& # 39; Ekspansi rahasia pemerintah yang tidak memadai & # 39;

By | April 3, 2020

Foto tersebut menunjukkan antarmuka Zoom yang dihadiri oleh banyak menteri Inggris, termasuk Perdana Menteri.

Hak cipta gambar
AFP

Keterangan gambar

Kabinet Inggris bertemu melalui Zoom.

Zoom video conferencing app yang sangat populer memiliki "kelemahan besar" yang dapat membuatnya tidak cocok untuk rahasia.

Sebuah tim di Citizen Lab menemukan bahwa Zoom menggunakan jenis enkripsi yang tidak standar dan mengirimkan informasi melalui Tiongkok.

Para peneliti memperingatkan bahwa penggunaan pemerintah, seperti penggunaan aplikasi konferensi Kabinet Boris Johnson, mungkin tidak bijaksana.

Namun, aplikasi ini cocok untuk tetap berhubungan dengan kebanyakan orang, kata mereka.

Hingga saat ini, Zoom terutama digunakan oleh konferensi video di perusahaan besar. Tetapi ledakan pengguna dari epidemi virus korona telah menciptakan "demam emas baru untuk spionase dunia maya," sebuah laporan dari Citizen Lab mengatakan.

Zoom diperingatkan "mungkin tidak sesuai" untuk:

  • Pemerintah dan bisnis prihatin tentang spionase
  • Penyedia layanan kesehatan yang menangani informasi pasien yang sensitif
  • Aktivis, pengacara, dan jurnalis yang berurusan dengan topik sensitif

Tetapi mereka yang menggunakan Zoom untuk tetap berhubungan dengan teman-teman, menyelenggarakan acara sosial, atau menyelenggarakan kursus atau kuliah, "temuan kami seharusnya tidak terkait," kata laporan itu.

Analisis: Masih baik dalam banyak kasus.

Oleh: Reporter Keamanan Cyber ​​Joe Tidy

Zoom saat ini memiliki 200 juta pertemuan setiap hari, dan meskipun ada kekurangan serius yang diungkapkan dalam laporan terbaru ini, akan lebih aman untuk mengatakan bahwa 190 juta pertemuan tidak berbahaya.

Citizen Lab mengumpulkan semua data dari konferensi video di sini, dan kemudian mengacaknya untuk menunjukkan bukti kuat bahwa Anda bisa mengetahui apa yang Anda katakan secara kasar dan apa yang bisa Anda lihat.

  • Pemerintah Inggris membela PM dari menggunakan Zoom
  • Zoom ada di ruang tamu semua orang – seberapa aman itu?

Namun, akan dibutuhkan banyak waktu dan upaya bagi peretas untuk mencapai ini. Itu tidak sebanding dengan rata-rata penurunan pekerjaan untuk layanan atau kuis pub yang ramah. Ini adalah pertemuan tingkat tinggi di tingkat dewan perusahaan atau di tingkat pemerintah.

Pemerintah telah digerakkan oleh National Cyber ​​Security Center dan pakar keamanan lainnya sejak awal. Tujuannya selalu untuk memungkinkan komunikasi yang terbuka dan lancar, tetapi penelitian ini dapat mengarah pada saran tentang perubahan zoom.

"Zoom membuat kesalahan klasik dalam merancang dan mengimplementasikan skema enkripsi sendiri tanpa menggunakan salah satu standar enkripsi konten suara dan video," kata Bill Marczak, peneliti di The Citizen Lab.

"Tentunya, enkripsi Zoom lebih baik daripada yang lainnya, tetapi siapa pun yang ingin konferensi Zoom aman dari mata-mata harus berpikir dua kali sebelum membahas informasi penting menggunakan aplikasi."

Studi ini secara mengejutkan tidak mengambil layanan keamanan Inggris, dan dapat dipahami bahwa proyek ini berjalan "dengan cepat" untuk mengadaptasi sistem komunikasi yang ada untuk kebutuhan telekomunikasi dan keamanan.

Pusat Keamanan Siber Nasional di Inggris mengatakan, "Zoom digunakan untuk memungkinkan krisis komunikasi COVID-19 yang tidak rahasia dalam situasi yang belum pernah terjadi sebelumnya. Permintaan pekerjaan jarak jauh yang jauh lebih besar."

Pemerintah tidak mengungkapkan pertemuan mana yang cocok untuk Zoom dan mana yang tidak. Misalnya, BBC telah mendengar bahwa Zoom aman untuk diskusi di tingkat kabinet, tetapi tidak untuk pertemuan darurat Cobra.

Bahasa Cina untuk hati perusahaan-perusahaan Amerika

Para peneliti juga menemukan bahwa selain standar enkripsi, pada konferensi Zoom, Zoom mengirimkan lalu lintas ke China bahkan ketika semua orang berada di luar China.

Laporan itu mengatakan, “Dalam sejumlah panggilan uji coba dari Amerika Utara, kami menemukan kunci yang mengenkripsi dan mendekripsi konferensi yang dikirim ke server di Beijing, Cina.

Hak cipta gambar
EPA

Keterangan gambar

Meskipun ada kekhawatiran yang diungkapkan di beberapa tempat, Zum masih mempertahankan popularitas besar

Laporan itu juga mencatat bahwa perusahaan-perusahaan Cina secara aktif berpartisipasi dalam perusahaan. Zoom berkantor pusat di Amerika Serikat, tetapi sekitar 700 karyawan bekerja pada pengembangan aplikasi di tiga perusahaan di Cina daratan.

  • Zum meminta maaf atas masalah keamanan dan berjanji untuk memperbaikinya.
  • Perkuat pengawasan saat popularitas meningkat

"Dengan pengembangan di China, Zoom akan dapat membayar gaji Lembah Silikon untuk memotong biaya dan meningkatkan margin keuntungan. Tetapi tindakan ini juga dapat meningkatkan tekanan pada otoritas China."

& # 39; pendekatan roll sendiri & # 39 ;.

Tim mengatakan ada pesan yang membingungkan dan membingungkan tentang jenis enkripsi yang sebenarnya digunakan Zoom.

Dalam beberapa kasus, standar terbaik untuk pengiriman pesan yang aman, enkripsi "ujung ke ujung", digunakan untuk memastikan bahwa layanan atau perantara lainnya tidak memiliki akses ke data. Dalam dokumentasi tersebut, Zoom mengatakan menggunakan jenis enkripsi yang disebut AES-256.

Tetapi para peneliti mengatakan ini tidak benar. Sebaliknya, Zoom melakukan "enkripsi Anda sendiri" menggunakan varian yang disebut AES-128 dalam "mode ECB".

Di antara peneliti keamanan, mode ECB mempertahankan beberapa pola asli, sehingga "dipahami dengan buruk," kata laporan itu.

Hak cipta gambar
Wikimedia

Keterangan gambar

Laporan tersebut menekankan bahwa "mode ECB" mempertahankan pola dan "ide buruk".

Laporan itu juga mengatakan bahwa Zoom tidak menggunakan enkripsi ujung-ke-ujung karena "kebanyakan orang memahami istilah". Alih-alih, gunakan enkripsi "transfer" antara perangkat dan server.

"Zoom tidak menerapkan enkripsi ujung-ke-ujung yang sebenarnya, sehingga kami secara teoritis dapat mendekripsi dan memonitor panggilan Zoom." Namun, Zum sendiri sudah menyelesaikan masalah ini dan berjanji bahwa mereka tidak pernah membangun mekanisme seperti itu, walaupun secara teori memungkinkan.

Dalam perjalanan studi, tim mampu mengekstraksi gambar diam dari konferensi video menggunakan kunci enkripsi.

Zoom meminta maaf atas proposal yang salah bahwa enkripsi ujung-ke-ujung dimungkinkan pada pertemuan tersebut dengan mengklarifikasi kebijakan enkripsi pada 1 April.

Mereka juga takut dengan masalah privasi dan keamanan dan berjanji akan mempelajari "masalah kepercayaan, keselamatan, dan privasi" secara eksklusif selama 90 hari ke depan.

Alan Woodward, profesor ilmu komputer di Universitas Surrey, mengatakan BBC perlu perbaikan penting.

"Saya tidak berpikir ini adalah sesuatu yang Zoom dapat tambahkan ke daftar tugas selama 90 hari ke depan. Itu mungkin, tetapi ini adalah tugas penting karena kami harus merekayasa ulang cara kami mengenkripsi mata uang."

"Kami tidak akan menggunakan Zoom untuk diskusi sensitif atau rahasia," tambah Woodward.

Leave a Reply

Your email address will not be published. Required fields are marked *