Zoom 5: курс на безопасность

Разработчики Zoom взяли и сделали свой сервис более надежным. Разбираемся, что именно изменилось.

Не так давно мы рассказывали, как настроить Zoom, чтобы пользоваться им было безопасно. Однако технологии развиваются очень быстро, особенно те, которые оказываются в центре внимания. Zoom — не исключение: разработчики, как и обещали, вплотную занялись защитой данных. Версия 5.0 с точки зрения безопасности сильно отличается от Zoom времен начала коронакризиса.

Правильное отношение разработчиков Zoom к безопасности быстро принесло плоды. Если раньше от него активно отказывались крупные компании, государственные и образовательные учреждения, то теперь он получил одобрение генпрокурора Нью-Йорка и его снова разрешили использовать в городских школах. Давайте разберемся, что же полезного появилось в пятой версии.

Удобное расположение настроек безопасности

В новой версии создатели Zoom постарались сделать так, чтобы защита не противоречила удобству. Начиная с Zoom 5 все настройки, касающиеся управления участниками конференции, собраны в одном месте.

Здесь можно ограничивать права пользователей, блокировать доступ к собранию, чтобы избежать незваных гостей, добавлять водяные знаки в скриншоты и аудиозаписи на случай, если кто-то решит их опубликовать, и так далее. Открываются эти настройки, если нажать на иконку со щитом в меню конференции.

Защита от троллей

В Zoom появилось несколько настроек, позволяющих исключить нашествие анонимных троллей. Во-первых, пароли и функция «Зал ожидания», не позволяющая присоединиться к конференции без вашего согласия, теперь включены по умолчанию. Во-вторых, вы можете запретить участникам переименовываться, чтобы легче было их опознавать.

Владельцы платных учетных записей также могут потребовать, чтобы участники указывали информацию о себе — имя, адрес электронной почты и так далее. А бизнес-аккаунты позволяют запретить подключаться неавторизованным пользователям или тем, чей электронный адрес находится на неподходящем (например, публичном, а не корпоративном) домене.

Маршрутизация данных

Изменился и подход Zoom к маршрутизации данных. Теперь ваше видео не отправится по ошибке на китайский или другой зарубежный сервер. Если беседа по какой-то причине должна оставаться внутри страны, то вам не о чем беспокоиться: бесплатные конференции вообще не выйдут за пределы домашнего региона, а у платных подписчиков с 18 апреля есть возможность выбрать, через какие страны следует передавать свою информацию.

Кроме того, теперь все участники конференции могут посмотреть, через какой дата-центр они подключены, нажав значок с буквой i в левом верхнем углу экрана. Так что если данные все-таки отправятся куда-то не туда, вы сможете об этом узнать и пожаловаться разработчику.

Скрытие информации при демонстрации экрана

Раньше Zoom всегда показывал в уведомлениях превью сообщений в чате. Это могло привести к неловкой ситуации, если, например, кто-то напишет вам в личку, пока вы демонстрируете экран. Теперь сервис в бесплатной конференции вообще не выводит уведомления, а чат при демонстрации экрана не показывает, даже если тот открыт.

Обновленное шифрование

Разработчики прокачали алгоритм шифрования конференций. Во-первых, сервис стал использовать более длинные (а значит, более надежные) ключи. Во-вторых, в нем появилась проверка целостности передаваемых данных — защита от злоумышленников, которые могут испортить зашифрованное сообщение или добавить в него что-нибудь от себя, не расшифровывая.

Если вам интересны скучные подробности, то за проверку целостности отвечает режим GCM (Galois/Counter Mode, счетчик с аутентификацией Галуа) — аббревиатура, которая красуется в самом верху страницы с анонсом Zoom 5. Кроме того, этот режим считается менее требовательным к ресурсам, то есть ради более высокой надежности шифрования не придется жертвовать производительностью компьютера.

Сквозное шифрование

Наконец, в скором времени в Zoom появится возможность общаться так, что совсем никто не подслушает — ни посторонние, ни сотрудники сервиса. Создатели сервиса планируют добавить сквозное шифрование видеозвонков и даже приобрели для этого компанию Keybase, специализирующуюся на защищенных мессенджерах и приложениях для обмена данными.

Изначально в Zoom планировали предоставить максимальный уровень конфиденциальности только платным подписчикам. Тот факт, что бесплатных пользователей собирались оставить без сквозного шифрования, вызвал немало критики: Zoom обвинили в сотрудничестве со спецслужбами, по крайней мере, в том, что разработчики допускали такую возможность.

Эти претензии сложно назвать справедливыми. На самом деле сквозного шифрования нет… практически ни у кого из конкурентов сервиса. Есть оно только в мессенджерах с ограниченными возможностями в плане видеосвязи либо в дорогих бизнес-инструментах, которые предлагают его только на заказ и явно не бесплатно.

Объясняется такая непопулярность сквозного шифрования видеосвязи среди разработчиков тем, что оно несовместимо со многими полезными функциями. В частности, при его использовании невозможно делать запись конференции в облаке, транслировать ее на YouTube, присоединяться к встрече по телефону — ничего, что требовало бы управления через сервер. Так что большинству пользователей, скорее всего, будет гораздо удобнее без него.

В любом случае, 17 июня компания объявила, что режим сквозного шифрования будет доступен для всех, в том числе тех, кто пользуется сервисом бесплатно. Правда, произойдет это не мгновенно: в компании собираются начать раннее бета-тестирование этой функции только в июле.

Не стоит расслабляться

Безусловно, Zoom с выходом пятой версии стал значительно более защищенным, чем раньше. Разработчики чрезвычайно ответственно подошли к безопасности и оперативно решили практически все проблемы, которые обнаружились за время самоизоляции.

Однако это не значит, что вам теперь ничего не нужно делать. Во-первых, некоторые вопросы — открытая у вас конференция или закрытая? можно ее записывать или нельзя? — разработчики просто не могут решить за всех. Поэтому настраивать конференцию так, как требуется именно вам, можно и нужно. Благо полезных настроек в Zoom стало больше.

Во-вторых, абсолютной безопасности не существует. Например, в сравнительно недавней версии Zoom 4.6.10 нашлись две уязвимости. Одна из них позволяла выполнять на сервере Zoom произвольный код, отправив вредоносное сообщение в чат. Этот баг, как выяснилось, устранили еще до выхода пятой версии.

Вторая уязвимость была связана с интеграцией чата с онлайн-хранилищем гифок GIPHY. Баг позволял загружать на компьютеры участников конференции произвольные файлы вместо анимированных изображений. Разработчики временно отключили уязвимую функцию и обещают ее вернуть, как только решат проблему.

Непосредственно в пятой версии пока ничего страшного не обнаружили, но это не значит, что никогда не обнаружат. Пока сервис остается в центре внимания, искать в нем изъяны непременно будут. Поэтому если вы пользуетесь Zoom, обязательно следите за обновлениями и своевременно их устанавливайте.

23.06.2020