Zoomovi sigurnosni problemi nisu bili tajna za poslovne partnere poput Dropboxa



Dropbox je privatno platio vrhunskim hakerima da pronađu greške u softveru tvrtke za videokonferencije Zoom, a zatim je pritisnuo da ih popravi.

Pandemija je pretvorila Zoom u ključnu aplikaciju za učitelje i nebrojene druge profesionalce. Kriza je također razotkrila sigurnosne nedostatke Zooma.

Prije godinu dana dva australska hakera našla su se na osmosatnom letu za Singapur kako bi prisustvovali hakersko natjecanje uživo sponzorira Dropbox. Na 30.000 stopa, bez ičega osim spore internetske veze, odlučili su se za početak hakirajući Zoom, uslugu videokonferencija za koju su znali da je koriste mnogi zaposlenici Dropboxa.

Hakeri su ubrzo otkrili a velika sigurnosna ranjivost u Zoomovom softveru koji je mogao omogućiti napadačima da prikriveno kontroliraju Mac računala određenih korisnika. Bio je to upravo onaj tip bug kojeg su se sigurnosni inženjeri u Dropboxu počeli bojati od Zooma, prema trojici bivših inženjera Dropboxa.

Sada je Zoomova usluga videokonferencija postala poželjna komunikacijska platforma za stotine milijuna ljudi koji se sklanjaju kod kuće, a izvješća o njegovu privatnost i sigurnost nevolje su se umnožile.

Zoomovi branitelji, uključujući velika imena poduzetničkih kapitalista iz Silicijske doline, kažu da je navala kritika nepravedna. Tvrde da Zoom, koji je izvorno dizajniran za tvrtke, nije mogao predvidjeti pandemiju koja će poslati legije potrošača u njegove usluge u rasponu od nekoliko tjedana i koristiti ga u svrhe - poput nastave u osnovnoj školi i obiteljskih proslava - za koje je nikada nije bio namijenjen.

Mislim da mnoge od ovih stvari nisu bile predvidljive, rekao je Alex Stamos, bivši glavni sigurnosni službenik Facebooka koji se nedavno prijavio kao sigurnosni savjetnik u Zoom. Kao da su svi odlučili voziti svoje automobile po vodi.

Bivši inženjeri Dropboxa, međutim, kažu da se trenutni problemi Zooma mogu pratiti unatrag dvije godine ili više, te tvrde da je neuspjeh tvrtke da revidira svoje sigurnosne prakse tada doveo svoje poslovne klijente u opasnost.

Dropbox se toliko zabrinuo da bi ranjivosti u sustavu za videokonferencije mogle ugroziti njegovu vlastitu korporativnu sigurnost da je div za hosting datoteka poduzeo neobičan korak nadzora nad samim sigurnosnim praksama Zooma, tvrde bivši inženjeri, koji su govorili pod uvjetom anonimnosti jer su nisu ovlašteni javno raspravljati o svom radu.

koji je od sljedećih izlazni hardverski uređaj?

Kao dio novog programa procjene sigurnosti za svoje dobavljače i partnere, Dropbox je 2018. počeo privatno nuditi nagrade vrhunskim hakerima da pronađu rupe u Zoomovom softverskom kodu i onom nekoliko drugih tvrtki. Bivši inženjeri Dropboxa rekli su da su zapanjeni opsegom i ozbiljnošću sigurnosnih nedostataka koje su hakeri otkrili u Zoomovom kodu - i uznemireni Zoomovom sporošću u njihovom popravljanju.

Nakon što je Dropbox predstavio nalaze hakera s događaja u Singapuru Zoom Video Communications, kalifornijskoj tvrtki koja stoji iza usluge videokonferencije, Zoomu je trebalo više od tri mjeseca da ispravi bug, rekli su bivši inženjeri. Zum zakrpio ranjivost tek nakon što je drugi haker objavio drugačiji sigurnosni propust s istim korijenskim uzrokom.

Iznenadna popularnost Zooma – gotovo 600.000 ljudi preuzelo je aplikaciju u jednom danu prošlog mjeseca – otvorila ju je pojačanoj kontroli istraživača i novinara i natjerala tvrtku da se uhvati u koštac s osipom sigurnosnih incidenata .

Prije tri tjedna, F.B.I. upozorio da je primio više izvješća o otmici trolova nastava u javnim školama na Zoomu za prikazivanje pornografije i prijetnje - zlonamjerni napadi poznati kao Zoombombing.

Prošlog tjedna, Viceov blog na matičnoj ploči izvijestio je da posrednici sigurnosnih grešaka prodaju pristup - za 500.000 dolara - kritične sigurnosne nedostatke Zooma koji bi mogao omogućiti daljinski pristup računalima korisnika. Zasebno, hakeri su postavili više od pola milijuna korisničkih lozinki i korisničkih imena Zooma za prodaju na takozvanom dark webu .

Dana 1. travnja, Eric S. Yuan, izvršni direktor Zooma, rekao je da će tvrtka posvetiti sve svoje inženjerske resurse sljedećih 90 dana učvršćivanje sigurnosti i privatnosti . Prošlog tjedna tvrtka je najavila obnovljeni program nagrađivanja za hakere koji pronađu sigurnosne nedostatke u njenom kodu. G. Stamos je rekao da Zoom također radi na promjenama dizajna kako bi smanjio potencijalne rizike od sigurnosnih propusta i zloupotreba poput Zoombombinga.

Slika



Kreditna...Hackerone

U priopćenju, Zoom je rekao da cijeni istraživače i industrijske partnere koji su nam pomogli – i nastavljaju pomagati – u identificiranju problema dok kontinuirano nastojimo ojačati našu platformu. Dodalo se da tvrtka proaktivno radi na boljem identificiranju, rješavanju i rješavanju problema.

Dropbox je u priopćenju rekao da je zahvalan Zoomu što je prvi sudjelovao u njegovom programu nagrađivanja bugova za dobavljače. Dodalo se da je sam Dropbox koristio uslugu videokonferencija za interne sastanke i da je Zoom postao kritičan alat u održavanju povezanosti naših timova.

Prije Zoomove inicijalne javne ponude 2019., Dropbox je uložio 5 milijuna dolara u tvrtku. Zasebno, Bryan Schreier, direktor Dropboxa, partner je u Sequoia Capitalu, koji je napravio ulaganje od 100 milijuna dolara u Zoom prije prve ponude.

Čak i kritičari priznaju da Zoom ostaje najprikladnija usluga videokonferencija na tržištu i da je postao ključni komunikacijski alat tijekom pandemije. Istraživači sigurnosti također su pohvalili Zoom zbog poboljšanja vremena odgovora – brzog zakrpanja nedavnih bugova i uklanjanja značajke koje predstavljaju rizike za privatnost potrošačima.

Zoom teško da je prva tehnološka tvrtka čiji je nagli porast popularnosti razotkrio njezine probleme. Microsoft, Cvrkut , Google , Facebook i Uber imaju sve podmirene federalne naknade vezane za sigurnost ili privatnost potrošača.

Ono što je drugačije kod Zooma je neobična uloga koju je druga tehnološka tvrtka - Dropbox - odigrala u guranju usluge videokonferencije da riješi svoje sigurnosne slabosti. Pojedinosti o ulozi Dropboxa ranije nisu javno objavljene.

Mnoge tvrtke, uključujući Zoom, imaju programe za nagrađivanje grešaka u kojima plaćaju hakerima da izokrenu nedostatke u softverskom kodu tvrtke. No Dropbox, koji je svoje usluge dijeljenja datoteka integrirao sa Zoomom, učinio je nešto novo.

Počevši od 2018., Dropbox je privatno ponudio plaćanje vrhunskim hakerima s kojima je redovito radio kako bi pronašli probleme sa Zoomovim softverom. Čak je imao vlastite sigurnosne inženjere koji su potvrdili greške i potražili povezane probleme prije nego što ih proslijede Zoomu, prema bivšim inženjerima Dropboxa.

Hakeri su Dropboxu prijavili nekoliko desetaka problema sa Zoomom, rekli su bivši zaposlenici. To su uključivali umjerene probleme, poput mogućnosti napadača da preuzmu radnje korisnika na web-aplikaciji Zoom, i ozbiljnije sigurnosne propuste poput mogućnosti napadača da pokreću zlonamjerni kod na računalima koristeći Zoom softver. Dropbox je također stavio vlastite kontrole kako bi osigurao da njegova integracija sa Zoomom ne predstavlja rizik za korisnike Dropboxa.

Reputacija Zooma zbog sigurnosnih slabosti počela se širiti unutar Dropboxa, rekli su bivši inženjeri.

Kao dio godišnjeg hakerskog natjecanja za cijelu tvrtku 2018., inženjeri Dropboxa stvorili su knockoff Zooma - nazvali su ga Vroom - i izazvali zaposlenike da ga hakiraju. Zaposlenici Dropboxa uspješno su dobili Vroom kodove za sastanke, što bi im omogućilo da sruše hipotetske Vroom sastanke. Ideja vježbe, rekli su bivši zaposlenici Dropboxa, bila je naučiti inženjere Dropboxa da izbjegnu neke od sigurnosnih grešaka koje je napravio Zoom.

Neki bivši zaposlenici rekli su da je Dropbox također potaknuo Zoom na uvođenje dodatnih sigurnosnih mjera, uključujući značajku virtualne čekaonice koja sada omogućuje organizatorima sastanka da provjere sudionike prije nego što ih puste na videokonferenciju.

Slika

Kreditna...Pippa Fowles / Agence France-Presse, preko 10 Downing Street

Ne sumnjam da je Zoom bio u stanju bolje riješiti trenutnu ludost za 'zoombombom' zahvaljujući ranom uključivanju Dropboxa, napisao je Chris Evans, bivši šef sigurnosti u Dropboxu, u e-poruci novinaru.

Zaposlenici Dropboxa nisu jedini koji su pronašli probleme. Krajem 2018. David Wells, viši inženjer istraživanja u Tenableu, tvrtki za procjenu sigurnosnih ranjivosti, otkrio je ozbiljnu grešku u Zoomu koja bi omogućila napadaču da daljinski poremeti sastanak - čak i bez poziva. Između ostalog, gospodin Wells je izvijestio da bi napadač mogao preuzeti kontrole zaslona korisnika Zooma, unositi tipke i prikriveno instalirati zlonamjerni softver na njihovo računalo.

G. Wells je također otkrio da mu ranjivost omogućuje objavljivanje poruka u Zoom chatovima pod tuđim imenima i izbacivanje ljudi sa sastanaka. G. Wells, koji je svoje nalaze izvijestio izravno Zoomu, rekao je da je Zoom brzo popravio nedostatke.

Početkom 2019. sponzorirao je Dropbox HackerOne Singapur , natjecanje u hakiranju uživo. Kako bi izvršio pritisak na Zoom da ozbiljnije shvati sigurnost, rekli su bivši inženjeri Dropboxa, Dropbox je uslugu videokonferencije uključio među tvrtke za koje je ponudio nagrade za greške na događaju.

Čak i prije početka događaja, jedan je haker prijavio veliku ranjivost Dropboxu koja je mogla omogućiti napadačima da se predstavljaju kao Zoom preko Wi-Fi-ja i potajno promatraju videopozive korisnika, rekli su bivši inženjeri Dropboxa.

Ubrzo nakon toga, dva australska hakera, inženjer i izvršni direktor u sigurnosnoj tvrtki Assetnote, otkrio nedostatak to bi omogućilo napadaču da tajno preuzme potpunu kontrolu nad određenim računalima s Appleovim macOS-om, navodi se u objavi na blogu koju su objavili hakeri.

Otkriće je bilo posebno neugodno jer su napadači mogli upotrijebiti ranjivost Zooma za pristup najdubljim razinama računala korisnika.

Ali Zoom nije brzo riješio nedostatak. Umjesto toga, tvrtka je čekala više od tri mjeseca do treći istraživač neovisno otkrio i objavio zasebno, manje ozbiljno pitanje, s istim temeljnim uzrokom.

pxe-mof izlazi iz pxe rom

Gospodin Yuan, Zoomov izvršni direktor, naknadno je napisao post na blogu srpnja ispričavajući se zbog kašnjenja.

Pogrešno smo procijenili situaciju i nismo dovoljno brzo odgovorili - i to je na nama, napisao je gospodin Yuan. Dodao je: Sigurnost korisnika shvaćamo nevjerojatno ozbiljno.