Zoom cambia idea: crittografia anche per la versione free
Zoom offrirà la crittografia end-to-end a tutti gli utenti. Sarà però necessario fornire il proprio numero di telefono e accertare la propria identità inserendo un codice usa e getta fornito via SMS.
Zoom ci ripensa: la crittografia end-to-end sarà disponibile a tutti gli utenti, anche a quelli che useranno la versione gratuita. È un passo indietro importante quello annunciato questa notte, che di fatto annulla l'intenzione iniziale di fornire la crittografia end-to-end solo per le versioni a pagamento.
L'annuncio che la soluzione di sicurezza sarebbe stata circoscritta ai soli clienti aziendali paganti aveva destato molte critiche. Di fatto sono state chiuse in nottata, nel momento in cui il CEO Eric Yuan ha annunciato che Zoom ha "identificato un percorso che bilancia il legittimo diritto di tutti gli utenti alla privacy e alla sicurezza sulla nostra piattaforma. Questo ci permetterà di offrire la crittografia E2EE come funzionalità avanzata per tutti i nostri utenti in tutto il mondo - gratuiti e a pagamento - pur mantenendo la capacità di prevenire e combattere gli abusi sulla nostra piattaforma".
Per chi avesse perso qualche puntata, la questione della crittografia di Zoom era emersa durante il lockdown, a seguito di numerosi episodi di Zoombombing. Si scoprì che quella che era indicata da Zoom come "end-to-end encrypted meeting" tecnicamente non lo era. Veniva cifrato il flusso audio/video tra il client di videoconferenza e i server di Zoom. La cifratura prevedeva l'utilizzo di HTTPS, un po' come le connessioni sicure dei browser.
Con la recente versione di Zoom 5.0 è stata adottata la crittografia GCM (Galois/Counter Mode) a 256 bit per la protezione dei dati. In pratica, le sessioni video sono cifrate molto meglio di prima mentre sono in transito da e verso i server di Zoom. La stessa cifratura a 256 bit viene applicata anche ai dati memorizzati sui server di Zoom.
L'azienda aveva poi annunciato l'acquisizione di Keybase per rafforzare la sicurezza e implementare una vera crittografia end-to-end. La buona notizia era stata oscurata dalla volontà di Yuan di "lavorare con l'FBI e le forze dell'ordine nel caso in cui alcune persone usassero Zoom per scopi illeciti". Insomma, di non proteggere i dati di tutti gli utenti.
La novità di questa notte media fra la volontà di favorire il lavoro delle forze dell'ordine e la richiesta di tutelare la sicurezza di tutti gli utenti. In particolare, Zoom chiederà agli utenti la verifica dei propri numeri di telefono mediante l'inserimento di un codice usa e getta veicolato tramite SMS. È in sostanza un'autenticazione a due fattori che dovrebbe scoraggiare la sottoscrizione di account abusivi.
Questo nuovo elemento, insieme alla crittografia E2E effettiva, alla funzione "Segnala un utente", alla sala d'attesa e alle altre soluzioni intraprese, dovrebbe aiutare a prevenire e combattere gli abusi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
L'annuncio che la soluzione di sicurezza sarebbe stata circoscritta ai soli clienti aziendali paganti aveva destato molte critiche. Di fatto sono state chiuse in nottata, nel momento in cui il CEO Eric Yuan ha annunciato che Zoom ha "identificato un percorso che bilancia il legittimo diritto di tutti gli utenti alla privacy e alla sicurezza sulla nostra piattaforma. Questo ci permetterà di offrire la crittografia E2EE come funzionalità avanzata per tutti i nostri utenti in tutto il mondo - gratuiti e a pagamento - pur mantenendo la capacità di prevenire e combattere gli abusi sulla nostra piattaforma".
Per chi avesse perso qualche puntata, la questione della crittografia di Zoom era emersa durante il lockdown, a seguito di numerosi episodi di Zoombombing. Si scoprì che quella che era indicata da Zoom come "end-to-end encrypted meeting" tecnicamente non lo era. Veniva cifrato il flusso audio/video tra il client di videoconferenza e i server di Zoom. La cifratura prevedeva l'utilizzo di HTTPS, un po' come le connessioni sicure dei browser. Con la recente versione di Zoom 5.0 è stata adottata la crittografia GCM (Galois/Counter Mode) a 256 bit per la protezione dei dati. In pratica, le sessioni video sono cifrate molto meglio di prima mentre sono in transito da e verso i server di Zoom. La stessa cifratura a 256 bit viene applicata anche ai dati memorizzati sui server di Zoom.
L'azienda aveva poi annunciato l'acquisizione di Keybase per rafforzare la sicurezza e implementare una vera crittografia end-to-end. La buona notizia era stata oscurata dalla volontà di Yuan di "lavorare con l'FBI e le forze dell'ordine nel caso in cui alcune persone usassero Zoom per scopi illeciti". Insomma, di non proteggere i dati di tutti gli utenti.
La novità di questa notte media fra la volontà di favorire il lavoro delle forze dell'ordine e la richiesta di tutelare la sicurezza di tutti gli utenti. In particolare, Zoom chiederà agli utenti la verifica dei propri numeri di telefono mediante l'inserimento di un codice usa e getta veicolato tramite SMS. È in sostanza un'autenticazione a due fattori che dovrebbe scoraggiare la sottoscrizione di account abusivi. Questo nuovo elemento, insieme alla crittografia E2E effettiva, alla funzione "Segnala un utente", alla sala d'attesa e alle altre soluzioni intraprese, dovrebbe aiutare a prevenire e combattere gli abusi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Redazione SecurityOpenLab - 18/06/2020
