„Zoom“ nepalaiko šifravimo ištisiniu ryšiu internetinių susitikimų metu

Antradienį JK ministras pirmininkas Borisas Johnsonas paskelbė tviterį, kuriame savo sekėjams parodė, kaip jo kabinetas veikia per krizę, kurią sukėlė naujas koronavirusas. Nuotraukoje parodytas internetinis ministro pirmininko Johnsono ir jo kolegų susitikimas, o jos tikslas buvo paprastas - patikinti tautą, kad net šiais baisiais laikais JK politikai ir toliau dirba visų labui. Kai kuriems žmonėms tai tikriausiai padarė savo moralės stiprintojo darbą. Tačiau tarp saugumo bendruomenės ji pakėlė gana daug antakių.

Ekrano kopija rodo, kad pagrindinė JK valdymo institucija bendrauja per vaizdo konferencijų platformą „Zoom“, kuri milijonams žmonių, šiuo metu dirbančių namuose, yra labai populiari. Kaip vaizdo konferencijų sprendimas, „Zoom“ yra gana solidus, tačiau saugumo specialistai manė, kad tokia svarbi organizacija kaip JK vyriausybė greičiausiai naudos ką nors pasirinktinio ir pritaikytą jos poreikiams. Antras dalykas, kurį pastebėjo informacijos saugumo specialistai, buvo tai, kad „Zoom“ susitikimo ID buvo aiškiai matomas iš Boriso Johnsono tviterio, o tai tikrai nėra labai gera idėja, ypač kai minėto susitikimo metu aptarti klausimai yra tokie jautrūs. Tada žmonės ėmė slapstytis per „Zoom“ rinkodaros medžiagą, ir viskas dar blogėjo.

Šiuo metu negalima šifruoti mastelio keitimo susitikimų

Taip pat antradienį „ The Intercept“ paskelbė pranešimą apie vieną iš galimybių, kurias „Zoom“ suteikia vartotojams, o politikai ir žmonės, atsakingi už dideles organizacijas, tikriausiai turėtų atidžiai ją perskaityti.

Kurdamas „Zoom“ susitikimą, vartotojas gali įjungti „trečiųjų šalių galinių taškų šifravimą“. Jei jie tai padarys, dalyviams bus pasakyta, kad susitikimas yra užkoduotas nuo galo iki galo. Savo tinklalapyje paskelbtas baltasis pranešimas apie saugumą „Zoom“ taip pat rodo, kad tokio tipo šifravimas galimas susitikimams, tačiau „The Intercept“ tyrimas atskleidė, kad tai tiesiog netiesa.

Vaizdo mastelio keitimo susitikimai yra šifruojami, tačiau šifravimas nėra baigtinis. Vietoj to, vaizdo įrašas ir garsas perduodami per įprastą TLS arba „Transport Layer Security“ ryšį. Tai tos pačios technologijos, kurias naudoja svetainės ir programos, kai jos teikia turinį per HTTPS. Perklausa kreipėsi į „Zoom“ komentuoti, o atstovas pripažino, kad dėl technologinių apribojimų tikras šifravimas nuo galo iki galo galimas tik pokalbiams, vykstantiems per platformą. Bet ką tai iš tikrųjų reiškia šia paslauga besinaudojantiems žmonėms?

Kaip šifravimo tarp vartotojų trūkumas daro įtaką vartotojams?

Tokios žinučių siuntimo programos kaip „WhatsApp“ ir „Telegram“ nevengs užsiminti apie galinio šifravimo naudojimą ir jo privatumo pranašumus. Pagrindinis užšifruoto ryšio tarp galo pranašumas yra tas, kad nors informacija praeina per paslaugų teikėjo serverius, pats paslaugų teikėjas neturi priemonių jos iššifruoti.

„Zoom“ atveju, TLS dėka, susitikimai yra apsaugoti nuo to, kas gali šnipinėti per garso ir vaizdo signalus, kai jie keliauja tarp vartotojų įrenginių ir „Zoom“ serverių. Kai jie yra serveriuose, „Zoom“ darbuotojai teoriškai gali jį iššifruoti. Ar jie tai padarys?

Teisėsaugos organai gali paprašyti internetinių konferencijų platformos atskleisti duomenis apie konkrečius asmenis, tačiau tikimybė, kad jums tai paveiks, nėra tokia didelė. Tai, kad trūksta visiško šifravimo, yra problema tokiems politikams kaip Borisas Johnsonas, tačiau daugumai žmonių, kurie šiuo metu dirba iš namų, tai neturėtų būti tokia didelė problema. Tačiau problema yra pradinis „Zoom“ bandymas sumenkinti klaidą.

Paklaustas apie tai, kas sukėlė šią painiavą, „Zoom“ atstovas „The Intercept“ sakė, kad „šifruodami visą tinklą“, jie turėjo omenyje, kad duomenys yra šifruojami visais skirtingais „Mastelio galiniai taškai“ ir „Galiniai taškai“. reiškė vartotojų įrenginius. Toks liberaliai apibrėžtų sąvokų aiškinimas iš tikrųjų nėra priimtinas, ypač turint omenyje, kad platformą, apie kurią mes kalbame, naudoja kai kurių pasaulio supervalstybių vyriausybės. Galiausiai „Zoom“ suprato, kad ji pati sau nedaro jokios naudos, ir vakar paskelbė tinklaraščio įrašą, kuriame prisipažino, kad leido savo rinkodaros komandai šiek tiek pasitraukti. Platformos kūrėjai atsiprašė dėl painiavos, ir dabar Borisas Johnsonas ir milijonai kitų „Zoom“ vartotojų turi nuspręsti, ar priimti atsiprašymą. Kol jis lankosi, ponas Johnsonas taip pat gali pagalvoti apie kibernetinio saugumo atsargumo priemones, kurių jo kabinetas imasi organizuodamas internetinius susitikimus.