Slo-Tech - Zoom je sprva oglaševal, da so videokonferenčni klici šifrirani v celoti brez možnosti prisluškovanja (end-to-end), a je kmalu postalo jasno, da to ne drži. Zato so v začetku meseca sporočili, da bodo uvedli pravo šifriranje, ki pa bo spričo varnostnih pomislekov na voljo le uporabnikom plačljive različice. Sedaj so si premislili in ga bodo ponudili vsem.
Šifriranje end-to-end prihaja v Zoom z naslednjo beta verzijo, ki bo izšla julija letos. Še vedno se bo uporabljal algoritem AES 256 GCM. Na voljo bo vsem uporabnikom, tako plačljive kakor brezplačne verzije, bodo pa morali administratorji pogovorov to vključiti v pogovoru. Razlog je združljivost, saj šifriranje izključi možnost sodelovanja starejših odjemalcev ali klicev pred navadnih telefonskih linij. Izvršni direktor Eric Yuan je v začetku meseca pojasnjeval, da je lahko šifriranje na voljo le uporabnikom, ki izkažejo svojo identiteto, saj se tako izognejo zlorabam. To je bil tudi eden izmed razlogov, zakaj ga v brezplačni verziji ne bi bilo.
A našli so rešitev. Uporabniki brezplačne verzije bodo lahko svojo identiteto potrdili kako drugače kakor s plačilom, denimo s potrditvijo telefonske številke s prejemom sporočila sms, pa jim bo na voljo šifriranje. Beta torej izide prihodnji mesec, ni pa še jasno, kdaj bo na voljo stabilna verzija za vse uporabnike.
To, da je potrebno potrditi identiteto zaradi zlorab, je seveda oslarija in zavajanje. Gre preprosto za to, da hoče Zoom na vsak način zbrati (in monetizirati) čim več osebnih podatkov.
Je pa zanimivo, ko sem pisal o tem, da ima Zoom zanič security, da zavaja glede šifriranja in da prekomerno zbira osebne podatke, so me nekateri (saj-vemo-kdo) precej napadali.
Between version 1 and version 2 of the paper, I (unrelated to my work with their crypto team) criticized Zoom's security decisions and was personally attacked as a result, and never credited for my contributions. This is how @maxtaco and @alexstamos treat researchers.
Očitno je to taktika "corporate people"... žalostno.
Potem nimajo e2e enkripcije, ampak jo bojo naredili (reklama)
Potem jo bojo naredili ampak samo za tiste, ki placajo (neumna poteza)
Ljudje jih po svetu posiljajo v k* (slaba publiciteta)
Zdaj jo bojo omogocili vsem (reklama)
...
A greste stavit, da jih bojo dobili, da nimajo prave E2E in, da lahko sami gledajo/poslusajo/berejo vso vsebino? Me zanima, kdo je se tako nor, da to uporablja?
Ampak kar je še najbolj paradoksalno pri vsem tem: ljudje jih še vedno množično uporabljajo!
Noja...roko na srce: za 'korona-šolstvo' e2e enkripcija ni ravno nujno potrebna!
Kdor pa POTREBUJE e2e enkripcijo, pa najbrž že dolgo uporablja kaj popolnoma drugega, ne glede na to, kaj pri Zoom-u obljubljajo.
90% 'webinarjev' in 'spletnih učilnic' je popolnoma brez vsakega problema brez enkripcije.
Problematično pa postane, ko gledaš npr. angleški vladni kabinet na Zoom-u. No, pa še to je Boris potem objavil sliko z dostopno kodo na Twitterju. V tem primeru se pa dejansko sprašuješ, kaj njihove varnostne/protiobveščevalne službe počnejo.
V tem smislu se tudi sprašuješ, ali je problem pri Zoom-u ali pri uporabnikih, ki ga uporabljajo tako, kot tista naša arbitražna genialca navaden telefon, mimo vseh navodil in napotkov 'pametnejših'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Prepričan sem, da je 99% sestankov na zoomu takšnih, ki ne potrebujejo enkripcije. Ker ne vem kaj je lahko najhujša stvar ko nekdo prisluškuje predavanju, morda da se razve profesorjeva nesposobnost?
Spet nekdo, ki ne razume, zakaj je potrebno šifriranje. In to ni zato, ker ne bi imel nič za skrivat.
No, v videokonferenci 'v živo' bo pa res nekoliko težko 'poneveriti vsebino' - kar je poleg tajnosti drugi razlog zakaj potrebuješ e3e enkripcijo.
Kar se pa šol tiče... praktično vsi na en ali drugi način uporbljajo Moodle. Če bi se nekdo prej spomnil integrirati tisti Đitsi v Moodle, bi najbrž večina pouka na daljavo potekalo preko njega (najbrž niti nihče nebi vedel, da se gre za kaj drugega, kakor Moodle). A kaj, ko so mojstri bili malenkost pozni in je 'smetano' že Zoom pobral.
Drugače pa nebi delal panike. V nedogled Zoom ne bo brezplačen. Takrat pa se bo zopet pričelo spogledovati z drugimi rešitvami.
Polomija pa bi bila, če bi v tem primeru kdo šel na plačljivo varianto Zoom-a. Tu bi se pa resno vprašal, kaj je narobe z človekom, če so na voljo zadovoljivo dobro delujoče variante, za katere celo obstaja integracija z Moodle sistemom, ki ga tako in tako uporabljajo.
Drugače pa jaz Đitsi nisem uporabljal in ne morem soditi o njegovi kakovosti. Ampak če bi bil 'zanič', se verjetno nebi fantje matrali, da bi ga integrirali v Moodle in tako goreče zagovarjali njegovo uporabo. Čeprav smo tudi že videl ljudi, ki so bili goreči zagovorniki živega 'sranja'.... Ampak tu se nekako zanesem, da Matthai nebi hvalil nekaj, kar ne deluje 'solidno'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Problem z Jitsijem je, da v resnici še vedno ni čisto zrel produkt. V večini primerov dela, občasno pa ne. In takrat je potrebno kar nekaj matranja na admin strani. Plus, E2E enkripcije še nima v produkcijski verziji.
Obstaja pa tudi EduMeet, ki ga je razvil Geant. Tudi free.
Jaz vidim eno generalno težavo tukaj... EU bi lahko z neko pametno strategijo finančno podprla razvij dobrega softwera, končna cena bi bila precej nižja kot jo plačujemo sedaj. Samo EU tega ne zna ali ne zmore.
Sicer se bodo nekateri tukaj takoj začeli dreti, da je to napad na svobodni trg... ampak potem se pa vprašam, zakaj pa ZDA lahko mečejo milijone privatnim firmam direktno v closed source software - a tisto pa ni napad na svobodni trg? Recimo to kar se sedaj dogaja z Open Technology Fundom je tak tipičen problem državnih "pomoči" a.k.a. korupcije.
Jitsi prav tako sploh (še) ne podpira E2E enkripcije, zato ga je v tem kontekstu nekoliko čudno omenjati. Tudi ko bo dobil E2E enkripcijo bo najprej delala samo z Googlovim Chromeom.
Bilo bi zanimivo, če bi se določilo, da kot javna ustanova, ne glede na to, katero komercialno rešitev uporabljaš, moraš odvesti 10% tega zneska v fond za podporo odprtokodnih, brezplačnih javno dostopnih rešitev. Tako bi vsi 2x razmislili, ali bi uporabljali OSS ali pa bi ga sponzorirali.
Kot vedno, pa potem na koncu nastopi problem pri delitvi denarja, ki bi se tako zbral. Bi pa bilo zanimivo, če bi se denar delil 'tematsko', glede na področje, na katerem se je 'davek' pobralo. Recimo, da se največ zaprtokodnega programja kupuje tipa 'office', potem bi se posledično najbolj podpiralo razvoj odprtokodnih 'office' rešitev. Se pravi tistega področja, ki je najbolj 'pereče', ker ni dovolj dobre alternative, da so uporabniki na nek način prisiljeni uporabljati komercialne proizvode.
Če bi se to delalo na celem področju EU, bi bilo denarja za razvoj odprtokodnih rešitev na pretek...
Klinc... to bi mogoče šlo v kakšnem utopičnem komunizmu... nekako pa dvomim, da v današnjem času...
Poleg tega ima model eno grdo (komunistično?) lepotno napako: slabši, ko bo OSS (oz. več ko bodo ljudje kupovali zaprtokodnega programja), več bo denarja za (slabe) razvijalce.
Na, pa gre spodbuda k vragu.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Jitsi prav tako sploh (še) ne podpira E2E enkripcije, zato ga je v tem kontekstu nekoliko čudno omenjati. Tudi ko bo dobil E2E enkripcijo bo najprej delala samo z Googlovim Chromeom.
Točno to sem tudi omenil.
Poanta je seveda drugje.
SemiNeSanja - saj bi lahko dali ven razpise za razvoj OSS softwera. Tako kot to dela OTF. Naj potem kandidirajo tisti ki želijo, zmaga pa najboljši. In pokaže rezultate, gre čez revizijski postopek, itd.
@starfotr "Pri arbitraži so tujci prisluškovali. Še vedno mi ni jasno, kako se to lahko zgodi. Naši nimajo nič varovanih zadev?"
To se zgodi, če na svoji strani angažiraš plačanca, ki dela za tistega, ki mu več plača, medtem, ko druga stran angažira človeka, ki dela za čast.
Naivno razmišljanje. Prepričan sem, da se je prisluškovalo ustašem in domobrancem. Ampak pomagalo se je ustašem, ker se domobranci niso znali odločiti, ali so partizani ali domobranci. Tako nekako.
Sicer pa, kot člani NATO uporabljamo NATO požegnano opremo, mar ne? Crypto AG pa take stvari.
Spet nekdo, ki ne razume, zakaj je potrebno šifriranje. In to ni zato, ker ne bi imel nič za skrivat.
No, v videokonferenci 'v živo' bo pa res nekoliko težko 'poneveriti vsebino' - kar je poleg tajnosti drugi razlog zakaj potrebuješ e3e enkripcijo.
Če šifriraš samo občutljiv promet, si napadalcu sam opravil 1/2 dela. Ker ve, kam se je potrebno usmeriti.
To je presneto stara populistična trditev, ki spada tja v čase hladne vojne, ko so bile šifrirane komunikacije redkost in so dejansko takoj zbodle v oči.
V današnjem času, ko je več kot 3/4 vseh komunikacij kriptiranih z TLS, imaš v vsakem primeru mešanico kriptiranih in nekriptiranih povezav. Moraš biti presneto jasnoviden, če iz tega lahko razbereš kakšen vzorec, po katerem bi za bilokoga opravil '1/2 posla', ali pa z prstom pokazal na nekoga in trdil da počne karkoli 'vprašljivega'.
To gre nekako v kategorijo "če imaš mobitel, potem si ali poslovnež ali mafiozo - ker nisi poslovnež, si torej mafiozo!" (glede na čase, ko si navadni smrtnik ni mogel privoščiti mobitela). Kdor danes kaj takega izjavi, bi se mu vsi rogali.... V Cybersec-u pa se vseeno neutrudno držijo neki stari vzorci in urbani miti iz leta dva pa tri?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
