Zoom: 5 zmian w kierunku większego bezpieczeństwa

Producent platformy Zoom zwiększył jej bezpieczeństwo. Co się zmieniło?

Niedawno opisywaliśmy, jak skonfigurować Zoom, aby można było używać go w sposób bezpieczny. Jednak technologie potrafią szybko się rozwijać, a szczególnie dotyczy to tych, które są w centrum uwagi. Jednym z takich przypadków jest Zoom, którego programiści, zgodnie ze swoimi obietnicami, przyjrzeli się kwestii ochrony danych. W efekcie wersja 5.0 znacząco różni się od wersji sprzed ery koronawirusa.

Zmiana ukierunkowana na bezpieczeństwo szybo zaowocowała. Wcześniej duże firmy i instytucje odrzucały platformę Zoom z pogardą, ale sytuacja się zmieniła, gdy zyskała ona aprobatę prokuratora generalnego w Nowym Jorku i powróciła do nowojorskich szkół. Wersja 5 niesie też ze sobą kilka przydatnych funkcji.

Wygodnie rozmieszczone ustawienia ochrony

Począwszy od wersji 5 wszystkie ustawienia w Zoomie służące do zarządzania uczestnikami konferencji są dostępne w jednym miejscu. Tu bezpieczeństwo nie detronizuje wygody.

Teraz możliwe jest ograniczenie uprawnień użytkowników, zablokowanie dostępu do spotkań, aby nie dołączali do nich nieproszeni goście, dodawanie znaków wodnych do zrzutów ekranu i nagrań dźwiękowych na wypadek, gdyby ktoś chciał je opublikować itp. Aby otworzyć ustawienia ochrony, należy kliknąć ikonę tarczy w menu konferencji.

Ochrona przed trollami

Wiele nowych ustawień pozwala uniknąć inwazji anonimowych trolli. Po pierwsze, wymóg podania hasła i funkcja poczekalni, która wymaga uzyskania zgody gospodarza na dołączenie do konferencji, są teraz włączone domyślnie. Po drugie, można zablokować uczestnikom zmianę swoich nazw.

Właściciele płatnych kont mogą również żądać od członków dostarczania informacji na swój temat: podania swojego imienia czy adresu e-mail. A w przypadku konta biznesowego można zablokować dołączanie nieautoryzowanych użytkowników lub tych, których adres e-mail znajduje się w określonej domenie (na przykład publicznej zamiast firmowej).

Przesyłanie danych

Zmieniło się również podejście platformy Zoom do przesyłania danych. Teraz połączenia wideo nie zostaną przekierowane przez pomyłkę na chiński lub inny zagraniczny serwer. Jeśli z jakiegoś powodu rozmowa musi odbywać się na terenie Twojego kraju, nie masz się czym martwić: darmowe konferencje będą odbywać się w kraju, w subskrybenci wersji płatnej mogą od 18 kwietnia wybierać, przez jakie kraje przechodzą ich informacje.

Ponadto wszyscy uczestnicy konferencji mogą teraz widzieć, z którymi centrami danych są połączeni, klikając ikonę „i” w lewym górnym rogu ekranu. A zatem, jeśli Twoje dane są kierowane gdzieś indziej, możesz się o tym dowiedzieć i zgłosić to producentowi.

Ochrona współdzielenia ekranu

Stary Zoom pokazywał podgląd wiadomości czatu w powiadomieniach. Prowadziło to do niezręcznych sytuacji, gdy na przykład ktoś napisał do nas wiadomość prywatną, gdy udostępnialiśmy ekran. Teraz podczas darmowej konferencji serwis nie wyświetla powiadomień wcale i nie pokazuje czatu podczas udostępniania ekranu, nawet jeśli jest otwarty.

Zaktualizowane szyfrowanie

Programiści zaktualizowali również algorytm szyfrowania. Teraz Zoom używa dłuższych (przez co bardziej niezawodnych) kluczy szyfrowania, a integralność przesyłanych danych podlega sprawdzaniu — ma to na celu ochronę przed intruzami, którzy mogą uszkodzić lub zmienić zaszyfrowaną wiadomość bez konieczności odszyfrowania jej.

Warto wspomnieć, że za kontrolę integralności odpowiada tryb Galois/Counter Mode. Oprócz tego, że jest on uważany za bezpieczniejszy, zużywa mniej zasobów, a zatem lepsze szyfrowanie nie wiąże się ze zmniejszeniem wydajności komputera.

Pełne szyfrowanie

Użytkownicy będą wkrótce mogli komunikować się bez podsłuchu ze strony kogokolwiek — osób postronnych czy pracowników Zooma. Serwis planuje dodać pełne szyfrowanie do wideopołączeń, a w tym celu przejęto nawet firmę Keybase, która specjalizuje się w bezpiecznych komunikatorach i aplikacjach umożliwiających wymianę danych.

Najpierw Zoom planował zapewnić prywatność na najwyższym poziomie tylko płatnym subskrybentom. Jednak wywołało to falę krytyki: Zoom został oskarżony o współpracę z agencjami wywiadowczymi, a przynajmniej pozostawienie im otwartych drzwi.

Prawdą jest, że praktycznie żaden z konkurentów Zooma nie zapewnia pełnego szyfrowania. Jeśli chodzi o wideopołączenia, jest ono dostępne tylko w komunikatorach oferujących ograniczone możliwości lub drogich narzędziach biznesowych, które oferują tę funkcję wyłącznie na żądanie i nie za odpowiednią opłatą.

Programiści mieli jeszcze jeden powód, aby nie wdrażać pełnego szyfrowania: jest ono niekompatybilne z wieloma przydatnymi funkcjami, takimi jak możliwość nagrywania konferencji w chmurze, publikowanie ich w serwisie YouTube czy dołączanie do spotkań przez telefon — czyli ze wszystkim, co wymaga zarządzania za pośrednictwem serwera. Jeśli chodzi o kwestię wygody, taki rozwój sytuacji jest lepszy dla większości użytkowników.

17 czerwca Zoom poinformował, że pełne szyfrowanie będzie dostępne dla wszystkich, w tym osób, które używają tego serwisu za darmo. Jednak nie stanie się to z dnia na dzień, firma planuje rozpoczęcie testów beta dopiero w lipcu.

Nie trać czujności

Ogólnie Zoom 5 jest znacznie bezpieczniejszy niż jego poprzednie edycje. Jego programiści uwzględnili kwestie bezpieczeństwa i niezwłocznie zajęli się większością kwestii, które wyszły na jaw w okresie pandemii.

Jednak nie oznacza to, że możemy zapomnieć o kwestii bezpieczeństwa. Czy konferencja jest otwarta, czy zamknięta? Czy można ją nagrywać? Na te i kilka innych pytań producent nie odpowie za każdego z nas, więc połączenie konferencji trzeba skonfigurować zgodnie z własnymi wymogami. Na szczęście Zoom ma teraz więcej ustawień, dzięki którym zrobisz to właściwie.

Po drugie, bezpieczeństwo absolutne nie istnieje. Na przykład w niedawnej wersji Zoom 4.6.10 wykryto dwie luki. Jedna z nich umożliwiała użycie szkodliwej wiadomości w czacie do wykonania dowolnego kodu na serwerze Zooma. Błąd ten został wyeliminowany przed udostępnieniem wersji 5.

Druga luka była związana z integracją funkcji czatu z internetowym repozytorium GIF, GIPHY. Błąd umożliwiał pobranie na komputery uczestników konferencji dowolnych plików zamiast animowanych obrazów. Programiści tymczasowo wyłączyli dziurawą funkcję i obiecali włączyć ją po naprawieniu problemu.

Jak dotąd w Zoom 5 nie znaleziono żadnych problemów, ale nie oznacza to, że ich nie ma. Dopóki serwis jest pod lupą, nie będzie brakować ludzi próbujących znaleźć w nim słabe punkty. Dlatego jeśli korzystasz z platformy Zoom, instaluj aktualizacje bez zbędnej zwłoki.

Porady