Zoom是一款多人手機云視頻會議軟件，為用戶提供兼?zhèn)涓咔逡曨l會議與移動網(wǎng)絡(luò)會議功能的免費云視頻通話服務(wù)。用戶可通過手機、平板電腦、PC與工作伙伴進行多人視頻及語音通話、屏幕分享、會議預(yù)約管理等商務(wù)溝通。

[[320736]]

slack (聊天群組)是聊天群組 + 大規(guī)模工具集成 + 文件整合 + 統(tǒng)一搜索。截至2014年底，Slack 已經(jīng)整合了電子郵件、短信、Google Drives、Twitter、Trello、Asana、GitHub 等 65 種工具和服務(wù)，可以把各種碎片化的企業(yè)溝通和協(xié)作集中到一起。

由于當(dāng)前冠狀病毒大流行，遠程辦公已成為不可逆轉(zhuǎn)的趨勢，有網(wǎng)絡(luò)安全研究機構(gòu)最近發(fā)布了有關(guān)如何 “安全遠程辦公”的報告，其中說明了可能導(dǎo)致終端和公司網(wǎng)絡(luò)被攻擊的常見錯誤。在這篇文章中，我們列舉了一些流行的遠程辦公軟件，并強調(diào)一些需要注意的隱私和安全問題。

保護Slack和微軟團隊免受惡意行為者的攻擊

Slack和微軟團隊等工作場所聊天應(yīng)用每天的用戶可能超過6000萬，隨著冠狀病毒的流行迫使大多數(shù)企業(yè)盡可能地轉(zhuǎn)移到遠程辦公，目前這兩個平臺的用戶都出現(xiàn)了增長。這類應(yīng)用程序在當(dāng)今的數(shù)字化、分布式工作環(huán)境中至關(guān)重要，但是CISO和安全團隊需要意識到使用此類軟件的安全隱患。

對于旨在攻擊計算機的攻擊者來說，竊取用戶的全部Slack工作空間、聊天消息、文件和歷史記錄都比較簡單。更糟糕的是，攻擊者可以通過竊取用戶計算機上存儲的會話Cookie來獲得當(dāng)前對工作區(qū)的訪問權(quán)限。正如研究人員本月早些時候指出的那樣，攻擊者在Mac上要做的所有工作都是復(fù)制整個目錄，該目錄位于~/Library/Application Support/Slack或使用App Store版本的沙盒化的~/Library/Containers/com.tinyspeck.slackmacgap/Data/Library/Application Support/Slack。在Windows上，可以在%AppData%\Roaming\Slack中找到相同的數(shù)據(jù)。

獲得數(shù)據(jù)后，攻擊者可以啟動一個虛擬機實例，安裝Slack應(yīng)用程序，并將竊取的數(shù)據(jù)復(fù)制到VM上的相同位置(用戶名不必相同)。然后，啟動Slack將使攻擊者登錄用戶的工作區(qū)，并為他們提供完整的實時訪問權(quán)限。盡管此活動將記錄在服務(wù)器端的工作區(qū)“訪問日志”中，但除非攻擊者主動嘗試在工作區(qū)中模擬用戶，否則它對用戶而言并不明顯。

由于用戶計算機上的Slack數(shù)據(jù)會暴露給以登錄用戶身份運行的任何未沙盒化進程，因此惡意應(yīng)用可能會在受害者不知情的情況下泄露這些數(shù)據(jù)。

盡管Slack的開發(fā)人員已經(jīng)意識到了這個問題，但它們的官方回應(yīng)是，這對他們而言目前不是緊迫的問題，因此安全團隊將需要采取自己的步驟來確保公司的工作區(qū)是否安全。首先，要確保所有公司設(shè)備都有一個良好的EDR解決方案，以防止惡意軟件從一開始就感染系統(tǒng)。其次，要求用戶和IT管理員定期退出其他設(shè)備。根據(jù)你的工作空間設(shè)置，需要也可能不需要密碼。

第三，與所有受密碼保護的帳戶一樣，提醒用戶定期更改密碼并為Slack設(shè)置雙因素身份驗證。使用像Slack這樣的工作平臺，更改密碼很容易被忽視。工作區(qū)所有者和用戶可以查看訪問日志，以檢查是否有任何未知的設(shè)備已經(jīng)登錄到帳戶中。

微軟團隊的應(yīng)用，Slack的主要競爭對手，在過去的9到10個月里也面臨著安全問題。去年6月，該團隊的Windows桌面應(yīng)用程序被發(fā)現(xiàn)容易受到依賴項Squirrel框架的漏洞的攻擊，該框架可能允許任意代碼執(zhí)行、惡意下載和權(quán)限升級。去年9月，研究人員發(fā)現(xiàn)團隊?wèi)?yīng)用程序容易受到跨站點腳本(XSS)和客戶端模板注入的攻擊。目前，這些漏洞已在Teams.app的最新更新中得到解決，因此IT管理員確保用戶及時更新這些應(yīng)用程序至關(guān)重要。

無論使用哪種平臺，請確保對于重要會議都制定了備份計劃。微軟團隊在2月份曾發(fā)生過一次3小時的宕機，原因是微軟竟然忘記了更新一個重要的安全證書。這對微軟來說是一次相當(dāng)尷尬的故障，畢竟該公司還開發(fā)并銷售用于監(jiān)控安全證書過期之類的工具，以便這類問題根本不會發(fā)生。無論如何，微軟肯定會進行一番徹底的調(diào)查，以確保這種情況不再發(fā)生。Microsoft Teams目前正與Slack Technologies Inc.展開較量，以贏得企業(yè)用戶的青睞，而像這種本可以阻止的故障勢必不會給它幫忙。

我們的在線數(shù)字世界可能比以往任何時候都更容易受到攻擊，如果服務(wù)不可用，則可能需要從電子郵件到電話的常規(guī)通信渠道進入服務(wù)。這些，尤其是電子郵件，當(dāng)然也面臨著自身的安全挑戰(zhàn)，包括網(wǎng)絡(luò)釣魚和SIM交換。

使用視頻會議軟件時的安全性和隱私

Zoom和Skype是舉行從小型團隊到數(shù)萬人的會議的好方法，但這些應(yīng)用程序也涉及安全和隱私問題。

首先，確保你自己的身體空間適合開會。上一兩周的社交媒體令人不寒而栗，他們的照片讓人有些尷尬，他們在家中從事工作而又不考慮周圍環(huán)境。從配偶穿著內(nèi)衣走來走去，到一名員工在電話會議中將智能手機帶到浴室后不經(jīng)意間透露了比同事想要看到的更多東西，始終確保你的環(huán)境可以是工作的。

以下是一些個人經(jīng)驗：向后看并檢查相機可以看到的內(nèi)容，當(dāng)你在工作的時候，一定要讓你的家人和和你住在一起的人知道。無論是狂吠的狗還是家庭爭吵，不必要的背景噪音都會讓其他與會者感到不安和尷尬。另外，在屏幕共享時要小心。確保沒有應(yīng)用程序、圖像或視頻可見，可能屬于不安全工作(NSFW)類別，或可能暴露個人或機密的業(yè)務(wù)數(shù)據(jù)。檢查瀏覽器頂部欄中哪些標(biāo)簽是可見的，以及你是否會不小心泄露你最近訪問過的網(wǎng)站。

其次，了解你所使用的軟件的隱私政策和特性。Zoom有一些有趣的功能，比如注意力跟蹤和一些關(guān)于數(shù)據(jù)收集和共享的“應(yīng)該知道”政策。

關(guān)于安全性，視頻會議軟件需要注意許多問題，特別是如果你要像新手一樣使用Zoom的話。值得在這里查看Zoom的有用指南，以獲取有關(guān)如何防止“ Zoom pirates”和“ Zoom bombing”之類的基本提示的技巧，在這種情況下，不需要的參與者通過公開或猜測的會議ID加入通話并通過共享屏幕上的圖像來接管會議。作為主持人，你可以管理參與者，并通過正確配置帳戶設(shè)置來確保不會失去對會議的控制權(quán)。開啟2FA并要求使用授權(quán)的電子郵件地址是任何內(nèi)部會議的基本預(yù)防措施。

除了將會議程序鎖定在授權(quán)的參與者之外，還有其他選項可用于允許你未經(jīng)許可限制屏幕共享，從Zoom會議中刪除不需要的或破壞性的參與者，使參與者靜音或關(guān)閉其視頻。其他電話會議軟件應(yīng)具有類似的設(shè)置，因此，如有必要，請檢查文檔，并確保你知道如何控制意外事件。

確保會議不受電話外人員的影響也很重要。客戶經(jīng)理應(yīng)確保啟用端到端加密，以防止流量監(jiān)聽，尤其是在遠程工作人員從公司安全VPN網(wǎng)絡(luò)外部連接到會議的情況下。

請記住，任何與會者都可以錄制視頻會議，這會帶來保密性和泄露性問題。記錄存儲在本地用戶設(shè)備上。例如，使用Zoom可以在Mac上的〜/ Documents / Zoom和Windows上的\ Users / Users \ Documents \ Zoom中找到它們。如果該設(shè)備受到攻擊，則這些記錄很容易被泄漏和利用。勒索和暴露受害者是一種在某些攻擊者中越來越受歡迎的技術(shù)，例如勒索軟件開發(fā)人員Maze和DoppelPaymer。

Maze勒索軟件這種惡意軟件背后的團伙會將一種類似的威脅堅持到底，在公共互聯(lián)網(wǎng)上建立了一個網(wǎng)站，列出了那些不交贖金受害者的名字，并附上從決定不支付贖金的受害者那里竊取的敏感文件的樣本。

DoppelPaymer勒索軟件的運營商啟動了一個站點，他們將使用該站點用來羞辱那些不支付贖金的受害者，并發(fā)布在加密受害者計算機之前盜取的所有文件。

這是由Maze 勒索軟件啟動的一種新的勒索方法，在加密文件之前先竊取文件，然后利用它們作為使受害者支付贖金的手段之一。

如果受害者沒有支付贖金，則勒索軟件運營商會在公共“新聞”站點上釋放被盜文件，讓受害者面臨數(shù)據(jù)泄露帶來的威脅：政府罰款、訴訟以及網(wǎng)絡(luò)攻擊。

Maze 采取這種策略后不久，其他勒索軟件家族(包括Sodinokibi，Nemty和 DoppelPaymer)也開始了這種做法。

今年早些時候，研究人員發(fā)現(xiàn)Zoom有一個漏洞，可以找出哪些隨機數(shù)是有效的Zoom調(diào)用。然后，研究人員便可以使用這些號碼進行電話監(jiān)聽。這一漏洞是在Zoom和其他一些視頻會議應(yīng)用程序被發(fā)現(xiàn)包含一個軟件漏洞后不久發(fā)現(xiàn)的，該漏洞可能導(dǎo)致任何macOS設(shè)備上的遠程命令執(zhí)行(RCE)，即使Zoom應(yīng)用程序已經(jīng)被卸載。在這種情況下，蘋果迅速采取行動，更新了自己的內(nèi)部安全軟件，以消除漏洞。目前，這兩個漏洞都在Zoom的最新版本中得到了修補。

與工作場所聊天應(yīng)用程序一樣，遠程會議軟件也是如此，確保在更新可用后立即對用戶進行修補，并確保端點受到安全平臺的保護，該平臺可以防御惡意軟件、惡意設(shè)備和網(wǎng)絡(luò)入侵。

總結(jié)

眾所周知，所有的軟件都有缺陷。且大多數(shù)漏洞都是瑣碎的，從來沒有被用戶注意到，有些是零日漏洞，直到他們被野外修補或利用后，我們才知道。而另一些則是關(guān)鍵的，我們會及時進行修補。不過在兩個漏洞之間還存在另一類漏洞，就是開發(fā)人員已被告知，但漏洞仍未得到解決，這可能是因為供應(yīng)商不同意安全風(fēng)險的嚴(yán)重性，或者認為這不是他們要解決的錯誤，或者供應(yīng)商根本找不到技術(shù)解決方案。最重要的是，一些安全和隱私問題不是由程序缺陷引起的，而是由我們使用這些程序的方式引起的，例如在電話會議中不了解我們的運行環(huán)境。