Недавно мы рассказывали, что в последнее время от использования Zoom своих сотрудников предостерегают не только НАСА и SpaceX, компания Google, но также от приложения предпочли дистанцироваться власти Тайваня, правительство Австралии, американские школы, а также Сенат США и министерство иностранных дел Германии.
На этой неделе данный список пополнился и властями Индии: в стране запретили использование Zoom для проведения удаленных правительственных заседаний, сообщив, что платформа не подходит для использования государственными служащими и должностными лицами.
Напомню, что такая ситуация возникла из-за множества проблем с безопасностью и конфиденциальностью в Zoom. Из-за жесткой критики со стороны ИБ-экспертов в начале апреля разработку приложения вообще остановили на 90 дней, и компания полностью сосредоточилась на улучшении безопасности, а также пообещала провести аудит с привлечением сторонних специалистов.
Инженеры компании уже устранили многие проблемы безопасности, обнаруженные экспертами, а также в компании создали совет CISO, а также пригласили в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.
В частности, одной из больших проблем платформы является так называемый «Zoom-Bombing». Третьи лица частенько присоединяются к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или пошутить. Зачастую потом записи таких пранков появляются в социальных сетях.
К примеру, на этой неделе американский конгрессмен рассказал, что в начале апреля злоумышленникам удалось сорвать встречу в Zoom, проводившуюся на самых высоких уровнях правительства США. Письмо об инциденте было направлено председателю комитета по надзору палаты представителей штата Огайо. Документ гласит, что, невзирая на все предупреждения со стороны СМИ и ФБР, чиновники использовали Zoom для проведения встречи, и в итоге брифинг трижды прерывался из-за Zoom-Bombing’а.
И хотя восстановить репутацию Zoom после всего случившегося определенно будет непросто, разработчики продолжают следовать своему плану и посвящают все свое время улучшению безопасности.
Так, вчера стало известно, что партнером Zoom стала компания Luta Security, специализирующаяся на управлении программами раскрытия уязвимостей и организации bug bounty. Компанию возглавляет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. И хотя у Zoom ранее уже была программа вознаграждения за уязвимости на платформе HackerOne, Luta Security поможет обновить ее и улучшить.
Кроме того, в своем Twitter Моуссурис намекнула, что в ближайшее время к Zoom присоединятся и другие известные эксперты, включая специалиста по вопросам конфиденциальности Лею Кисснер (бывшего главу Privacy Technology в Google), криптографа и профессора университета Джонса Хопкинса Мэтью Грина, а также три известные аудиторские фирмы: BishopFox, NCC Group и Trail of Bits.
I’m excited to highlight my colleagues who are adding their expertise in the next few weeks. In addition to welcoming my former colleague @alexstamos to the extended Zoom security family
— Katie Moussouris (@k8em0) April 16, 2020
I’d like to welcome @LeaKissner @matthew_d_green @bishopfox @NCCGroupInfosec @trailofbits pic.twitter.com/fQV5cce3aq
Напомню, что теперь Zoom проводит еженедельные вебинары «Спросите Эрика», в рамках которых глава Zoom Эрик Юань рассказывает об успехах компании и будущих функциях безопасности Zoom. На этой неделе компания представила график будущих улучшений, который можно увидеть ниже.
Так, Юань рассказал, что разработчики скоро позволят пользователям выбирать, какие центры обработки данных использует Zoom (напомню, что властям Тайваня не понравилось, что трафик проходит через серверы в Китае), где будут храниться их данные, а также в приложении появится возможность сообщать о нарушителях.
Алекс Стамос, выступая на том же вебинаре, объявил о планах перехода от нынешней раскритикованной схемы шифрования к более проверенному и надежному решению. Так, Zoom перейдет от текущего шифрования 256-AES ECB к более безопасному 256-AES GCM, а также Стамос сообщил, что в долгосрочной перспективе планируется создание принципиально нового криптографического дизайна, который значительно снизит риски для Zoom-систем в целом.
In @zoom_us's privacy/security webinar, @alexstamos says "in a matter of weeks" they'll be upgrading ciphers to AES-256 GCM.
— Micah Lee (@micahflee) April 15, 2020
And in the long-term, they're building an E2E encryption option, have a number of PhD cryptographers working on hard problems. More announcements soon.
