Co oznaczają dla Ciebie wysiłki związane z bezpieczeństwem Zoom

Spisu treści:

Co oznaczają dla Ciebie wysiłki związane z bezpieczeństwem Zoom
Co oznaczają dla Ciebie wysiłki związane z bezpieczeństwem Zoom
Anonim

Kluczowe dania na wynos

  • Amerykańska Federalna Komisja Handlu ogłosiła 9 listopada, że osiągnęła ugodę z Zoom po tym, jak twierdziła, że wprowadzała użytkowników w błąd w zakresie bezpieczeństwa.
  • Ugoda wymaga od Zoom wprowadzenia „kompleksowego programu bezpieczeństwa”.
  • Zoom twierdzi, że rozwiązał już te problemy, a niedawno ogłosił, że wprowadzi szyfrowanie typu end-to-end.
Image
Image

Popularna platforma konferencyjna Zoom wzmacnia swoje praktyki bezpieczeństwa w ramach ugody z amerykańską Federalną Komisją Handlu (FTC), po zarzutach agencji, że wprowadzała użytkowników w błąd co do poziomu bezpieczeństwa.

Zoom stał się powszechnie znany w ciągu zaledwie kilku miesięcy, a świat zwrócił się ku swojej platformie wideokonferencyjnej z powodu pandemii poważnie ograniczającej spotkania osobiste. Jednak skarga FTC twierdziła, że Zoom „zaangażował się w szereg oszukańczych i nieuczciwych praktyk, które podważają bezpieczeństwo jego użytkowników”.

Należy to po analizie przeprowadzonej na początku tego roku przez ekspertów ds. bezpieczeństwa, którzy stwierdzili, że platforma nie korzysta z szyfrowania typu end-to-end pomimo twierdzeń marketingowych. Zoom zauważył również inne problemy z bezpieczeństwem podczas wzrostu popularności, takie jak niepożądani uczestnicy przerywający spotkania w praktyce zwanej „zoombombingiem”. W ramach ugody FTC Zoom zobowiązał się do wdrożenia „kompleksowego programu bezpieczeństwa”.

„W czasie pandemii praktycznie wszyscy – rodziny, szkoły, grupy społeczne, firmy – używają wideokonferencji do komunikacji, co sprawia, że bezpieczeństwo tych platform jest bardziej krytyczne niż kiedykolwiek”, Andrew Smith, dyrektor Biura ds. Konsumentów FTC Ochrona mówi w komunikacie prasowym agencji.

"Praktyki bezpieczeństwa Zoom nie były zgodne z jej obietnicami, a to działanie pomoże zapewnić ochronę spotkań i danych użytkowników Zoom."

Kontrola rządu

Skarga FTC twierdzi, że firma Zoom wprowadziła swoich użytkowników w błąd w kilku kwestiach związanych z bezpieczeństwem, z których najważniejszy dotyczy twierdzeń dotyczących szyfrowania typu end-to-end.

Image
Image

Powiedział, że Zoom twierdzi, że oferuje kompleksowe, 256-bitowe szyfrowanie dla połączeń Zoom od 2016 roku, ale tak naprawdę zapewnia niższy poziom bezpieczeństwa. Gdy szyfrowanie typu end-to-end jest włączone, tylko uczestnicy rozmowy lub czatu mają dostęp do wymienianych informacji, a nie Zoom, rząd ani żadna inna strona.

Ponadto, w skardze twierdzi się, że Zoom przechowywał na swoich serwerach nagrane, niezaszyfrowane spotkania przez okres do 60 dni, kiedy poinformował niektórych użytkowników, że zostaną natychmiast zaszyfrowane.

Kolejny problem dotyczy oprogramowania Mac o nazwie ZoomOpener, które pozostawało na komputerach użytkowników nawet po usunięciu Zoom i mogło narazić ich na ataki hakerów. „To oprogramowanie omijało ustawienia zabezpieczeń przeglądarki Safari i narażało użytkowników na ryzyko – na przykład mogło pozwolić nieznajomym na szpiegowanie użytkowników za pomocą kamer internetowych ich komputera”, wyjaśnia w poście na blogu specjalista ds. edukacji konsumenckiej FTC, Alvaro Puig.

Odpowiedź Zoom

Podczas gdy Zoom dopiero niedawno rozwiązał skargę FTC, firma poinformowała Lifewire w e-mailu, że „już rozwiązała” problemy.

„Bezpieczeństwo naszych użytkowników jest dla Zoom najwyższym priorytetem”, powiedział Lifewire rzecznik firmy w e-mailu. Zoom podjął kilka kroków, aby odpowiedzieć na zarzuty FTC, w tym uruchomił w kwietniu 90-dniowy plan, który zapewnił ponad 100 funkcji związanych z prywatnością i bezpieczeństwem.

Image
Image

Zoom wprowadził szyfrowanie typu end-to-end pod koniec października, co było możliwe dzięki przejęciu w maju firmy o nazwie Keybase. Szyfrowanie od końca do końca jest nadal w tym, co Zoom nazywa trybem „podglądu technicznego”, a firma twierdzi, że serwery Zoom nie mają dostępu do kluczy szyfrowania. Na razie niektóre funkcje są ograniczone w trybie pełnego szyfrowania, w tym możliwość dołączenia do spotkania przed gospodarzem i pokojami podgrup.

Jak korzystać z pełnego szyfrowania Zoom

Uniwersytet Alabamy w Birmingham, profesor informatyki Nitesh Saxena, mówi, że wysiłki Zoomu na rzecz wdrożenia prawdziwego kompleksowego systemu szyfrowania są „krokiem we właściwym kierunku”, ale zauważa, że wciąż jest wiele do zrobienia.

„Istnieją istotne problemy, które należy rozwiązać, zanim będzie to rzeczywiście zapewnić poziom bezpieczeństwa, jakiego użytkownicy mogą wymagać od rozmów Zoom”, mówi.

Saxena, która dogłębnie przestudiowała bezpieczeństwo Zoom, twierdzi, że bezpieczeństwo metody szyfrowania end-to-end ostatecznie opiera się na procesie używanym do weryfikacji kluczy kryptograficznych uczestników spotkania (kluczowy krok w celu powstrzymania podsłuchujących przed połączeniem).

W tym przypadku użytkownicy sprawdzają to sami przed rozpoczęciem spotkania. W pierwszej fazie swojego kompleksowego protokołu szyfrowania Zoom gospodarz spotkania odczytuje 39-cyfrowy kod, który inni muszą sprawdzić na ekranie.

Praktyki bezpieczeństwa Zoom nie były zgodne z jej obietnicami, a to działanie pomoże zapewnić ochronę spotkań Zoom i danych użytkowników Zoom.

Według badań przeprowadzonych przez Saxena i jego zespół, takie podejście może być podatne na błędy ludzkie, jeśli ktoś nie zwraca uwagi i przypadkowo zaakceptuje kod, który nie pasuje lub całkowicie pominie proces.

Ponadto gospodarze spotkania i uczestnicy muszą upewnić się, że włączyli pełne szyfrowanie przed rozpoczęciem spotkania, ponieważ nie jest ono domyślnie włączone. Badania Saxeny wykazały również, że typy kodów numerycznych, których używa Zoom, mogą być również podatne na określony rodzaj ataków.

Tak więc użytkownicy Zoom mogą odczuć pewną ulgę, że platforma rozwiązała już główne problemy bezpieczeństwa podniesione przez skargę FTC, a teraz oferuje pierwszą fazę szyfrowania end-to-end. Jednak uczestnicy konferencji powinni mieć świadomość, że prawidłowe korzystanie z nowego trybu szyfrowania end-to-end wymaga zwrócenia szczególnej uwagi, gdy nadchodzi czas na proces walidacji kodu na początku połączenia.

Zalecana: