Zoom îmbunătățește securitatea utilizatorului cu criptare end-to-end | Securitate cibernetică


De John P. Mello Jr.

28 octombrie 2020 4:22 AM PT

Zoom a oferit utilizatorilor un mare upgrade de securitate luni, când a lansat criptarea end-to-end pentru rețeaua sa de întâlniri online.

E2EE pune controlul cheilor pentru codarea datelor în mâinile organizatorilor întâlnirilor. Înainte de lansarea E2EE, criptarea se făcea pe serverele Zoom, unde cineva cu acces la aceste servere putea intercepta datele.

Pentru a utiliza noua funcție, clienții trebuie să activeze întâlnirile E2EE la nivel de cont și să opteze pentru E2EE pe bază de întâlnire.

"Distribuirea cheilor către clienți și descentralizarea încrederii oferă utilizatorilor o asigurare sporită că comunicările lor sunt mai puțin susceptibile de a fi interceptate prin intermediul cheilor sau infrastructurii compromise", Jack Mannino, CEO al nViziunea, un furnizor de securitate a aplicațiilor din Herndon, Virginia, a declarat pentru TechNewsWorld

Fără criptare end-to-end, există posibilitatea ca cineva cu acces la platformă să poată intercepta conversații, a explicat Dan Nadir, director de produs la Lacul Theta, o companie de comunicații unificate din Santa Barbara, California.

„Acesta ar putea fi un angajat fără scrupule sau cineva care poate încălca sistemul”, a spus el pentru TechNewsWorld. „Criptarea completă end-to-end elimină acest potențial punct de vulnerabilitate.”

Servere ignorante

În cadrul întâlnirilor obișnuite, Zoom a explicat într-o declarație, serverele sale de întâlniri cloud generează chei de criptare pentru fiecare întâlnire și le distribuie participanților la întâlniri utilizând clienții Zoom pe măsură ce se alătură.

Cu noul E2EE al Zoom-ului, a continuat, gazda întâlnirii generează chei de criptare și folosește criptografia cu cheie publică pentru a distribui aceste chei celorlalți participanți la întâlnire, care vor vedea, de asemenea, codul de securitate al liderului întâlnirii pe care îl pot folosi pentru a verifica conexiunea securizată. Gazda poate citi acest cod cu voce tare și toți participanții pot verifica dacă clienții lor afișează același cod.

Criptarea zoom end-to-end verifică codul de securitate

Serverele Zoom devin relee ignorante și nu văd niciodată cheile de criptare necesare pentru a decripta conținutul întâlnirii, a elaborat acesta. Datele criptate transmise prin serverele Zoom sunt indescifrabile de la Zoom, deoarece serverele Zoom nu au cheia de decriptare necesară.

"Suntem foarte mândri că aducem noua criptare end-to-end a Zoom utilizatorilor Zoom la nivel global astăzi", a declarat Jason Lee CISO într-un comunicat.

"Aceasta a fost o caracteristică foarte solicitată de la clienții noștri și suntem încântați să facem acest lucru o realitate", a adăugat el.

Dezactivarea bombardării cu zoom

Atunci când este utilizat corect, E2EE poate face dificilă chiar și agențiilor de informații cu cele mai bune resurse din lume să ascultă comunicarea folosind aceasta, a observat Tod Beardsley, director de cercetare la Rapid 7, un furnizor de soluții de securitate a datelor și analizelor din Boston.

„De aceea este un mecanism atât de puternic pentru asigurarea confidențialității pentru tipurile de oameni care trebuie să se îngrijoreze de organizațiile de informații – jurnaliștii care protejează sursele, denunțătorii, activiștii pentru drepturile civile și alții”, a declarat el pentru TechNewsWorld.

"Avantajul pentru utilizatori, în special în perioada COVID, este substanțial", a adăugat Dirk Schrader, vicepreședinte global al Noi tehnologii de rețea, un furnizor de software de securitate și conformitate IT bazat pe Naples, Florida.

"Acest lucru este valabil mai ales pentru utilizatorii gratuiți", a spus el pentru TechNewsWorld. „În întreaga lume, multe școli și organizații de voluntari au folosit Zoom pentru a păstra legătura, pe fondul îngrijorărilor legate de confidențialitate și securitate”.

Una dintre primele probleme cu care s-au confruntat utilizatorii platformei a fost „Zoom Bombing”, unde intruții au invadat întâlnirile și le-au întrerupt. "E2EE poate opri acest lucru", a remarcat Chris Carter, CEO al Apreci, un furnizor de servicii SAP din Muskego, Wis.

"Nimeni nu poate participa la o conferință înainte de gazdă", a declarat el pentru TechNewsWorld. "Oricine intră la o conferință E2EE trebuie să furnizeze informații despre sine, iar gazda trebuie să le aprobe. Nu poate intra ca invitat anonim."

Îngrijorare cu privire la criminalitate

Carter a adăugat că au existat compromisuri pentru utilizarea funcției E2EE a Zoom-ului. „Dacă aveți E2EE activat, nu puteți înregistra întâlniri pe serverele Zoom”, a explicat el. „Nu poți face chaturi private sau săli de discuții.”

Deși E2EE este oferit atât utilizatorilor gratuiți, cât și plătitori ai Zoom-ului, compania a propus inițial să limiteze această caracteristică la utilizatorii plătitori în legătură cu îngrijorarea că tehnologia ar putea fi abuzată de infractori. Acest potențial există încă.

„Pe măsură ce serviciile platformei trec la criptarea de la capăt la capăt, înseamnă că există mai puține oportunități pentru furnizorii de servicii și forțele de ordine de a detecta infractorii și persoanele care folosesc un serviciu în scopuri rău intenționate”, a declarat William Dixon, șeful securității cibernetice pentru Forumul Economic Mondial, o organizație internațională de cooperare public-privată, cu sediul în Geneva, Elveția.

Ceea ce înseamnă asta, a continuat el, este că oamenii trebuie să inoveze și să-și dezvolte gândirea cu privire la detectarea criminalității pe aceste platforme. "Firmele de tehnologie au folosit o varietate de tehnici pentru a detecta activitatea rău intenționată", a declarat el pentru TechNewsWorld. „Investesc mult în analize la nivel de metadate și în analiza utilizatorilor pentru a oferi sfaturi pentru aplicarea legii cu privire la potențiale activități suspecte.”

În timp ce adăugarea E2EE este un avantaj pentru utilizatorii Zoom, compania beneficiază și de această mutare. „Le aduce la un nivel de securitate pe care Microsoft îl are în mod obișnuit”, a menținut Carter.

„Practic Zoom nu a avut de ales”, a spus Schrader. „Adăugarea criptării E2EE la serviciile sale a fost o necesitate după toate tulburările prin care a trecut.”

Nadir a afirmat că criptarea de la un capăt la altul este o miză de masă pentru orice companie care dorește să ofere o soluție serioasă pentru practic orice caz de utilizare.

"Întrucât este vorba de mize de masă pentru platformele de comunicații, lipsa acestuia este cu siguranță un dezavantaj competitiv pentru orice tehnologie de pe piață", a adăugat el.

Conectare unică la Orizont

Noua caracteristică de criptare este disponibilă atât utilizatorilor gratuiți, cât și cu plată, precum și versiunea 5.4.0 de pe computerul Mac și PC, precum și ediția Android a aplicației și a Camerelor Zoom.

Folosește aceeași criptare AES-GCM pe 256 de biți utilizată pentru securizarea întâlnirilor non-E2EE.

Zoom numește această lansare inițială a E2EE o „previzualizare tehnică”. speră să adune informații de la clienți cu privire la experiențele lor cu această funcție și îi încurajează pe clienți să activeze Feedback-ul pentru a mări conturile lor și să-l folosească pentru a comenta noua caracteristică.

Zoom a menționat că aceasta este doar faza de început a E2EE pentru aceasta. Următoarea fază va include o mai bună gestionare a identității și conectare unică.

"Gestionarea identității și asistența pentru conectarea simplă vor face mai ușor pentru clienții din întreprindere utilizarea Zoom ca platformă de colaborare. Va reduce fricțiunea pentru utilizatorii finali", Jeff Pollard, vicepreședinte și analist principal la Forrester Research, a declarat TechNewsWorld

„Această funcționalitate mărește și completează E2EE”, a adăugat Schrader.

„Prin folosirea greșită a unei identități furate, un atacator se poate alătura unei sesiuni criptate care presupune identitatea reală pentru a aduna informații în timp real”, a explicat el. „Aceste metode nu sunt unice pentru Zoom, sunt comune pentru toate tipurile de servicii.”

"Totuși", a continuat el, "Zoom adăugând acest lucru înseamnă că ia securitatea și confidențialitatea cu adevărat în serios și dorește să închidă toate lacunele".



John P. Mello Jr. a fost reporter ECT News Network
din 2003. Domeniile sale de interes includ securitatea cibernetică, problemele IT, confidențialitatea, comerțul electronic, social media, inteligență artificială, big data și electronice de larg consum. A scris și a editat pentru numeroase publicații, inclusiv pentru Boston Business Journal,
Boston Phoenix, Megapixel.Net și Guvern
Știri de securitate
. Trimite un e-mail lui John.

.



Cititi mai mult pe technewsworld.com

Lasă un răspuns