Недавно мы рассказывали, что в последнее время от использования Zoom своих сотрудников предостерегают не только НАСА и SpaceX, компания Google, но также от приложения предпочли дистанцироваться власти Тайваня, правительство Австралии, американские школы, а также Сенат США и министерство иностранных дел Германии.

На этой неделе данный список пополнился и властями Индии: в стране запретили использование Zoom для проведения удаленных правительственных заседаний, сообщив, что платформа не подходит для использования государственными служащими и должностными лицами.

Напомню, что такая ситуация возникла из-за множества проблем с безопасностью и конфиденциальностью в Zoom. Из-за жесткой критики со стороны ИБ-экспертов в начале апреля разработку приложения вообще остановили на 90 дней, и компания полностью сосредоточилась на улучшении безопасности, а также пообещала провести аудит с привлечением сторонних специалистов.

Инженеры компании уже устранили многие проблемы безопасности, обнаруженные экспертами, а также в компании создали совет CISO, а также пригласили в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.

В частности, одной из больших проблем платформы является так называемый «Zoom-Bombing». Третьи лица частенько присоединяются к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или пошутить. Зачастую потом записи таких пранков появляются в социальных сетях.

К примеру, на этой неделе американский конгрессмен рассказал, что в начале апреля злоумышленникам удалось сорвать встречу в Zoom, проводившуюся на самых высоких уровнях правительства США. Письмо об инциденте было направлено председателю комитета по надзору палаты представителей штата Огайо. Документ гласит, что, невзирая на все предупреждения со стороны СМИ и ФБР, чиновники использовали Zoom для проведения встречи, и в итоге брифинг трижды прерывался из-за Zoom-Bombing’а.

И хотя восстановить репутацию Zoom после всего случившегося определенно будет непросто, разработчики продолжают следовать своему плану и посвящают все свое время улучшению безопасности.

Так, вчера стало известно, что партнером Zoom стала компания Luta Security, специализирующаяся на управлении программами раскрытия уязвимостей и организации bug bounty. Компанию возглавляет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. И хотя у Zoom ранее уже была программа вознаграждения за уязвимости на платформе HackerOne, Luta Security поможет обновить ее и улучшить.

Кроме того, в своем Twitter Моуссурис намекнула, что в ближайшее время к Zoom присоединятся и другие известные эксперты, включая специалиста по вопросам конфиденциальности Лею Кисснер (бывшего главу Privacy Technology в Google), криптографа и профессора университета Джонса Хопкинса Мэтью Грина, а также три известные аудиторские фирмы: BishopFox, NCC Group и Trail of Bits.

Напомню, что теперь Zoom проводит еженедельные вебинары «Спросите Эрика», в рамках которых глава Zoom Эрик Юань рассказывает об успехах компании и будущих функциях безопасности Zoom. На этой неделе компания представила график будущих улучшений, который можно увидеть ниже.

Так, Юань рассказал, что разработчики скоро позволят пользователям выбирать, какие центры обработки данных использует Zoom (напомню, что властям Тайваня не понравилось, что трафик проходит через серверы в Китае), где будут храниться их данные, а также в приложении появится возможность сообщать о нарушителях.

Алекс Стамос, выступая на том же вебинаре, объявил о планах перехода от нынешней раскритикованной схемы шифрования к более проверенному и надежному решению. Так, Zoom перейдет от текущего шифрования 256-AES ECB к более безопасному 256-AES GCM, а также Стамос сообщил, что в долгосрочной перспективе планируется создание принципиально нового криптографического дизайна, который значительно снизит риски для Zoom-систем в целом.

1 комментарий

  1. Аватар

    poddex

    18.04.2020 at 01:26

    Сейчас всякие вайт-хеты и сайберсекьюрити-специалисты, сами создавшие текущую экосистему взломов и поиска уязвимостей, выдоят ZOOM досуха.

Оставить мнение