Το ζουμ δεν υποστηρίζει την κρυπτογράφηση από άκρο σε άκρο κατά τη διάρκεια των ηλεκτρονικών συναντήσεων

Zoom Doesn't Support End-to-End Encryption During Meetings

Την Τρίτη, ο πρωθυπουργός του Ηνωμένου Βασιλείου, Μπόρις Τζόνσον, δημοσίευσε ένα τιτίβισμα με το οποίο έδειξε στους οπαδούς του πώς λειτουργεί το γραφείο του κατά τη διάρκεια της κρίσης που προκλήθηκε από τον νέο κοροναϊό. Η φωτογραφία έδειξε μια ηλεκτρονική συνάντηση μεταξύ του πρωθυπουργού Τζόνσον και των συναδέλφων του και ο στόχος του ήταν απλός - να διαβεβαιώσει το έθνος ότι ακόμη και σε αυτές τις τρομερές εποχές, οι πολιτικοί του Ηνωμένου Βασιλείου συνεχίζουν να εργάζονται για το μεγαλύτερο καλό όλων. Για μερικούς ανθρώπους, κατά πάσα πιθανότητα έκαναν τη δουλειά τους ως ενισχυτικό ηθικής. Μεταξύ της κοινότητας ασφαλείας, ωστόσο, έθεσε αρκετά φρύδια.

Το στιγμιότυπο οθόνης δείχνει ότι το κύριο όργανο διοίκησης του Ηνωμένου Βασιλείου επικοινωνεί μέσω του Zoom, μιας πλατφόρμας τηλεδιάσκεψης που έχει περάσει από τεράστια χρήση χάρη στα εκατομμύρια των ανθρώπων που εργάζονται από το σπίτι. Ως λύση βιντεοδιάσκεψης, το Zoom είναι αρκετά σταθερό, αλλά οι ειδικοί της ασφάλειας σκέφτονταν ότι μια οργάνωση τόσο σημαντική όσο και η κυβέρνηση του Ηνωμένου Βασιλείου θα χρησιμοποιούσε πιθανώς κάτι προσαρμοσμένο και προσαρμοσμένο στις ανάγκες της. Ο δεύτερος ειδικός για την ασφάλεια των πληροφοριών διαπίστωσε ότι το αναγνωριστικό σύσκεψης του Zoom ήταν σαφώς ορατό από το tweet του Boris Johnson, κάτι που δεν είναι πολύ καλή ιδέα, ειδικά όταν τα θέματα που συζητήθηκαν κατά τη διάρκεια της εν λόγω συνάντησης είναι τόσο ευαίσθητα. Στη συνέχεια, οι άνθρωποι άρχισαν να σπρώχνουν μέσα από το υλικό μάρκετινγκ του Zoom, και τα πράγματα επιδεινώθηκαν.

Οι συγκεντρώσεις ζουμ δεν μπορούν να κρυπτογραφηθούν από άκρο σε άκρο σε αυτό το σημείο

Επίσης, την Τρίτη, το Intercept δημοσίευσε μια έκθεση σχετικά με μία από τις επιλογές που δίνει το Zoom στους χρήστες του και οι πολιτικοί και οι υπεύθυνοι των μεγάλων οργανώσεων θα πρέπει πιθανότατα να το διαβάσουν προσεκτικά.

Όταν δημιουργείτε μια συνάντηση ζουμ, ένας χρήστης μπορεί να ενεργοποιήσει την "κρυπτογράφηση για τα τελικά σημεία τρίτου μέρους". Εάν το κάνουν, οι συμμετέχοντες θα ειδοποιηθούν ότι η συνάντηση είναι κρυπτογραφημένη από άκρο σε άκρο. Το Λευκό Βιβλίο Ασφαλείας, το Zoom που δημοσιεύθηκε στον ιστότοπό του, δείχνει ότι αυτό το είδος κρυπτογράφησης είναι δυνατό για συναντήσεις, αλλά η έρευνα της Intercept αποκάλυψε ότι αυτό απλά δεν είναι αλήθεια.

Οι συγκεντρώσεις βίντεο με ζουμ είναι κρυπτογραφημένες, αλλά η κρυπτογράφηση δεν είναι από άκρο σε άκρο. Αντίθετα, το βίντεο και ο ήχος περνούν μέσω μιας κανονικής σύνδεσης TLS ή μεταφοράς Layer Security. Είναι οι ίδιοι οι ιστοτόποι και οι εφαρμογές τεχνολογίας που χρησιμοποιούν όταν προβάλλουν περιεχόμενο μέσω του HTTPS. Το Intercept έφτασε στο Zoom για σχόλια και ένας εκπρόσωπος αναγνώρισε ότι λόγω τεχνολογικών περιορισμών η πραγματική κρυπτογράφηση από άκρο σε άκρο είναι διαθέσιμη μόνο για συνομιλίες που περνούν από την πλατφόρμα. Αλλά τι σημαίνει αυτό πραγματικά για τους ανθρώπους που χρησιμοποιούν την υπηρεσία;

Πώς η έλλειψη κρυπτογράφησης από άκρο σε άκρο επηρεάζει τους χρήστες;

Οι εφαρμογές μηνυμάτων, όπως το WhatsApp και το Telegram, δεν θα αποφύγουν να κάνουν χρήση της κρυπτογράφησης από άκρο σε άκρο και τα οφέλη της για ιδιωτικό απόρρητο. Το κύριο πλεονέκτημα της κρυπτογραφημένης επικοινωνίας από άκρο σε άκρο είναι ότι παρόλο που οι πληροφορίες περνούν από τους διακομιστές του παροχέα υπηρεσιών, ο ίδιος ο πάροχος υπηρεσιών δεν διαθέτει τα μέσα για την αποκρυπτογράφηση του.

Στην περίπτωση του ζουμ, χάρη στο TLS, οι συναντήσεις προστατεύονται από οποιονδήποτε σκοτώνει μέσω της μετάδοσης ήχου και εικόνας ενώ ταξιδεύει μεταξύ συσκευών χρηστών και διακομιστών του Zoom. Όταν είναι στους διακομιστές, ωστόσο, οι υπάλληλοι του Zoom μπορούν να το αποκρυπτογραφήσουν θεωρητικά. Θα το κάνουν;

Οι υπηρεσίες επιβολής του νόμου ενδέχεται να ζητήσουν από την πλατφόρμα ηλεκτρονικών διασκέψεων να αποκαλύψει δεδομένα σχετικά με συγκεκριμένα άτομα, αλλά η πιθανότητα να επηρεαστεί από αυτό δεν είναι τόσο μεγάλη. Η έλλειψη κρυπτογράφησης από άκρο σε άκρο είναι σίγουρα ένα πρόβλημα για πολιτικούς όπως ο Μπόρις Τζόνσον, αλλά για τους περισσότερους ανθρώπους που εργάζονται από το σπίτι, δεν πρέπει να είναι τόσο μεγάλο για μια συμφωνία. Το πρόβλημα όμως είναι η αρχική προσπάθεια του Zoom να μειώσει το λάθος.

Αφού ρωτήθηκαν για το τι προκάλεσε αυτή τη σύγχυση, ένας εκπρόσωπος του Zoom δήλωσε στο The Intercept ότι με την "κρυπτογράφηση από άκρο σε άκρο", σήμαινε ότι τα δεδομένα κρυπτογραφούνται σε όλα τα διαφορετικά "τελικά σημεία ζουμ" και στα "τελικά σημεία" σήμαινε τις συσκευές των χρηστών. Αυτή η φιλελεύθερη ερμηνεία σαφώς καθορισμένων εννοιών δεν είναι πραγματικά αποδεκτή, ειδικά όταν έχετε κατά νου ότι η πλατφόρμα για την οποία μιλάμε χρησιμοποιείται από τις κυβερνήσεις κάποιων από τις υπερδυνάμεις του κόσμου. Τελικά, το Zoom συνειδητοποίησε ότι δεν κάνει κάποιες ευνοϊκές και χθες δημοσίευσε μια θέση blog με την οποία παραδέχτηκε ότι άφησε την ομάδα μάρκετινγκ να πάρει λίγο παρασύρεται. Οι προγραμματιστές της πλατφόρμας ζήτησαν συγγνώμη για τη σύγχυση και τώρα έχει ο Boris Johnson και εκατομμύρια άλλοι χρήστες Zoom να αποφασίσουν εάν θα αποδεχθούν τη συγγνώμη. Ενώ είναι σε αυτό, ο κ. Johnson μπορεί επίσης να σκεφτεί τις προφυλάξεις στον κυβερνοχώρο που λαμβάνει το υπουργικό συμβούλιο κατά τη διάρκεια της οργάνωσης των ηλεκτρονικών συναντήσεων του.

April 2, 2020

Αφήστε μια απάντηση