Ce înseamnă pentru tine eforturile de securitate ale Zoom

Platforma populară de conferințe Zoom își consolidează practicile de securitate ca parte a unui acord cu Comisia Federală pentru Comerț din SUA (FTC), în urma acuzațiilor agenției că a indus în eroare utilizatorii cu privire la nivelul său de securitate.

Zoom a devenit un nume cunoscut în doar câteva luni, lumea apelând la platforma sa de videoconferințe din cauza pandemiei limitând sever întâlnirile în persoană. Cu toate acestea, o plângere a FTC a susținut că Zoom „s-a angajat într-o serie de practici înșelătoare și neloiale care au subminat securitatea utilizatorilor săi”.

Acest lucru a urmat controlului experților în securitate la începutul acestui an, care au descoperit că platforma era

nu utilizează criptarea end-to-end în ciuda afirmațiilor de marketing. Zoom a văzut și alte probleme de securitate în timpul său cresterea in popularitate, cum ar fi participanții nedoriți care blochează întâlniri într-o practică numită „zoombombing.” Ca parte a acordului FTC, Zoom s-a angajat să implementeze un „program cuprinzător de securitate”.

„În timpul pandemiei, practic toată lumea – familii, școli, grupuri sociale, afaceri – folosește videoconferința pentru a comunica, ceea ce face ca securitatea acestor platforme să fie mai critică ca niciodată”, Andrew Smith, directorul Biroului pentru Protecția Consumatorului din cadrul FTC. spune în comunicatul de presă al agenției.

„Practicile de securitate ale Zoom nu s-au aliniat cu promisiunile sale, iar această acțiune va ajuta să vă asigurați că întâlnirile Zoom și datele despre utilizatorii Zoom sunt protejate.”

Controlul guvernamental

Plângerea FTC susține că Zoom și-a indus în eroare utilizatorii cu privire la mai multe probleme legate de securitate, dintre care cea mai importantă se referă la afirmațiile făcute cu privire la criptarea end-to-end.

S-a spus că Zoom pretinde că oferă criptare end-to-end, pe 256 de biți, pentru apelurile Zoom din 2016, dar a oferit într-adevăr un nivel mai scăzut de securitate. Când criptarea end-to-end este activată, numai participanții la un apel sau la un chat au acces la informațiile schimbate, nu Zoom, guvernul sau orice altă parte.

În plus, plângerea susține că Zoom a stocat întâlniri înregistrate, necriptate pe serverele sale timp de până la 60 de zile, când le-a spus unora dintre utilizatorii săi că vor fi imediat criptate.

O altă problemă se referă la software-ul Mac numit ZoomOpener, care a rămas pe computerele utilizatorilor chiar și atunci când ștergea Zoom și i-ar fi putut face vulnerabili la hackeri. „Acest software a ocolit o setare de securitate a browserului Safari și a pus utilizatorii în pericol – de exemplu, ar fi putut permite străinii să spioneze utilizatorii prin camerele web ale computerului lor”, explică specialistul în educația consumatorilor FTC, Alvaro Puig. într-o postare pe blog.

Răspunsul lui Zoom

În timp ce Zoom a soluționat recent plângerea FTC, a spus compania Lifewire într-un e-mail că a „rezolvat deja” problemele.

„Securitatea utilizatorilor noștri este o prioritate de top pentru Zoom”, a declarat un purtător de cuvânt al companiei Lifewire într-un e-mail. Zoom a luat mai mulți pași pentru a răspunde acuzațiilor FTC, inclusiv lansarea unui plan de 90 de zile în aprilie care a oferit peste 100 de caracteristici legate de confidențialitate și securitate.

Zoom a introdus criptarea end-to-end la sfârșitul lunii octombrie, posibilă prin achiziția în luna mai a unei companii numită Keybase. Criptarea de la capăt la capăt este încă în ceea ce Zoom numește modul „previzualizare tehnică”, iar compania spune că serverele Zoom nu au acces la cheile de criptare. Deocamdată, unele funcții sunt restricționate în modul de criptare end-to-end, inclusiv posibilitatea de a participa la întâlnire înaintea gazdei și a sălilor de lucru.

Cum să utilizați criptarea end-to-end a Zoom

Profesorul de informatică de la Universitatea din Alabama din Birmingham, Nitesh Saxena, spune că eforturile Zoom pentru implementarea unui adevărat sistem de criptare end-to-end este un „pas în direcția corectă”, dar observă că există încă treaba de facut.

„Există probleme semnificative care trebuie abordate înainte ca acest lucru să poată oferi cu adevărat nivelul de securitate pe care utilizatorii îl pot cere de la apelurile Zoom”, spune el.

Saxena, care a studiat pe larg securitatea Zoom, spune că securitatea metodei sale de criptare end-to-end se bazează în cele din urmă asupra procesului utilizat pentru validarea cheilor criptografice ale participanților la întâlnire (un pas cheie pentru ținerea cu urechea în afara apel).

În acest caz, utilizatorii verifică ei înșiși acest lucru înainte de a începe întâlnirea. În prima fază Zoom a protocolului său de criptare end-to-end, gazda întâlnirii citește un cod de 39 de cifre pe care altii trebuie sa verifice pe ecranul lor.

Conform cercetărilor efectuate de Saxena și echipa sa, această abordare ar putea fi predispus la erori umane dacă cineva nu acordă atenție și acceptă accidental un cod care nu se potrivește sau omite complet procesul.

De asemenea, gazdele și participanții la întâlnire trebuie să se asigure că activează criptarea end-to-end înainte de a începe întâlnirea, deoarece aceasta nu este activată în mod implicit. Cercetările lui Saxena au constatat, de asemenea, că tipurile de coduri numerice pe care Zoom le folosește ar putea fi, de asemenea, predispuse la a anumit tip de atac.

Deci, utilizatorii Zoom pot simți o oarecare ușurare că platforma a abordat deja principalele probleme de securitate ridicate de plângerea FTC și oferă acum prima fază de criptare end-to-end. Cu toate acestea, participanții la conferință ar trebui să știe că folosesc corect noul mod de criptare end-to-end necesită o atenție suplimentară atunci când este timpul pentru procesul de validare a codului la începutul apel.