Phản ứng nhanh với các lỗ hổng bảo mật
Zoom Video Communications vừa công bố các cải tiến về bảo mật với sự ra mắt của Zoom 5.0, đánh dấu cột mốc quan trọng trong kế hoạch 90 ngày của công ty nhằm chủ động xác định, giải quyết và nâng cao khả năng bảo mật cũng như sự riêng tư. Với việc hỗ trợ phương thức mã hóa AES 256-bit GCM, Zoom cung cấp lớp bảo vệ tăng cường cho dữ liệu của các cuộc họp và khả năng chống giả mạo.
Khi đại dịch COVID-19 bắt đầu lan rộng nhanh chóng vào tháng 3/2020, một số quốc gia đã đưa ra biện pháp giãn cách xã hội để giảm nguy cơ bùng phát đại dịch. Điều này dẫn đến nhiều tập đoàn, đặc biệt là các công ty CNTT phải làm việc từ xa hoàn toàn trong thời gian này. Khi ngày càng có nhiều nhân viên làm việc tại nhà, các ứng dụng như Zoom đã trở thành công cụ làm việc từ xa. Số lượng người dùng của Zoom đã tăng từ 10 triệu lên 200 triệu vào tháng 3.
Tuy nhiên, khi số lượng người dùng gia tăng nhanh chóng, một số rủi ro và lỗ hổng bảo mật trong Zoom bắt đầu lộ diện. Ví dụ như máy chủ cuộc họp có thể thu thập dữ liệu về người tham gia, "Zoombombing" bởi tin tặc, ứng dụng bí mật gửi dữ liệu tới Facebook, ứng dụng máy khách Windows cho Zoom có thể bị tấn công (hack) để đánh cắp mật khẩu, phần mềm độc hại theo dõi hành vi giống như trình cài đặt Zoom trên máy MacOS, v.v..
Zoom đã phản ứng bằng cách rà soát và xác định các lỗ hổng bảo mật, đưa ra kế hoạch 90 ngày để cải thiện ứng dụng, đồng thời bổ nhiệm cựu giám đốc an ninh của Facebook là Alex Stamos làm cố vấn.
Hãng này đã phát hành bản cập nhật 5.0 vào ngày 27/4/2020. Bản phát hành này xuất hiện sau khoảng 3 tuần công ty công bố kế hoạch 90 ngày. Một trong những thay đổi quan trọng nhất trong bản cập nhật Zoom 5.0 là việc sử dụng mã hóa AES-256 GCM. Các thuật toán mã hóa được sử dụng trước đây bởi Zoom bị đánh giá quá yếu. Do đó, bản cập nhật này rất cần thiết, đặc biệt đối với người dùng Zoom hàng ngày.
Zoom cũng đã kịp thời hành động để thay đổi các thiết lập mặc định nhằm giải quyết những lo ngại về vấn đề riêng tư của các cuộc họp, cũng như đặt ra một kế hoạch 90 ngày để hành động quyết liệt hơn và truyền thông một cách công khai.
Chuyển sang chuẩn mã hóa tin cậy hơn
Thay đổi lớn nhất là việc chuyển sang chuẩn mã hóa GCM AES 256-bit, mang đến lớp bảo vệ tăng cường cho dữ liệu cuộc họp trong quá trình truyền tải và giúp chống giả mạo. Điều này mang đến khả năng bảo mật và truyền tải nguyên vẹn dữ liệu trên Zoom Meeting, Zoom Video Webinar và Zoom Phone.
GCM là viết tắt của Chế độ Galois/Counter (Galois/Counter Mode). Đó là chế độ mã hóa khối (dữ liệu được chia thành các khối và sau đó được mã hóa) chế độ hoạt động được sử dụng với nhiều thuật toán mã hóa khối, phổ biến với thuật toán tiêu chuẩn mã hóa nâng cao (AES). Thuật toán cung cấp mã hóa xác thực trên dữ liệu và được sử dụng rất phổ biến vì nó cung cấp mức độ bảo mật cần thiết mà không ảnh hưởng đến hiệu suất và hiệu quả.
GCM cung cấp mã hóa bằng cách sử dụng bộ đếm. Đối với mỗi khối dữ liệu, nó nhập giá trị hiện tại của bộ đếm vào thuật toán mã hóa khối. Sau đó, nó lấy đầu ra của thuật toán mã hóa khối với văn bản/dữ liệu đơn giản để tạo ra văn bản/dữ liệu mật mã. Bất kỳ thuật toán mã hóa khối nào cũng có thể được sử dụng với GCM theo cách này. Phổ biến nhất là thuật toán AES-256.
Tại Việt Nam, thuật toán AES đã được công nhận thành tiêu chuẩn quốc gia TCVN 7816:2007 năm 2007 về thuật toán mã hóa dữ liệu AES.
Zoom đang sử dụng AES-256 GCM bắt đầu từ bản cập nhật 5.0. Nó thiết lập một bước nhảy vọt trong cơ sở hạ tầng Zoom, từ các thuật toán bảo mật trước đây được sử dụng.
Tăng trải nghiệm người dùng và các tính năng mới
Để giải thích cho những chỉ trích rằng công ty đã chuyển một số dữ liệu qua máy chủ Trung Quốc, Zoom cho biết một quản trị viên tài khoản hiện có thể chọn các khu vực trung tâm dữ liệu cho các cuộc họp của họ, thông qua kiểm soát định tuyến dữ liệu mới. Tài khoản quản trị viên có thể lựa chọn khu vực máy chủ chứa dữ liệu để dùng trong các cuộc họp và hội thảo trực tuyến theo lưu lượng truy cập trong thời gian thực dựa trên tài khoản, nhóm, hoặc cấp bậc người dùng.
Các thay đổi khác bao gồm biểu tượng bảo mật để truy cập các tính năng bảo mật của Zoom, phòng chờ mặc định, mật khẩu để ghi âm trên đám mây, chia sẻ liên hệ tài khoản an toàn, tăng cường bảng điều khiển...
Công ty cho biết nhiều tính năng mới đã có sẵn và được cập nhật trong phiên bản mới. Họ đã thực hiện một số thay đổi đối với giao diện người dùng của mình, bao gồm cung cấp bảo vệ mật khẩu và cung cấp thêm các điều khiển cho máy chủ cuộc họp để kiểm tra những người tham gia không đáng tin cậy.
Các tính năng bảo mật của Zoom, vốn có thể truy cập thông qua các thanh trình đơn của cuộc họp, giờ đây sẽ được tập hợp lại và dễ dàng tìm thấy chỉ bằng một cú nhấn vào biểu tượng Security trong thanh trình đơn của cuộc họp trên giao diện của người tổ chức cuộc họp.
Người tổ chức cuộc họp có thể báo cáo về người dùng đến Zoom thông qua biểu tượng Security. Họ cũng có thể ngăn không cho người tham gia đổi tên. Đối với các khách hàng về giáo dục, giờ đây việc chia sẻ màn hình chỉ được thiết lập mặc định cho người tổ chức cuộc họp.
Bật mặc định tính năng Waiting Room (Phòng chờ): Một tính năng cho phép người tổ chức cuộc họp giữ lại người tham gia trong các phòng chờ cá nhân ảo trước khi họ được phép bước vào cuộc họp. Giờ đây tính năng này sẽ được bật mặc định cho các tài khoản liên quan đến giáo dục, tài khoản Basic và tài khoản Pro chỉ đăng ký một người dùng. Tất cả những người tổ chức cuộc họp giờ đây có thể bật Waiting Room khi cuộc họp đang diễn ra.
Độ phức tạp của mật khẩu cuộc họp và chế độ mặc định: Mật khẩu cuộc họp, một tính năng hiện có trên Zoom, giờ đây được bật mặc định cho hầu hết tất cả người dùng, bao gồm các khách hàng Basic, gói Pro chỉ đăng ký một người dùng và gói K-12.
Đối với các tài khoản cấp dưới, các tài khoản quản trị viên sẽ được định ra độ phức tạp của mật khẩu (ví dụ như độ dài, yêu cầu có chữ và số, và yêu cầu về ký tự đặc biệt). Ngoài ra, các quản trị viên của Zoom Phone giờ đây có thể điều chỉnh độ dài của số pin được yêu cầu để truy cập vào voicemail (hộp thư thoại).
Mật khẩu cho quyền truy cập các ghi âm trên đám mây (cloud recordings): Không chỉ đối với người tổ chức cuộc họp, mật khẩu giờ đây được thiết lập mặc định đối với tất cả những người truy cập vào ghi âm trên đám mây, và mật khẩu này sẽ được yêu cầu về độ phức tạp. Đối với các tài khoản cấp dưới, các tài khoản quản trị viên giờ đây có thể định ra độ phức tạp của mật khẩu.
Chia sẻ thông tin tài khoản một cách an toàn: Zoom 5.0 sẽ hỗ trợ một cấu trúc dữ liệu mới dành cho các DN lớn hơn, cho phép họ liên kết các thông tin người dùng trên nhiều tài khoản, vì thế mọi người có thể tìm kiếm các cuộc họp, đoạn hội thoại và số điện thoại người dùng một cách dễ dàng, an toàn.
Cải tiến bảng điều khiển (Dashboard): Các quản trị viên ở các mảng kinh doanh, tập đoàn và giáo dục có thể nhìn thấy cách thức các cuộc họp kết nối với các trung tâm dữ liệu Zoom trong Zoom Dashboard. Trong đó bao gồm thông tin các trung tâm dữ liệu nào có kết nối với các máy chủ HTTP Tunnel, cũng như các Conference Room Connectors (cổng kết nối cho các thiết bị họp video trực tuyến) và các cổng gateway.
Các tính năng bổ sung: Người dùng giờ đây có thể chọn tắt hiển thị thông báo Zoom Chat trong cuộc hội thoại; các cuộc họp không phải của cá nhân (non-PMI) thì ID giờ đây sẽ có 11 chữ số để tăng độ phức tạp; và trong một cuộc họp, ID của cuộc họp và lựa chọn Invite (Mời) đã được chuyển từ giao diện chính của Zoom sang trình đơn của những người tham gia, nhằm giảm thiểu tình trạng chia sẻ nhầm ID cuộc họp.
Ông Oded Gal, Giám đốc sản xuất của Zoom cho biết: "Chúng tôi nhìn nhận vấn đề riêng tư của người dùng và tính bảo mật của nền tảng một cách toàn diện, từ hệ thống đến các tính năng, cho đến trải nghiệm người dùng, tất cả đều được xem xét cẩn trọng. Về phần back-end (phần quản lý hệ thống), phương thức mã hóa AES 256-bit GCM giúp nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải. Về phần front-end (phần giao diện người dùng), điều khiến tôi thích thú nhất là biểu tượng Security trên thanh trình đơn của cuộc họp. Điều này đưa các tính năng bảo mật sẵn có và mới được thêm vào của chúng tôi trở thành trọng tâm đối với người tổ chức cuộc họp. Với hàng triệu người dùng mới, điều này sẽ đảm bảo họ có quyền truy cập ngay lập tức vào những tùy chọn điều khiển bảo mật quan trọng trong các buổi họp của mình."
Dự kiến ra mắt trong tuần này, Zoom 5.0 sẽ hỗ trợ mã hoá GCM và tiêu chuẩn này sẽ có hiệu lực ngay khi tất cả các tài khoản được kích hoạt với GCM. Việc kích hoạt tài khoản trên toàn hệ thống sẽ diễn ra vào ngày 30/5 tới đây.