Trong thời đại tin học hóa phát triển như hiện nay, nhiều hoạt động hội họp được tiến hành trực tuyến mà không cần gặp nhau trực tiếp thông qua hệ thống mạng và phần mềm hội nghị. Hội nghị trực tuyến giúp các tổ chức/doanh nghiệp (TC/DN) hội họp mà không cần gặp gỡ trực tiếp, các thành viên không phải di chuyển với khoảng cách địa lý xa xôi. Đã xuất hiện thuật ngữ Telecommuter để chỉ những người làm việc tại nhà từ xa mà không cần phải đến công sở.
Vào tháng 6/2014, đã có 10 triệu người sử dụng Zoom Meetings. Đến tháng 2/2015, đã đạt đến 40 triệu cá nhân với 65 nghìn tổ chức đăng ký. Hãng đã tổ chức được 1 tỷ phút hội họp kể từ khi được thành lập vào năm 2011. Ngoài Zoom Meetings, còn có nhiều hệ thống phần mềm hội nghị của nhiều hãng khác nhau trên thị trường toàn cầu, bao gồm các phần mềm đóng và cả các phần mềm mở miễn phí cho mọi người sử dụng và phát triển. Phần mềm hội nghị đã mang lại những lợi ích không thể phủ nhận.
Vào đầu năm 2020, đại dịch COVID-19 xuất hiện và lan rộng ra khắp toàn cầu với tốc độ lây nhiễm phi mã, thậm chí là cấp số nhân. Các quốc gia đã chọn giải pháp chống lây lan dịch bệnh là cách ly xã hội. Trong tình hình dịch bệnh COVID-19, thì làm việc tại nhà là phương pháp được các TC/DN ưu tiên. Nhiều hoạt động lao động sản xuất và sinh hoạt đã dựa vào hoạt động trực tuyến thông qua mạng toàn cầu và các phần mềm hội nghị truyền hình trực tuyến.
Tuy vậy, sự an toàn và quyền riêng tư khi sử dụng hội nghị truyền hình vẫn phải cần ưu tiên hàng đầu.
Từ đầu năm 2020, việc sử dụng phần mềm Zoom đã tăng lên đột biến khi các trường học và công sở chấp thuận sử dụng nền tảng làm việc từ xa vì đại dịch COVID-19, tăng lên 67% từ đầu năm cho đến giữa tháng 3/2020. Khi đại dịch bùng phát, hàng nghìn cơ sở giáo dục cũng chuyển sang các lớp học trực tuyến sử dụng phần mềm Zoom trên toàn thế giới. Trong một ngày, phần mềm Zoom được tải xuống 343 nghìn lần và đạt tới 2,22 triệu người sử dụng vào các tháng đầu năm 2020, nhiều hơn so với cả năm 2019 gộp lại. Các vấn đề an toàn và riêng tư cũng vì vậy mà trở nên quan trọng hơn bao giờ hết.
Về vấn đề an toàn, hãng Zoom tuyên bố sử dụng lập mã AES-256 để bảo vệ kết nối kiểm soát TLS khởi đầu đến máy chủ Zoom, nhưng các luồng âm thanh và hình ảnh thực tế được gửi đi trên giao thức UDP không được lập mã đầu cuối đến điểm cuối. Zoom tuyên bố lập mã đầu cuối đến điểm cuối trong các tài liệu marketing, nhưng sau đó được làm rõ là chỉ tác dụng giữa các máy chủ Zoom mà thôi và việc này được coi là thiếu trung thực.
Vào tháng 8/2018, Natalie Silvanovich - nhà nghiên cứu Project Zero của Google đã tiết lộ rằng, có những lỗ hổng nghiêm trọng trong các cài đặt kiến trúc hội nghị truyền hình phổ biến nhất bao gồm WebRTC (được sử dụng bởi Chrome, Safari, Firefox, Facebook Messenger, Signal và các phần mềm khác), PJSIP (được sử dụng bởi WhatsApp) và thư viện có quyền sở hữu của Apple đối với FaceTime. Nếu bị khai thác, thì những lỗ hổng như vậy có thể cho phép tấn công chỉ với việc thiết lập một cuộc gọi truyền hình. Việc này kích hoạt tràn bộ nhớ heap, cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân. Một kịch bản tấn công về mặt nguyên lý (Proof-of- Concept) đã được đưa ra đầy thuyết phục, tuy tấn công chưa xảy ra trên thực tế. Nhà nghiên cứu lỗ hổng bảo mật Tavis Ormandy cũng ủng hộ ý kiến của Silvanovich. Ngay sau khi các lỗ hổng được thông báo về cho WhatsApp và FaceTime thì đã được các hãng phát hành bản vá.
Đối với người sử dụng ứng dụng mua hàng trực tuyến, kẻ tấn công có thể tìm cách chiếm các tài khoản WhatsApp, FaceTime và các tài khoản khác như là một cách để truy cập dữ liệu cá nhân của họ. Đối với các hãng sử dụng các nền tảng hội nghị truyền hình là phương tiện để tiến hành hội họp, thì những kẻ tấn công có thể nghe trộm các cuộc trò chuyện công việc.
Vào tháng 11/2018, một lỗ hổng bảo mật đã được phát hiện, cho phép kẻ tấn công từ xa không xác thực có thể lừa các thông báo UDP từ một người tham gia hội nghị hay máy chủ Zoom, để thực hiện các chức năng tại máy khách mục tiêu. Điều này cho phép kẻ tấn công loại bỏ những người tham gia khỏi các cuộc họp, lừa các thông báo từ những người sử dụng, hay chiếm đoạt các màn hình chia sẻ. Một lỗ hổng khác cho phép máy khách truy cập tùy ý đến camera và microphone đã được phát hiện vào năm 2020.
Vào tháng 7/2019, lỗ hổng zero-day đã được phát hiện, cho phép một website bất kỳ ép buộc một người sử dụng macOS tham gia vào một cuộc gọi Zoom với camera hoạt động mà không cần người sử dụng cho phép. Ngoài ra, việc tắt máy khách Zoom trên macOS có thể nhắc phần mềm tái khởi động tự động trong nền, sau sử dụng máy chủ web ẩn được thiết lập trên máy tính trong quá trình cài đặt đầu tiên, và vẫn duy trì kích hoạt thậm chí sau khi cố gắng bỏ kích hoạt ở máy khách.
Sau khi nhận được chỉ trích công khai, Zoom đã cập nhật phần mềm để loại bỏ lỗ hổng và máy chủ web ẩn cho phép tắt hoàn toàn. Việc gia tăng sử dụng Zoom trong đại dịch COVID-19 khiến Zoom gia tăng rủi ro mất an toàn, thậm chí khiến thông tin đăng nhập của người sử dụng Windows bị lộ lọt. Những tấn công giả mạo liên quan đến Zoom được phát hiện như sự gia tăng các website và liên kết giả mạo Zoom để đánh cắp thông tin cá nhân. Zoom bombing cũng xuất hiện, chỉ việc một người không được mời tham gia vào một cuộc họp, gây ra gián đoạn hoạt động. Sự việc này đã gia tăng và buộc FBI phải đưa ra cảnh báo.
Đặc biệt, Zoom bombing cho phép kẻ xấu tham gia hội nghị truyền hình, đưa chèn vào các thông tin xấu, độc hại, không lành mạnh hay xuyên tạc, bằng hình ảnh và lời lẽ nhạy cảm, không phù hợp với học sinh, sinh viên đang tham gia học tập và làm việc. Sự việc này cần phải được loại bỏ ngay để giữ môi trường hội nghị truyền hình trong sạch, lành mạnh và hữu ích.
Hãng Zoom đã bị phê phán về các hoạt động thu thập dữ liệu, bao gồm thu thập và lưu trữ nội dung chứa trong các ghi chép đám mây và bảng trắng, các tệp, các thông báo nhanh… Những người quản trị có thể tham gia vào bất kỳ cuộc gọi nào vào bất cứ khi nào mà không cần sự đồng ý hay thông báo với những người tham gia cuộc gọi. Trong quá trình đăng ký tài khoản miễn phí của Zoom, chương trình yêu cầu người sử dụng cho phép chương trình nhận diện họ với thông tin cá nhân trên Google và thậm chí cho phép xóa vĩnh viễn các liên hệ Google của họ.
Việc sử dụng rộng rãi của Zoom trong giáo dục trực tuyến vì đại dịch COVID-19 khiến gia tăng mối lo ngại liên quan đến sự riêng tư dữ liệu của người học, đặc biệt là thông tin nhận dạng cá nhân của họ. Theo FBI, các địa chỉ IP, lịch sử truy cập, kết quả học tập và dữ liệu sinh trắc của người học có thể chịu rủi ro trong quá trình sử dụng các dịch vụ học tập trực tuyến tương tự. Việc sử dụng Zoom của các trường học phổ thông và đại học có thể làm gia tăng các vấn đề liên quan đến giám sát trái phép người học, cũng như vi phạm đến các quyền của người học theo luật pháp. Tuy hãng Zoom tuyên bố rằng, các dịch vụ hội nghị truyền hình tuân theo luật pháp và nó thu thập, lưu trữ dữ liệu người dùng chỉ là để hỗ trợ vận hành và kỹ thuật.
Ứng dụng iOS của Zoom đã bị phát hiện đang gửi dữ liệu phân tích thiết bị cho Facebook, dù tài khoản của Facebook có được sử dụng với dịch vụ này hay không, cũng như không thông báo điều này với người sử dụng. Ngày 27/3/2020, đại diện của Zoom đã phát biểu rằng, bộ công cụ phát triển (SDK) của Facebook đã thu thập dữ liệu thiết bị không cần thiết và rằng Zoom đã phát hành bản vá để loại bỏ SDK vì những lo ngại trên. Hãng cho rằng, SDK chỉ thu thập thông tin về các đặc tả thiết bị người sử dụng và không thu thập thông tin cá nhân.
Trong tháng 3/2020, Zoom đã bị kết tội tại Tòa án liên bang Hoa Kỳ đối với việc tiết lộ bất hợp pháp dữ liệu cá nhân cho các bên thứ ba bao gồm cả Facebook. Theo như kết tội, chính sách riêng tư của Zoom không giải thích cho những người sử dụng rằng ứng dụng này chứa mã chương trình làm tiết lộ thông tin cho Facebook và các bên thứ ba khác. Thiết kế chương trình và giải pháp bảo mật chưa toàn diện đã và sẽ gây ra sự tiết lộ trái phép thông tin cá nhân người sử dụng. Cùng tháng này, người đứng đầu tư pháp bang New York đã đưa ra chất vấn đối với các biện pháp bảo mật riêng tư của Zoom.
Theo thông báo kế hoạch bảo mật 90 ngày của Zoom, phiên bản Zoom 5.0 đã được ra mắt với một số biện pháp bảo mật và quyền riêng tư mới. Dịch vụ hội họp trực tuyến này đã hỗ trợ thêm chuẩn mã hóa AES 256-bit GCM để nâng cao bảo mật cho các cuộc họp. Phiên bản mới của Zoom được phát hành vào cuối tháng 4/2020 và toàn bộ tài khoản được hỗ trợ chuẩn mã hóa mới.
Theo Oded Gal, CPO của Zoom, từ hệ thống mạng cho tới các tính năng đều được thiết lập dựa theo trải nghiệm của người dùng và được đưa vào kiểm tra nghiêm ngặt. Ở khu vực back-end, chuẩn mã hóa AES 256-bit GCM sẽ nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải chúng.
Ngoài tiêu chuẩn mã hóa AES 256-bit GCM, quản trị viên tài khoản Zoom có thể chọn khu vực trung tâm dữ liệu mà các cuộc hội thảo trên web được lưu trữ, sử dụng cho lưu lượng truy cập thời gian thực. Các tiêu chuẩn mã hóa và kiểm soát định tuyến dữ liệu mới được áp dụng, bao gồm bảo mật mạng. Zoom đã thêm một biểu tượng bảo mật mới trong thanh menu cuộc họp trên giao diện máy chủ lưu trữ. Máy chủ có thể tìm thấy tất cả tính năng bảo mật được nhóm lại một cách khoa học.
Ngoài ra, những tài khoản mới sẽ được quản lý chặt chẽ, một số tính năng bảo mật sẽ được thêm vào trong thời gian tới như tăng độ khó của mật khẩu cuộc họp, mật khẩu ghi âm trên đám mây, bảo mật tính năng Account Contact Sharing, cải tiến bảng điều khiển và nhiều tính năng khác.
TÀI LIỆU THAM KHẢO[1]. Ronen Slavin, Hacking Video Conferencing Platforms - The Next Big Thing? [2]. https://theintercept.com/2020/03/31/zoom-meeting-encryption/ |
Trần Quang Kỳ
08:00 | 23/04/2020
09:00 | 07/08/2020
14:00 | 28/10/2022
08:00 | 19/07/2019
11:00 | 16/04/2020
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
17:00 | 18/12/2023
Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
16:00 | 21/03/2023
Theo đánh giá của các chuyên gia, phần lớn các vi phạm bảo mật dẫn đến các chiến dịch lừa đảo thành công đến từ lỗi của con người. Bài báo sau đây sẽ đưa ra một số phương thức để chúng ta có thể củng cố bức tường lửa con người thông qua mô hình thiết kế hành vi của Fogg (Tiến sĩ BJ Fogg - Đại học Stanford Mỹ).
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024