Негизги алып салуулар
- АКШнын Федералдык Соода комиссиясы 9-ноябрда Zoom колдонуучуларды коопсуздукка байланыштуу адаштырды деген дооматтан кийин бүтүмгө келгенин жарыялады.
- Эсептөө Zoom "комплекстүү коопсуздук программасын" ишке киргизүүнү талап кылат.
- Zoom көйгөйлөрдү чечкенин жана жакында шифрлөөнүн аягына чыгара турганын билдирди.
Коопсуздук деңгээли тууралуу агенттиктин колдонуучуларды адаштырды деген айыптоосунан кийин Zoom конференц-конференция платформасы АКШнын Федералдык Соода Комиссиясы (FTC) менен макулдашуунун бир бөлүгү катары коопсуздук тажрыйбасын күчөтүүдө.
Zoom бир нече айдын ичинде үй аты болуп калды, дүйнө жүзү жеке жолугушууларды катуу чектеген пандемиядан улам видеоконференция платформасына кайрылды. Бирок, FTC арызында Zoom "колдонуучуларынын коопсуздугуна шек келтирген бир катар алдамчылык жана адилетсиз аракеттерди жасаган" деп айыпталган.
Бул ушул жылдын башында коопсуздук боюнча эксперттердин текшерүүсүнөн кийин, алар платформа маркетинг дооматтарына карабастан аягына чейин шифрлөөнү колдонбой жатканын аныкташкан. Zoom популярдуулугун жогорулатуу учурунда башка коопсуздук маселелерин да көрдү, мисалы, каалабаган катышуучулар жолугушууларды кыйратып, "зоомбомбалоо" деп аталган практикада. FTC келишиминин бир бөлүгү катары Zoom "комплекстүү коопсуздук программасын" ишке ашырууга милдеттенди.
"Пандемия учурунда дээрлик бардыгы - үй-бүлөлөр, мектептер, социалдык топтор, ишканалар - баарлашуу үчүн видеоконференцияларды колдонуп, бул платформалардын коопсуздугун мурдагыдан да маанилүү кылып жатышат ", - Эндрю Смит, FTC Керектөөчүлөр бюросунун директору Бул тууралуу агенттиктин маалыматында айтылат.
"Zoom'тун коопсуздук тажрыйбалары анын убадаларына дал келген жок жана бул иш Zoom жолугушуулары жана Zoom колдонуучулары тууралуу маалыматтар корголгонуна ынанууга жардам берет."
Өкмөттүн текшерүүсү
FTC даттануусу Zoom өз колдонуучуларын коопсуздукка байланыштуу бир нече маселелер боюнча адаштырды деп ырастайт, алардын эң негизгиси акырына чейин шифрлөө боюнча коюлган дооматтарга тиешелүү.
Бул Zoom 2016-жылдан бери Zoom чалуулары үчүн 256-бит шифрлөөнү сунуштайт деп ырастап келет, бирок чындап эле коопсуздуктун төмөнкү деңгээлин камсыз кылды. Үчтөн аягына чейин шифрлөө иштетилгенде, Zoom, өкмөт же башка тарап эмес, чалуунун же чаттын катышуучулары гана алмашылган маалыматка кире алышат.
Мындан тышкары, даттанууда Zoom өзүнүн серверлеринде жазылган, шифрленбеген жолугушууларды 60 күнгө чейин сактаган, бирок ал айрым колдонуучуларына алар дароо шифрлене турганын айткан.
Дагы бир маселе ZoomOpener деп аталган Mac программасына тиешелүү, ал Zoom өчүрүлгөндө да колдонуучулардын компьютерлеринде калып, аларды хакерлерге алсыз кылып коюшу мүмкүн. "Бул программа Safari браузеринин коопсуздук жөндөөлөрүн кыйгап өтүп, колдонуучуларды тобокелге салып койду, мисалы, бейтааныш адамдарга компьютеринин веб-камералары аркылуу колдонуучуларды тыңшоосуна жол бериши мүмкүн", - деп түшүндүрөт FTC Керектөөчү билим берүү боюнча адиси Альваро Пуиг блогунда.
Зомдун жообу
Zoom FTC арызын жакында эле чечкени менен, компания Lifewire'ге электрондук кат аркылуу көйгөйлөрдү "эч эле чечкенин" айтты.
"Колдонуучуларыбыздын коопсуздугу Zoom үчүн башкы приоритет", - деди компаниянын өкүлү Lifewire электрондук катында. Zoom FTC айыптоолоруна жооп берүү үчүн бир нече кадамдарды жасады, анын ичинде апрель айында купуялуулукка жана коопсуздукка байланыштуу 100дөн ашык функцияларды берген 90 күндүк план ишке кирди.
Zoom май айынын аягында Keybase деп аталган компанияны сатып алуу менен мүмкүн болгон үчтөн аягына чейин шифрлөөнү киргизди. Аягына чейин шифрлөө дагы эле Zoom "техникалык алдын ала көрүү" деп атаган режимде жана компания Zoom серверлеринин шифрлөө ачкычтарына кирүү мүмкүнчүлүгү жок экенин айтат. Азырынча кээ бир функциялар учу-аягына шифрлөө режиминде чектелген, анын ичинде жолугушууга уюштуруучудан жана тыныгуу бөлмөлөрүнөн мурун кошулуу мүмкүнчүлүгү.
Зомдун аягына чейин шифрлөө ыкмасын кантип колдонуу керек
Бирмингемдеги Алабама университетинин информатика боюнча профессору Нитеш Саксена Zoom компаниясынын чыныгы шифрлөө системасын ишке ашыруу аракеттери "туура багыттагы кадам" экенин, бирок дагы деле жасай турган иштер бар экенин белгилейт.
"Бул чындап эле колдонуучулар Zoom чалууларынан талап кыла турган коопсуздук деңгээлин камсыз кылуудан мурун чечилиши керек болгон олуттуу маселелер бар" дейт ал.
Zoom'дун коопсуздугун көп изилдеген Saxena анын аягына чейин шифрлөө ыкмасынын коопсуздугу акыры жолугушуунун катышуучуларынын криптографиялык ачкычтарын текшерүү үчүн колдонулган процесске таянарын айтат (тыңшоочуларды чалуудан алыс кармоонун негизги кадамы)).
Мындай учурда колдонуучулар жолугушууну баштоодон мурун муну өздөрү текшеришет. Zoom'тун аягына чейин шифрлөө протоколунун биринчи этабында жолугушуунун ээси 39 сандан турган кодду окуйт, аны башкалар экранынан текшериши керек.
Zoom'дун коопсуздук тажрыйбалары анын убадаларына дал келген жок жана бул иш Zoom жолугушуулары жана Zoom колдонуучулары тууралуу маалыматтар корголгонуна ынанууга жардам берет.
Саксена жана анын командасынын изилдөөсүнө ылайык, эгер кимдир бирөө көңүл бурбай, кокусунан дал келбеген кодду кабыл алса же процессти толугу менен өткөрүп жиберсе, бул ыкма адамдык ката кетириши мүмкүн.
Ошондой эле жолугушуунун уюштуруучулары жана катышуучулары жолугушууну баштаардан мурун аягына чейин шифрлөөнү иштетиши керек, анткени ал демейки боюнча күйгүзүлбөйт. Saxena изилдөөсү Zoom колдонуп жаткан сандык коддордун түрлөрү да чабуулдун белгилүү бир түрүнө жакын болушу мүмкүн экенин аныктады.
Ошентип, Zoom колдонуучулары платформа FTC даттануусу менен көтөрүлгөн негизги коопсуздук маселелерин чечип, эми аягына чейин шифрлөөнүн биринчи фазасын сунуштап жатканын бир аз жеңилдей алышат. Бирок конференциянын катышуучулары жаңы шифрлөө режимин туура колдонуу чалуунун башында кодду текшерүү процессине убакыт келгенде кошумча көңүл бурууну талап кылаарын билиши керек.
