ZOOM现在是关键的基础设施。这是一个令人担忧的问题

2020-08-29 00:39:45

这是一个在去年还无法想象的网络安全漏洞:一家总部位于加州的公司Zoom现在是从小学到研究生院接受教育的基础。它也已成为许多企业的关键工具。当Zoom关闭时,教师无法授课,学生无法学习,商务会议、会议和网络研讨会陷入停顿。

这在8月24日星期一以戏剧性的形式得到了证明,当时大范围的停机阻止了许多用户访问Zoom。就在太平洋时间早上6点之前,该公司在一份声明中承认了这一问题,并写道“我们目前正在调查,并将在有最新情况时提供最新情况。”一小时后,Zoom表示,它已经“发现了问题”,并“正在努力解决问题”。最后,在第一次承认这个问题三个多小时后,Zoom宣布“我们已经解决了这个问题。”

没有证据表明这次停电是恶意的。这个问题得到了相对较快的解决,尽管对于教师、学生和参加商务会议的人来说,他们发现自己无法召开会议,速度还不够快。如果没有有关Zoom系统如何设计和保护的详细信息,就很难确定未来服务中断的最大风险来源。但8月24日事件的发生,突显了未来服务中断的可能性,无论是由于系统故障还是网络攻击,都可能导致教室和商务会议关闭更长时间。

对数字技术的依赖并不是什么新鲜事,这是国土安全部16个关键基础设施部门中的几个部门的基础,包括“金融服务”、“通信”和“信息技术”。但在这些行业的许多垂直领域-如银行或移动电话服务-没有一家公司主导市场。一次网络攻击使一家领先的银行或移动电话网络提供商下线几个小时,这将是一件大事,对成千上万的个人和企业来说是巨大的不便,但它不会关闭整个金融系统或移动蜂窝通信。相比之下,针对Zoom的成功网络攻击可能会导致教育和大量商业活动完全停止。

另一个挑战是,Zoom是一家相对年轻的公司(成立于2011年),经历了一些与安全相关的成长之痛。2020年3月,该公司因其支持视频会议的端到端加密的可疑声明而受到广泛批评。通常使用的术语是指在两个最终用户之间交换加密内容的方式,使其在传输过程中无法解密,即使是管理其经过的服务器的公司也无法解密。例如,正如苹果关于iMessage和FaceTime所解释的那样,“当你的对话内容在设备之间传输时,苹果没有办法解密它们。”

Zoom的方法是不同的。正如The Intercept在3月份的一篇文章所解释的那样,Zoom实际上使用的是“传输加密”,这与端到端加密不同,因为Zoom服务本身可以访问Zoom会议的未加密视频和音频内容。因此,当你召开Zoom会议时,视频和音频内容将对任何监视你的Wi-Fi的人保密,但不会对公司保密。“。虽然Zoom随后宣布正在开发新的软件,使其能够引入端到端加密,但从安全角度来看,这一点上出现的困惑是令人担忧的。

除了Zoom,还有很多其他选择,包括Skype、Webex和GoToMeeting。当然,挑战在于Zoom受益于巨大的网络效应。人们投入学习如何使用Zoom的时间,以及公司和大学为使Zoom成为他们的实时视频互动的主要平台而签署的许可证,都强烈地刺激了人们反对采用替代方案。就像大多数人不想购买和携带两部手机,每部手机都连接到不同的蜂窝网络,以防其中一个网络出现故障一样,组织也不会想要支付他们很少或永远不需要的非Zoom视频会议平台的许可证。那些已经花了几个小时习惯了Zoom的人不想在另一个平台上重新开始。

总而言之,这些因素意味着我们不太可能在短期内摆脱对Zoom的依赖。这是一个令人担忧的问题,因为如果今天从头开始创建一份关键基础设施部门的清单,它可能会将视频会议作为一个不同的部门包括在内。依赖视频会议的组织(今天是大多数组织)可以很好地实施备份计划,以最大限度地减少未来Zoom停机造成的中断。

苹果是布鲁金斯学会(Brookings Institution)的普通、不受限制的捐赠者。在这篇文章中张贴的发现、解释和结论完全是作者的,不受任何捐赠的影响。