ข่าวรายงานความคืบหน้าแผนความปลอดภัย 90 วัน ZOOM

12AW_หน้าปก Blog-01.jpg

ขอขอบคุณอีกครั้งสำหรับทุกคนที่เข้าร่วมการสัมมนาทางเว็บ“ Ask Anything Anything” ในวันนี้เซสชั่นสัปดาห์ที่สองของ Zoom CEO Eric S. Yuan เพื่ออัพเดทคุณเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยอย่างต่อเนื่องของ Zoom

สัปดาห์นี้ Eric เข้าร่วมกับ Zoom CPO Oded Gal, Zoom CTO Brendan Ittelson และที่ปรึกษาด้านความปลอดภัยคนใหม่ Alex Stamos เพื่อหารือเกี่ยวกับความก้าวหน้าที่เราทำในสองสัปดาห์นับตั้งแต่เริ่มแผน 90 วันของเรา และวิธีที่เราจะทำต่อไปข้างหน้า

ความคืบหน้าจากสัปดาห์ที่ผ่านมาและสิ่งที่กำลังเกิดขึ้น:

past-week.png

next-week.png

ไฮไลท์ของสัปดาห์นี้

ประเด็นสำคัญจากการสัมมนาทางเว็บ“ Ask Eric Anything” ในสัปดาห์นี้:

ไอคอนความปลอดภัยใหม่ในการควบคุมการประชุม

ไอคอนความปลอดภัยที่ออกใหม่ในแถบเครื่องมือจะให้โฮสต์การประชุมซูมและโฮสต์ร่วมด้วยการคลิกเพียงครั้งเดียวเพื่อเข้าถึง รวมถึงล็อคการประชุมและเปิดใช้ห้องรอ Waiting room

การเปลี่ยนเป็นการตั้งค่าเริ่มต้นของ Zoom

เราได้ทำการเปลี่ยนแปลงการตั้งค่าเริ่มต้นของ Zoom เพื่อปรับปรุงความปลอดภัยก่อนเริ่มการประชุม  ทั้งรหัสผ่านการประชุมและห้องรอ จะเปิดใช้งานโดยค่าเริ่มต้นสำหรับผู้ใช้ขั้นพื้นฐานฟรี (basic license) และผู้ใช้แบบ Pro เดี่ยว ในขณะที่ผู้ที่อยู่ในโปรแกรมการศึกษา K-12 จะต้องการรหัสผ่านเพื่อเข้าร่วมการประชุม  นอกจากนี้ห้องรอจะเปิดใช้งานตามค่าเริ่มต้นสำหรับผู้ใช้ K-12 เหล่านั้นด้วย

เพิ่มความซับซ้อนของรหัสผ่านการประชุม

เจ้าของบัญชีและผู้ดูแลระบบสามารถกำหนดความต้องการรหัสผ่านการประชุมขั้นต่ำเพื่อรวมตัวเลขตัวอักษรและอักขระพิเศษ หรืออนุญาตให้ใช้รหัสผ่านที่เป็นตัวเลขเท่านั้น  ส่วนบัญชีผู้ใช้พื้นฐานฟรีตอนนี้จะใช้รหัสผ่านตัวอักษรและตัวเลขโดยค่าเริ่มต้น แทนรหัสผ่านที่เป็นตัวเลข

การเปลี่ยนเส้นทางของศูนย์ข้อมูล

เริ่มตั้งแต่วันที่ 18 เมษายนผู้ดูแลบัญชีจะสามารถเลือกได้ว่าจะส่งข้อมูลของพวกเขาผ่านภูมิภาคศูนย์ข้อมูล (data center) ที่เฉพาะเจาะจงหรือไม่ ซึ่งจะช่วยให้ผู้ใช้สามารถควบคุมการโต้ตอบกับเครือข่ายทั่วโลกของ Zoom ได้มากขึ้น  เรียนรู้เพิ่มเติมเกี่ยวกับกระบวนการในโพสต์บล็อกของเรา https://blog.zoom.us/wordpress/2020/04/13/coming-april-18-control-your-zoom-data-routing/

โปรแกรมเงินรางวัลเพื่อหาจุดบกพร่องของความปลอดภัย (bug bounty) กับ Katie Moussouris จาก Luta Security

การซูมจะทำงานร่วมกับ Luta Security เพื่อจัดการโปรแกรมนี้ของเรา  Luta Security ก่อตั้งขึ้นโดย Katie Moussouris ผู้สร้างโปรแกรมหาช่องโหว่ที่สำคัญที่สุดที่ยังคงทำงานอยู่ในปัจจุบัน  เธอเริ่มการวิจัยช่องโหว่ของ Microsoft และ Symantec Vulnerability Research และเริ่มโปรแกรมนี้ให้ Microsoft และเพนตากอน  Luta Security จะประเมินโปรแกรมของ Zoom โดยใช้แผน 90 วันซึ่งจะครอบคลุมกระบวนการจัดการช่องโหว่ภายในทั้งหมด  อ่านเพิ่มเติมในโพสต์บล็อกของ Katie https://www.lutasecurity.com/post/luta-security-and-zoom

แนะนำ Alex Stamos

Eric แนะนำ Alex Stamos ซึ่งเป็นอดีต CSO ของ Facebook และผู้อำนวยการ Internet Observatory ของ Stanford ซึ่งจะเข้าร่วมกับ Zoom ในฐานะที่ปรึกษา เพื่อช่วยให้เราระบุ และใช้มาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุง  “ ไม่มีปัญหาน่าสนใจหรือมีผลกระทบมากกว่าปล่อยให้ผู้คนใช้ชีวิตอยู่ในเขตกักกันนี้” อเล็กซ์กล่าว  “ ไม่เคยมี บริษัท ที่ต้องขยายธุรกิจนี้อย่างรวดเร็ว และการสนับสนุนผู้คนหลายร้อยล้านคน เป็นความท้าทายด้านเทคนิคที่น่าทึ่ง  ฉันตื่นเต้นมากที่ได้เข้าร่วมทีมที่เคลื่อนไหวอย่างรวดเร็วอย่างไม่น่าเชื่อนี้”

ถาม ตอบ Q & A

ผู้อภิปรายยังได้ตอบคำถามจากผู้เข้าร่วมการสัมมนาผ่านเว็บสด  ต่อไปนี้เป็นหัวข้อที่ Eric และแขกของเขากล่าวถึงในสัปดาห์นี้:

บัญชีพื้นฐานฟรีหรือบัญชีที่ชำระเงิน ที่มีความปลอดภัยมากกว่ากัน

แม้ว่าบัญชีที่ชำระเงินจะมีคุณสมบัติเพิ่มเติมในการปรับแต่งการประชุมและการตั้งค่าผู้ใช้มากกว่าบัญชีพื้นฐาน Eric มั่นใจได้ว่าผู้เข้าร่วมประชุมจะมีคุณลักษณะด้านความปลอดภัยส่วนใหญ่สำหรับทั้งบัญชี Pro และบัญชีพื้นฐาน  อันที่จริงบัญชีฟรีตอนนี้มีการตั้งค่าความปลอดภัยจำนวนมากโดยค่าเริ่มต้น

คุณสามารถให้รายละเอียดเพิ่มเติมเกี่ยวกับโปรแกรมการหาช่องโหว่ของ Zoom ได้ไหม?

Alex อธิบายว่าโปรแกรมหาช่องโหว่เป็นระบบที่ให้รางวัลแก่ผู้ใช้และนักวิจัยด้านความปลอดภัยในการระบุข้อบกพร่องภายในผลิตภัณฑ์ของบริษัท  นอกจากนี้เขายังกล่าวว่าผู้ใช้ Zoom และนักวิจัยด้านความปลอดภัยได้รับเชิญให้เข้าร่วม รวมถึงนักวิจัยที่เคยรายงานเรื่องช่องโหว่ Zoom  ก่อนหน้านี้ เพื่อส่งข้อบกพร่องที่อาจเกิดขึ้น https://zoom.us/security?zcid=1231

คุณสามารถแบ่งปันอัปเดตเกี่ยวกับการเข้ารหัสของซูมได้ไหม?

Alex อธิบายว่าการโฟกัสระยะสั้นของการเข้ารหัสกำลังซูมจากการเข้ารหัส ECB 256-AES เป็นการเข้ารหัส GCM 256-AES ที่ปลอดภัยยิ่งขึ้น ในขณะที่การโฟกัสระยะยาวของเราจะเกี่ยวข้องกับการออกแบบการเข้ารหัสใหม่ทั้งหมดซึ่งช่วยลดความเสี่ยงของระบบการซูมได้อย่างมาก

แล้วข้อมูลประจำตัวเกี่ยวกับเว็บมืด (dark web) ล่ะ?

มีรายงานเมื่อไม่นานมานี้ว่ามีข้อมูลรับรองการซูมบางส่วนบนเว็บที่มืดพร้อมให้ซื้อ  อย่างไรก็ตามอเล็กซ์อธิบายว่านี่เป็นปัญหาที่ บริษัท ใหญ่ส่วนใหญ่เผชิญเช่น Yahoo, Facebook และ Amazon  เขายังอธิบายด้วยว่าข้อมูลรับรองเหล่านี้มักถูกขโมยจากผู้ใช้ที่อื่น แต่ใช้รหัสผ่านเดียวกันในหลายบัญชีหรือจากผู้ใช้ที่บังเอิญติดตั้งมัลแวร์ในระบบ  ทาง Zoom กำลังสร้างระบบเพื่อตรวจสอบว่าผู้ใช้พยายามจับคู่ชื่อผู้ใช้และรหัสผ่าน และปิดกั้นไม่ให้ลองอีกครั้ง  นอกจากนี้เรายังได้ว่าจ้าง บริษัท ข่าวกรองหลายแห่งเพื่อค้นหาต้นตอของรหัสผ่านเหล่านี้ และเครื่องมือที่ใช้ในการสร้างมัน รวมถึง บริษัทที่จะแจ้งปิดเว็บไซต์ที่พยายามหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์หรือให้ข้อมูลประจำตัวของพวกเขา

คนอื่นสามารถฟังในการประชุมซูมได้หรือไม่?

เบรนแดนอธิบายว่ามีเพียงผู้ใช้ภายในการประชุมของคุณเท่านั้นที่จะสามารถฟังการสนทนาและผู้ใช้เหล่านั้นจะปรากฏในรายการของผู้เข้าร่วม ดังนั้นจึงไม่มีผู้ใช้ที่ไม่ได้รับอนุญาตสามารถฟังได้ นอกจากนี้เขายังอธิบายว่า Zoom ไม่เคยบันทึกการประชุมใด ๆ  นอกจากผู้จัดการประชุมจะเลือกบันทึกเป็นพิเศษ

หากคุณพลาดเซสชั่นของสัปดาห์นี้คุณสามารถดูการบันทึกได้ที่นี่: https://youtu.be/VNVhDiWACwM

นอกจากนี้คุณยังสามารถดูไฮไลท์จากเซสชันของสัปดาห์ที่แล้ว  ลงชื่อสมัครเข้าร่วมการสัมมนาทางเว็บ“ Ask Eric Anything” ในสัปดาห์หน้าในหน้ากิจกรรมซูม

https://zoom.us/webinar/register/WN_9jdr63uuRuSRBX-yEJ2zVQ?id=3IWjZb4JTJm0II3A4lkBOg&zcid=1231

ขอบคุณ

ข้อมูลจาก https://blog.zoom.us/wordpress/2020/04/15/90-day-security-plan-progress-report-april-15/

 

Alex Alun