Skip to content

Mitä Zoomin turvallisuusponnistelut merkitsevät sinulle

15 de heinäkuu de 2021

Tärkeimmät takeaways

  • Yhdysvaltain liittovaltion kauppakomissio ilmoitti 9. marraskuuta pääsevänsä sovintoon Zoomin kanssa väittäessään harhaanjohtavansa käyttäjiä turvallisuuden suhteen.
  • Ratkaisu vaatii Zoomin asettamaan ”kattavan turvallisuusohjelman”.
  • Zoom sanoo, että se on jo käsitellyt asioita ja ilmoitti äskettäin ottavansa käyttöön end-to-end-salauksen.
Suosittu Zoom-neuvottelufoorumi kehittää tietoturvakäytäntöjään osana Yhdysvaltain liittovaltion kauppakomission (FTC) kanssa sovittua sopimusta, joka seuraa viraston väitteitä siitä, että se on johtanut käyttäjiä harhaan suojaustasostaan. Zoomista on tullut yleinen nimi muutamassa kuukaudessa, ja maailma on kääntynyt videoneuvottelualustaan ​​pandemian vuoksi, joka rajoittaa vakavasti henkilökohtaisia ​​kokouksia. FTC: n valituksessa väitettiin kuitenkin, että Zoom ”käytti useita petollisia ja epäoikeudenmukaisia ​​käytäntöjä, jotka heikensivät käyttäjien turvallisuutta”. Tämä seurasi aiemmin tänä vuonna turvallisuusasiantuntijoiden tutkimuksia, jotka havaitsivat, että foorumi ei käyttänyt end-to-end-salausta markkinointivaatimuksista huolimatta. Zoom on nähnyt suosionsa noustessa myös muita turvallisuuskysymyksiä, kuten epätoivotut osallistujat kaativat kokouksia ”zoombombing” -nimellä. Osana FTC-ratkaisua Zoom on sitoutunut toteuttamaan ”kattavan turvallisuusohjelman”. ”Pandemian aikana käytännössä kaikki – perheet, koulut, sosiaaliryhmät, yritykset – käyttävät videoneuvotteluja kommunikoimaan, mikä tekee näiden alustojen turvallisuudesta kriittisemmän kuin koskaan”, FTC: n kuluttajansuojaviraston johtaja Andrew Smith kertoo viraston Lehdistötiedote. ”Zoomin tietoturvakäytännöt eivät vastanneet lupauksiaan, ja tämä toiminta auttaa varmistamaan, että Zoom-kokoukset ja Zoom-käyttäjiä koskevat tiedot ovat suojattuja.”

Hallituksen tarkastus

FTC: n valitus väittää, että Zoom johti käyttäjiä harhaan useisiin tietoturvaan liittyviin kysymyksiin, joista tärkein liittyy end-to-end-salausta koskeviin vaatimuksiin.

Henkilö neuvottelupuhelussa kannettavalla tietokoneella.

Siinä sanottiin, että Zoom on väittänyt tarjoavansa 256-bittistä end-to-end-salausta Zoom-puheluille vuodesta 2016 lähtien, mutta tosiasiallisesti tarjosi alemman suojaustason. Kun end-to-end-salaus on käytössä, vain puhelun tai keskustelun osallistujilla on pääsy vaihdettuihin tietoihin – ei Zoomiin, hallitukseen tai muuhun osapuoleen. Lisäksi valituksessa väitetään, että Zoom on tallentanut tallennettuja, salaamattomia kokouksia palvelimilleen enintään 60 päivän ajan, kun se on kertonut joillekin käyttäjilleen, että ne salataan välittömästi. Toinen asia liittyy ZoomOpener-nimiseen Mac-ohjelmistoon, joka pysyi käyttäjien tietokoneissa jopa Zoomia poistettaessa ja olisi voinut tehdä heistä haavoittuvia hakkereille. ”Tämä ohjelmisto ohitti Safari-selaimen suojausasetuksen ja vaarantaa käyttäjät – esimerkiksi se olisi voinut sallia muukalaisten vakoilevan käyttäjiä tietokoneen verkkokameroiden avulla”, selittää FTC: n kuluttajakasvatusasiantuntija Alvaro Puig blogikirjoituksessa.

Zoomin vastaus

Vaikka Zoom ratkaisi FTC-valituksen vasta äskettäin, yritys kertoi Lifewire sähköpostissa, että se on ”jo käsitellyt” ​​asioita. ”Käyttäjiemme turvallisuus on Zoomin ensisijainen tavoite”, yrityksen edustaja kertoi Lifewire sähköpostissa. Zoom on toteuttanut useita vaiheita vastaamaan FTC: n väitteisiin, mukaan lukien huhtikuussa käynnistetty 90 päivän suunnitelma, joka tuotti yli 100 yksityisyyteen ja turvallisuuteen liittyvää ominaisuutta.

Endpoint Security Turvallinen järjestelmän suojaus 3d-kuva

Zoom otti käyttöön end-to-end-salauksen lokakuun lopulla, mikä mahdollistettiin toukokuussa ostamalla Keybase-niminen yritys. Päästä päähän -salaus on edelleen siinä, mitä Zoom kutsuu ”tekniseksi esikatselutilaksi”, ja yrityksen mukaan Zoomin palvelimilla ei ole pääsyä salausavaimiin. Toistaiseksi joitain ominaisuuksia on rajoitettu päästä päähän -salausmuodossa, mukaan lukien mahdollisuus liittyä kokoukseen ennen isäntä- ja breakout-huoneita.

Kuinka käyttää Zoomin end-to-end-salausta

Alabaman yliopisto Birminghamin tietojenkäsittelytieteen professori Nitesh Saxena sanoo, että Zoomin pyrkimykset toteuttaa todellinen päästä päähän -salausjärjestelmä on ”askel oikeaan suuntaan”, mutta huomauttaa, että tehtävää on vielä. ”On merkittäviä asioita, jotka on ratkaistava, ennen kuin tämä voi todella tarjota turvallisuuden tason, jota käyttäjät voivat vaatia Zoom-puheluista”, hän sanoo. Saxena, joka on tutkinut Zoomin tietoturvaa perusteellisesti, sanoo, että sen end-to-end-salausmenetelmän turvallisuus perustuu viime kädessä prosessiin, jota käytetään kokouksen osallistujien salausavainten vahvistamiseen (avainasemassa salakuuntelijoiden pitämiseksi poissa puhelusta). Tässä tapauksessa käyttäjät tarkistavat tämän itse ennen kokouksen aloittamista. Zoomin end-to-end-salausprotokollan ensimmäisessä vaiheessa kokousisäntä lukee 39-numeroisen koodin, jonka muiden on tarkistettava näytöltä. ”Zoomin tietoturvakäytännöt eivät vastanneet lupauksiaan, ja tämä toiminta auttaa varmistamaan, että Zoom-kokoukset ja Zoom-käyttäjiä koskevat tiedot ovat suojattuja.” Saxenan ja hänen tiiminsä tutkimuksen mukaan tämä lähestymistapa voi olla altis ihmisvirheille, jos joku ei kiinnitä huomiota ja vahingossa hyväksyy koodin, joka ei vastaa prosessia tai ohittaa sen kokonaan. Kokouksen isäntien ja osallistujien on myös varmistettava, että he mahdollistavat päästä päähän -salauksen ennen kokouksen aloittamista, koska se ei ole oletusarvoisesti käytössä. Saxenan tutkimuksessa havaittiin myös, että Zoomin käyttämät numerokoodityypit voivat myös olla alttiita tietyntyyppiselle hyökkäykselle. Joten Zoom-käyttäjät voivat tuntea helpotusta siitä, että alusta on jo käsitellyt FTC: n valituksen aiheuttamia tärkeimpiä turvallisuuskysymyksiä ja tarjoaa nyt ensimmäisen vaiheen end-to-end-salaukseen. Konferenssin osanottajien tulisi kuitenkin olla tietoisia siitä, että uuden päästä päähän -salausmenetelmän oikea käyttö edellyttää erityistä huomiota, kun on aika suorittaa koodin vahvistusprosessi puhelun alussa.