在 IT 團隊所謂的「新常態」期間,Zoom 成長速度飛快。但成功是要付出代價的,那就是駭客的覬覦與資安專業人士的注意。
疫情流行有利的一面是迫使數百萬名新使用者開始接觸視訊會議工具,例如 Zoom,就新使用者人數、收益、品牌知名度和股東價值而言,Zoom 顯然都有巨幅成長。
但是,數百萬名新使用者開始使用一款相當重要但過去幾乎從未關注的工具,缺點就在於其中有許多使用者對資安一竅不通,也有許多是賞金獵人。短短幾週的時間,讓 Zoom 異軍突起的疫情高峰很快就成了燙手山芋,因為 Zoom 疑似出現諸多資安漏洞,隱私權決策也啟人疑竇。
別讓業務資料落入有心人士之手。下載這份免費電子書
Zoom 亂入轟炸是什麼?
像 Zoom 亂入轟炸 (Zoombombing) 這類的新字彙,很快就讓 Zoom 陷入了困境。企業禁用 Zoom,政府著手對其進行調查,而股東則紛紛提告。原本該成就一連串的勝利,結果,Zoom 正式道歉,正式上演公關危機管理,品牌名聲恐怕永遠沾上污點,這是怎麼回事?
資安出錯、隱私外洩以及缺乏可信度等問題連續出現,一發不可收拾,但對新使用者和原本打算嘗試的使用者而言,最駭人的恐怕是在一場重要線上會議中引爆的 Zoom 炸彈 (Zoom Bomb)。
網路上有關 Zoom 資安與隱私權決策處理不當、令人質疑的投訴此起彼落,Zoom 視訊會議遭受各式各樣的干擾,包括具有冒犯和威脅性質的訊息,以及線上騷擾等等。Zoom 資安問題曝光後,開始引發更多資安專家與駭客的好奇心,他們想知道這個平台的漏洞到底有多大,很快地,Zoom 亂入轟炸 (Zoombombing) 問題顯然成了非常容易攻擊的痛腳。
名為「撥號攻擊」的傳統駭客工具
容我向您介紹「撥號攻擊」(War Dialing),這是駭客資源庫中歷史最悠久的工具之一。Zoom 會議號碼只不過是不超過 11 位數的組合,因此,研究人員發現要找出真實會議的撥入號碼並不難。如果整個流程是採用自動處理模式,那就更簡單了。Krebs on Security 宣稱,只要 60 分鐘,他就能利用自訂的撥號程式識別 (如果有必要也能加入或轟炸) 大約 100 場正規的 Zoom 會議。
他也宣稱,如果同時執行好幾項撥號攻擊工具,他應該可以找出每天進行的所有 Zoom 公開或開放會議。在某一次的示範中,他一天就成功闖入超過 2,400 場 Zoom 會議,其中還有許多是由銀行、財星 500 大公司以及政府機關主持的會議。
那麼,一家由業界最資深高階主管經營了近十年的企業通訊公司,怎麼會出現這樣的失誤呢?該公司表示,他們沒有預料到突然之間會有如此多的個人使用者和企業員工開始使用這套工具。使用者之所以製造出更多的風險,原因在於他們不知道該如何啟用 Zoom 的安全與隱私設定。或者,其實是 Zoom 從未告訴使用者該這麼做,也沒有說過該怎麼做。
純粹是新手使用者加上差勁的通訊功能闖了大禍,還是這家公司只顧著眼前的超快速成長,卻忽略了一旦安全與隱私遭到侵害可能造成的負擔?
那麼,使用者所犯的錯又是如何引發新的全球轟炸與網路酸民攻擊事件呢?主要還是在於 Zoom 的設定。使用者根本不知道 Zoom 會議全都預設可公開觀看、搜尋以及進入。許多情況 (例如虛擬市政會議或學校會議) 確實需要採用這樣的會議模式。
Zoom 和視訊會議安全的下一步是什麼?
Zoom 的現在和未來會是如何?Zoom 公司不斷滅火,同時也保證未來 90 天內暫停一切功能開發作業,讓公司團隊能夠專心尋找及修正資安漏洞。
同時,倘若使用者想要防範網路酸民干擾會議,現在都該採取幾項必要的預防措施:
- 規劃會議時及公佈會議資訊之前,一定要熟悉 Zoom 的所有設定。大多數的解決方法都在設定裡。
- 其中一項設定允許您立即移除之前曾經遭到拒絕並列入黑名單的與會者。
- 如果您使用公司或企業版 Zoom 帳戶,請將這個帳戶視為任何其他敏感帳戶,遵行一樣的規則和防護措施。您至少需要採用自己想出而且安全完善的密碼,以及雙重因素驗證機制。
- 除非您要舉辦理應對大眾開放的活動,否則不要公開分享 Zoom 會議連結,尤其要避開社交媒體。網路酸民要透過社交媒體尋找漏洞並發動攻擊簡直易如反掌。
- 如果您仍需要提供公開存取權限,請直接將會議連結傳送給申請存取權限的人。此舉並非萬無一失,因為網路酸民很有可能會分別索取邀請函。不過,這仍然是個好用又簡單的選擇。
- 您應該只允許主持人選擇分享畫面。如果人人都能使用這個選項,網路酸民或入侵者很容易就能發動攻擊。
- 只允許使用者使用自己的工作或公司電子郵件地址,不能使用自己的個人電子郵件地址。這樣特別有助於預防外來的隨機攻擊。
- 會議開始前,寄一份簡單扼要的資安注意事項給員工和與會者,例如到哪裡才能下載真正的 Zoom 應用程式而非假的應用程式,以及如何安裝應用程式。這份清單可以讓他們更安心,也能讓您顯得更可靠。
- 一定要啟用「等候室」功能。這項功能允許主持人先親自核准每一位與會者。
- 小心禍從口出。情報圈很流行這樣的警告,這是在提醒人們留意電話被錄音、對話遭竊聽的可能。如果有敏感或可能令人困窘的資訊,而且您也不需要在這種容易令人起疑的場合中分享這類資訊,請另尋比較安全的管道。
Neal O'Farrell
As Executive Director of the non-profit Identity Theft Council, Neal has counseled thousands of victims of identity theft and taken on cases referred to him by the FBI and Secret Service. He has advised more than a dozen governments, as well as numerous security companies including ZoneAlarm, IdentityGuard, EZShield, SiteLock, SurfControl, Securify, NTRU Cryptosystems, Credit Sesame, and Civic. Neal is a former writer with SearchSecurity.com and Technical Editor for the Hack Proofing series of security guides (Elsevier).