Ko jums nozīmē Zoom drošības pasākumi

December 02, 2021
InJaunumi Internets Un Drošība

Key Takeaways

ASV Federālā tirdzniecības komisija novembrī paziņoja. 9, ka tas ir panācis izlīgumu ar Zoom pēc tam, kad apgalvoja, ka tas maldināja lietotājus attiecībā uz drošību.
Izlīgumam ir nepieciešams, lai Zoom ieviestu "visaptverošu drošības programmu".
Zoom saka, ka tā jau ir risinājusi problēmas un nesen paziņoja, ka ieviesīs pilnīgu šifrēšanu.

Kāds piedalās videozvanā, strādājot no mājām. — Ariels Skley / Getty Images

Populārā konferenču platforma Tālummaiņa pilnveido savu drošības praksi kā daļu no izlīguma ar ASV Federālā tirdzniecības komisija (FTC), pēc aģentūras apgalvojumiem, ka tā maldinājusi lietotājus par savu drošības līmeni.

Tālummaiņa ir kļuvusi par populāru nosaukumu tikai dažu mēnešu laikā, pasaulei pievēršoties tās videokonferenču platformai, jo pandēmija ievērojami ierobežo klātienes tikšanās. Tomēr FTC sūdzībā tika apgalvots, ka Zoom "piedalījās virknē maldinošu un negodīgu darbību, kas mazināja tā lietotāju drošību".

Tas notika pēc drošības ekspertu pārbaudes šī gada sākumā, kuri atklāja, ka platforma ir bijusi

neizmantojot pilnīgu šifrēšanu neskatoties uz mārketinga apgalvojumiem. Zoom tās laikā ir novērojamas arī citas drošības problēmas popularitātes kāpums, piemēram, nevēlami dalībnieki sapulcē avārijās praksē ar nosaukumu "tālummaiņas bombardēšana." FTC izlīguma ietvaros Zoom ir apņēmies ieviest "visaptverošu drošības programmu".

"Pandēmijas laikā praktiski visi — ģimenes, skolas, sociālās grupas, uzņēmumi — izmanto videokonferences, lai sazinātos, padarot šo platformu drošību svarīgāku nekā jebkad agrāk," Endrjū Smits, FTC Patērētāju aizsardzības biroja direktors saka aģentūras paziņojumā presei.

"Zoom drošības prakse neatbilda tās solījumiem, un šī darbība palīdzēs nodrošināt, ka Zoom sanāksmes un dati par Zoom lietotājiem ir aizsargāti."

Valdības pārbaude

FTC sūdzībā tiek apgalvots, ka Zoom maldināja savus lietotājus par vairākiem ar drošību saistītiem jautājumiem, no kuriem vissvarīgākie ir saistīti ar apgalvojumiem par pilnīgu šifrēšanu.

Persona, kas piedalās konferences zvanā, izmantojot klēpjdatoru. — fizkes / Getty Images

Tajā teikts, ka Zoom kopš 2016. gada ir apgalvojis, ka piedāvā pilnīgu 256 bitu šifrēšanu Zoom zvaniem, taču tas patiešām nodrošināja zemāku drošības līmeni. Ja ir iespējota pilnīga šifrēšana, tikai zvana vai tērzēšanas dalībnieki var piekļūt informācijai, ar kuru notiek apmaiņa, nevis Zoom, valdība vai kāda cita puse.

Turklāt sūdzībā tiek apgalvots, ka Zoom savos serveros saglabāja ierakstītas, nešifrētas sapulces līdz 60 dienām, kad tā dažiem lietotājiem bija paziņojusi, ka tās nekavējoties tiks šifrētas.

Vēl viena problēma ir saistīta ar Mac programmatūru ZoomOpener, kas palika lietotāju datoros pat pēc Zoom dzēšanas un varēja padarīt tos neaizsargātus pret hakeriem. "Šī programmatūra apieta Safari pārlūkprogrammas drošības iestatījumu un pakļāva lietotājus riskam, piemēram, tā varēja atļaut svešiniekiem, lai izspiegotu lietotājus, izmantojot sava datora tīmekļa kameras," skaidro FTC patērētāju izglītības speciālists Alvaro Puigs. iekšā emuāra ieraksts.

Tālummaiņas atbilde

Lai gan Zoom tikai nesen atrisināja FTC sūdzību, uzņēmums teica Lifewire e-pastā, ka tā "jau ir risinājusi" problēmas.

"Mūsu lietotāju drošība ir Zoom galvenā prioritāte," sacīja uzņēmuma pārstāvis Lifewire e-pastā. Zoom ir veikusi vairākus pasākumus, lai reaģētu uz FTC apgalvojumiem, tostarp aprīlī uzsāka 90 dienu plānu, kas radīja vairāk nekā 100 funkcijas kas saistīti ar privātumu un drošību.

Endpoint Security Drošas sistēmas aizsardzība 3D ilustrācija — stuartmiles99 / Getty Images

Zoom oktobra beigās ieviesa pilnīgu šifrēšanu, kas bija iespējama, maijā iegādājoties uzņēmumu ar nosaukumu Keybase. Pilnīga šifrēšana joprojām ir režīmā, ko Zoom sauc par "tehnisko priekšskatījumu", un uzņēmums saka, ka Zoom serveriem nav piekļuves šifrēšanas atslēgām. Pagaidām dažas funkcijas ir ierobežotas pilnīgas šifrēšanas režīmā, tostarp iespēja pievienoties sapulcei pirms saimniekdatora un sadalījuma telpām.

Kā izmantot Zoom pilnīgu šifrēšanu

Alabamas Universitātes Birmingemā datorzinātņu profesors Nitesh Saxena saka, ka Zoom centieni Īstas pilnīgas šifrēšanas sistēmas ieviešana ir "solis pareizajā virzienā", taču atzīmē, ka joprojām ir darāmais darbs.

"Ir nopietnas problēmas, kas jārisina, pirms tas patiešām var nodrošināt tādu drošības līmeni, kādu lietotāji var pieprasīt no Zoom zvaniem," viņš saka.

Saxena, kas ir plaši pētījusi Zoom drošību, saka, ka tās pilnīgas šifrēšanas metodes drošība galu galā ir atkarīga par procesu, ko izmanto, lai apstiprinātu sapulces dalībnieku kriptogrāfiskās atslēgas (galvenais solis, lai neļautu noklausītajiem zvanu).

Šādā gadījumā lietotāji to pārbauda paši pirms sapulces sākšanas. Zoom tiešās šifrēšanas protokola pirmajā fāzē sapulces saimnieks nolasa 39 ciparu kodu, ko citiem jāpārbauda viņu ekrānā.

"Zoom drošības prakse neatbilda tās solījumiem, un šī darbība palīdzēs nodrošināt, ka Zoom sanāksmes un dati par Zoom lietotājiem ir aizsargāti."

Saskaņā ar Saxena un viņa komandas pētījumiem šī pieeja var būt pakļauti cilvēka kļūdām ja kāds nepievērš uzmanību un nejauši pieņem kodu, kas neatbilst, vai pilnībā izlaiž procesu.

Turklāt sapulces rīkotājiem un dalībniekiem pirms sapulces sākuma ir jāiespējo pilnīga šifrēšana, jo tā pēc noklusējuma nav ieslēgta. Saxena pētījums arī atklāja, ka ciparu kodu veidi, ko izmanto Zoom, var būt pakļauti arī noteikta veida uzbrukums.

Tātad, Zoom lietotāji var sajust zināmu atvieglojumu, ka platforma jau ir risinājusi galvenās drošības problēmas, kas izvirzītas FTC sūdzībā, un tagad piedāvā pirmo pilnīgas šifrēšanas posmu. Tomēr konferences dalībniekiem jāapzinās, ka pareizi tiek izmantots jaunais pilnīgas šifrēšanas režīms ir jāpievērš īpaša uzmanība, kad ir pienācis laiks koda apstiprināšanas procesam sākumā zvanu.