Aplicaţia de videoconferinţe Zoom între accesibilitate şi vulnerabilitate
Liviu IoniţăMăsurile de distanţare fizică şi socială au impus adoptarea lucrului de la distanţă. Mesageria electronică şi utilizarea reţelelor private virtuale (VPN) nu s-au dovedit suficiente, fiind necesare şi identificate şi o serie de soluţii pentru organizarea întâlnirilor şi conferinţelor virtuale: Microsoft Teams (succesor al Skype for Business), BlueJeans Meetings, GoToMeeting, Zoho Meeting, Cisco WebEx şi altele.De ceva vreme, Zoom Video Communications s-a impus ca lider în domeniul întâlnirilor online pentru afaceri, şcoală, dar şi sport şi diverse alte forme de petrecere a timpului în compania virtuală a celorlalţi. Creşterea explozivă a popularităţii aplicaţiei Zoom a generat, însă, şi vulnerabilităţi de securitate. În acest moment, în SUA, dar şi în alte state, există interdicţii pentru accesarea aplicaţiei, iar presa de peste Ocean susţine că „spionii străini se bazează pe încrederea Americii în software-ul de videoconferinţă Zoom”.
Bombardamente la adresa prea utilizatei aplicaţii Zoom
Softul pentru videoconferinţe al companiei de tehnologie a comunicaţiilor Zoom Video Communications (Zoom), cu sediul central în California, listată la bursă în 2019, a cunoscut anul acesta o utilizare crescută în urma măsurilor de izolare adoptate din cauza pandemiei.
Compania şi-a consolidat statutul de lider în industria videoconferinţelor, astfel că, în februarie 2020, Zoom a înregistrat 12,92 milioane de utilizatori lunari activi, în creştere cu 21% faţă de sfârşitul anului 2019.
Potrivit firmei de analiză a aplicaţilor, SensorTower, instalările pentru prima utilizare ale aplicaţiei mobile a companiei de videoconferinţă au crescut cu 1.126 la sută în martie, însemnând peste 76 de milioane, faţă de doar 6.2 milioane în februarie.
Software-ul Zoom permite sesiuni de chat simple ori de grup, întâlniri video cu până la 1.000 de participanţi şi până la 49 de videoclipuri la rezoluţie HD, simultan pe ecran.
Dar, încă din 2019, un cercetător dezvăluia o problemă severă de securitate a Zoom, o vulnerabilitate zero day, un bug, care persista şi dacă software-ul era dezinstalat. Ulterior au fost depistate şi altele, de pildă trimiterea, prin intermediul aplicaţiei, de date personale către Facebook, de nume de utilizator şi adrese de e-mail către LinkedIn.
Ceea ce a atras atenţia, generând un avertisment din partea FBI, a fost fenomenul de zoombombing, atunci când un participant nedorit se alătură unei întâlniri online pentru a provoca perturbări ale acesteia.
Iniţial pornit ca o simplă farsă, noul tip de trolling s-a extins şi zeci de participări la videoconferinţe, cursuri online pentru copii, întâlniri ale alcoolicilor anonimi, servicii bisericeşti şi întâlniri de afaceri au fost întrerupte de imagini pornografice ori mesaje având conţinut rasist ori homofob.
O analiză realizată de New York Times a găsit 153 de conturi Instagram, zeci de conturi Twitter şi chat-uri private şi mai multe mesaje active pe Reddit şi 4Chan, unde mii de utilizatori s-au adunat pentru a organiza campanii de hărţuire pe Zoom, distribuind parole şi planuri de generare a haosului în întâlniri publice şi private.
Pe Instagram, o reţea de conturi precum „Zoomraid” şi „Zoomattack” a adunat într-o săptămână aproape 30.000 de adepţi, proprietarii acestor conturi postând coduri de întâlnire Zoom pentru ca alţii să poată derula zoom-raiduri în timpul videoconferinţelor protejate prin parolă, cu folosirea de imagini şocante, epitete rasiale şi obscenităţi.
S-a ajuns la perfecţionarea procedeelor de zoombombing, un inginer de la Samsung, de pildă, atacându-şi în Zoom un coleg cu o versiune a lui Elon Musk, generată de inteligenţa artificială.
Bombardarea în Zoom a devenit atât de populară, încât FBI a emis, la finalul lunii martie, o alertă naţională cu privire la ceea ce deja devenise un fenomen, atenţionându-i pe utilizatori să fie conştienţi de punctele slabe în securitatea apelurilor video Zoom, iar pe hackeri de consecinţele legale cu care se confruntă pentru Zoombombing.
De asemenea, biroul procurorului general al New York, Letitia James, a solicitat Zoom Video Communications explicaţii cu privire la măsurile de securitate pe care compania le-a pus în aplicare pentru a gestiona traficul crescut în reţeaua sa şi pentru a detecta hackerii.
În aceeaşi perioadă, o investigaţie realizată de publicaţia online The Intercept a dezvăluit că Zoom nu garantează criptarea end-to-end pentru şedinţele sale, în pofida marketingului înşelător care sugera că o face, oferind, în schimb, criptarea de transport (protocolul criptografic Transport Layer Security).
The Intercept sublinia faptul că, fără criptarea end-to-end, Zoom are „capacitatea tehnică de a spiona întâlniri video private şi ar putea fi obligat să predea înregistrările de întâlniri către guverne sau forţe de ordine, ca răspuns la solicitări legale”. În timp ce alte companii precum Google, Facebook şi Microsoft publică rapoarte de transparenţă care descriu exact câte cereri guvernamentale de date ale utilizatorilor primesc, din ce ţări, şi câte dintre acestea sunt procesate, Zoom nu publică un astfel de raport.
O altă analiză, conţinând mai multe probleme de securitate ale Zoom, a fost elaborată, în aprilie 2020, de către CitizenLab, o organizaţie de analiză interdisciplinară a Universităţii din Toronto.
Potrivit acesteia, faptul că Zoom este uşor de folosit, coroborat cu măsurile din timpul pandemiei şi combinat cu un limbaj de marketing atractiv al companiei în jurul criptării şi securităţii, au determinat creşterea rapidă a bazei de utilizatori şi „au atras multe conversaţii sensibile”. Ca urmare, popularitatea crescută „plasează produsul în atenţia agenţiilor de informaţii şi criminalilor cibernetici”.
Pentru cei care speră la confidenţialitate, se mai scrie în raport, implementarea securităţii apelurilor în Zoom poate să nu fie pe măsura utilităţii sale de excepţie.
Analiza a stabilit că aplicaţia Zoom foloseşte „tehnici criptografice non-standard, cu mai multe puncte slabe identificabile”, iar multe chei pentru criptarea şi decriptarea întâlnirilor au fost transmise serverelor din Beijing, China.
CitizenLab atrage atenţia asupra netemeiniciei presupunerii potrivit căreia dacă o companie este listată public sau este un nume major în domeniu, aceasta înseamnă că aplicaţia este proiectată folosind cele mai bune practici de securitate. Ca urmare a problemelor de securitate depistate, organizaţia descurajează utilizarea Zoom de către: „guvernele îngrijorate de spionaj”, afacerile preocupate de infracţiuni informatice şi spionaj industrial, furnizorii de servicii medicale care gestionează informaţii sensibile despre pacienţi, activişti, avocaţi si jurnalişti care lucrează pe subiecte sensibile.
În replică, CEO-ul Zoom, Eric Yuan, om de afaceri american de origine chineză, şi-a cerut scuze utilizatorilor şi a insistat, în repetate ocazii, că vor fi făcute modificări drastice pentru a preveni abuzurile.
În ceea ce priveşte acuzaţia privind implicarea serverelor din China, el a anunţat că această ţară a fost supusă procedeului de geofencing, restricţionare zonală virtuală, iar sesiunile de comunicare au fost criptate.
Interdicţii cu privire la utilizarea aplicaţiei Zoom
Cu toate acestea, treptat, din luna aprilie, din motive de securitate, Zoom a fost supusă unor interdicţii şi restricţii de către numeroase companii, şcoli şi entităţi guvernamentale.
Departamentul de Educaţie din New York a interzis şcolilor predarea la distanţă prin Zoom.
Membrii Senatului american au fost, de asemenea, avertizaţi în legătură cu utilizarea aplicaţiei din cauza problemelor tot mai mari de securitate. Zoom nu a fost interzisă, dar le-a fost sugerat parlamentarilor să opteze pentru alternative precum Skype for Business.The Senate Rules Committee a „instruit” birourile să utilizeze „doar tehnologii susţinute de Senat”, iar Zoom nu se numără printre acestea.
La rândul său, Google a interzis instalarea pe dispozitivele angajaţilor săi a software-ul de videoconferinţă Zoom, concurent al propriei aplicaţii, Meet Google, solicitând, în schimb, folosirea e-mailului sau telefonului ca ... mijloace alternative de comunicare.
NASA a stabilit că produsul Zoom nu este licenţiat şi nici autorizat pentru a fi folosit de angajaţii şi contractorii Agenţiei şi, ca urmare, nu este permis pe dispozitivele IT NASA, în timp ce pentru Elon Musk ... no room for Zoom, personalului SpaceX fiindu-i interzisă folosirea aplicaţiei.
Lista interdicţiilor cu privire la aplicaţia Zoom s-a extins dincolo de graniţele SUA incluzând restricţii impuse de guvernele din Taiwan, Singapore, India, Australia şi Germania.
Potrivit ziarului german Handelsblatt, Ministerul Afacerilor Externe al Germaniei le-a comunicat angajaţilor să înceteze utilizarea aplicaţiei din motive de securitate şi de confidenţialitate a datelor.
Din aceleaşi motive, agenţiilor guvernamentale din Taiwan li s-a solicitat să nu folosească Zoom, Departamentul de Securitate Cibernetică din Taiwan recomandând „produse alternative internaţionale: Google şi Microsoft”.
Singapore a suspendat utilizarea instrumentului de videoconferinţă Zoom de către profesori, după „incidente foarte grave” care au implicat difuzarea de imagini obscene în şcolile care au organizat lecţii la distanţă.
După ce Agenţia de securitate cibernetică din India a avertizat, la începutul anului, despre vulnerabilităţile aplicaţiei, Zoom a fost interzisă la nivelul guvernului, ulterior postării pe Twitter, de către ministrul Apărării, Rajnath Singh, a unei poze în care apărea conducând o videoconferinţă Zoom cu miniştri şi oficialităţi militare.
Pe fondul îngrijorarii că „actori străini ostili” ar putea exploata deficienţele de securitate, personalului ministerului Apărării australian i s-a interzis utilizarea aplicaţiei Zoom, la scurt timp după ce o întâlnire online a Forţelor Aeriene a fost atacată de actorul de comedie Hamish Blake.
Deşi Ministerul Apărării al Marii Britanii are o poziţie anti-Zoom, atenţionând departamentele guvernamentale împotriva utilizării aplicaţiei, se pare că mesajul nu este luat încă în considerare, premierul Boris Johnson dezvăluind, recent, pe Twitter, că membrii cabinetului său au folosit Zoom pentru întâlniri.
În schimb, Departamentul Apărării al Statelor Unite şi-a împiedicat angajaţii să folosească Zoom, din cauza îngrijorărilor că actori străini ar putea folosi software-ul său pentru colectarea informaţiilor.
Recent, un articol din Time a accentuat temerile: explozia de videoconferinţe a oferit „teren de joacă” nu doar cybercriminalilor, ci şi spionilor.
Publicaţia citează trei oficiali intelligence, sub anonimat: agenţiile de contraspionaj din SUA au observat serviciile de spionaj ale Rusiei, Iranului şi Coreei de Nord încercând să spioneze videochaturile americane.
Dar „spionii cibernetici care s-au mişcat cel mai rapid şi mai agresiv în timpul pandemiei” au fost cei din China. Ţintă atractivă: Zoom.
Componenţa acţionariatului şi dependenţa de forţa de muncă chineză ar putea „face ca Zoom să răspundă presiunii autorităţilor chineze”.
Legătura cu China - o ameninţare permanentă
Time readuce în discuţie analiza CitizenLab, potrivit căreia, în timp ce Zoom are sediul în Statele Unite şi este listată pe NASDAQ, aplicaţia principală Zoom pare a fi dezvoltată de trei companii din China, care toate au numele „Software Ruanshi”. Două dintre cele trei companii sunt deţinute de Zoom, în timp ce una este deţinută de o entitate numită „American Cloud Video Software Technology Co, Ltd”.
Cea mai recentă înregistrare a Comisiei pentru Bursă şi Valori Mobiliare din SUA (US Securities and Exchange Commission - SEC) arată că Zoom (prin filialele sale chineze) are cel puţin 700 de angajaţi în China, care lucrează în „cercetare şi dezvoltare”.
În timp ce aplicaţia Zoom principală (zoom.us) a fost blocată în China în noiembrie 2019, există mai multe companii terţe chineze care vând aplicaţia în China (zoom.cn, zoomvip.cn, zoomcloud.cn).
Cu toate acestea, oficialii intelligence citaţi de Time subliniază că nu există dovezi că Zoom cooperează cu China sau că a fost compromisă, doar că măsurile de securitate au lacune, ceea ce face ca aplicaţia să fie mai puţin sigură decât altele. Dat fiind că „spionii folosesc mai multe aplicaţii pentru a căuta conversaţii guvernamentale, corporative şi academice”, experţii federali au avertizat atât guvernul, cât şi agenţii privaţi să nu utilizeze aplicaţii de conferinţe video „pentru a discuta sau schimba informaţii sensibile”.
Însă "legăturile Zoom cu China, indiferent de ceea ce promite CEO-ul său, creează o ameninţare persistentă", declară pentru Time, fostul director al Agenţiei de Securitate Naţională şi al Agenţiei Centrale de Informaţii, Michael Hayden.
Mai mulţi parlamentari din SUA şi oficiali guvernamentali au solicitat verificarea măsurilor de securitate adoptate de Zoom, în vreme ce procurorii din mai multe state americane - inclusiv Connecticut, New York şi Florida - investighează practicile de confidenţialitate şi securitate ale companiei din Silicon Valley.
Între timp, însă, noi vunerabilităţi ale Zoom, legate de confidenţialitate, ies la lumină. Phil Guimond, un cercetător din domeniul cybersecurităţii, a descoperit o modalitate de a accesa şi descărca videoclipurile unei companii înregistrate anterior în cloud printr-un link nesecurizat. De asemenea, cercetătorul a descoperit că videoclipurile utilizatorilor înregistrate anterior sunt păstrate chiar şi după ce au fost şterse de utilizator.
Iar peste 500.000 de conturi Zoom, informaţii personale, inclusiv adrese de e-mail, parole şi adrese web pentru întâlnirile Zoom, sunt deja vândute la preţuri derizorii ori sunt oferite gratuit pe dark web.