mboost-dp1

Zoom

Zoom kaldes malware

- Via The Guardian -

Zoom, der er eksploderet i popularitet under Coronakrisen, kaldes nu af eksperter for malware

Det er det samlede trusselbillede fra Zoom, der får Arvind Narayanan, en IT-professor ved Princeton Universitet, til at kalde Zoom for malware.

Problemerne for Zoom har ikke været få – i sidste uge kom det frem at krypteringsnøgler nogle gange  blev sendt til kina og det deres “End-to-end” kryptering, viste sig ikke at være eksisterende.

I 2019 kom det frem at Zoom tilføjede en webserver på brugernes computer, og på mac opdagede man for nyligt en fejl, der gjorde at hackere kunne overtage computeren ved en Zoom-brugere på Mac.

Dertil venter der nu Zoom en retssag i Californien, hvor de er anklaget for ikke at beskytte brugernes data nok.





Gå til bund
Gravatar #1 - Claus Jørgensen
6. apr. 2020 09:59
Selvfølelig er det malware. Hvordan tror i ellers de tjener penge når alle bruger den gratis udgave?

Zoom har ikke råd til at hele USAs skolesystem, og titusindevis af virksomheder bruger deres produkt gratis uden at snoope data/info som de ellers kan sælge.
Gravatar #2 - syska
6. apr. 2020 14:34
Claus Jørgensen (1) skrev:
Selvfølelig er det malware. Hvordan tror i ellers de tjener penge når alle bruger den gratis udgave?

Zoom har ikke råd til at hele USAs skolesystem, og titusindevis af virksomheder bruger deres produkt gratis uden at snoope data/info som de ellers kan sælge.


Helt enig ... der er intet gratis i verdenen, hvis, så er der altid en hage ved det.

Men spændende at se hvad det ender med ( retsagen )
Gravatar #3 - arne_v
6. apr. 2020 14:41
#0

Zoom har været rigtigt meget i vælten i medierne.

Men meget af kritikken er forbløffende upræcis. Og graver man lidt dybere i hvad det rent teknisk drejer sig om, så har jeg lidt svært ved at se det som malware.

Den tekniske substans er så vidt jeg kan se:
1) de har brugt AES i ECB mode fremfor CBC mode (eller en anden chained mode)
2) de bruger kryptering mellem bruger og data center og ikke fra bruger til bruger
3) det har været muligt at joine en konferennce ved at gætte en URL, men det skulle de have gjordt noget ved nu
4) mac udgaven i visse versioner havde en sårbarhed der gjorde det muligt at hacke sig ind via den, men det blev fixet

Det er dårlig sikkerhed.

Men malware??
Gravatar #4 - arne_v
6. apr. 2020 14:42
#1

Deres forretningmodel er vel stort set her:

https://zoom.us/pricing
Gravatar #5 - graynote
6. apr. 2020 15:07
arne_v (3) skrev:
#0

Zoom har været rigtigt meget i vælten i medierne.

Men [faktiske problemstillinger]

Det er dårlig sikkerhed.

Men malware??



Nemlig!
Eller nemlig ikke.

Gravatar #6 - arne_v
6. apr. 2020 15:19
#5

?
Gravatar #7 - dugfrisk
6. apr. 2020 15:39
hvad kaldes facetime og skyppe?
Gravatar #8 - graynote
6. apr. 2020 17:50
arne_v (6) skrev:
#5

?


Jeg er enig med dig i, at det nemlig har været en forbløffende upræcis kritik, og det nemlig ikke er malware men blot dårlig sikkerhed.
Gravatar #9 - JoeX2
6. apr. 2020 22:11
Alt en potential unwanted application.

Anyways er blevet ret glad for https://meet. jit.si
Den er fra FOSS verdenen. Du kan vælge at installerer en server hjemme. Du kan selv vælge sikkerhedsniveau. Eller du kan lade være og håbe nogen lytter med.
Gravatar #10 - JoeX2
6. apr. 2020 22:13
Altså er Zoom en "potential unwanted application". I EU kan man nu blive holdt ansvarlig hvis ens software er for usikker.

Anyways. Jeg er blevet ret glad for https://meet. jit.si
Den er fra FOSS verdenen. Du kan vælge at installerer en server hjemme. Du kan selv vælge sikkerhedsniveau. Eller du kan lade være og håbe nogen lytter med.
Gravatar #11 - JoeX2
6. apr. 2020 22:14
.
Gravatar #12 - Zalon
7. apr. 2020 09:57
syska (2) skrev:
Helt enig ... der er intet gratis i verdenen, hvis, så er der altid en hage ved det.


Det med at intet er gratis er noget pjat, der findes masser af software og services som enten er designet så det ikke koster penge at drive, eller som bliver givet væk som reklame eller for at tjene penge på et andet produkt.

Ikke at jeg forsvarer Zoom, fordi det virker til at de som sådan havde gode nok intentioner, men så fik funding fra folk med lidt for gode idéer.

Tænker at vi kan give Signal et par år mere og så slipper vi helt for den slags bekymringer.
Gravatar #13 - CBM
7. apr. 2020 10:06
Spørgsmålet er hvor meget kryptering der rent faktisk er umagen værd.

Havde NSA ikke haft fingrene i open source biblioteker som fx OpenSSL og meget andet?

HVIS de har sikret sig bagdøre i software, så vil andre også kunne finde dem og så er vi lige vidt alligevel

Samme gælder for brugen af et intel baseret system hvor man baserede alt på security by obscurity og hastighed frem for sikkerhed

Givet vis er der en lignende bagdør i AMD systemer men den er endnu ukendt i den brede befolkning

Gravatar #14 - arne_v
7. apr. 2020 13:24
https://www.computerworld.dk/art/251465/zoom-forso...
Gravatar #15 - arne_v
7. apr. 2020 13:47
Zalon (12) skrev:

Ikke at jeg forsvarer Zoom, fordi det virker til at de som sådan havde gode nok intentioner, men så fik funding fra folk med lidt for gode idéer.


Hvilke gode ideer tænker du specifikt på?

Gravatar #16 - arne_v
7. apr. 2020 13:50
#1 og #4

Jeg har dem lidt mistænkt for at deres reelle forretningsmodel er "dansk mobiltelefoni selskab" modellen - aka skaffe en masse kunder ved at køre med underskud og så sælge biksen til et af de store firmaer for en formue.

Gravatar #17 - Zalon
8. apr. 2020 11:23
arne_v (15) skrev:
Hvilke gode ideer tænker du specifikt på?

Altså, primært opsamling af data og deling af data for profit. Selv uden at kigge på sikkerhedsfejl, så har deres forretningskoncept/adfærd jo været kritiseret længe i forhold til privatliv.

Er dog enig med hvad du skriver i #16, at det helt sikkert har været planen at de skulle vokse på brugerantal og så sælges.
Gravatar #18 - arne_v
8. apr. 2020 12:27
Zalon (17) skrev:

arne_v (15) skrev:

Hvilke gode ideer tænker du specifikt på?

Altså, primært opsamling af data og deling af data for profit.


Det er kendt at de bruger (eller har brugt) FaceBook Graph API, hvilket giver FaceBook data.

Men har du nogen kilde til at de har fået penge af FaceBook for det?
Gravatar #19 - Claus Jørgensen
8. apr. 2020 13:41
arne_v (3) skrev:

4) mac udgaven i visse versioner havde en sårbarhed der gjorde det muligt at hacke sig ind via den, men det blev fixet

Det er dårlig sikkerhed.

Men malware??
Det er lidt værre end du tror

https://arstechnica.com/information-technology/201...
Gravatar #20 - arne_v
8. apr. 2020 14:37
#19

Så ikke nok med at de introducerede en bagdør, men bagdøren blev ikke fjernet ved afinstallation af produktet.

Vi ændrer vurderingen fra "dårlig sikkerhed" til "katastrofal dårlig sikkerhed".

Men pointen er at der vel ikke er nogen indikation af at det er gjordt med ondsindede formål eller med profit formål.
Gravatar #21 - arne_v
8. apr. 2020 14:39
#20

Brug af ECB fremfor CBC (eller anden chain mode) er også rigtigt dumt fra et sikkerhedssynspunkt.

Men igen er det vel mere inkompetance end ondsinded planer.
Gravatar #22 - arne_v
14. apr. 2020 19:22
CBM (13) skrev:

Spørgsmålet er hvor meget kryptering der rent faktisk er umagen værd.


Der er brugt rigtigt mange timer og penge på at bryde AES. Indtil videre uden held.

CBM (13) skrev:

Havde NSA ikke haft fingrene i open source biblioteker som fx OpenSSL og meget andet?


Nej.

NSA medvirkede til at Dual_EC_DRBG blev standardiseret på trods af frygt for en algoritme bagdør og valget af default værdier for P og Q (hvilket betyder at hvis der findes en algoritme bagdør for default værdierne for P og Q, så er det NSA som kender den). Der er ikke noget usædvaneligt i at NSA er blevet konsulteret med hensyn til kryptografiske algoritmer - det er de blevet i de sidste 50 år.

OpenSSL implementerer langt de fleste algoritmer for kryptering, hashing og secure RNG. Inklusive Dual_EC_DRBG. Men NSA har ikke været involveret i koden. Og der var iøvrigt en fejl i OpenSSL implementationen, så den ikke virkede - man ved derfor at ingen har brugt den.

CBM (13) skrev:

HVIS de har sikret sig bagdøre i software, så vil andre også kunne finde dem og så er vi lige vidt alligevel


Der er forskel på software bagdøre og algoritme bagdøre.

Software bagdøre kan nemt blive opdaget af andre.

Men algoritme bagdøre ihvertfald relateret til brugte konstanter kan være praktisk umulige at finde for andre.

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login