Zoom refuerza la seguridad del usuario con cifrado de extremo a extremo | La seguridad cibernética

[ad_1]

Por John P. Mello Jr.

28 de octubre de 2020 4:22 a.m.PT

Zoom les dio a sus usuarios una gran actualización de seguridad el lunes cuando implementó el cifrado de extremo a extremo para su red de reuniones en línea.

E2EE pone el control de las claves para codificar datos en manos de los organizadores de reuniones. Antes del lanzamiento de E2EE, el cifrado se realizaba en los servidores de Zoom, donde alguien con acceso a esos servidores podía interceptar los datos.

Para utilizar la nueva función, los clientes deben habilitar las reuniones E2EE en el nivel de la cuenta y optar por participar en E2EE por reunión.

Zoom cifrado de extremo a extremo

“La distribución de claves a los clientes y la descentralización de la confianza ofrece a los usuarios una mayor seguridad de que es menos probable que sus comunicaciones sean interceptadas a través de claves o infraestructura comprometidas”, Jack Mannino, director ejecutivo de nVisium, un proveedor de seguridad de aplicaciones en Herndon, Virginia, dijo a TechNewsWorld

Sin el cifrado de extremo a extremo, existe la posibilidad de que alguien con acceso a la plataforma pueda interceptar conversaciones, explicó Dan Nadir, director de producto de Lago theta, una empresa de comunicaciones unificadas en Santa Bárbara, California.

“Eso podría ser un empleado sin escrúpulos o alguien que puede violar el sistema”, dijo a TechNewsWorld. “El cifrado completo de un extremo a otro elimina este punto potencial de vulnerabilidad”.

Servidores ajenos

En las reuniones típicas, explicó Zoom en un comunicado, sus servidores de reuniones en la nube generan claves de cifrado para cada reunión y las distribuyen a los participantes de la reunión que utilizan los clientes de Zoom a medida que se unen.

Con el nuevo E2EE de Zoom, continuó, el anfitrión de la reunión genera claves de cifrado y utiliza criptografía de clave pública para distribuir estas claves a los otros participantes de la reunión, quienes también verán el código de seguridad del líder de la reunión que pueden usar para verificar la conexión segura. El anfitrión puede leer este código en voz alta y todos los participantes pueden comprobar que sus clientes muestran el mismo código.

El cifrado de extremo a extremo de Zoom verifica el código de seguridad

Los servidores de Zoom se vuelven retransmisores ajenos y nunca ven las claves de cifrado necesarias para descifrar el contenido de la reunión, explicó. Los datos cifrados transmitidos a través de los servidores de Zoom son indescifrables por Zoom, ya que los servidores de Zoom no tienen la clave de descifrado necesaria.

“Estamos muy orgullosos de llevar el nuevo cifrado de extremo a extremo de Zoom a los usuarios de Zoom en todo el mundo hoy”, dijo Jason Lee, CISO de Zoom, en un comunicado.

“Esta ha sido una característica muy solicitada por nuestros clientes, y estamos emocionados de hacerla realidad”, agregó.

Desactivar el bombardeo de zoom

Cuando se usa correctamente, E2EE puede dificultar que incluso las agencias de inteligencia con los mejores recursos del mundo escuchen a escondidas las comunicaciones que lo utilizan, observó Tod Beardsley, director de investigación de Rápido 7, un proveedor de soluciones de seguridad de datos y análisis en Boston.

“Por eso es un mecanismo tan poderoso para garantizar la privacidad de los tipos de personas que necesitan preocuparse por las organizaciones de inteligencia: periodistas que protegen fuentes, denunciantes, activistas de derechos civiles y otros”, dijo a TechNewsWorld.

“El beneficio para los usuarios, especialmente en tiempos de COVID, es sustancial”, agregó Dirk Schrader, vicepresidente global de Nuevas tecnologías de red, un proveedor de software de cumplimiento y seguridad de TI con sede en Naples, Florida.

“Eso es particularmente cierto para los usuarios gratuitos”, dijo a TechNewsWorld. “En todo el mundo, muchas escuelas y organizaciones de voluntarios han estado utilizando Zoom para mantenerse en contacto, en medio de preocupaciones sobre la privacidad y la seguridad”.

Uno de los primeros problemas que enfrentaron los usuarios de la plataforma fue “Zoom Bombing”, donde los intrusos invadieron las reuniones y las interrumpieron. “E2EE puede detener eso”, señaló Chris Carter, director ejecutivo de Approyo, un proveedor de servicios de SAP en Muskego, Wis.

“Nadie puede participar en una conferencia antes que el anfitrión”, dijo a TechNewsWorld. “Cualquiera que ingrese a una conferencia E2EE debe proporcionar información sobre sí mismo y el anfitrión debe aprobarlo. No pueden ingresar como invitados anónimos”.

Preocupación por el crimen

Carter agregó que existían ventajas y desventajas para usar la función E2EE de Zoom. “Si tiene E2EE activado, no puede grabar reuniones en los servidores de Zoom”, explicó. “No se pueden hacer charlas privadas o salas de reuniones”.

Aunque E2EE se ofrece tanto a usuarios gratuitos como de pago de Zoom, la compañía inicialmente propuso limitar la función a los usuarios que pagan por preocupaciones de que los delincuentes puedan abusar de la tecnología. Ese potencial todavía existe.

“A medida que los servicios de la plataforma se mueven hacia el cifrado de extremo a extremo, significa que hay menos oportunidades para que los proveedores de servicios y las fuerzas del orden detecten a los delincuentes y a las personas que utilizan un servicio con fines maliciosos”, dijo William Dixon, jefe de ciberseguridad foro Economico Mundial, una organización internacional para la cooperación público-privada, con sede en Ginebra, Suiza.

Lo que eso significa, continuó, es que la gente tiene que innovar y desarrollar su forma de pensar sobre la detección de delitos en estas plataformas. “Las empresas de tecnología han estado utilizando una variedad de técnicas para detectar actividad maliciosa”, dijo a TechNewsWorld. “Están invirtiendo mucho en análisis a nivel de metadatos y de análisis de usuarios para brindar consejos a las fuerzas del orden sobre posibles actividades sospechosas”.

Si bien agregar E2EE es una bendición para los usuarios de Zoom, la compañía también se beneficia de la medida. “Los lleva a un nivel de seguridad que normalmente tiene Microsoft”, sostuvo Carter.

“Básicamente, Zoom no tenía otra opción”, dijo Schrader. “Agregar cifrado E2EE a sus servicios fue imprescindible después de toda la confusión que atravesó”.

Nadir afirmó que el cifrado de extremo a extremo es una apuesta de mesa para cualquier empresa que quiera proporcionar una solución seria para prácticamente cualquier caso de uso.

“Dado que es un juego de mesa para las plataformas de comunicaciones, no tenerlo es definitivamente una desventaja competitiva para cualquier tecnología en el mercado”, agregó.

Inicio de sesión único en Horizon

La nueva función de cifrado está disponible para usuarios gratuitos y de pago y en la versión de escritorio de Mac y PC 5.4.0 de Zoom, así como en la edición de Android de la aplicación y Zoom Rooms.

Utiliza el mismo cifrado AES-GCM de 256 bits que se utiliza para proteger las reuniones que no son E2EE.

Zoom llama a este lanzamiento inicial de E2EE una “vista previa técnica”. espera recopilar comentarios de los clientes sobre sus experiencias con la función y los anima a habilitar Feedback to Zoom en sus cuentas y utilizarlo para comentar sobre la nueva función.

Zoom señaló que esta es solo la fase inicial de E2EE. La siguiente fase incluirá una mejor gestión de identidades y un inicio de sesión único.

“La administración de identidades y el soporte de inicio de sesión único facilitarán a los clientes empresariales el uso de Zoom como plataforma de colaboración. Reducirá la fricción para los usuarios finales”, Jeff Pollard, vicepresidente y analista principal de Investigación de Forrester, dijo TechNewsWorld

“Esta funcionalidad aumenta y completa E2EE”, agregó Schrader.

“Al hacer un mal uso de una identidad robada, un atacante puede unirse a una sesión encriptada haciéndose pasar por la identidad real para recopilar información en tiempo real”, explicó. “Estos métodos no son exclusivos de Zoom, son comunes para todo tipo de servicios”.

“Aún así”, continuó, “Zoom agregó que esto significa que se está tomando la seguridad y la privacidad realmente en serio y quiere cerrar todas las brechas”.


John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado numerosas publicaciones, incluida la Boston Business Journal, el
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.

[ad_2]

Source link