» »

Microsoft odpravil hrošča, Zoom ima luknjo

Microsoft odpravil hrošča, Zoom ima luknjo

Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja šifriranje podatkov od pošiljatelja do prejemnika (end-to-end), The Intercept ugotavlja, da je izvedba manj varna. V resnici za avdio in video podatke aplikacija uporablja šifriranje podatkov v prenosu (transport encryption), kar je manj varno. Zoom uporablja šifriranje TLS (enako kot spletne strani na HTTPS), kar pomeni, da lahko Zoom dešifrira vsebino. Pri pravi end-to-end enkripciji to ne bi bilo možno. Ne more pa vsebini prisluškovati zlonamerni akter na omrežju ali internetu, to drži.

Signal je primer aplikacije, ki omogoča tovrstno end-to-end šifriranje, ko je vsebina dostopna samo sodelujočih v komunikaciji. V Zoomu je na tak način šifrirano tekstovno komuniciranje. Ob tem The Intercept izpostavlja tudi, da Zoom ne objavlja poročila o transparentnosti (kot na primer GOogle ali Facebook), kjer bi objavili, koliko zahtevkov organov pregona po izročitvi podatkov dobijo in koliko jih izpolnijo. Lahko pa poslovni uporabniki uporabijo Zoomo Meeting Connector, kjer sicer spet ni end-to-end šifriranja, a vsi podatki potujejo le po internem omrežju podjetja in ne do Zooma. V Zoomu sicer pravijo, da v vseh primerih zbirajo le prometne in servisne podatke, medtem ko do vsebine zaposleni ne morejo, niti je ne prodajajo ali tržijo.

15 komentarjev

starfotr ::

https://meet.jit.si/

Tole je treba začet uporabljat.

mtosev ::

Good work Microsoft
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

korenje3 ::

Mi smo opazl da je zoom odstranil 40 minutni limit na zastonjski verziji.
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

poweroff ::

Lahko uporabite tole: https://ustavimokorono.si/videokonferen...

Brezplačno, brez registracije.
sudo poweroff

ToniT ::

Matthai, čestitam...

Ezg3ta ::

In kaj je zdaj ta zloglasna luknja v Zoomu? Kolikor vidim gre "le" za zavajanje uporabnikov, ker trdijo, da podpirajo end-to-end encryption.

Nikonja ::

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

flameir ::

Lahko kdo kaj več pove o Jitsi Meet-u. Način enkripcije, plusi/minusi, morda izkušnje z dejansko uporabo za sestanke cca 10-20 ljudi (delovanje napram Zoomu / Teamsom).
Hvala.

Ales ::

Nikonja je izjavil:

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

Od kod ideja, da je Viber zastonj? Kaj misliš, od česa živijo?

shadow7 ::

flameir je izjavil:

Lahko kdo kaj več pove o Jitsi Meet-u. Način enkripcije, plusi/minusi, morda izkušnje z dejansko uporabo za sestanke cca 10-20 ljudi (delovanje napram Zoomu / Teamsom).
Hvala.

Enkripcija je user-server. Pri nas je zadeva pristala na našem serverju. Zvok, slika (kamera, desktop, app), chat, možnost povezave s SIP kanalom.

Slednje pride prav za tiste, ki si ne znajo/morejo usposobiti zvoka na računalniku.

Za večje število udeležencev pride prav možnost push to talk - manj šuma iz ozadja. Sploh, če so kje v ozadju še živahni otroci.

poweroff ::

Ja, tako kot je shadow povedal. Lahko sicer nastaviš obvezno avtentikacijo moderatorjev (samo moderatorji lahko odprejo novo sobo za pogovore), moderator pa lahko nastavi geslo za dostopa do sobe za pogovore.

Obstaja tudi electron verzija Jitsija, ki omogoča oddaljeno upravljanje zaslona.

Mi smo imeli včeraj preko 50 sočasnih userjev, in je delalo v redu. Imamo pa trenutno še en problemček, ki ga bomo upam rešili danes zvečer.
sudo poweroff

Mavrik ::

Matthai: Ima Jitsi E2E enkripcijo? Ali lahko vi vidite vse pogovore in sodelujoče na vašem strežniku?
The truth is rarely pure and never simple.

Invictus ::

Nikonja je izjavil:

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

Za Viber rabiš telefonsko številko, ki jo marsikateri otrok nima...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

poweroff ::

Mavrik, ne, Jitsi nima E2E enkripcije, kar je seveda pomanjkljivost. Za take namene oz. če kdo rabi, ponujamo Biocoded (imamo 100 licenc), ampak to lahko dobijo samo tisti, ki se ukvarjajo z reševanjem te krize.

Smo si pa interno postavili tudi Wire server, kjer pa pogovori so E2E šifrirani, ampak zaenkrat še ni ready za ponujanje splošni javnosti.
sudo poweroff

poweroff ::

Tole je sicer precej pomankljiva novica. Glede Zooma pol stvari sploh ni omenjenih. Recimo.

Podatke o uporabi prodajajo Facebooku: https://www.cbsnews.com/news/zoom-app-p...
Na MacOS se aplikacija predstavlja kot System (ko vpraša za root password)
Ima funkcijo sledenja kaj počneš na računalniku (sneatch feature) in ali imaš fokusiran video.
Poleg tega pa še Zoom bombing: https://eu.usatoday.com/story/tech/2020...
Na room ne moreš dati gesla.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prepoved end-to-end šifriranja v ZDA?

Oddelek: Novice / Zasebnost
327750 (3550) Master_Yoda
»

Bo Facebook z WhatsAppom ubil šifriranje?

Oddelek: Novice / Zasebnost
439290 (6769) BigWhale
»

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Oddelek: Novice / Zasebnost
176622 (5070) jype
»

Googlovo opozarjanje na nešifrirano e-pošto povečalo delež šifrirane

Oddelek: Novice / Omrežja / internet
115331 (3832) Furbo
»

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Oddelek: Novice / Zasebnost
73678 (3678) christooss

Več podobnih tem