Co oznaczają dla Ciebie działania zabezpieczające Zoom

Popularna platforma konferencyjna Powiększenie wzmacnia swoje praktyki bezpieczeństwa w ramach ugody z Amerykańska Federalna Komisja Handlu (FTC), po zarzutach agencji, że wprowadzała użytkowników w błąd co do poziomu bezpieczeństwa.

Zoom stał się powszechnie znany w ciągu zaledwie kilku miesięcy, a świat zwrócił się ku swojej platformie wideokonferencyjnej z powodu pandemii, która poważnie ograniczyła spotkania osobiste. Jednak skarga FTC twierdziła, że ​​Zoom „zaangażował się w szereg oszukańczych i nieuczciwych praktyk, które podważają bezpieczeństwo jego użytkowników”.

Wynikało to z analizy przeprowadzonej na początku tego roku przez ekspertów ds. bezpieczeństwa, którzy stwierdzili, że platforma była

nie używasz szyfrowania typu end-to-end pomimo twierdzeń marketingowych. Zoom zauważył również inne problemy z bezpieczeństwem podczas jego wzrost popularności, na przykład niepożądani uczestnicy przerywający spotkania w praktyce o nazwie „bombardowanie zoomemW ramach ugody FTC Zoom zobowiązał się do wdrożenia „kompleksowego programu bezpieczeństwa”.

„Podczas pandemii praktycznie wszyscy — rodziny, szkoły, grupy społeczne, firmy — używają wideokonferencji do komunikacji, sprawiając, że bezpieczeństwo tych platform jest bardziej krytyczne niż kiedykolwiek”, Andrew Smith, dyrektor Biura Ochrony Konsumentów FTC mówi w komunikacie prasowym agencji.

„Praktyki bezpieczeństwa Zoom nie były zgodne z jej obietnicami, a to działanie pomoże zapewnić ochronę spotkań Zoom i danych o użytkownikach Zoom”.

Kontrola rządowa

W skardze FTC zarzuca się, że Zoom wprowadził swoich użytkowników w błąd w kilku kwestiach związanych z bezpieczeństwem, z których najważniejszy dotyczy twierdzeń dotyczących szyfrowania typu end-to-end.

Powiedział, że Zoom twierdzi, że oferuje kompleksowe, 256-bitowe szyfrowanie dla połączeń Zoom od 2016 roku, ale tak naprawdę zapewnia niższy poziom bezpieczeństwa. Gdy szyfrowanie typu end-to-end jest włączone, tylko uczestnicy rozmowy lub czatu mają dostęp do wymienianych informacji — nie Zoom, rząd ani żadna inna strona.

Ponadto w skardze twierdzi się, że Zoom przechowywał na swoich serwerach nagrane, niezaszyfrowane spotkania przez okres do 60 dni, kiedy poinformował niektórych swoich użytkowników, że zostaną natychmiast zaszyfrowane.

Inny problem dotyczy oprogramowania Mac o nazwie ZoomOpener, które pozostawało na komputerach użytkowników nawet po usunięciu Zoom i mogło narazić ich na ataki hakerów. „To oprogramowanie omijało ustawienia zabezpieczeń przeglądarki Safari i narażało użytkowników na ryzyko — na przykład mogło pozwolić obcy szpiegują użytkowników za pomocą kamer internetowych swoich komputerów” – wyjaśnia specjalista ds. edukacji konsumenckiej FTC, Alvaro Puig. w post na blogu.

Reakcja Zoom

Firma poinformowała, że ​​firma Zoom dopiero niedawno rozstrzygnęła skargę FTC Lifewire w e-mailu, który „już rozwiązał” problemy.

„Bezpieczeństwo naszych użytkowników jest dla Zoom najwyższym priorytetem” – powiedział rzecznik firmy Lifewire w e-mailu. Zoom podjął kilka kroków, aby odpowiedzieć na zarzuty FTC, w tym uruchomił w kwietniu 90-dniowy plan, który przyniosło ponad 100 funkcji związane z prywatnością i bezpieczeństwem.

Zoom wprowadził szyfrowanie typu end-to-end pod koniec października, co było możliwe dzięki przejęciu w maju firmy o nazwie Keybase. Szyfrowanie od końca do końca jest nadal w tym, co Zoom nazywa trybem „podglądu technicznego”, a firma twierdzi, że serwery Zoom nie mają dostępu do kluczy szyfrowania. Na razie niektóre funkcje są ograniczone w trybie szyfrowania end-to-end, w tym możliwość dołączenia do spotkania przed gospodarzem i pokojami podgrup.

Jak korzystać z kompleksowego szyfrowania Zoom

Profesor informatyki z University of Alabama w Birmingham, Nitesh Saxena, mówi, że wysiłki Zoomu na rzecz: wdrożenie prawdziwego systemu szyfrowania typu end-to-end jest „krokiem we właściwym kierunku”, ale należy zauważyć, że nadal praca do wykonania.

„Istnieją istotne problemy, które należy rozwiązać, zanim naprawdę zapewni to poziom bezpieczeństwa, jakiego użytkownicy mogą wymagać od rozmów Zoom”, mówi.

Saxena, która intensywnie badała bezpieczeństwo Zoom, mówi, że bezpieczeństwo metody szyfrowania end-to-end ostatecznie opiera się w sprawie procesu używanego do walidacji kluczy kryptograficznych uczestników spotkania (kluczowy krok w celu powstrzymania podsłuchujących przed połączenie).

W takim przypadku użytkownicy sprawdzają to sami przed rozpoczęciem spotkania. W pierwszej fazie swojego kompleksowego protokołu szyfrowania Zoom gospodarz spotkania odczytuje 39-cyfrowy kod, który inni muszą sprawdzić na ich ekranie.

Według badań przeprowadzonych przez Saxena i jego zespół, takie podejście może być podatny na błędy ludzkie jeśli ktoś nie zwraca uwagi i przypadkowo zaakceptuje kod, który nie pasuje lub całkowicie pomija proces.

Ponadto gospodarze i uczestnicy spotkania muszą upewnić się, że włączyli szyfrowanie typu end-to-end przed rozpoczęciem spotkania, ponieważ nie jest ono domyślnie włączone. Badania Saxeny wykazały również, że rodzaje kodów numerycznych, których używa Zoom, mogą być również podatne na a pewien rodzaj ataku.

Tak więc użytkownicy Zoom mogą odczuć pewną ulgę, że platforma rozwiązała już główne problemy bezpieczeństwa podniesione przez skargę FTC, a teraz oferuje pierwszą fazę szyfrowania end-to-end. Jednak uczestnicy konferencji powinni mieć świadomość, że prawidłowe korzystanie z nowego trybu szyfrowania end-to-end wymaga zwrócenia szczególnej uwagi, gdy nadchodzi czas na proces walidacji kodu na początku połączenie.