RSAC
ركز العرض التقديمي لـ Zoom في مؤتمر RSA 2021 على التشفير بين الطرفيات في اجتماعات Zoom السحابية. أوضحت الشركة سبب تركيز مطوريها على المشكلة، وكيف يخططون لإجراء مكالمات أكثر أمانًا، وما الميزات الجديدة الأخرى المتعلقة بالأمان التي يمكن أن يتوقعها المستخدمون.
قليلًا من التاريخ
أجبر الوباء الكثير منا على التحول إلى العمل عن بعد لفترة طويلة والتواصل مع الزملاء والأحباء من خلال برامج المؤتمرات عن بعد. أثارت الشعبية الكبيرة لـ Zoom اهتمام خبراء الأمن ومجرمي الإنترنت على حد سواء، ومن ثم أدرك الكثيرون بسرعة أن أمان النظام الأساسي لم يكن جيدًا. على سبيل المثال، تم اكتشاف أن البرنامج يحتوي على ثغرات أمنية تسمح للمهاجمين بالدخول والتجسس على المستخدمين من خلال الكاميرات والميكروفونات الخاصة بهم، كما تسمح بحدوث هجومات من قبل المتصيدين عبر الإنترنت: Zoombombing كانت استجابة Zoom سريعة وبعيدة المدى، لكن ظلت هناك مشكلات.
كانت المشكلة الرئيسية في Zoom هي تلك المنصة مستخدم تستخدم التشفير من نقطة إلى نقطة (P2PE) بدلاً من التشفير بين الطرفيات (E2EE).
E2EE مقابل P2PE
للوهلة الأولى، قد يبدو النظامان متشابهين: كلاهما يقوم بتشفير البيانات التي يتبادلها المستخدمون. ولكن مع P2PE، يمكن للخادم الوصول إلى رسائل المستخدمين، بينما يقوم E2EE بتشفير المعلومات الموجودة على جهاز المرسل ويتم فك تشفيرها فقط من قبل المستلم. ومع ذلك، فإن هذه التفاصيل تنطوي على احتمال حدوث مشكلة، والتي أبرزها مطورو Zoom في المؤتمر:
· يمكن لمجرمي الإنترنت اختراق الخادم وسرقة مفاتيح التشفير المخزنة هناك والانضمام إلى الاجتماعات في أماكن المدعوين الحقيقيين أو انتحال رسائلهم؛
· يمكن لموظفي مزود السحابة الانتهازيين أو Zoom نفسها الوصول إلى المفاتيح وسرقة بيانات المستخدمين.
لا أحد يريد أن يتم نشر محادثات خاصة مع العائلة والأصدقاء، ناهيك عن المحادثات التجارية السرية. علاوة على ذلك، إذا استخدم أحد المتطفلين المفاتيح المسروقة فقط للتنصت السلبي، فسيكون من الصعب للغاية اكتشاف ذلك.
E2EEيحل تلك المشاكل من خلال تخزين مفاتيح فك التشفير على أجهزة المستخدمين، وهذه هي الطريقة الوحيدة لذلك.وهذا يعني أن اختراق الخادم لن يمكّن أي دخيل من التنصت على مؤتمر فيديو.
بطبيعة الحال، كان الكثيرون يتوقون إلى تبديل Zoom إلى E2EE، وهو بالفعل المعيار الفعلي لتطبيقات المراسلة .
التشفير بين الطرفيات في Zoom: حالة الحركة
استمع المطورون إلى الانتقادات واتخذوا خطوات تحسين أمان النظام الأساسي، بما في ذلك تنفيذ E2EE.
استخدم Zoom تقنية E2EE لمكالمات الصوت والفيديو وكذلك الدردشة منذ خريف عام 2020. عند تمكينه، يقوم Zoom بحماية بيانات المشاركين باستخدام ما يسمى بمفتاح تشفير المؤتمر. لا يتم تخزين المفتاح على خوادم Zoom، لذلك حتى المطورين لا يمكنهم فك تشفير محتوى المحادثات. يخزن النظام الأساسي معرفات المستخدم المشفرة فقط وبعض البيانات الوصفية للاجتماع مثل مدة المكالمة.
للحماية من الاتصالات الخارجية، قدم المطورون أيضًا ميزة Heartbeat، وهي إشارة يرسلها تطبيق قائد الاجتماع تلقائيًا إلى المستخدمين الآخرين. يحتوي، من بين أشياء أخرى، على قائمة بالحضور الذين أرسل إليهم رئيس الاجتماع مفتاح التشفير الحالي. إذا انضم شخص غير موجود في القائمة إلى الاجتماع، فسيعلم الجميع على الفور أن هناك خطأ ما.
هناك طريقة أخرى لمنع المشاركين غير المدعوين من الدخول وهي قفل الاجتماع (باستخدام ميزة تأمين الاجتماع التي تحمل عنوانًا مناسبًا) بمجرد أن يجتمع جميع الضيوف. يجب عليك قفل الاجتماعات يدويًا، ولكن بمجرد حدوث ذلك، لا يمكن لأي شخص آخر الانضمام، حتى إذا كان لديه معرف الاجتماع وكلمة المرور.
التكبير يحمي أيضًا من هجمات رجل في الوسط مع استبدال مفتاح التشفير.للتأكد من أن شخصًا خارجيًا لا يتنصت، يمكن لقائد الاجتماع النقر فوق زر في أي وقت لإنشاء رمز أمان بناءً على مفتاح تشفير الاجتماع الحالي. يتم إنشاء الرمز بالمثل للمشاركين الآخرين في الاجتماع تلقائيًا. يبقى للقائد أن يقرأ هذا الرمز بصوت عالٍ؛ إذا كان يتطابق مع أي شخص آخر، فإن كل شخص يستخدم نفس المفتاح وهذا جيد.
أخيرًا، إذا غادر رئيس الاجتماع الاجتماع وتولى شخص آخر المسؤولية، فسيبلغ التطبيق عن عملية التسليم. إذا بدا الأمر مريبًا للآخرين في المكالمة، فيمكنهم إيقاف أي مناقشات سرية للغاية إلى أن تستقر الأوضاع.
بالطبع، إذا كنت تقيم حفلة Zoom مع الأصدقاء، فربما لا تحتاج إلى استخدام كل آليات الأمان هذه. ولكن إذا كانت أسرار العمل (أو غيرها) موجودة على الطاولة الافتراضية، فيمكن أن تكون أدوات الحماية هذه مفيدة حقًا، لذلك يجب أن يكون المشاركون في الاجتماعات المهمة على دراية بها وأن يكونوا على علم بكيفية استخدامها.
على الرغم من الابتكارات، يقر مطورو Zoom أنه لا يزال لديهم الكثير للقيام به. يلقي حديث RSA 2021 الضوء أيضًا على مسار تطوير Zoom.
ما يخبئه المستقبل لـ Zoom
حدد المطورون عددًا من التهديدات التي لا يزال يتعين عليهم تنفيذ تدابير مضادة فعالة لها. أحدهم هو التسلل الخارجي للاجتماعات من قبل أشخاص يتظاهرون بأنهم مستخدمون مدعوون. آخر هو أن حماية E2EE لا تمنع المهاجمين من تعلم بعض البيانات الوصفية، مثل مدة المكالمة وأسماء المشاركين وعناوين IP. ولا يمكننا استبعاد نقاط الضعف في البرنامج من قائمة المخاطر؛ من الناحية النظرية، يمكن لمجرمي الإنترنت تضمين تعليمات برمجية ضارة في Zoom.
مع وضع هذه التهديدات في الاعتبار، قام مطورو Zoomبسرد الأهداف التالية :
· منع جميع المشاركين المدعوين والمعتمدين من الوصول إلى الأحداث؛
· منع أي مشاركين تمت إزالتهم من الحدث من إعادة الاتصال به؛
· منع تدخل أي شخص غير مشارك في الاجتماع؛
· جعل الحاضرين بحسن نية يبلغون عن الانتهاكات لفريق أمان Zoom.
خريطة الطريق
لتحقيق هذه الأهداف، أنشأ المطورون خريطة طريق من أربع مراحل. المرحلة الأولي تم تنفيذه بالفعل. كما قلنا، لقد قاموا بتغيير نظام إدارة مفتاح تشفير المؤتمر بحيث يتم تخزينه فقط على أجهزة المستخدمين، بالإضافة إلى تحسين وسائل الحماية ضد انضمام الغرباء إلى الاجتماعات.
في المرحلة الثانية، فهم يخططون لتقديم مصادقة المستخدم التي لا تعتمد على خوادم Zoom ولكنها ستعتمد بدلاً من ذلك على تقنية الدخول الأحادي (SSO) إشراك موفري الهوية المستقلين (IDPs).
نتيجة لذلك، لا يمكن للمتطفل المحتمل تزوير هوية المستخدم، حتى من خلال السيطرة على خادم Zoom. إذا انضم شخص ما إلى حدث وتظاهر بأنه مدعو ولكن بمفتاح عام جديد، فسيتم تنبيه الآخرين بالتهديد المحتمل.
سوف تعرض المرحلة الثالثة مفهوم شجرة الشفافية، كما تقوم بتخزين جميع الهويات في بنية بيانات مصدق عليها وقابلة للتدقيق لضمان حصول جميع المستخدمين على رؤية متسقة لأي هوية واكتشاف هجمات انتحال الهوية. هدف Zoom هو تعزيز حماية المنصة من رجل في الوسط الهجمات.
في النهاية، أي المرحلة الرابعة، يخطط المطورون لتسهيل التحقق من الهوية عندما يتصل المستخدم من جهاز جديد.لربط أداة جديدة، سيحتاج المستخدم إلى تأكيد شرعيتها، على سبيل المثال عن طريق مسح رمز QR على شاشة هاتف أو كمبيوتر موثوق به. سيمنع ذلك المهاجم من ربط جهاز بحساب شخص آخر.
أمن بلا تضحية
عند تنفيذ آليات أمان إضافية، من المهم النظر في كيفية تأثيرها على المستخدمين العاديين. يدرس مطورو Zoom هذا الجانب أيضًا. على سبيل المثال، أحد الابتكارات المقترحة هو استخدام سحابات الأجهزة الشخصية. ستعمل هذه التقنية على تبسيط عملية إضافة أدوات جديدة إلى الحساب مع المساعدة في تأمينه.
على سبيل المثال، إذا كنت تستخدم جهاز كمبيوتر عادةً لإجراء مكالمات Zoom ولكنك تقوم بعد ذلك بتنزيل وتسجيل الدخول من هاتفك الذكي، في المرة التالية التي تفتح فيها Zoom على جهاز الكمبيوتر الخاص بك، سترى أن أداة ذكية جديدة قد سجلت الدخول. إذا وافقت عليها، فسيتم ربط كليهما بسحابة واحدة، وسيعرف المشاركون الآخرون في الاجتماع أنه أنت وليس متطفلًا.
تتيح لك سحابة الجهاز أيضًا التحقق من الأدوات الذكية التي تم تسجيل الدخول إليها إلى حسابك وإلغاء حالة الموثوقية لأي منها. علاوة على ذلك، يخطط المطورون لإضافة خيار للتبديل إلى اجتماع منتصف E2EE والعديد من الميزات المفيدة الأخرى.
هل سيصبح Zoom أكثر أمانًا؟
الإجابة المختصرة هي نعم، يستمر أمان Zoom في التحسن. لقد بذلت الشركة بالفعل الكثير للحماية من التدخل الخارجي، ولديها المزيد من أدوات الحماية قيد التطوير. في ملاحظة منفصلة، من الجيد أن ترى أن Zoom يحاول مزج الأمان مع سهولة الاستخدام.
بالطبع، يعتمد الكثير على مستخدمي Zoom. كما هو الحال مع كل شيء عبر الإنترنت، تتطلب مؤتمرات الفيديو الفطرة السليمة والمعرفة بآليات الحماية المتاحة. من المهم الانتباه إلى التحذيرات من المنصة والامتناع عن المحادثات السرية إذا كان هناك شيء يبدو مريبًا ولا يمكنك استبعاد تسرب البيانات.
النصائح