Komunikácia cez Zoom. Je naozaj bezpečná?

Komunikácia cez Zoom. Je naozaj bezpečná?

Používanie ZOOM je podľa nedávno publikovaných informácií neodporúčané. V ZOOMe sú aktuálne viaceré bezpečnostné slabiny.

Používať ZOOM alebo radšej nie?

Rýchly nárast používania ZOOM a ďalších video platforiem

Citát z kanadskej štúdie:

Rýchle zavádzanie telekonferenčných platforiem, ako je Zoom, bez riadneho preverovania, potenciálne ohrozuje obchodné tajomstvá, štátne tajomstvá a obhajcov ľudských práv. Spoločnosti a jednotlivci môžu mylne predpokladať, že z dôvodu, že keď je spoločnosť verejne kótovaná na burze alebo je známou značkou, tak to znamená, že aplikácia je navrhnutá na základe najlepších bezpečnostných postupov. Ako sme ukázali v tej správe, tento predpoklad je nesprávny.

Mnoho odvetví ekonomiky trpí počas obdobia špeciálnych nariadení spôsobených pandémiou koronavírusu. Iné však zažívajú neuveriteľný nárast – napríklad telekonferenčné služby. Aktuálne je beh mnohých firiem závislých na takýchto komunikačných službách. Nedá sa mať konverzácia za zavretými dverami. Všetka komunikácia je riešená pomocou online služieb. Preto je na mieste položiť si otázku: “Je moja služba bezpečná na komunikáciu?”

Služba Zoom je jedna z tých, ktorá sa teší prudkému nárastu. V priebehu prvých 3 mesiacov roku 2020 získali vyše 2 milióny nových používateľov, čo je viac ako za celý rok 2019 (podľa cnbc.com). Avšak nárast popularity sa pre Zoom stal testom kvality, a zatiaľ to nevyzerá ružovo.

Je používanie ZOOM bezpečné?

Podľa článku z 10.4.2020 vydaného na Aktuality.sk aj náš NBÚ neodporúča používať ZOOM! NBÚ úradom: Nepoužívajte na videoprenosy Zoom, má viacero nedostatkov

Uniknuté emaily a fotky

Skutočne bezpečná komunikácia nastáva, pokiaľ aplikácia používa end-to-end šifrovanie. End-to-end šifrovanie je komunikačný systém, v ktorom si iba komunikujúci používatelia môžu čítať svoje správy. Takýto druh šifrovania bráni potenciálnym odposluchávačom získať šifrovací kľúč potrebný na dešifrovanie konverzácie (vrátane poskytovateľov telekomunikačných služieb, poskytovateľov internetu a dokonca aj poskytovateľa komunikačných služieb).

Zoom tvrdil, že ich služba takéto šifrovanie používa. Toto sa však neukázalo ako pravda. Zoom si totiž pre tento pojem vytvoril vlastnú definíciu. Okrem toho, že toto umožňuje zamestnancom Zoomu sledovať používateľské dáta napríklad za účelom cielených reklám, tak aj rastie hrozba úniku dát mimo Zoom. To sa bohužiaľ aj stalo a Zoom zaznamenal únik niekoľko tisícov emailových adries a fotiek používateľov. Taktiež verzia Zoom-u pre Windows je údajne zraniteľná voči útočníkom, ktorí by mohli posielať škodlivé odkazy do používateľských chatov a získať prístup k ich e-mailovým heslám.

Odpočúvanie z Číny

Ďalší problém, ktorý nastáva z toho, že Zoom nepoužíva end-to-end šifrovanie je odposluch z Číny. Zdá sa, že niekoľko výpočtových centier, v ktorých sa generujú šifrovacie kľúče pre komunikáciu, sa nachádzajú v Číne. To znamená, že Zoom môže byť zákonom povinný zdieľať kľúče vygenerované v týchto centrách s Čínskou vládou. Podľa výskumu z kanadskej univerzity, Zoom používa kľúče vygenerované v Číne aj keď sa komunikácia vykonáva cez centrá nachádzajúce sa v USA.

Slabé šifrovanie

Zoom používa šifrovacie kľúče patriace pod šifrovací štandard AES (Advanced Encryption Standard). Zoom navyše šifruje a dešifruje v rámci AES pomocou algoritmu s názvom Electronic Codebook, ktorý je považovaný za najhorší z dostupných režimov AES. Pýtate sa prečo? Nájsť rozdiel medzi poriadne zašifrovanými dátami a náhodnými dátami (napr. šum z rádia) by malo byť takmer nemožné. Electronic Codebook toto nedokáže. Ak existuje vzor v nešifrovaných údajoch, rovnaký vzor sa zobrazí aj v šifrovaných údajoch.

Autor:  lewing@isc.tamu.edu and The GIMP Obrázky prevzaté z Wikipedie

Je používanie ZOOM naozaj také nebezpečné?

Dalo by sa argumentovať, že Zoom a ich bezpečnostné chyby a zavádzanie o nich je len veľmi malé zlo oproti službám ako Google alebo Facebook, ktorých používaním si svoje online súkromie znehodnocujeme sami. Avšak pri aktuálnych nariadeniach je činnosť mnohých firiem aj úradov odkázaných na telekonferenčné služby. Keďže sme prakticky donútení používať telekonferenčné služby, tak treba brať ich bezpečnostné chyby vážne.

SANDING odporúča pre firmy a školy TEAMS a Microsoft Office.

Share this post


Moderné IT služby pre každú firmu a domácu kanceláriu.

Prenášame firmy do cloudu. Zavedieme, zaškolíme. Predaj licencií Microsoft 365.

Kontaktujte nás. Poradíme a ušijeme pre vás riešenie na mieru.

Kontakujte nás tu.