Trong thời đại tin học hóa phát triển như hiện nay, nhiều hoạt động hội họp được tiến hành trực tuyến mà không cần gặp nhau trực tiếp thông qua hệ thống mạng và phần mềm hội nghị. Hội nghị trực tuyến giúp các tổ chức/doanh nghiệp (TC/DN) hội họp mà không cần gặp gỡ trực tiếp, các thành viên không phải di chuyển với khoảng cách địa lý xa xôi. Đã xuất hiện thuật ngữ Telecommuter để chỉ những người làm việc tại nhà từ xa mà không cần phải đến công sở.
Vào tháng 6/2014, đã có 10 triệu người sử dụng Zoom Meetings. Đến tháng 2/2015, đã đạt đến 40 triệu cá nhân với 65 nghìn tổ chức đăng ký. Hãng đã tổ chức được 1 tỷ phút hội họp kể từ khi được thành lập vào năm 2011. Ngoài Zoom Meetings, còn có nhiều hệ thống phần mềm hội nghị của nhiều hãng khác nhau trên thị trường toàn cầu, bao gồm các phần mềm đóng và cả các phần mềm mở miễn phí cho mọi người sử dụng và phát triển. Phần mềm hội nghị đã mang lại những lợi ích không thể phủ nhận.
Vào đầu năm 2020, đại dịch COVID-19 xuất hiện và lan rộng ra khắp toàn cầu với tốc độ lây nhiễm phi mã, thậm chí là cấp số nhân. Các quốc gia đã chọn giải pháp chống lây lan dịch bệnh là cách ly xã hội. Trong tình hình dịch bệnh COVID-19, thì làm việc tại nhà là phương pháp được các TC/DN ưu tiên. Nhiều hoạt động lao động sản xuất và sinh hoạt đã dựa vào hoạt động trực tuyến thông qua mạng toàn cầu và các phần mềm hội nghị truyền hình trực tuyến.
Tuy vậy, sự an toàn và quyền riêng tư khi sử dụng hội nghị truyền hình vẫn phải cần ưu tiên hàng đầu.
Từ đầu năm 2020, việc sử dụng phần mềm Zoom đã tăng lên đột biến khi các trường học và công sở chấp thuận sử dụng nền tảng làm việc từ xa vì đại dịch COVID-19, tăng lên 67% từ đầu năm cho đến giữa tháng 3/2020. Khi đại dịch bùng phát, hàng nghìn cơ sở giáo dục cũng chuyển sang các lớp học trực tuyến sử dụng phần mềm Zoom trên toàn thế giới. Trong một ngày, phần mềm Zoom được tải xuống 343 nghìn lần và đạt tới 2,22 triệu người sử dụng vào các tháng đầu năm 2020, nhiều hơn so với cả năm 2019 gộp lại. Các vấn đề an toàn và riêng tư cũng vì vậy mà trở nên quan trọng hơn bao giờ hết.
Về vấn đề an toàn, hãng Zoom tuyên bố sử dụng lập mã AES-256 để bảo vệ kết nối kiểm soát TLS khởi đầu đến máy chủ Zoom, nhưng các luồng âm thanh và hình ảnh thực tế được gửi đi trên giao thức UDP không được lập mã đầu cuối đến điểm cuối. Zoom tuyên bố lập mã đầu cuối đến điểm cuối trong các tài liệu marketing, nhưng sau đó được làm rõ là chỉ tác dụng giữa các máy chủ Zoom mà thôi và việc này được coi là thiếu trung thực.
Vào tháng 8/2018, Natalie Silvanovich - nhà nghiên cứu Project Zero của Google đã tiết lộ rằng, có những lỗ hổng nghiêm trọng trong các cài đặt kiến trúc hội nghị truyền hình phổ biến nhất bao gồm WebRTC (được sử dụng bởi Chrome, Safari, Firefox, Facebook Messenger, Signal và các phần mềm khác), PJSIP (được sử dụng bởi WhatsApp) và thư viện có quyền sở hữu của Apple đối với FaceTime. Nếu bị khai thác, thì những lỗ hổng như vậy có thể cho phép tấn công chỉ với việc thiết lập một cuộc gọi truyền hình. Việc này kích hoạt tràn bộ nhớ heap, cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân. Một kịch bản tấn công về mặt nguyên lý (Proof-of- Concept) đã được đưa ra đầy thuyết phục, tuy tấn công chưa xảy ra trên thực tế. Nhà nghiên cứu lỗ hổng bảo mật Tavis Ormandy cũng ủng hộ ý kiến của Silvanovich. Ngay sau khi các lỗ hổng được thông báo về cho WhatsApp và FaceTime thì đã được các hãng phát hành bản vá.
Đối với người sử dụng ứng dụng mua hàng trực tuyến, kẻ tấn công có thể tìm cách chiếm các tài khoản WhatsApp, FaceTime và các tài khoản khác như là một cách để truy cập dữ liệu cá nhân của họ. Đối với các hãng sử dụng các nền tảng hội nghị truyền hình là phương tiện để tiến hành hội họp, thì những kẻ tấn công có thể nghe trộm các cuộc trò chuyện công việc.
Vào tháng 11/2018, một lỗ hổng bảo mật đã được phát hiện, cho phép kẻ tấn công từ xa không xác thực có thể lừa các thông báo UDP từ một người tham gia hội nghị hay máy chủ Zoom, để thực hiện các chức năng tại máy khách mục tiêu. Điều này cho phép kẻ tấn công loại bỏ những người tham gia khỏi các cuộc họp, lừa các thông báo từ những người sử dụng, hay chiếm đoạt các màn hình chia sẻ. Một lỗ hổng khác cho phép máy khách truy cập tùy ý đến camera và microphone đã được phát hiện vào năm 2020.
Vào tháng 7/2019, lỗ hổng zero-day đã được phát hiện, cho phép một website bất kỳ ép buộc một người sử dụng macOS tham gia vào một cuộc gọi Zoom với camera hoạt động mà không cần người sử dụng cho phép. Ngoài ra, việc tắt máy khách Zoom trên macOS có thể nhắc phần mềm tái khởi động tự động trong nền, sau sử dụng máy chủ web ẩn được thiết lập trên máy tính trong quá trình cài đặt đầu tiên, và vẫn duy trì kích hoạt thậm chí sau khi cố gắng bỏ kích hoạt ở máy khách.
Sau khi nhận được chỉ trích công khai, Zoom đã cập nhật phần mềm để loại bỏ lỗ hổng và máy chủ web ẩn cho phép tắt hoàn toàn. Việc gia tăng sử dụng Zoom trong đại dịch COVID-19 khiến Zoom gia tăng rủi ro mất an toàn, thậm chí khiến thông tin đăng nhập của người sử dụng Windows bị lộ lọt. Những tấn công giả mạo liên quan đến Zoom được phát hiện như sự gia tăng các website và liên kết giả mạo Zoom để đánh cắp thông tin cá nhân. Zoom bombing cũng xuất hiện, chỉ việc một người không được mời tham gia vào một cuộc họp, gây ra gián đoạn hoạt động. Sự việc này đã gia tăng và buộc FBI phải đưa ra cảnh báo.
Đặc biệt, Zoom bombing cho phép kẻ xấu tham gia hội nghị truyền hình, đưa chèn vào các thông tin xấu, độc hại, không lành mạnh hay xuyên tạc, bằng hình ảnh và lời lẽ nhạy cảm, không phù hợp với học sinh, sinh viên đang tham gia học tập và làm việc. Sự việc này cần phải được loại bỏ ngay để giữ môi trường hội nghị truyền hình trong sạch, lành mạnh và hữu ích.
Hãng Zoom đã bị phê phán về các hoạt động thu thập dữ liệu, bao gồm thu thập và lưu trữ nội dung chứa trong các ghi chép đám mây và bảng trắng, các tệp, các thông báo nhanh… Những người quản trị có thể tham gia vào bất kỳ cuộc gọi nào vào bất cứ khi nào mà không cần sự đồng ý hay thông báo với những người tham gia cuộc gọi. Trong quá trình đăng ký tài khoản miễn phí của Zoom, chương trình yêu cầu người sử dụng cho phép chương trình nhận diện họ với thông tin cá nhân trên Google và thậm chí cho phép xóa vĩnh viễn các liên hệ Google của họ.
Việc sử dụng rộng rãi của Zoom trong giáo dục trực tuyến vì đại dịch COVID-19 khiến gia tăng mối lo ngại liên quan đến sự riêng tư dữ liệu của người học, đặc biệt là thông tin nhận dạng cá nhân của họ. Theo FBI, các địa chỉ IP, lịch sử truy cập, kết quả học tập và dữ liệu sinh trắc của người học có thể chịu rủi ro trong quá trình sử dụng các dịch vụ học tập trực tuyến tương tự. Việc sử dụng Zoom của các trường học phổ thông và đại học có thể làm gia tăng các vấn đề liên quan đến giám sát trái phép người học, cũng như vi phạm đến các quyền của người học theo luật pháp. Tuy hãng Zoom tuyên bố rằng, các dịch vụ hội nghị truyền hình tuân theo luật pháp và nó thu thập, lưu trữ dữ liệu người dùng chỉ là để hỗ trợ vận hành và kỹ thuật.
Ứng dụng iOS của Zoom đã bị phát hiện đang gửi dữ liệu phân tích thiết bị cho Facebook, dù tài khoản của Facebook có được sử dụng với dịch vụ này hay không, cũng như không thông báo điều này với người sử dụng. Ngày 27/3/2020, đại diện của Zoom đã phát biểu rằng, bộ công cụ phát triển (SDK) của Facebook đã thu thập dữ liệu thiết bị không cần thiết và rằng Zoom đã phát hành bản vá để loại bỏ SDK vì những lo ngại trên. Hãng cho rằng, SDK chỉ thu thập thông tin về các đặc tả thiết bị người sử dụng và không thu thập thông tin cá nhân.
Trong tháng 3/2020, Zoom đã bị kết tội tại Tòa án liên bang Hoa Kỳ đối với việc tiết lộ bất hợp pháp dữ liệu cá nhân cho các bên thứ ba bao gồm cả Facebook. Theo như kết tội, chính sách riêng tư của Zoom không giải thích cho những người sử dụng rằng ứng dụng này chứa mã chương trình làm tiết lộ thông tin cho Facebook và các bên thứ ba khác. Thiết kế chương trình và giải pháp bảo mật chưa toàn diện đã và sẽ gây ra sự tiết lộ trái phép thông tin cá nhân người sử dụng. Cùng tháng này, người đứng đầu tư pháp bang New York đã đưa ra chất vấn đối với các biện pháp bảo mật riêng tư của Zoom.
Theo thông báo kế hoạch bảo mật 90 ngày của Zoom, phiên bản Zoom 5.0 đã được ra mắt với một số biện pháp bảo mật và quyền riêng tư mới. Dịch vụ hội họp trực tuyến này đã hỗ trợ thêm chuẩn mã hóa AES 256-bit GCM để nâng cao bảo mật cho các cuộc họp. Phiên bản mới của Zoom được phát hành vào cuối tháng 4/2020 và toàn bộ tài khoản được hỗ trợ chuẩn mã hóa mới.
Theo Oded Gal, CPO của Zoom, từ hệ thống mạng cho tới các tính năng đều được thiết lập dựa theo trải nghiệm của người dùng và được đưa vào kiểm tra nghiêm ngặt. Ở khu vực back-end, chuẩn mã hóa AES 256-bit GCM sẽ nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải chúng.
Ngoài tiêu chuẩn mã hóa AES 256-bit GCM, quản trị viên tài khoản Zoom có thể chọn khu vực trung tâm dữ liệu mà các cuộc hội thảo trên web được lưu trữ, sử dụng cho lưu lượng truy cập thời gian thực. Các tiêu chuẩn mã hóa và kiểm soát định tuyến dữ liệu mới được áp dụng, bao gồm bảo mật mạng. Zoom đã thêm một biểu tượng bảo mật mới trong thanh menu cuộc họp trên giao diện máy chủ lưu trữ. Máy chủ có thể tìm thấy tất cả tính năng bảo mật được nhóm lại một cách khoa học.
Ngoài ra, những tài khoản mới sẽ được quản lý chặt chẽ, một số tính năng bảo mật sẽ được thêm vào trong thời gian tới như tăng độ khó của mật khẩu cuộc họp, mật khẩu ghi âm trên đám mây, bảo mật tính năng Account Contact Sharing, cải tiến bảng điều khiển và nhiều tính năng khác.
TÀI LIỆU THAM KHẢO[1]. Ronen Slavin, Hacking Video Conferencing Platforms - The Next Big Thing? [2]. https://theintercept.com/2020/03/31/zoom-meeting-encryption/ |
Trần Quang Kỳ
08:00 | 23/04/2020
09:00 | 07/08/2020
14:00 | 28/10/2022
08:00 | 19/07/2019
11:00 | 16/04/2020
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
