» »

Microsoft odpravil hrošča, Zoom ima luknjo

Microsoft odpravil hrošča, Zoom ima luknjo

Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja šifriranje podatkov od pošiljatelja do prejemnika (end-to-end), The Intercept ugotavlja, da je izvedba manj varna. V resnici za avdio in video podatke aplikacija uporablja šifriranje podatkov v prenosu (transport encryption), kar je manj varno. Zoom uporablja šifriranje TLS (enako kot spletne strani na HTTPS), kar pomeni, da lahko Zoom dešifrira vsebino. Pri pravi end-to-end enkripciji to ne bi bilo možno. Ne more pa vsebini prisluškovati zlonamerni akter na omrežju ali internetu, to drži.

Signal je primer aplikacije, ki omogoča tovrstno end-to-end šifriranje, ko je vsebina dostopna samo sodelujočih v komunikaciji. V Zoomu je na tak način šifrirano tekstovno komuniciranje. Ob tem The Intercept izpostavlja tudi, da Zoom ne objavlja poročila o transparentnosti (kot na primer GOogle ali Facebook), kjer bi objavili, koliko zahtevkov organov pregona po izročitvi podatkov dobijo in koliko jih izpolnijo. Lahko pa poslovni uporabniki uporabijo Zoomo Meeting Connector, kjer sicer spet ni end-to-end šifriranja, a vsi podatki potujejo le po internem omrežju podjetja in ne do Zooma. V Zoomu sicer pravijo, da v vseh primerih zbirajo le prometne in servisne podatke, medtem ko do vsebine zaposleni ne morejo, niti je ne prodajajo ali tržijo.

15 komentarjev

starfotr ::

https://meet.jit.si/

Tole je treba začet uporabljat.

mtosev ::

Good work Microsoft
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3l, samsung 860evo, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

korenje3 ::

Mi smo opazl da je zoom odstranil 40 minutni limit na zastonjski verziji.
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

Matthai ::

Lahko uporabite tole: https://ustavimokorono.si/videokonferen...

Brezplačno, brez registracije.
All those moments will be lost in time, like tears in rain...
Time to die.

ToniT ::

Matthai, čestitam...

Ezg3ta ::

In kaj je zdaj ta zloglasna luknja v Zoomu? Kolikor vidim gre "le" za zavajanje uporabnikov, ker trdijo, da podpirajo end-to-end encryption.

Nikonja ::

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

flameir ::

Lahko kdo kaj več pove o Jitsi Meet-u. Način enkripcije, plusi/minusi, morda izkušnje z dejansko uporabo za sestanke cca 10-20 ljudi (delovanje napram Zoomu / Teamsom).
Hvala.

Ales ::

Nikonja je izjavil:

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

Od kod ideja, da je Viber zastonj? Kaj misliš, od česa živijo?

shadow7 ::

flameir je izjavil:

Lahko kdo kaj več pove o Jitsi Meet-u. Način enkripcije, plusi/minusi, morda izkušnje z dejansko uporabo za sestanke cca 10-20 ljudi (delovanje napram Zoomu / Teamsom).
Hvala.

Enkripcija je user-server. Pri nas je zadeva pristala na našem serverju. Zvok, slika (kamera, desktop, app), chat, možnost povezave s SIP kanalom.

Slednje pride prav za tiste, ki si ne znajo/morejo usposobiti zvoka na računalniku.

Za večje število udeležencev pride prav možnost push to talk - manj šuma iz ozadja. Sploh, če so kje v ozadju še živahni otroci.

Matthai ::

Ja, tako kot je shadow povedal. Lahko sicer nastaviš obvezno avtentikacijo moderatorjev (samo moderatorji lahko odprejo novo sobo za pogovore), moderator pa lahko nastavi geslo za dostopa do sobe za pogovore.

Obstaja tudi electron verzija Jitsija, ki omogoča oddaljeno upravljanje zaslona.

Mi smo imeli včeraj preko 50 sočasnih userjev, in je delalo v redu. Imamo pa trenutno še en problemček, ki ga bomo upam rešili danes zvečer.
All those moments will be lost in time, like tears in rain...
Time to die.

Mavrik ::

Matthai: Ima Jitsi E2E enkripcijo? Ali lahko vi vidite vse pogovore in sodelujoče na vašem strežniku?
The truth is rarely pure and never simple.

Invictus ::

Nikonja je izjavil:

Kaj pa je narobe z Viberjem, ima ete enkripcijo in je zastonj

Za Viber rabiš telefonsko številko, ki jo marsikateri otrok nima...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Matthai ::

Mavrik, ne, Jitsi nima E2E enkripcije, kar je seveda pomanjkljivost. Za take namene oz. če kdo rabi, ponujamo Biocoded (imamo 100 licenc), ampak to lahko dobijo samo tisti, ki se ukvarjajo z reševanjem te krize.

Smo si pa interno postavili tudi Wire server, kjer pa pogovori so E2E šifrirani, ampak zaenkrat še ni ready za ponujanje splošni javnosti.
All those moments will be lost in time, like tears in rain...
Time to die.

Matthai ::

Tole je sicer precej pomankljiva novica. Glede Zooma pol stvari sploh ni omenjenih. Recimo.

Podatke o uporabi prodajajo Facebooku: https://www.cbsnews.com/news/zoom-app-p...
Na MacOS se aplikacija predstavlja kot System (ko vpraša za root password)
Ima funkcijo sledenja kaj počneš na računalniku (sneatch feature) in ali imaš fokusiran video.
Poleg tega pa še Zoom bombing: https://eu.usatoday.com/story/tech/2020...
Na room ne moreš dati gesla.
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bo Facebook z WhatsAppom ubil šifriranje?

Oddelek: Novice / Zasebnost
433771 (1250) BigWhale
»

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Oddelek: Novice / Zasebnost
174439 (2887) jype
»

Googlovo opozarjanje na nešifrirano e-pošto povečalo delež šifrirane

Oddelek: Novice / Omrežja / internet
113544 (2045) Furbo
»

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Oddelek: Novice / Zasebnost
72893 (2893) christooss

Več podobnih tem