- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
В последнее время от использования Zoom своих сотрудников предостерегают не только НАСА и SpaceX, компания Google, но также от приложения предпочли дистанцироваться власти Тайваня, правительство Австралии, американские школы, а также Сенат США и министерство иностранных дел Германии.
На этой неделе данный список пополнился и властями Индии: в стране запретили использование Zoom для проведения удаленных правительственных заседаний, сообщив, что платформа не подходит для использования государственными служащими и должностными лицами.
Напомню, что такая ситуация возникла из-за множества проблем с безопасностью и конфиденциальностью в Zoom. Из-за жесткой критики со стороны ИБ-экспертов в начале апреля разработку приложения вообще остановили на 90 дней, и компания полностью сосредоточилась на улучшении безопасности, а также пообещала провести аудит с привлечением сторонних специалистов.
Инженеры компании уже устранили многие проблемы безопасности, обнаруженные экспертами, а также в компании создали совет CISO, а также пригласили в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.
В частности, одной из больших проблем платформы является так называемый «Zoom-Bombing». Третьи лица частенько присоединяются к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или пошутить. Зачастую потом записи таких пранков появляются в социальных сетях.
К примеру, на этой неделе американский конгрессмен рассказал, что в начале апреля злоумышленникам удалось сорвать встречу в Zoom, проводившуюся на самых высоких уровнях правительства США. Письмо об инциденте было направлено председателю комитета по надзору палаты представителей штата Огайо. Документ гласит, что, невзирая на все предупреждения со стороны СМИ и ФБР, чиновники использовали Zoom для проведения встречи, и в итоге брифинг трижды прерывался из-за Zoom-Bombing’а.
И хотя восстановить репутацию Zoom после всего случившегося определенно будет непросто, разработчики продолжают следовать своему плану и посвящают все свое время улучшению безопасности.
Так, вчера стало известно, что партнером Zoom стала компания Luta Security, специализирующаяся на управлении программами раскрытия уязвимостей и организации bug bounty. Компанию возглавляет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. И хотя у Zoom ранее уже была программа вознаграждения за уязвимости на платформе HackerOne, Luta Security поможет обновить ее и улучшить.
Кроме того, в своем Twitter Моуссурис намекнула, что в ближайшее время к Zoom присоединятся и другие известные эксперты, включая специалиста по вопросам конфиденциальности Лею Кисснер (бывшего главу Privacy Technology в Google), криптографа и профессора университета Джонса Хопкинса Мэтью Грина, а также три известные аудиторские фирмы: BishopFox, NCC Group и Trail of Bits.
I’m excited to highlight my colleagues who are adding their expertise in the next few weeks. In addition to welcoming my former colleague @alexstamos to the extended Zoom security family
I’d like to welcome @LeaKissner @matthew_d_green @bishopfox @NCCGroupInfosec @trailofbits pic.twitter.com/fQV5cce3aq
— Katie Moussouris (@k8em0) April 16, 2020
Напомню, что теперь Zoom проводит еженедельные вебинары «Спросите Эрика», в рамках которых глава Zoom Эрик Юань рассказывает об успехах компании и будущих функциях безопасности Zoom.
Так, Юань рассказал, что разработчики скоро позволят пользователям выбирать, какие центры обработки данных использует Zoom (напомню, что властям Тайваня не понравилось, что трафик проходит через серверы в Китае), где будут храниться их данные, а также в приложении появится возможность сообщать о нарушителях.
Алекс Стамос, выступая на том же вебинаре, объявил о планах перехода от нынешней раскритикованной схемы шифрования к более проверенному и надежному решению. Так, Zoom перейдет от текущего шифрования 256-AES ECB к более безопасному 256-AES GCM, а также Стамос сообщил, что в долгосрочной перспективе планируется создание принципиально нового криптографического дизайна, который значительно снизит риски для Zoom-систем в целом.
На этой неделе данный список пополнился и властями Индии: в стране запретили использование Zoom для проведения удаленных правительственных заседаний, сообщив, что платформа не подходит для использования государственными служащими и должностными лицами.
Напомню, что такая ситуация возникла из-за множества проблем с безопасностью и конфиденциальностью в Zoom. Из-за жесткой критики со стороны ИБ-экспертов в начале апреля разработку приложения вообще остановили на 90 дней, и компания полностью сосредоточилась на улучшении безопасности, а также пообещала провести аудит с привлечением сторонних специалистов.
Инженеры компании уже устранили многие проблемы безопасности, обнаруженные экспертами, а также в компании создали совет CISO, а также пригласили в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.
В частности, одной из больших проблем платформы является так называемый «Zoom-Bombing». Третьи лица частенько присоединяются к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или пошутить. Зачастую потом записи таких пранков появляются в социальных сетях.
К примеру, на этой неделе американский конгрессмен рассказал, что в начале апреля злоумышленникам удалось сорвать встречу в Zoom, проводившуюся на самых высоких уровнях правительства США. Письмо об инциденте было направлено председателю комитета по надзору палаты представителей штата Огайо. Документ гласит, что, невзирая на все предупреждения со стороны СМИ и ФБР, чиновники использовали Zoom для проведения встречи, и в итоге брифинг трижды прерывался из-за Zoom-Bombing’а.
И хотя восстановить репутацию Zoom после всего случившегося определенно будет непросто, разработчики продолжают следовать своему плану и посвящают все свое время улучшению безопасности.
Так, вчера стало известно, что партнером Zoom стала компания Luta Security, специализирующаяся на управлении программами раскрытия уязвимостей и организации bug bounty. Компанию возглавляет ветеран кибербезопасности Кэти Моуссурис (Katie Moussouris). Основательница Luta Security наиболее известна тем, что координирует bug bounty программы для Microsoft, Symantec и Пентагона. И хотя у Zoom ранее уже была программа вознаграждения за уязвимости на платформе HackerOne, Luta Security поможет обновить ее и улучшить.
Кроме того, в своем Twitter Моуссурис намекнула, что в ближайшее время к Zoom присоединятся и другие известные эксперты, включая специалиста по вопросам конфиденциальности Лею Кисснер (бывшего главу Privacy Technology в Google), криптографа и профессора университета Джонса Хопкинса Мэтью Грина, а также три известные аудиторские фирмы: BishopFox, NCC Group и Trail of Bits.
I’m excited to highlight my colleagues who are adding their expertise in the next few weeks. In addition to welcoming my former colleague @alexstamos to the extended Zoom security family
I’d like to welcome @LeaKissner @matthew_d_green @bishopfox @NCCGroupInfosec @trailofbits pic.twitter.com/fQV5cce3aq
— Katie Moussouris (@k8em0) April 16, 2020
Напомню, что теперь Zoom проводит еженедельные вебинары «Спросите Эрика», в рамках которых глава Zoom Эрик Юань рассказывает об успехах компании и будущих функциях безопасности Zoom.
Так, Юань рассказал, что разработчики скоро позволят пользователям выбирать, какие центры обработки данных использует Zoom (напомню, что властям Тайваня не понравилось, что трафик проходит через серверы в Китае), где будут храниться их данные, а также в приложении появится возможность сообщать о нарушителях.
Алекс Стамос, выступая на том же вебинаре, объявил о планах перехода от нынешней раскритикованной схемы шифрования к более проверенному и надежному решению. Так, Zoom перейдет от текущего шифрования 256-AES ECB к более безопасному 256-AES GCM, а также Стамос сообщил, что в долгосрочной перспективе планируется создание принципиально нового криптографического дизайна, который значительно снизит риски для Zoom-систем в целом.
