Zoom, binecunoscuta aplicatie de apeluri video, tocmai a fost implicata intr-o noua controversa privind securitatea platformei . In ciuda faptului ca aplicatia, atat pe site-ul sau, cat si in interfata sa, pretinde ca ofera criptare end-to-end, realitatea este alta.
Programul de instalare profita de aceste scripturi pentru a automatiza instalarea fara a solicita utilizatorului permisiunea si falsifica un mesaj pentru a obtine privilegii pe sistem. Dupa cum comenteaza Felix: „aceleasi trucuri pe care le foloseste malware”.
Dupa cum a raportat The Intercept, serviciul de videoconferinta nu cripteaza conversatiile end-to-end , astfel incat serverele pot decripta orice apel si pot vedea si auzi toti participantii.
Criptare de la capat la capat?
O nota foarte scurta despre criptare. Cand vorbim despre criptare, vorbim despre operatii matematice pe care le aplicam informatiilor astfel incat reprezentarea acelei informatii sa se schimbe. Putem, de exemplu, sa decidem ca vom deplasa vocalele cu o pozitie cand scriem, astfel incat sa trecem de la „Apple” la „Eppli”.
In domeniul criptarii computerelor, pe scurt, ceea ce facem este o operatie matematica. Sa ne imaginam ca zerourile si unuurile informatiilor noastre sunt inmultite cu 19 si trimitem rezultatul. O persoana care ne intercepteaza expedierea, fara sa stie ca am folosit 19 pentru a ne inmulti datele, nu va putea sa le inteleaga . Intre timp, destinatarul nostru va efectua pur si simplu o simpla impartire si va avea toate informatiile. In lumea reala, operatiunile sunt mult mai complexe, iar valorile mult mai mari, dar principiul este acelasi.
Acum cine are cheia? Aceasta este cea mai importanta intrebare cand vorbim despre criptare. Cine stie numarul nostru 19? Daca suntem doar noi, ei bine, daca postasul o cunoaste, situatia se schimba. Si aceasta este diferenta dintre criptare si criptare end-to-end. Cand criptam de la capat la capat, ne asiguram ca numai noi si expeditorul nostru putem calcula cheia necesara pentru a decripta mesajul . Aceasta inseamna ca nu conteaza cat de nesigura poate fi calea pe care o parcurg informatiile noastre. El este in siguranta.
Ce criptare are Zoom?
In ciuda faptului ca despre criptarea end-to-end se vorbeste atat pe site-ul sau, cat si in materialul publicitar, precum si in interfata aplicatiei in sine, realitatea este diferita , dupa cum a confirmat un purtator de cuvant al Zoom.
In prezent, nu este posibila activarea criptarii E2E (end-to-end) pentru intalnirile video Zoom. Conferintele video Zoom folosesc o combinatie de TCP si UDP. Conexiunile TCP sunt realizate folosind TLS, iar conexiunile UDP sunt criptate cu AES folosind o cheie negociata printr-o conexiune TLS.
Concluzia este ca conversatiile Zoom folosesc aceeasi criptare ca si pagina pe care o cititi .
Ceea ce face Zoom este sa cripteze conversatia dintre expeditor si serverele sale, apoi conversatia este procesata si serverul o cripteaza intre el insusi si receptori. Aceasta inseamna ca conversatia si informatiile sunt pe deplin expuse pe serverele Zoom .
Implica un risc? Da. Faptul ca firma are acces la conversatiile utilizatorilor sai implica doua lucruri daca luam de buna credinta companiei. In primul rand, ca guvernele sau agentiile de informatii pot solicita in mod legal accesul la acele date si, in al doilea rand, ca un atacator poate accesa serverele Zoom fara ca macar compania sa cunoasca si sa obtina toate informatiile.
Ce pot face?
Daca folosim Zoom pentru intalnirile de companie, trebuie sa gasim o alternativa . FaceTime, serviciul de apeluri video al Apple, a fost criptat end-to-end de la lansarea sa in 2018. Signal, chiar recomandat de Edward Snowden, permite acelasi lucru. Chiar si Telegram, atata timp cat folosim un chat secret, ofera criptare end-to-end.
Daca folosirea Zoom se limiteaza la a vorbi cu un grup de prieteni si familie si conversatia ar putea avea loc intr-un restaurant in plina audiere, alegerea platformei este la discretia fiecaruia.
Recomandarea este sa folosim instrumente de comunicare sigure. Avem ceva de ascuns? Nu, dar aproape orice conversatie poate fi scoasa din context . Din fericire, Apple pune in mainile noastre toate instrumentele necesare pentru a ne mentine comunicatiile digitale in siguranta.