某大型跨国公司为了方便全球各地的高管和分支机构进行沟通,部署了一套企业级的全球电话会议系统。这套系统允许各地员工通过拨入电话号码、输入会议密码的方式加入电话会议。公司高层也经常使用这套系统召开全球董事会的电话会议,讨论公司的战略方向、并购计划、财务状况和人事变动等内容。公司一直认为这套系统是安全的,因为使用了密码保护和主持人控制功能。但事实是,黑客通过某种手段获得了公司内部一个普通员工账号的控制权限,通过这个员工在内部网络中的操作记录和通讯录找到了电话会议系统的接入号码和密码规律。黑客没有直接去试图攻击董事会的会议密码,而是采用了一种更加隐蔽的方式来操作。他在几次重要的董事会会议召开之前,利用获得的内部权限预先在系统中创建了一个伪装成正常参会者的虚拟接入点。这个接入点在会议开始的时候就自动拨入了会议,但因为没有开启麦克风发声,所以在参会者列表里显示为一个沉默的参与者。董事会成员在开会的时候看到列表里有几个不说话的号码也没有当回事,以为是后勤支持人员的号码或者系统自动记录的号码。而这个虚拟接入点的麦克风虽然静音了但是它的接收功能是正常的,黑客通过这个接入点一直在实时接收会议中的全部音频内容,董事会讨论的所有敏感信息都被完整地获取了。这个事情持续了好几个月,直到有一次公司的IT安全团队在进行系统审计的时候发现了一个异常的外部IP地址在会议系统中长时间驻留,跟踪调查之后才发现系统已经被入侵了相当长的时间。
从技术原理来分析,这个案例涉及的是电话会议系统的多重安全漏洞。首先,传统的电话会议系统本质上是一个基于公众电话网络或者互联网语音协议的音频桥接平台。用户通过拨打一个特定的电话号码和输入会议密码来加入会议。这个流程中,会议密码是唯一的安全防线。很多组织的会议密码设置得比较简单,或者长期不变,或者所有会议使用同一个密码,这给暴力破解或者密码猜测提供了非常大的空间。黑客只要获取了一批员工账号的密码,就可以通过员工账号在公司内部系统中查找到会议系统的接入号码和密码设置规则。其次,电话会议系统的参与者识别机制非常薄弱。在传统的电话会议中,参与者显示出来的往往只是一个电话号码,无法判断这个号码背后是谁、在哪里、在用什么设备接入。当一个参与者不说话的时候,其他人几乎没有办法察觉到这个人有什么异常。黑客正是利用了这个漏洞,让自己接入会议之后保持静默,既不发言也没有明显的操作动静,让参会人员完全忽略了他的存在。第三,电话会议系统的管理后台本身的安全防护也是一个薄弱环节。很多系统在部署的时候默认开启了远程管理功能,管理员可以通过互联网登录后台进行配置管理。如果这个后台的登录密码强度不够或者存在已知的安全漏洞,黑客在攻破外围系统之后就可以登录后台,查看历史会议记录、修改会议配置、甚至创建隐藏的虚拟参会者。第四,全球电话会议系统的云平台架构在听感上充满了便利性,但也带来了广泛的安全性挑战。当系统部署在云端或者通过第三方服务商提供的时候,数据流可能经过多个网络节点,增加了数据被截获或者被旁路监听的风险。
这个案例对于所有使用电话会议系统进行敏感沟通的企业来说,都是一次严峻的提醒。第一,电话会议系统的安全不能只靠一个会议密码来保障。企业应该在系统层面实施多因素认证和参与者身份验证机制,比如在每次会议之前通过独立渠道向参会者发送一次性加入密码,或者要求参会者在加入会议时输入一个基于手机令牌生成的动态验证码。第二,企业应该限制电话会议系统的管理后台只能通过企业的安全内网进行访问,不能直接从互联网登录。同时启用详细的登录审计日志,记录每一次后台操作的时间、来源IP、操作内容,并定期对日志进行异常分析。第三,会议主持人应该被培训养成良好的会议管理习惯。在会议开始之后先确认参会者名单,核对每一个人的身份,对于无法确认身份的沉默参与者要主动询问或者在确认后将其移出。主持人还应该掌握如何锁定会议,即在所有合法参会者都加入之后禁止新的人员继续加入。第四,企业应该选择提供端到端加密功能的电话会议系统供应商。传统的电话会议系统只对传输链路做加密,语音内容在服务器端是以明文形式存在的,服务器运营方有能力访问会议内容。而端到端加密系统可以在参与者终端之间直接加密传递语音数据,服务器端无法解密,这样可以大大降低系统被攻破后的泄密风险。第五,建议企业在涉及高度敏感内容的电话会议中安排专人全程监控参会者,对每一位参会者进行身份确认并在会议结束后生成安全报告。在全球化的商业环境中,电话会议是必不可少的沟通工具,但它的安全性不应该被当作默认可靠的东西来对待,每一次使用都应该经过主动的安全检查。案例来自企密安官网。
