎn)力、與創(chuàng)新力，如果沒有安全作為保障，那對(duì)于旁人來說只能是“看你起高樓，看你宴賓客，看你樓塌了”。

在這種情況下，對(duì)于那些已經(jīng)入局且無力對(duì)安全研發(fā)進(jìn)行大力投入的中小企業(yè)來說，找一家專精于此的公司來“量體裁剪”不失為一種解決方式。畢竟你看印度，自己研發(fā)不行，武器全靠“買買買”不也一樣開心么？

僅以云安全為例，一家專業(yè)的公司能對(duì)你進(jìn)行風(fēng)險(xiǎn)評(píng)估，這是商業(yè)安全的重要保障，而其自身的不同云模型，也可以精準(zhǔn)支持不同業(yè)務(wù)。同時(shí)他們還能幫你完成雙重角色轉(zhuǎn)換，以填補(bǔ)你的云計(jì)算生態(tài)鏈，最后一道自身的"防火墻"也必不可少。

這一切的一切，相比自身研發(fā)的投入，可以說是能令大多數(shù)中小企業(yè)可以接受的安全成本，相比“爆雷”之下的一無所有，用適當(dāng)?shù)耐度霝樽约?、為用戶都買上一份原本就應(yīng)該置辦的“保險(xiǎn)”，難道不美么？

結(jié)語

頻頻的“海外爆雷”為整個(gè)行業(yè)蒙上一層陰影的同時(shí)，也抹黑了那些優(yōu)秀科技企業(yè)在全球的市場(chǎng)的品牌形象。加之當(dāng)前無論國(guó)內(nèi)還是國(guó)外用戶，普遍對(duì)視頻產(chǎn)品其自身的安全性難以辨別，如果長(zhǎng)久以往，劣幣驅(qū)逐良幣的悲劇必將上演，屆時(shí)雪崩之下，無論是企業(yè)還是用戶，都將迎來“終焉”。