Zoom 5: курс на безопасность

Разработчики Zoom взяли и сделали свой сервис более надежным. Разбираемся, что именно изменилось.

Рассказываем, что изменилось в Zoom 5 с точки зрения безопасности и конфиденциальности

Не так давно мы рассказывали, как настроить Zoom, чтобы пользоваться им было безопасно. Однако технологии развиваются очень быстро, особенно те, которые оказываются в центре внимания. Zoom — не исключение: разработчики, как и обещали, вплотную занялись защитой данных. Версия 5.0 с точки зрения безопасности сильно отличается от Zoom времен начала коронакризиса.

Правильное отношение разработчиков Zoom к безопасности быстро принесло плоды. Если раньше от него активно отказывались крупные компании, государственные и образовательные учреждения, то теперь он получил одобрение генпрокурора Нью-Йорка и его снова разрешили использовать в городских школах. Давайте разберемся, что же полезного появилось в пятой версии.

Удобное расположение настроек безопасности

В новой версии создатели Zoom постарались сделать так, чтобы защита не противоречила удобству. Начиная с Zoom 5 все настройки, касающиеся управления участниками конференции, собраны в одном месте.

Здесь можно ограничивать права пользователей, блокировать доступ к собранию, чтобы избежать незваных гостей, добавлять водяные знаки в скриншоты и аудиозаписи на случай, если кто-то решит их опубликовать, и так далее. Открываются эти настройки, если нажать на иконку со щитом в меню конференции.

Защита от троллей

В Zoom появилось несколько настроек, позволяющих исключить нашествие анонимных троллей. Во-первых, пароли и функция «Зал ожидания», не позволяющая присоединиться к конференции без вашего согласия, теперь включены по умолчанию. Во-вторых, вы можете запретить участникам переименовываться, чтобы легче было их опознавать.

Владельцы платных учетных записей также могут потребовать, чтобы участники указывали информацию о себе — имя, адрес электронной почты и так далее. А бизнес-аккаунты позволяют запретить подключаться неавторизованным пользователям или тем, чей электронный адрес находится на неподходящем (например, публичном, а не корпоративном) домене.

Маршрутизация данных

Изменился и подход Zoom к маршрутизации данных. Теперь ваше видео не отправится по ошибке на китайский или другой зарубежный сервер. Если беседа по какой-то причине должна оставаться внутри страны, то вам не о чем беспокоиться: бесплатные конференции вообще не выйдут за пределы домашнего региона, а у платных подписчиков с 18 апреля есть возможность выбрать, через какие страны следует передавать свою информацию.

Кроме того, теперь все участники конференции могут посмотреть, через какой дата-центр они подключены, нажав значок с буквой i в левом верхнем углу экрана. Так что если данные все-таки отправятся куда-то не туда, вы сможете об этом узнать и пожаловаться разработчику.

Скрытие информации при демонстрации экрана

Раньше Zoom всегда показывал в уведомлениях превью сообщений в чате. Это могло привести к неловкой ситуации, если, например, кто-то напишет вам в личку, пока вы демонстрируете экран. Теперь сервис в бесплатной конференции вообще не выводит уведомления, а чат при демонстрации экрана не показывает, даже если тот открыт.

Обновленное шифрование

Разработчики прокачали алгоритм шифрования конференций. Во-первых, сервис стал использовать более длинные (а значит, более надежные) ключи. Во-вторых, в нем появилась проверка целостности передаваемых данных — защита от злоумышленников, которые могут испортить зашифрованное сообщение или добавить в него что-нибудь от себя, не расшифровывая.

Если вам интересны скучные подробности, то за проверку целостности отвечает режим GCM (Galois/Counter Mode, счетчик с аутентификацией Галуа) — аббревиатура, которая красуется в самом верху страницы с анонсом Zoom 5. Кроме того, этот режим считается менее требовательным к ресурсам, то есть ради более высокой надежности шифрования не придется жертвовать производительностью компьютера.

Сквозное шифрование

Наконец, в скором времени в Zoom появится возможность общаться так, что совсем никто не подслушает — ни посторонние, ни сотрудники сервиса. Создатели сервиса планируют добавить сквозное шифрование видеозвонков и даже приобрели для этого компанию Keybase, специализирующуюся на защищенных мессенджерах и приложениях для обмена данными.

Изначально в Zoom планировали предоставить максимальный уровень конфиденциальности только платным подписчикам. Тот факт, что бесплатных пользователей собирались оставить без сквозного шифрования, вызвал немало критики: Zoom обвинили в сотрудничестве со спецслужбами, по крайней мере, в том, что разработчики допускали такую возможность.

Эти претензии сложно назвать справедливыми. На самом деле сквозного шифрования нет… практически ни у кого из конкурентов сервиса. Есть оно только в мессенджерах с ограниченными возможностями в плане видеосвязи либо в дорогих бизнес-инструментах, которые предлагают его только на заказ и явно не бесплатно.

Объясняется такая непопулярность сквозного шифрования видеосвязи среди разработчиков тем, что оно несовместимо со многими полезными функциями. В частности, при его использовании невозможно делать запись конференции в облаке, транслировать ее на YouTube, присоединяться к встрече по телефону — ничего, что требовало бы управления через сервер. Так что большинству пользователей, скорее всего, будет гораздо удобнее без него.

В любом случае, 17 июня компания объявила, что режим сквозного шифрования будет доступен для всех, в том числе тех, кто пользуется сервисом бесплатно. Правда, произойдет это не мгновенно: в компании собираются начать раннее бета-тестирование этой функции только в июле.

Не стоит расслабляться

Безусловно, Zoom с выходом пятой версии стал значительно более защищенным, чем раньше. Разработчики чрезвычайно ответственно подошли к безопасности и оперативно решили практически все проблемы, которые обнаружились за время самоизоляции.

Однако это не значит, что вам теперь ничего не нужно делать. Во-первых, некоторые вопросы — открытая у вас конференция или закрытая? можно ее записывать или нельзя? — разработчики просто не могут решить за всех. Поэтому настраивать конференцию так, как требуется именно вам, можно и нужно. Благо полезных настроек в Zoom стало больше.

Во-вторых, абсолютной безопасности не существует. Например, в сравнительно недавней версии Zoom 4.6.10 нашлись две уязвимости. Одна из них позволяла выполнять на сервере Zoom произвольный код, отправив вредоносное сообщение в чат. Этот баг, как выяснилось, устранили еще до выхода пятой версии.

Вторая уязвимость была связана с интеграцией чата с онлайн-хранилищем гифок GIPHY. Баг позволял загружать на компьютеры участников конференции произвольные файлы вместо анимированных изображений. Разработчики временно отключили уязвимую функцию и обещают ее вернуть, как только решат проблему.

Непосредственно в пятой версии пока ничего страшного не обнаружили, но это не значит, что никогда не обнаружат. Пока сервис остается в центре внимания, искать в нем изъяны непременно будут. Поэтому если вы пользуетесь Zoom, обязательно следите за обновлениями и своевременно их устанавливайте.

Советы