Zoom и интернет-безопасность

Компания Zoom, предоставляющая сервис видеосвязи, использование которой существенно возросло в условиях карантина, утверждает, что все коммуникации защищены сквозным шифрованием. Смысл этого термина, казалось бы, не требует особых толкований: весь трафик, генерируемый в Zoom, для посторонних выглядит как бессмысленный набор единиц и нулей. У кого же в самом деле есть доступ к пользовательским данным облачного сервиса Zoom?

Конечно, на словах компания уделяет много внимания обеспечению конфиденциальности: в апреле были декларированы кардинальные изменения политики безопасности, которые компании приняла, препятствуя утечке ценной для таргетинга информации. По заявлениям Zoom гарантию безопасности в этом деле обеспечивает именно сквозное шифрование, по крайней мере, так говорит техническая документация, доступная на корпоративном сайте.

На деле, это всего-навсего вводящий в заблуждение маркетинг на фоне того, что у разработчиков Zoom свое собственное толкование принципов шифрования, которое, впрочем, не мешает им самим получать доступ к аудио и видео-данным пользовательских конференций! В реальности, сервис Zoom не поддерживает сквозное шифрование звукового и видео-контента. По крайней мере, в общепринятом понимании этого слова. Вместо этого Zoom предлагает то, что обычно называют транспортным шифрованием. Все это в условиях режима самоизоляции, когда миллионы людей по всему миру работают удаленно, обеспечивая невиданный рост популярности Zoom. Базисом технологий при подключении к вебинарам Zoom является организация защищенных E2E-соединений, доступных организатору видеоконференций. Такие телемосты возможны с включением опции «Require Encryption for 3rd Party Endpoints».

Защищенные подключения возможны с опцией «Require Encryption for 3rd Party Endpoints»

 

Она находится в личном кабинете на сайте Zoom в расширенных установках платформы. В приложении участники видеовстречи информируются об этом зеленым логотипом с надписью «Вы используете шифрование данных на стороне клиента».

В приложении участники конференции информируются о защищенном соединении зеленым логотипом с надписью «Вы используете шифрование данных на стороне клиента»

 

В попытке разобраться, действительно ли видеоконференции надежно зашифрованы, обнаружился следующий пассаж одного из разработчиков Zoom: «В настоящее время невозможно включить шифрование E2E для видеоконференций. Коммуникации строятся по протоколам TCP и UDP, при этом TCP-соединения защищены протоколом транспортного уровня TLS, а UDP-соединения шифруются симметричным алгоритмом блочного шифрования AES, ключ для которого согласуется через TLS-соединение».

Как видим, шифрование в Zoom — это TLS (transport layer security), точно такая же технология, как и защита веб-сайтов по https. Это означает, что соединение между приложением Zoom на компьютере или телефоне пользователя с облачным сервисом Zoom защищено аналогично соединению между вашим веб-браузером и нашим сайтом. Это технология транспортного шифрования, которая отличается от сквозного шифрования, изолирующего провайдера услуг от передаваемой информации. В итоге, Zoom может получить доступ к видео и аудио контенту вебинаров. Правда, сама компания Zoom клянется, что не пытается анализировать и извлекать какую бы то ни было информацию из потоковых данных доступного ей контента. Она как бы клянется, и мы ей как бы верим.