ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

بررسی امنیت نسخه‌ 5 اپلیکیشن Zoom

| شنبه, ۷ تیر ۱۳۹۹، ۱۱:۰۴ ق.ظ | ۰ نظر

اوایل همین امسال بود که 10 توصیه برای امنیت و حریم خصوصیِ Zoom خدمتتان ارائه دادیم؛ با این حال فناوری‌ها می‌توانند با سرعت بی‌سابقه‌ای پیشرفت کنند، بخصوص آن دسته از فناوری‌هایی که بیش از بقیه به چشم می‌آیند. یکی از آن‌ها همین Zoom است که توسعه‌دهندگانش –همانطور که وعده داده بودند- به این اپ پوشش محافظت داده‌ اضافه کرده‌اند. در نتیجه نسخه‌ی 5.0 نسبت به نسخه پیشاکرونایی‌اش تغییرات فاحشی کرده است. در ادامه همراهمان باشید تا این آپدیت را مورد بررسی قرار دهیم.
تمرکز بر ساحت امنیتی برای شرکت‌ها بسیار نتیجه‌بخش بوده است. در گذشته شرکت‌ها و مؤسسات بزرگ استفاده از Zoom را رد می‌کردند اما اکنون این اپ تأییدیه‌ی دادستانی کل نیویورک را در دستان خود دارد و باری دیگر به آغوش مدارس نیویورکی بازگشته است. نسخه‌ی 5 این اپ قابلیت‌های کارامد بسیاری دارد که در زیر بدان‌ها اشاره کرده‌ایم:


تنظیمات امنیت که در جای مناسب و راحتی واقع شده‌اند
در نسخه 5 زوم، تمامی تنظیمات مخصوص مدیریت شرکت‌کنندگان در کنفرانس همه در یک جا قرار دارد. در حقیقت راحتی فدای امنیت نشده است. درست همینجاست که می‌توانید حقوق کاربری را محدود، دسترسی به نشست‌ها را برای جلوگیری از ورود مهمانان سرزده مسدود و واترمارک‌هایی برای اسکرین‌شات‌ها و صداهای ضبط‌شده اضافه نمایید (احیاناً اگر کسی تصمیم گرفت آن‌ها را جایی نشر دهد) و غیره. روی آیکون شیلد در منوی کنفرانس کلیک کنید تا تنظیمات امنیت باز شود.


محافظت ضد ترول
تعدادی از تنظیمات جدید، هجوم ترول‌های مزاحم را متوقف می‌کند. اول از همه اینکه اکنون رمزعبورها و قابلیت «اتاق انتظار» -که مستلزم اجازه‌ی میزبان برای پیوستن به کنفرانس است- به طور پیش‌فرض فعالسازی شده‌اند. دوم اینکه شما می‌توانید اکنون نگذارید شرکت‌کنندکان خود را نامگذاری مجدد کنند. صاحبان اکانت‌های پولی همچنین می‌توانند اعضا را ملزم به تکمیل اطلاعات خود کنند: نام، آدرس ایمیل و غیره. و با اکانت تجاری نیز شما می‌توانید کاربران غیرقانونی و یا آن‌هایی را که برای وصل شدن به اینترنت نوع خاصی از دامنه آدرس ایمیل دارند بلاک کنید.


مسیریابی اطلاعاتی
رویکرد Zoom در مسیریابی اطلاعاتی نیز تغییر کرده است. اکنون ویدیو کال شما به اشتباه به سرور چینی یا یک سرور بیگانه‌ی دیگر مسیریابی نخواهد شد. اگر بنا به دلیلی مکالمه می‌بایست داخل کشور خودتان بماند پس دیگر جای هیچ نگرانی نیست: کنفرانس‌های رایگان در منطقه‌ی داخلی خواهد ماند و اعضای پولی نیز از تاریخ 8 آوریل می‌توانند انتخاب کنند اطلاعاتشان در چه کشورهایی درز کند. افزون بر این، تمامی شرکت‌کنندگان در کنفرانس اکنون می‌توانند با کلیک بر آیکون i در گوشه بالا سمت چپ نمایشگر مشاهده کنند به چه مرکز داده‌ای متصل هستند. بنابراین، اگر داده‌ی شما جای دیگری مسیریابی شود شما می‌توانید در مورد آن اطلاعات بدست‌ آورید و البته از توسعه‌دهنده‌ شکایت کنید.


امنیت اشتراک‌گذاری نمایشگر
زومِ قدیمی همیشه پیش‌نمایش‌هایی از پیام‌های چت در نوتیفیکیشن‌ها نشان می‌داد. فرضاً اگر فردی می‌خواست در طول اشتراک‌گذاری نمایشگر به شما پیام شخصی بدهد این قابلیت می‌توانست موقعیت را عجیب و غریب کند. اکنون در طول کنفرانس‌های رایگان، این سرویس اصلاً نوتیفیکیشنی را نمایش نمی‌دهد و وقتی نمایشگر در حال اشتراک‌گذاریست چت را –حتی اگر باز هم باشد- نشان نمی‌دهد.


آپدیت قابلیت رمزگذاری
توسعه‌دهندگان همچنین الگوریتم رمزگذاری را نیز آپگرید کرده‌اند. نخست اینکه Zoom حالا از کلیدهای رمزگذاری بلندتری استفاده می‌کند (که همین باعث می‌شود رمزگذاری‌ها بیشتر قابل ‌اعتماد باشند). دوم اینکه، صحت داده‌های انتقال‌ داده‌شده اکنون مورد بررسی قرار می‌گیرد؛ یک‌جور اقدام محافظتی در برابر متجاوزانی که ممکن است پیامی رمزگذاری‌شده را خراب کرده و یا در خفا آن را با پیامی دیگر جا به جا کنند. تازه این را هم بگوییم که حالت Galois/Counter اکنون مسئولیت بررسی صحت داده را بر عهده دارد.
GCM علاوه بر اینکه بیشتر امن است همچنین منابع کمتری نیز می‌خواهد پس رمزگذاری بهتر به معنای قربانی کردن عملکرد کامپیوتر نیست.


رمزگذاری End-to-end
کاربران بزودی قادر خواهند بود بدون اینکه بیگانه‌ها یا کارمندان Zoom استراق‌سمع کنند برقراری ارتباط داشته باشند. این سرویس در صدد است ویدیو کال‌ها را به قابلیت رمزگذاری end-to-end مجهز کند. برای این منظور سرویس مذکور حتی Keybase را نیز خریداری کرده است؛ شرکتی که تخصصش مسنجرهای مطمئن و اپ‌ها برای تبادل داده است.
اوایل زوم قصد داشت ماکسیمم حد حریم‌خصوصی را منحصراً به مشترکین پولی بدهد اما خبرها حاکی از این می‌باشد رها کردن مشترکین رایگان بدون رمزگذاری پایان به پایان نقدهای بسیاری به همراه داشت:
زوم به مشارکت با آژانس‌های اطلاعاتی و یا دست‌کم باریکه‌راهی برای آن‌ها گذاشتن متهم شد. در این اتهام‌ها براحتی یک نکته مهم فراموش شد: عملاً هیچیک از رقبای Zoome2e ارائه نمی‌دادند. تماس‌های ویدیوییِ رمزگذاری‌شده به صورت e2e تنها مخصوص مسنجرهای فوری است که قابلیت ویدیو کال محدود دارند و یا مخصوص آن دسته از ابزارهای کسب و کار که این نوع رمزگذاری را فقط به محض درخواست ارائه می‌دهند (تازه آن هم نه رایگان).
توسعه‌دهندگان دلایل قانع‌کننده‌ای برای دوست نداشتن رمزگذاری e2e ویدیو دارند: این قابلیت با بسیاری از ویژگی‌های مفید از جمله توانایی در ضبط کنفرانس‌ها در کلود، پخش آن‌ها روی یوتیوب یا ملحق شدن به نشست‌ها با گوشی سازگاری ندارد؛ در حقیقت با هر چیزی که نیاز به مدیریت توسط سرور داشته باشد سر ناسازگاری دارد.
به هر روی، در تاریخ 17 ژوئن شرکت Zoom اعلام کرد که رمزگذاری پایان به پایان برای همه قابل‌دسترسی است (از جمله مشترکین رایگان). البته این کار چیزی نیست که یک شبه انجام شود؛ شرکت قصد دارد در ماه جولای تست بتای اولیه را انجام دهد.


وقتی برای استراحت نیست
به طور کلی، Zoom 5 از نسخه‌های قبلی‌اش از امنیت بیشتری برخوردار است. توسعه‌دهندگانش بسیار متعهدانه مسئولیت بخش امنیت را بر عهده گرفتند. آن‌ها سریعاً اکثر مشکلاتی که در طول lockdown بوجود می‌آمد را رفع کردند. با این حال نباید همیشه هم پشتتان به توسعه‌دهندگان گرم باشد. آیا کنفرانس‌تان باز است یا بسته؟ آیا ضبط صدا مجاز است یا خیر؟ اینها پرسش‌هایی هستند که توسعه‌دهندگان قادر نیستند پاسخ دهند. پس همچنان باید تماس‌های کنفرانسیِ خود را بر طبق الزامات شخصی خود تنظیم کنید. خوشبختانه، زوم برای این کار حتی تنظیمات بیشتری نیز در اختیارتان قرار داده است.
این را هم بگوییم که امنیت محضی در کار نیست؛ برای مثال دو آسیب‌پذیری در نسخه 4.6.10 زوم کشف شد. یکی از این آسیب‌پذیری‌ها به پیام چت آلوده اجازه می‌داد تا روی سرور زوم، کد دلخواه اجرا کند. این باگ پیش از عرضه نسخه 5 زوم برطرف شد. آسیب‌پذیری دوم مربوط می‌شد به ادغام ویژگی چت با مخزن گیف آنلاین GIPHY. این باگ اجازه می‌داد تا فایل‌های دلخواه به جای تصاویر انیمه، در کامپیوترهای شرکت‌کنندگان کنفرانس دانلود شود. توسعه‌دهندگان موقتاً این کارکرد آسیب‌پذیر را غیرفعال کردند و قول دادند به محض رفع این باگ دوباره آن را برگردانند. تا کنون در نسخه 5 Zoom هیچ باگی دیده نشده اما این بدان معنا نیست که هیچوقت در آن باگی وجود نخواهد داشت. مادامیکه این سرویس زیر ذره‌بین باشد و بدان توجه زیادی شود افراد زیادی تلاش خواهند کرد نقاط آسیب‌پذیرش را به هر قیمتی بر همه عیان کنند و هدف گیرند. از این رو اگر از Zoom استفاده می‌کنید حواستان به آپدیت‌های آن باشد.
 
منبع: کسپرسکی آنلاین 
 
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)

  • ۹۹/۰۴/۰۷

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">