Trong thời đại tin học hóa phát triển như hiện nay, nhiều hoạt động hội họp được tiến hành trực tuyến mà không cần gặp nhau trực tiếp thông qua hệ thống mạng và phần mềm hội nghị. Hội nghị trực tuyến giúp các tổ chức/doanh nghiệp (TC/DN) hội họp mà không cần gặp gỡ trực tiếp, các thành viên không phải di chuyển với khoảng cách địa lý xa xôi. Đã xuất hiện thuật ngữ Telecommuter để chỉ những người làm việc tại nhà từ xa mà không cần phải đến công sở.
Vào tháng 6/2014, đã có 10 triệu người sử dụng Zoom Meetings. Đến tháng 2/2015, đã đạt đến 40 triệu cá nhân với 65 nghìn tổ chức đăng ký. Hãng đã tổ chức được 1 tỷ phút hội họp kể từ khi được thành lập vào năm 2011. Ngoài Zoom Meetings, còn có nhiều hệ thống phần mềm hội nghị của nhiều hãng khác nhau trên thị trường toàn cầu, bao gồm các phần mềm đóng và cả các phần mềm mở miễn phí cho mọi người sử dụng và phát triển. Phần mềm hội nghị đã mang lại những lợi ích không thể phủ nhận.
Vào đầu năm 2020, đại dịch COVID-19 xuất hiện và lan rộng ra khắp toàn cầu với tốc độ lây nhiễm phi mã, thậm chí là cấp số nhân. Các quốc gia đã chọn giải pháp chống lây lan dịch bệnh là cách ly xã hội. Trong tình hình dịch bệnh COVID-19, thì làm việc tại nhà là phương pháp được các TC/DN ưu tiên. Nhiều hoạt động lao động sản xuất và sinh hoạt đã dựa vào hoạt động trực tuyến thông qua mạng toàn cầu và các phần mềm hội nghị truyền hình trực tuyến.
Tuy vậy, sự an toàn và quyền riêng tư khi sử dụng hội nghị truyền hình vẫn phải cần ưu tiên hàng đầu.
Từ đầu năm 2020, việc sử dụng phần mềm Zoom đã tăng lên đột biến khi các trường học và công sở chấp thuận sử dụng nền tảng làm việc từ xa vì đại dịch COVID-19, tăng lên 67% từ đầu năm cho đến giữa tháng 3/2020. Khi đại dịch bùng phát, hàng nghìn cơ sở giáo dục cũng chuyển sang các lớp học trực tuyến sử dụng phần mềm Zoom trên toàn thế giới. Trong một ngày, phần mềm Zoom được tải xuống 343 nghìn lần và đạt tới 2,22 triệu người sử dụng vào các tháng đầu năm 2020, nhiều hơn so với cả năm 2019 gộp lại. Các vấn đề an toàn và riêng tư cũng vì vậy mà trở nên quan trọng hơn bao giờ hết.
Về vấn đề an toàn, hãng Zoom tuyên bố sử dụng lập mã AES-256 để bảo vệ kết nối kiểm soát TLS khởi đầu đến máy chủ Zoom, nhưng các luồng âm thanh và hình ảnh thực tế được gửi đi trên giao thức UDP không được lập mã đầu cuối đến điểm cuối. Zoom tuyên bố lập mã đầu cuối đến điểm cuối trong các tài liệu marketing, nhưng sau đó được làm rõ là chỉ tác dụng giữa các máy chủ Zoom mà thôi và việc này được coi là thiếu trung thực.
Vào tháng 8/2018, Natalie Silvanovich - nhà nghiên cứu Project Zero của Google đã tiết lộ rằng, có những lỗ hổng nghiêm trọng trong các cài đặt kiến trúc hội nghị truyền hình phổ biến nhất bao gồm WebRTC (được sử dụng bởi Chrome, Safari, Firefox, Facebook Messenger, Signal và các phần mềm khác), PJSIP (được sử dụng bởi WhatsApp) và thư viện có quyền sở hữu của Apple đối với FaceTime. Nếu bị khai thác, thì những lỗ hổng như vậy có thể cho phép tấn công chỉ với việc thiết lập một cuộc gọi truyền hình. Việc này kích hoạt tràn bộ nhớ heap, cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân. Một kịch bản tấn công về mặt nguyên lý (Proof-of- Concept) đã được đưa ra đầy thuyết phục, tuy tấn công chưa xảy ra trên thực tế. Nhà nghiên cứu lỗ hổng bảo mật Tavis Ormandy cũng ủng hộ ý kiến của Silvanovich. Ngay sau khi các lỗ hổng được thông báo về cho WhatsApp và FaceTime thì đã được các hãng phát hành bản vá.
Đối với người sử dụng ứng dụng mua hàng trực tuyến, kẻ tấn công có thể tìm cách chiếm các tài khoản WhatsApp, FaceTime và các tài khoản khác như là một cách để truy cập dữ liệu cá nhân của họ. Đối với các hãng sử dụng các nền tảng hội nghị truyền hình là phương tiện để tiến hành hội họp, thì những kẻ tấn công có thể nghe trộm các cuộc trò chuyện công việc.
Vào tháng 11/2018, một lỗ hổng bảo mật đã được phát hiện, cho phép kẻ tấn công từ xa không xác thực có thể lừa các thông báo UDP từ một người tham gia hội nghị hay máy chủ Zoom, để thực hiện các chức năng tại máy khách mục tiêu. Điều này cho phép kẻ tấn công loại bỏ những người tham gia khỏi các cuộc họp, lừa các thông báo từ những người sử dụng, hay chiếm đoạt các màn hình chia sẻ. Một lỗ hổng khác cho phép máy khách truy cập tùy ý đến camera và microphone đã được phát hiện vào năm 2020.
Vào tháng 7/2019, lỗ hổng zero-day đã được phát hiện, cho phép một website bất kỳ ép buộc một người sử dụng macOS tham gia vào một cuộc gọi Zoom với camera hoạt động mà không cần người sử dụng cho phép. Ngoài ra, việc tắt máy khách Zoom trên macOS có thể nhắc phần mềm tái khởi động tự động trong nền, sau sử dụng máy chủ web ẩn được thiết lập trên máy tính trong quá trình cài đặt đầu tiên, và vẫn duy trì kích hoạt thậm chí sau khi cố gắng bỏ kích hoạt ở máy khách.
Sau khi nhận được chỉ trích công khai, Zoom đã cập nhật phần mềm để loại bỏ lỗ hổng và máy chủ web ẩn cho phép tắt hoàn toàn. Việc gia tăng sử dụng Zoom trong đại dịch COVID-19 khiến Zoom gia tăng rủi ro mất an toàn, thậm chí khiến thông tin đăng nhập của người sử dụng Windows bị lộ lọt. Những tấn công giả mạo liên quan đến Zoom được phát hiện như sự gia tăng các website và liên kết giả mạo Zoom để đánh cắp thông tin cá nhân. Zoom bombing cũng xuất hiện, chỉ việc một người không được mời tham gia vào một cuộc họp, gây ra gián đoạn hoạt động. Sự việc này đã gia tăng và buộc FBI phải đưa ra cảnh báo.
Đặc biệt, Zoom bombing cho phép kẻ xấu tham gia hội nghị truyền hình, đưa chèn vào các thông tin xấu, độc hại, không lành mạnh hay xuyên tạc, bằng hình ảnh và lời lẽ nhạy cảm, không phù hợp với học sinh, sinh viên đang tham gia học tập và làm việc. Sự việc này cần phải được loại bỏ ngay để giữ môi trường hội nghị truyền hình trong sạch, lành mạnh và hữu ích.
Hãng Zoom đã bị phê phán về các hoạt động thu thập dữ liệu, bao gồm thu thập và lưu trữ nội dung chứa trong các ghi chép đám mây và bảng trắng, các tệp, các thông báo nhanh… Những người quản trị có thể tham gia vào bất kỳ cuộc gọi nào vào bất cứ khi nào mà không cần sự đồng ý hay thông báo với những người tham gia cuộc gọi. Trong quá trình đăng ký tài khoản miễn phí của Zoom, chương trình yêu cầu người sử dụng cho phép chương trình nhận diện họ với thông tin cá nhân trên Google và thậm chí cho phép xóa vĩnh viễn các liên hệ Google của họ.
Việc sử dụng rộng rãi của Zoom trong giáo dục trực tuyến vì đại dịch COVID-19 khiến gia tăng mối lo ngại liên quan đến sự riêng tư dữ liệu của người học, đặc biệt là thông tin nhận dạng cá nhân của họ. Theo FBI, các địa chỉ IP, lịch sử truy cập, kết quả học tập và dữ liệu sinh trắc của người học có thể chịu rủi ro trong quá trình sử dụng các dịch vụ học tập trực tuyến tương tự. Việc sử dụng Zoom của các trường học phổ thông và đại học có thể làm gia tăng các vấn đề liên quan đến giám sát trái phép người học, cũng như vi phạm đến các quyền của người học theo luật pháp. Tuy hãng Zoom tuyên bố rằng, các dịch vụ hội nghị truyền hình tuân theo luật pháp và nó thu thập, lưu trữ dữ liệu người dùng chỉ là để hỗ trợ vận hành và kỹ thuật.
Ứng dụng iOS của Zoom đã bị phát hiện đang gửi dữ liệu phân tích thiết bị cho Facebook, dù tài khoản của Facebook có được sử dụng với dịch vụ này hay không, cũng như không thông báo điều này với người sử dụng. Ngày 27/3/2020, đại diện của Zoom đã phát biểu rằng, bộ công cụ phát triển (SDK) của Facebook đã thu thập dữ liệu thiết bị không cần thiết và rằng Zoom đã phát hành bản vá để loại bỏ SDK vì những lo ngại trên. Hãng cho rằng, SDK chỉ thu thập thông tin về các đặc tả thiết bị người sử dụng và không thu thập thông tin cá nhân.
Trong tháng 3/2020, Zoom đã bị kết tội tại Tòa án liên bang Hoa Kỳ đối với việc tiết lộ bất hợp pháp dữ liệu cá nhân cho các bên thứ ba bao gồm cả Facebook. Theo như kết tội, chính sách riêng tư của Zoom không giải thích cho những người sử dụng rằng ứng dụng này chứa mã chương trình làm tiết lộ thông tin cho Facebook và các bên thứ ba khác. Thiết kế chương trình và giải pháp bảo mật chưa toàn diện đã và sẽ gây ra sự tiết lộ trái phép thông tin cá nhân người sử dụng. Cùng tháng này, người đứng đầu tư pháp bang New York đã đưa ra chất vấn đối với các biện pháp bảo mật riêng tư của Zoom.
Theo thông báo kế hoạch bảo mật 90 ngày của Zoom, phiên bản Zoom 5.0 đã được ra mắt với một số biện pháp bảo mật và quyền riêng tư mới. Dịch vụ hội họp trực tuyến này đã hỗ trợ thêm chuẩn mã hóa AES 256-bit GCM để nâng cao bảo mật cho các cuộc họp. Phiên bản mới của Zoom được phát hành vào cuối tháng 4/2020 và toàn bộ tài khoản được hỗ trợ chuẩn mã hóa mới.
Theo Oded Gal, CPO của Zoom, từ hệ thống mạng cho tới các tính năng đều được thiết lập dựa theo trải nghiệm của người dùng và được đưa vào kiểm tra nghiêm ngặt. Ở khu vực back-end, chuẩn mã hóa AES 256-bit GCM sẽ nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải chúng.
Ngoài tiêu chuẩn mã hóa AES 256-bit GCM, quản trị viên tài khoản Zoom có thể chọn khu vực trung tâm dữ liệu mà các cuộc hội thảo trên web được lưu trữ, sử dụng cho lưu lượng truy cập thời gian thực. Các tiêu chuẩn mã hóa và kiểm soát định tuyến dữ liệu mới được áp dụng, bao gồm bảo mật mạng. Zoom đã thêm một biểu tượng bảo mật mới trong thanh menu cuộc họp trên giao diện máy chủ lưu trữ. Máy chủ có thể tìm thấy tất cả tính năng bảo mật được nhóm lại một cách khoa học.
Ngoài ra, những tài khoản mới sẽ được quản lý chặt chẽ, một số tính năng bảo mật sẽ được thêm vào trong thời gian tới như tăng độ khó của mật khẩu cuộc họp, mật khẩu ghi âm trên đám mây, bảo mật tính năng Account Contact Sharing, cải tiến bảng điều khiển và nhiều tính năng khác.
TÀI LIỆU THAM KHẢO[1]. Ronen Slavin, Hacking Video Conferencing Platforms - The Next Big Thing? [2]. https://theintercept.com/2020/03/31/zoom-meeting-encryption/ |
Trần Quang Kỳ
08:00 | 23/04/2020
09:00 | 07/08/2020
14:00 | 28/10/2022
08:00 | 19/07/2019
11:00 | 16/04/2020
08:00 | 08/08/2024
Trí tuệ nhân tạo (AI) có khả năng xác định và ưu tiên các rủi ro, mang lại cho các chuyên gia IT cơ hội phát hiện ngay lập tức mã độc trong mạng của họ và phát triển chiến lược phản ứng sự cố. Hiện nay, AI đóng vai trò quan trọng trong quản lý an toàn thông tin (ATTT), đặc biệt là trong việc phản ứng với sự cố, dự đoán việc xâm phạm, kiểm soát hiệu suất và quản lý hàng tồn kho. Bài viết này giới thiệu về các ứng dụng của AI trong quản lý ATTT bằng cách xem xét những lợi ích và thách thức của nó, đồng thời đề xuất các lĩnh vực cho các nghiên cứu trong tương lai.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.
10:00 | 14/11/2024