Ką jums reiškia „Zoom“ saugumo pastangos

December 02, 2021
ĮŽinios Interneto Apsauga

Key Takeaways

JAV Federalinė prekybos komisija paskelbė lapkričio mėn. 9, kad ji susitarė su „Zoom“, teigdama, kad klaidino vartotojus dėl saugumo.
Atsiskaitymas reikalauja, kad „Zoom“ įdiegtų „išsamią saugos programą“.
„Zoom“ teigia, kad jau išsprendė problemas ir neseniai paskelbė, kad įdiegs visišką šifravimą.

Kažkas dalyvauja vaizdo skambutyje, kai dirba iš namų. — Ariel Skelley / Getty Images

Populiari konferencijų platforma Padidinti tobulina savo saugumo praktiką kaip dalį susitarimo su JAV Federalinė prekybos komisija (FTC), po agentūros kaltinimų, kad ji klaidino vartotojus dėl savo saugumo lygio.

„Zoom“ tapo populiariu pavadinimu vos per kelis mėnesius, o pasaulis pradėjo naudoti vaizdo konferencijų platformą dėl pandemijos, labai apribojusios asmeninius susitikimus. Tačiau FTC skunde buvo teigiama, kad „Zoom“ „užsiėmė daugybe apgaulingų ir nesąžiningų veiksmų, kurie kenkė jos vartotojų saugumui“.

Tai buvo atlikta po saugumo ekspertų patikrinimo anksčiau šiais metais, kurie nustatė, kad platforma buvo tokia nenaudojamas galutinis šifravimas

nepaisant rinkodaros teiginių. „Zoom“ taip pat pastebėjo kitų saugumo problemų populiarumo kilimas, pvz., nepageidaujami dalyviai užklumpa susitikimus praktikoje, vadinamoje "zoobombavimas.“ Kaip FTC susitarimo dalis, „Zoom“ įsipareigojo įgyvendinti „išsamią saugumo programą“.

„Pandemijos metu praktiškai visi – šeimos, mokyklos, socialinės grupės, įmonės – bendraudami naudoja vaizdo konferencijas, šių platformų saugumas tampa svarbesnis nei bet kada anksčiau“, – FTC vartotojų apsaugos biuro direktorius Andrew Smithas sako agentūros pranešime spaudai.

„Zoom saugumo praktika neatitiko jos pažadų, ir šis veiksmas padės užtikrinti, kad Zoom susitikimai ir duomenys apie Zoom naudotojus būtų apsaugoti.

Vyriausybės kontrolė

FTC skunde teigiama, kad „Zoom“ suklaidino savo vartotojus dėl kelių su saugumu susijusių problemų, iš kurių svarbiausia yra susijusi su teiginiais apie visišką šifravimą.

Asmuo, dalyvaujantis konferenciniame pokalbyje nešiojamuoju kompiuteriu. — fizkes / Getty Images

Jame teigiama, kad nuo 2016 m. „Zoom“ teigė siūlantis visišką 256 bitų šifravimą „Zoom“ skambučiams, tačiau iš tikrųjų užtikrino žemesnį saugumo lygį. Kai įgalintas galutinis šifravimas, tik pokalbio ar pokalbio dalyviai turi prieigą prie informacijos, kuria keičiamasi, o ne „Zoom“, vyriausybė ar bet kuri kita šalis.

Be to, skunde teigiama, kad „Zoom“ savo serveriuose saugojo įrašytus, nešifruotus susitikimus iki 60 dienų, kai kai kuriems savo vartotojams buvo pasakęs, kad jie bus nedelsiant užšifruoti.

Kita problema susijusi su Mac programine įranga, vadinama ZoomOpener, kuri liko vartotojų kompiuteriuose net ištrynus Zoom ir galėjo padaryti juos pažeidžiamus įsilaužėlių. „Ši programinė įranga apeino „Safari“ naršyklės saugos nustatymą ir sukėlė pavojų vartotojams – pavyzdžiui, galėjo leisti nepažįstami žmonės šnipinėja vartotojus per savo kompiuterio žiniatinklio kameras“, – aiškina FTC vartotojų švietimo specialistas Alvaro Puigas. a tinklaraščio straipsnis.

Zoom atsakymas

Nors „Zoom“ tik neseniai išsprendė FTC skundą, pranešė bendrovė Lifewire el. laiške, kad „jau išsprendė“ problemas.

„Mūsų vartotojų saugumas yra svarbiausias Zoom prioritetas“, – sakė bendrovės atstovas Lifewire el. laiške. „Zoom“ ėmėsi kelių veiksmų, kad reaguotų į FTC kaltinimus, įskaitant 90 dienų plano pradžią balandžio mėn. davė daugiau nei 100 funkcijų susijusių su privatumu ir saugumu.

Endpoint Security Saugios sistemos apsaugos 3d iliustracija — stuartmiles99 / Getty Images

„Zoom“ spalio pabaigoje pristatė visišką šifravimą, kuris tapo įmanomas gegužę įsigijus įmonę „Keybase“. Šifravimas nuo galo iki galo vis dar veikia „Zoom“ vadinamu „techninės peržiūros“ režimu, o bendrovė teigia, kad „Zoom“ serveriai neturi prieigos prie šifravimo raktų. Kol kas kai kurios funkcijos yra apribotos tiesioginio šifravimo režimu, įskaitant galimybę prisijungti prie susitikimo prieš priimančiosios ir grupės patalpas.

Kaip naudoti „Zoom“ šifravimą nuo galo iki galo

Alabamos universiteto Birmingeme kompiuterių mokslų profesorius Niteshas Saxena teigia, kad Zoom pastangos įdiegti tikrą šifravimo sistemą nuo galo iki galo yra „žingsnis teisinga kryptimi“, tačiau pažymi, kad vis dar yra dirbti.

„Yra svarbių problemų, kurias reikia išspręsti, kad tai tikrai užtikrintų saugumo lygį, kurio vartotojai gali reikalauti iš Zoom skambučių“, – sako jis.

Saxena, kuri plačiai tyrinėjo „Zoom“ saugumą, sako, kad galutinio šifravimo metodo saugumas galiausiai priklauso nuo apie procesą, naudojamą susitikimo dalyvių kriptografiniams raktams patvirtinti (pagrindinis veiksmas, norint, kad pasiklausytojai nepatektų į skambinti).

Tokiu atveju vartotojai patys tai patikrina prieš pradėdami susitikimą. Pirmajame „Zoom“ galutinio šifravimo protokolo etape susitikimo šeimininkas nuskaito 39 skaitmenų kodą, kurį kiti turi patikrinti jų ekrane.

„Zoom saugumo praktika neatitiko jos pažadų, ir šis veiksmas padės užtikrinti, kad Zoom susitikimai ir duomenys apie Zoom naudotojus būtų apsaugoti.

Remiantis Saxena ir jo komandos tyrimais, šis požiūris gali būti linkęs į žmogiškąsias klaidas jei kas nors nekreipia dėmesio ir netyčia priima kodą, kuris nesutampa arba visiškai praleidžia procesą.

Be to, susitikimo rengėjai ir dalyviai turi įsitikinti, kad prieš pradėdami susitikimą įgalina tiesioginį šifravimą, nes jis nėra įjungtas pagal numatytuosius nustatymus. Saxena tyrimas taip pat parodė, kad Zoom naudojami skaitmeninių kodų tipai taip pat gali būti linkę į tam tikro tipo ataka.

Taigi, „Zoom“ naudotojai gali jausti palengvėjimą, kad platforma jau išsprendė pagrindines saugumo problemas, iškeltas dėl FTC skundo, ir dabar siūlo pirmąjį visiško šifravimo etapą. Tačiau konferencijos dalyviai turėtų žinoti, kad naująjį šifravimo režimą nuo galo iki galo naudojant teisingai reikia skirti daugiau dėmesio, kai atėjo laikas kodo patvirtinimo procesui pradžioje skambinti.