چطور برنامه‌ زوم به رمزگذاری پایان به پایان روی آورد؟

23 تیر 1400 چطور برنامه‌ زوم به رمزگذاری پایان به پایان روی آورد؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سخنرانی نمایندگان برنامه زوم در کنفرانس RSA 2021 حول محور رمزگذاری پایان به پایان[1] در Zoom Cloud Meetings گشت. این شرکت توضیح داد چرا توسعه‌دهندگانش تمرکز خود را روی این مسئله گذاشته‌اند، چطور تصمیم دارند تماس‌ها را امنیتی بیشتری بخشند و کاربران می‌توانند انتظار چه قابلیت‌های جدید و امنیت‌محوری را داشته باشند. در ادامه با ما همراه شوید تا شما را از چند و چون این تصمیم زوم باخبر کنیم.

تاریخچه‌ای کوتاه

پاندمی ویروس کرونا باعث شد بسیاری از ما به دورکاری بلند مدت سویئچ کنیم و از طریق نرم‌افزارهای تله‌کنفرانس با عزیزان و همکاران خود در ارتباط باشیم. محبوبیت بسیار زوم هم علاقه متخصین و هم علاقه مجرمان سایبری را به خود جلب کرد و درست در همین نقطه بود که کاشف بعمل آمد این پلت‌فرم آنقدرها هم امن نبوده است. برای مثال این نرم‌افزار آسیب‌پذیری‌هایی داشت که به مهاجمین اجازه می‌داد با دوربین‌ها و میکروفون‌های خود کاربران آن‌ها را جاسوسی کنند. واکنش زوم به این رخداد سایبری سریع و به جا بود اما این مشکل بر قوت خود باقی ماند. عمده نگرانی این بود که پلت‌فرم زوم به جای رمزگذاری پایان به پایان (E2EE) از رمزگذاری نقطه به نقطه (P2PE) استفاده می‌کرد.

E2EE در برابر P2PE

در نگاه اول، این دو سیستم شاید شبیه به هم باشند: هر دو داده‌هایی را که کاربر مبادله می‌کند رمزگذاری می‌کنند. اما در خصوص P2PE سرور می‌تواند به پیام‌های کاربران دسترسی داشته باشد؛ این درحالیست که E2EE اطلاعات را روی دستگاه فرستنده رمزگذاری و آن را تنها روی پایانه‌ی گیرنده رمزگشایی می‌کند. با این حال، این جزئیات پتانسیل دردسر ساختن دارد و توسعه‌دهندگان زوم حالا نگران این دو موضوع هستند:

  •         مجرمان سایبری می‌توانند سرور را نقض کنند، کلیدهای رمزگذاری را که آنجا ذخیره شدند بدزدند، به جلسات در مکان‌های واقعی حضار ملحق شوند و یا پیام‌ها را اسپوف کنند.
  •         کارمندان فرصت‌طلب یک ارائه‌دهنده کلود یا خود شرکت زوم می‌توانند به کلیدها دسترسی پیدا کرده و داده‌های کاربران را بدزدند.

هیچکس نمی‌خواهد مکالمات خصوصی‌اش با خانواده یا دوستانش جایی درز کند؛ چه برسد به اینکه رازهای تجاری‌اش عمومی شود! علاوه بر اینها اگر هکری بنا بود برای یک استراق سمع جزئی هم از کلیدهای سرقتی استفاده کند، باز هم شناسایی‌اش به شدت سخت می‌بود. E2EE این مشکلات را با ذخیره‌سازی کلیدهای رمزگذاری روی دستگاه‌های کاربران و فقط همانجا حل می‌کند. این یعنی هک کردن سرور به مهاجم اجازه نخواهد داد یک کنفرانس ویدیویی را استراق سمع کند. پس طبیعی است که خیلی‌ها منتظر باشند زوم به E2EE رو بیاورد (رمزگذاری پایان به پایان استانداردی حتمی برای اپ‌های پیام‌رسان است).

رمزگذاری پایان به پایان در زوم: وضعیت فعلی

توسعه‌دهندگان به انتقادات گوش دادند و گام‌هایی در راستای ارتقای امنیت این پلت‌فرم برداشتند؛ از جمله پیاده‌سازی E2EE. زوم از پاییز 2020 از رمزگذاری پایان به پایان برای تماس‌های ویدیویی و نیز چت استفاده می‌کند. با فعال شدن این قابلیت زوم دیگر توانسته از داده‌های شرکت‌کنندگان با کلید رمزگذاری کنفرانس (چنین اسمی برایش گذاشته شده است) محافظت کند. این کلید روی سرورهای زوم ذخیره نمی‌شود؛ بنابراین حتی توسعه‌دهندگان هم نمی‌توانند محتوای مکالمات را رمزگشایی کنند. این پلت‌فرم تنها آی‌دی‌های رمزگذاری‌شده و یک سری ابر داده از جلسات مانند مدت‌زمان تماس‌ها را ذخیره می‌کند. برای مصون ماندن از گزند کانکشن‌های بیرونی، توسعه‌دهندگان همچنین قابلیتی به نام Heartbeat را معرفی کردند؛ سیگنالی که اپ رهبر جلسه خودکار به سایر کاربران ارسال می‌کند. این سیگنال برای مثال حاوی فهرستی است از شرکت‌کنندگان که رهبر جلسه برایشان کلید رمزگذاری فعلی را می‌فرستد. اگر کسی که جزو این لیست نباشد به جلسه ملحق شود همه فوراً متوجه می‌شوند کاسه‌ای زیر نیم‌کاسه است. روش دیگر برای جلوگیری از مهمان‌های ناخواسته قفل کردن جلسه است (با استفاده از قابلیت Lock Meeting)؛ درست زمانی که همه مهمان‌های اصلی نشست آمده‌اند. شما می‌بایست به طور دستی جلسات را قفل کنید اما وقتی این کار را کردید دیگر کسی نمی‌تواند به شما ملحق شود، حتی اگر آی‌دی نشست و پسورد داشته باشد. Zoom همچنین با جایگزینی کلید رمزگذاری از حملات مرد میانی نیز جلوگیری می‌کند. برای حصول اطمینان از اینکه نفوذی‌ای کنفرانس‌ها را شنود نمی‌کند، رهبر جلسه می‌تواند هر زمان که بخواهد با کلیک روی دکمه کد امنیتی بر اساس کلید رمزگذاری نشست فعلی تولید کند. این کد به طور مشابهی برای سایر شرکت‌کنندگان جلسه نیز به طور خودکار تولید می‌شود. فقط رهبر جلسه باید کد را با صدای بلند بخواهند؛ اگر با مال بقیه همخوانی داشت آنوقت همه از همان کلید استفاده خواهند کرد. در آخر اگر رهبر جلسه، جلسه را ترک کند و کس دیگری رهبری را بر عهده گیرد اپ زوم این مسئله را سریعاً گزارش خواهد کرد. اگر رهبر جدید برای بقیه مشکوک به نظر رسید می‌توانند برای رفع مسئله بحث‌های فوق محرمانه خود را متوقف کنند. البته که اگر فقط دارید با دوستان خود در زوم گپ می‌زنید نیازی نیست از این همه ساز و کار امنیتی استفاده کنید. اما اگر رازهای تجاری (یا هر راز دیگری) را دارید در میز مجازی مطرح می‌کنید این ابزارهای محافظتی می‌توانند بسیار کمک‌کننده باشند؛ بنابراین شرکت‌کنندگان جلسات مهم باید از این ابزارها اطلاع داشته باشند و بدانند چطور می‌شود از آن‌ها استفاده کرد. با وجود نوآوری‌ها، توسعه‌دهندگان زوم اعتراف کردند که همچنان می‌توانند کلی نوآوری دیگر نیز به این پلت‌فرم تزریق کنند. RSA 2021 هچنین باعث شد مسیر پیشرفت و سیر تکاملی بچه‌های زوم نیز بر همگان عیان شود.

زوم در آینده چه چیزهایی برایمان رو خواهد کرد؟

توسعه‌دهندگان چندین تهدید را شناسایی کردند که هنوز برایشان راه‌های مقابله‌ی مؤثری ترتیب داده نشده است. یکی از آن‌ها نفوذ بیگانگان به نشست‌هاست (همان‌هایی که ژست حضار واقعی به خود می‌گیرند). دیگری این است که محافظت E2EE جلوی دسترسی مهاجمین را به ابرداده‌ها نمی‌گیرد؛ مانند مدت‌زمان تماس، نام شرکت‌کنندگان و آدرس‌های آی‌پی. آسیب‌پذیری‌های داخل برنامه را هم نمی‌شود از لیست ریسک‌ها برداشت. به لحاظ تئوری مجرمان سایبری می‌توانند کد مخربی را در زوم جاگذاری کنند. با در نظر گرفتن همه این تهدیدها توسعه‌دهندگان زوم اهداف زیر را معین کردند:

  •         جلوگیری از دسترسی به رویدادها به غیر از مدعوین.
  •         جلوگیری از هر شرکت‌کننده‌ای که اسمش از رویدادی خط خورده.
  •         جلوگیری از مداخله‌ی هر کسی که حضورش در رویداد پیش‌بینی نشده.
  •         اجازه به حضار برای گزارش موارد سوءاستفاده به تیم امنیتی زوم.

نقشه راه

به منظور رسیدن به اهداف، توسعه‌دهندگان یک نقشه‌راه چهار مرحله‌ای ساختند که گام یک آن از پیش اجرایی شده است. همانطور که اشاره کردیم، آن‌ها سیستم را برای مدیریت کلید رمزگذاری کنفرانس تغییر داده‌اند تا فقط روی دستگاه‌های کاربران ذخیره شود و نیز ابزارهای محافظتی نیز در برابر بیگانگانی که به نشست‌ها ملحق می‌شوند ارتقا داده شده است. در گام دو آن‌ها برنامه دارند احراز هویت کاربر را که به سرورهای زوم متکی نباشد معرفی کنند. این سروها در عوض مبتنی بر فناوری SSO[2]  است؛ فناوری‌ای حاوی ارائه‌دهندگان مستقل هویت[3]. در نتیجه مهاجم احتمالی نمی‌تواند هویت کاربر را جعل کند؛ حتی با بدست آوردن کنترل سرور زوم. اگر کسی به رویدادی ملحق شود و وانمود کند مدعو است اما کلید عمومی جدیدی داشته باشد دیگران از تهدید احتمالی باخبر خواهند شد و برایشان هشداری خواهد آمد. گام سه مفهوم درخت شفافیت را معرفی می‌کند: منظور ذخیره همه هویت‌ها در ساختار اطلاعاتی تصدیق‌شده و قابل کنترل است است؛ آن هم برای حصول اطمینان از اینکه همه کاربران دید ثابتی به هر هویت دارند و حملات جعل را شناسایی می‌کنند. هدف زوم تقویت محافظت پلت‌فرم از حملات مرد میانی است. در گام چهارم توسعه‌دهندگان قصد دارند وقتی کاربری از یک دستگاه جدید کانکت می‌شود چک کردن هویت آسانتر شود. برای لینک کردن گجت جدید، کاربر باید قانونی بودن خود را اثبات کند؛ برای مثال با اسکن کد کیوآر روی نمایشگر کامپیوتر یا گوشی قابل‌اعتماد. با این کار مهاجم نمی‌تواند دستگاهی را به اکانت فرد دیگری لینک دهد.

امنیت بدون قربانی کردن قابلیتی دیگر

موقع پیاده‌سازی مکانیزم‌های امنیتی اضافی مهم است نحوه‌ی تأثیر آن‌ها روی کاربران معمولی را نیز لحاظ کرد. توسعه‌دهندگان زوم نیز این جنبه را مد نظر قرار دادند. برای مثال یکی از نوآوری‌ها پیشنهاد شده استفاده از کلودهای شخصی دستگاه است. چنین فناوری پروسه افزودن گجت‌های جدید به اکانت را در عین حال که به امنیت‌بخشی آن کمک می‌کند ساده‌سازی خواهد کرد. برای مثال اگر شما در حالت نرمال از کامپیوتر برای تماس‌های زوم استفاده می‌کنید اما سپس از اسمارت‌فون خود SIGN IN می‌شوید بار بعد که زوم را روی کامپیوتر خود باز کنید خواهید دید که گجت جدیدی SIGN IN کرده. اگر آن را تأیید کنید، هر دو دستگاه به یک کلود واحد لینک خواهند شد و سای شرکت‌کنندگان جلسه هم خواهند دانست این شما هستید و نه یک فرد نفوذی. یک کلود دستگاه همچنین به شما اجازه می‌دهد بررسی کنید ببینید کدام گجت‌ها به اکانت شما لاگ شدند و بعدش بتوانید وضعیت قابل ‌اعتماد را برای هر یک از آن‌ها لغو کنید.

مهمتر اینکه توسعه‌دهندگان زوم در نظر دارند گزینه‌ای برای سوئیچ کردن به وسط جلسه‌ی E2EE اضافه کنند و البته کلی قابلیت‌های کارامد دیگر هم در راه است.

آیا زوم امن‌تر خواهد شد؟

جواب کوتاه بله است؛ امنیت زوم همچنان رو به ارتقاست. این شرکت از پیش اقداماتی در راستای محافظت از تداخلات بیرونی انجام داده است و حتی ابزارهای دیگری هم برای تقویت امنیت این اپ دارد. سوم همچنین در تلاش است کارکرد آسان را با امنیت در هم آمیزد. البته که این تا حد زیادی به همراهی خود کاربران زوم هم بستگی دارد. مانند هر چیز آنلاین دیگری، کنفرانس ویدیویی هم نیازمند عقل سلیم است و دانش مکانیزم‌های محافظتی موجود. چیزی که مهم است آگاه بودن از هشدارهایی که این پلت‌فرم می‌فرستد و کاربران می‌بایست در صورت دیدن مورد مشکوک از صحبت‌های محرمانه خود عقب بکشند و خود مهره‌ای باشند برای جلوگیری از نشتی داده.

 

[1] end-to-end encryption

[2] single sign-on

[3] independent identity providers

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد