روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل همین امسال بود که 10 توصیه برای امنیت و حریم خصوصیِ Zoom خدمتتان ارائه دادیم؛ با این حال فناوریها میتوانند با سرعت بیسابقهای پیشرفت کنند، بخصوص آن دسته از فناوریهایی که بیش از بقیه به چشم میآیند. یکی از آنها همین Zoom است که توسعهدهندگانش –همانطور که وعده داده بودند- به این اپ پوشش محافظت داده اضافه کردهاند. در نتیجه نسخهی 5.0 نسبت به نسخه پیشاکروناییاش تغییرات فاحشی کرده است. در ادامه همراهمان باشید تا این آپدیت را مورد بررسی قرار دهیم.
تمرکز بر ساحت امنیتی برای شرکتها بسیار نتیجهبخش بوده است. در گذشته شرکتها و مؤسسات بزرگ استفاده از Zoom را رد میکردند اما اکنون این اپ تأییدیهی دادستانی کل نیویورک را در دستان خود دارد و باری دیگر به آغوش مدارس نیویورکی بازگشته است. نسخهی 5 این اپ قابلیتهای کارامد بسیاری دارد که در زیر بدانها اشاره کردهایم:
تنظیمات امنیت که در جای مناسب و راحتی واقع شدهاند
در نسخه 5 زوم، تمامی تنظیمات مخصوص مدیریت شرکتکنندگان در کنفرانس همه در یک جا قرار دارد. در حقیقت راحتی فدای امنیت نشده است. درست همینجاست که میتوانید حقوق کاربری را محدود، دسترسی به نشستها را برای جلوگیری از ورود مهمانان سرزده مسدود و واترمارکهایی برای اسکرینشاتها و صداهای ضبطشده اضافه نمایید (احیاناً اگر کسی تصمیم گرفت آنها را جایی نشر دهد) و غیره. روی آیکون شیلد در منوی کنفرانس کلیک کنید تا تنظیمات امنیت باز شود.
محافظت ضد ترول
تعدادی از تنظیمات جدید، هجوم ترولهای مزاحم را متوقف میکند. اول از همه اینکه اکنون رمزعبورها و قابلیت «اتاق انتظار» -که مستلزم اجازهی میزبان برای پیوستن به کنفرانس است- به طور پیشفرض فعالسازی شدهاند. دوم اینکه شما میتوانید اکنون نگذارید شرکتکنندکان خود را نامگذاری مجدد کنند. صاحبان اکانتهای پولی همچنین میتوانند اعضا را ملزم به تکمیل اطلاعات خود کنند: نام، آدرس ایمیل و غیره. و با اکانت تجاری نیز شما میتوانید کاربران غیرقانونی و یا آنهایی را که برای وصل شدن به اینترنت نوع خاصی از دامنه آدرس ایمیل دارند بلاک کنید.
مسیریابی اطلاعاتی
رویکرد Zoom در مسیریابی اطلاعاتی نیز تغییر کرده است. اکنون ویدیو کال شما به اشتباه به سرور چینی یا یک سرور بیگانهی دیگر مسیریابی نخواهد شد. اگر بنا به دلیلی مکالمه میبایست داخل کشور خودتان بماند پس دیگر جای هیچ نگرانی نیست: کنفرانسهای رایگان در منطقهی داخلی خواهد ماند و اعضای پولی نیز از تاریخ 8 آوریل میتوانند انتخاب کنند اطلاعاتشان در چه کشورهایی درز کند. افزون بر این، تمامی شرکتکنندگان در کنفرانس اکنون میتوانند با کلیک بر آیکون i در گوشه بالا سمت چپ نمایشگر مشاهده کنند به چه مرکز دادهای متصل هستند. بنابراین، اگر دادهی شما جای دیگری مسیریابی شود شما میتوانید در مورد آن اطلاعات بدست آورید و البته از توسعهدهنده شکایت کنید.
امنیت اشتراکگذاری نمایشگر
زومِ قدیمی همیشه پیشنمایشهایی از پیامهای چت در نوتیفیکیشنها نشان میداد. فرضاً اگر فردی میخواست در طول اشتراکگذاری نمایشگر به شما پیام شخصی بدهد این قابلیت میتوانست موقعیت را عجیب و غریب کند. اکنون در طول کنفرانسهای رایگان، این سرویس اصلاً نوتیفیکیشنی را نمایش نمیدهد و وقتی نمایشگر در حال اشتراکگذاریست چت را –حتی اگر باز هم باشد- نشان نمیدهد.
آپدیت قابلیت رمزگذاری
توسعهدهندگان همچنین الگوریتم رمزگذاری را نیز آپگرید کردهاند. نخست اینکه Zoom حالا از کلیدهای رمزگذاری بلندتری استفاده میکند (که همین باعث میشود رمزگذاریها بیشتر قابل اعتماد باشند). دوم اینکه، صحت دادههای انتقال دادهشده اکنون مورد بررسی قرار میگیرد؛ یکجور اقدام محافظتی در برابر متجاوزانی که ممکن است پیامی رمزگذاریشده را خراب کرده و یا در خفا آن را با پیامی دیگر جا به جا کنند. تازه این را هم بگوییم که حالت Galois/Counter اکنون مسئولیت بررسی صحت داده را بر عهده دارد.
GCM علاوه بر اینکه بیشتر امن است همچنین منابع کمتری نیز میخواهد پس رمزگذاری بهتر به معنای قربانی کردن عملکرد کامپیوتر نیست.
رمزگذاری End-to-end
کاربران بزودی قادر خواهند بود بدون اینکه بیگانهها یا کارمندان Zoom استراقسمع کنند برقراری ارتباط داشته باشند. این سرویس در صدد است ویدیو کالها را به قابلیت رمزگذاری end-to-end مجهز کند. برای این منظور سرویس مذکور حتی Keybase را نیز خریداری کرده است؛ شرکتی که تخصصش مسنجرهای مطمئن و اپها برای تبادل داده است.
اوایل زوم قصد داشت ماکسیمم حد حریمخصوصی را منحصراً به مشترکین پولی بدهد اما خبرها حاکی از این میباشد رها کردن مشترکین رایگان بدون رمزگذاری پایان به پایان نقدهای بسیاری به همراه داشت:
زوم به مشارکت با آژانسهای اطلاعاتی و یا دستکم باریکهراهی برای آنها گذاشتن متهم شد. در این اتهامها براحتی یک نکته مهم فراموش شد: عملاً هیچیک از رقبای Zoome2e ارائه نمیدادند. تماسهای ویدیوییِ رمزگذاریشده به صورت e2e تنها مخصوص مسنجرهای فوری است که قابلیت ویدیو کال محدود دارند و یا مخصوص آن دسته از ابزارهای کسب و کار که این نوع رمزگذاری را فقط به محض درخواست ارائه میدهند (تازه آن هم نه رایگان).
توسعهدهندگان دلایل قانعکنندهای برای دوست نداشتن رمزگذاری e2e ویدیو دارند: این قابلیت با بسیاری از ویژگیهای مفید از جمله توانایی در ضبط کنفرانسها در کلود، پخش آنها روی یوتیوب یا ملحق شدن به نشستها با گوشی سازگاری ندارد؛ در حقیقت با هر چیزی که نیاز به مدیریت توسط سرور داشته باشد سر ناسازگاری دارد.
به هر روی، در تاریخ 17 ژوئن شرکت Zoom اعلام کرد که رمزگذاری پایان به پایان برای همه قابلدسترسی است (از جمله مشترکین رایگان). البته این کار چیزی نیست که یک شبه انجام شود؛ شرکت قصد دارد در ماه جولای تست بتای اولیه را انجام دهد.
وقتی برای استراحت نیست
به طور کلی، Zoom 5 از نسخههای قبلیاش از امنیت بیشتری برخوردار است. توسعهدهندگانش بسیار متعهدانه مسئولیت بخش امنیت را بر عهده گرفتند. آنها سریعاً اکثر مشکلاتی که در طول lockdown بوجود میآمد را رفع کردند. با این حال نباید همیشه هم پشتتان به توسعهدهندگان گرم باشد. آیا کنفرانستان باز است یا بسته؟ آیا ضبط صدا مجاز است یا خیر؟ اینها پرسشهایی هستند که توسعهدهندگان قادر نیستند پاسخ دهند. پس همچنان باید تماسهای کنفرانسیِ خود را بر طبق الزامات شخصی خود تنظیم کنید. خوشبختانه، زوم برای این کار حتی تنظیمات بیشتری نیز در اختیارتان قرار داده است.
این را هم بگوییم که امنیت محضی در کار نیست؛ برای مثال دو آسیبپذیری در نسخه 4.6.10 زوم کشف شد. یکی از این آسیبپذیریها به پیام چت آلوده اجازه میداد تا روی سرور زوم، کد دلخواه اجرا کند. این باگ پیش از عرضه نسخه 5 زوم برطرف شد. آسیبپذیری دوم مربوط میشد به ادغام ویژگی چت با مخزن گیف آنلاین GIPHY. این باگ اجازه میداد تا فایلهای دلخواه به جای تصاویر انیمه، در کامپیوترهای شرکتکنندگان کنفرانس دانلود شود. توسعهدهندگان موقتاً این کارکرد آسیبپذیر را غیرفعال کردند و قول دادند به محض رفع این باگ دوباره آن را برگردانند. تا کنون در نسخه 5 Zoom هیچ باگی دیده نشده اما این بدان معنا نیست که هیچوقت در آن باگی وجود نخواهد داشت. مادامیکه این سرویس زیر ذرهبین باشد و بدان توجه زیادی شود افراد زیادی تلاش خواهند کرد نقاط آسیبپذیرش را به هر قیمتی بر همه عیان کنند و هدف گیرند. از این رو اگر از Zoom استفاده میکنید حواستان به آپدیتهای آن باشد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.