Coraz więcej osób pracuje zdalnie. Ogromny wzrost popularności zanotowała aplikacja Zoom. I tu ważny apel: NIE KORZYSTAJCIE Z NIEJ*!
Kojarzycie jak swego czasu wybuchła mini-afera, że CBA kupiło od izraelskiej firmy NSO Group - "Pegasusa", czyli można powiedzieć rządowego trojana, który może zainfekować dowolny telefon dowolnej osoby. To samo NSO Group dostarczyło rządowi Arabii Saudyjskiej oprogramowanie potrzebne do szpiegowania dziennikarza Jamala Khashoggiego, który finalnie został zamordowany. Skąd o tym wiemy? Ano dzięki pracy kanadyjskiej organizacji Citizen Lab (działającej przy Uniwersytecie w Toronto) prowadzącej badania w dziedzinie cyberbezpieczeństwa i naruszeń wolności z tym związanych.
Wczoraj ukazał się ich raport ws. popularnej ostatnio aplikacji do telekonferencji Zoom. Oto co wykazano:
- Zoom, pomimo że wywodzi się z Kaliforni, ma trzy spółki-córki w Chinach, odpowiedzialne za development tejże aplikacji
- Domyślnie tworzone spotkania nie są zabezpieczone hasłem, co prowadzi do podatnośći na dołączanie osób nieuprawnionych do konwersacji (https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic)
- Zoom nie posiada prawdziwego szyfrowania end-to-end, co daje techniczą możliwość do deszyforwania i przechwycenia rozmowy
- To co rzekomo jest zaszyfrowane też nie spełnia standardów, a oto przykład: https://citizenlab.ca/wp-content/uploads/2020/04/image1.png
- Klucze szyfrujące przechodzą przez Chińskie serwery, a zgodnie z obowiązującym tam prawem rząd ma prawo zarządać do takich kluczy dostępu
*Nie korzystajcie z niej jeśli obowiązuje was tajemnica zawodowa (prawnicy, lekarze, dziennikarze), jeśli absolunie musicie/chcecie z niej korzystać: nie instalujcie aplikacji, tylko używajcie wersji przeglądarkowej, nie korzystajcie z "waiting roomów", zabezpieczajcie spotkania hasłem.
Na koniec autorzy podkreślają coś, pod czym mogę podpisać się obiema rękami, "to że firma w ogóle funkcjonuje, albo jej produkt staje się popularny, nie oznacza że aplikacja korzysta z najlepszych praktyk, żeby zapewnić użytkownikom bezpieczeństwo."
Źródło i oryginalny raport w języku angielskim: https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/