Co pro vás znamená úsilí společnosti Zoom o zabezpečení

Klíčové jídlo

• Federální obchodní komise USA 9. listopadu oznámila, že se společností Zoom dosáhla dohody poté, co obvinila uživatele z omylu ohledně bezpečnosti.
• Osada vyžaduje, aby společnost Zoom zavedla „komplexní bezpečnostní program“.
• Zoom říká, že problémy již řešil, a nedávno oznámil, že zavede šifrování typu end-to-end.

Populární konferenční platforma Zoom posiluje své bezpečnostní postupy jako součást dohody s Federální obchodní komisí USA (FTC), a to na základě obvinění agentury, že zaváděla uživatele o své úrovni zabezpečení. Zoom se za pár měsíců stal pojmem domácnosti a svět se kvůli své pandemii, která výrazně omezuje osobní schůzky, obrátil na platformu videokonferencí. Stížnost FTC však tvrdila, že Zoom „se zapojil do řady podvodných a nekalých praktik, které podkopávaly bezpečnost jeho uživatelů“. Toto následovalo po kontrole bezpečnostních expertů na začátku tohoto roku, kteří zjistili, že platforma navzdory marketingovým tvrzením nepoužívá šifrování typu end-to-end. Zoom během své popularity zaznamenal i další bezpečnostní problémy, například nevítané účastníky, kteří shazovali schůzky v praxi zvané „zoombombing“. V rámci vypořádání FTC se společnost Zoom zavázala k implementaci „komplexního bezpečnostního programu“. „Během pandemie používá prakticky každý – rodiny, školy, sociální skupiny, podniky – videokonference ke komunikaci, díky čemuž je bezpečnost těchto platforem kritičtější než kdy jindy,“ říká Andrew Smith, ředitel úřadu pro ochranu spotřebitele FTC. tisková zpráva. „Bezpečnostní postupy Zoom se neshodovaly s jeho sliby a tato akce pomůže zajistit, aby byly schůzky Zoom a data o uživatelích Zoom chráněna.“

Vládní kontrola

Stížnost FTC tvrdí, že Zoom uvedl své uživatele v omyl ohledně několika bezpečnostních problémů, z nichž nejdůležitější se týká tvrzení o šifrování typu end-to-end.

Uvedl, že Zoom od roku 2016 tvrdí, že nabízí end-to-end 256bitové šifrování pro volání Zoom, ale ve skutečnosti poskytoval nižší úroveň zabezpečení. Je-li povoleno šifrování typu end-to-end, mají přístup k vyměňovaným informacím pouze účastníci hovoru nebo chatu – nikoli Zoom, vláda nebo jakákoli jiná strana. Kromě toho stížnost tvrdí, že Zoom ukládal zaznamenané nešifrované schůzky na svých serverech po dobu až 60 dnů, kdy některým svým uživatelům řekl, že budou okamžitě zašifrovány. Další problém se týká softwaru Mac s názvem ZoomOpener, který zůstal v počítačích uživatelů i při mazání Zoom a mohl by je učinit zranitelnými vůči hackerům. „Tento software obešel nastavení zabezpečení prohlížeče Safari a vystavil uživatele riziku – mohl například umožnit cizím osobám špehovat uživatele prostřednictvím webových kamer svého počítače,“ vysvětluje v příspěvku na blogu specialista na vzdělávání spotřebitelů FTC Alvaro Puig.

Zoom’s Response

Zatímco Zoom teprve nedávno vyřešil stížnost FTC, uvedla společnost Záchranný drát v e-mailu, že problémy již „řešil“. „Zabezpečení našich uživatelů je pro společnost Zoom hlavní prioritou,“ řekl mluvčí společnosti Záchranný drát v e-mailu. Zoom podnikl několik kroků v reakci na obvinění FTC, včetně zahájení 90denního plánu v dubnu, který přinesl více než 100 funkcí souvisejících s ochranou soukromí a zabezpečením.

Společnost Zoom představila koncem října šifrování typu end-to-end, což umožnila květnová akvizice společnosti Keybase. End-to-end šifrování je stále v režimu, který Zoom nazývá režim „technický náhled“, a společnost tvrdí, že servery Zoom nemají přístup k šifrovacím klíčům. Prozatím jsou některé funkce omezeny v režimu šifrování typu end-to-end, včetně možnosti připojit se ke schůzce před hostitelem a průlomovými místnostmi.

Jak používat šifrování End-to-End Zoom

Profesor Nitesh Saxena z Birminghamské univerzity v Birminghamu, profesor počítačové vědy, říká, že snaha společnosti Zoom zavést skutečný šifrovací systém typu end-to-end je „krok správným směrem“, ale konstatuje, že je stále ještě co dělat. „Existují významné problémy, které je třeba řešit, než to skutečně může poskytnout úroveň zabezpečení, kterou mohou uživatelé požadovat od volání Zoom,“ říká. Saxena, která důkladně studovala zabezpečení společnosti Zoom, říká, že bezpečnost její metody šifrování typu end-to-end se nakonec spoléhá na proces používaný k ověření kryptografických klíčů účastníků schůzky (klíčový krok pro zabránění odposlechu mimo hovor). V takovém případě si to uživatelé před zahájením schůzky sami zkontrolují. V první fázi Zoom koncového šifrovacího protokolu Zoom hostitel hostitele načte 39místný kód, který ostatní musí zkontrolovat na své obrazovce. „Bezpečnostní postupy Zoom se neshodovaly s jeho sliby a tato akce pomůže zajistit, aby byly schůzky Zoom a data o uživatelích Zoom chráněna.“ Podle výzkumu Saxeny a jeho týmu by tento přístup mohl být náchylný k lidské chybě, pokud někdo nevěnuje pozornost a náhodně přijme kód, který neodpovídá nebo zcela přeskočí proces. Hostitelé schůzky a účastníci se také musí ujistit, že před zahájením schůzky povolí šifrování typu end-to-end, protože není ve výchozím nastavení zapnuto. Výzkum Saxeny také zjistil, že typy numerických kódů, které Zoom používá, mohou být také náchylné k určitému typu útoku. Uživatelé Zoom tedy mohou pocítit určitou úlevu, že se platforma již zabývala hlavními bezpečnostními problémy vyvolanými stížností FTC, a nyní nabízí první fázi šifrování typu end-to-end. Účastníci konference by si však měli být vědomi toho, že správné používání nového režimu šifrování typu end-to-end vyžaduje zvláštní pozornost, když je čas na proces ověření kódu na začátku hovoru.