К началу учебного года российские министерства просвещения и цифрового развития, связи и массовых коммуникаций выпустят платформу для видеосвязи, аналогичную Zoom, заявил министр просвещения Сергей Кравцов в интервью телеканалу «Россия-24».
«Вместе с министерством цифрового развития, связи и массовых коммуникаций мы <…> разрабатываем новый продукт отечественный „Цифровая образовательная среда”, где будут использованы только отечественные разработки, только отечественное программное обеспечение, в том числе и видеоплатформа, аналогичная Zoom и Skype», — заявил министр. Он пояснил, что такая платформа «позволит исключить из образовательного процесса проблемы, связанные с неустойчивостью зарубежных систем».
Кравцов отметил, что от использования Zoom отказались в Сингапуре, поскольку там был «несанкционированный доступ к процессу образования».
Вероятно, под «несанкционированным доступом к процессу образования» министр подразумевает так называемый «зумбомбинг», когда к незащищённой паролем видеоконференции мог присоединиться любой желающий, просто введя номер конференции в программе.
Более подробно о ситуации в Сингапуре написала газета The Guardian: «Причиной запрета стало несанкционированное подключение злоумышленников к конференциям и демонстрация школьникам изображений порнографического характера. Во время другого инцидента хакеры стали приставать к школьницам и делать им непристойные предложения».
За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др. 28 марта The Intercept опубликовало расследование о том, что видеоконференции Zoom не используют оконечное шифрование между участниками встречи, а только TLS, в результате чего можно внедряться на конференции через серверы компании. В то же время на официальном сайте утверждалось, что сеансы защищены end-to-end шифрованием (см. скриншот).
Пришлось внести изменения в документацию и извиниться перед пользователями. Руководство компании назвало ситуацию «путаницей» в терминологии: «Zoom всегда стремился использовать шифрование в максимально возможном количестве сценариев, поэтому мы использовали термин „сквозное шифрование”», — объяснили они.
Хотя за последние несколько месяцев количество пользователей Zoom выросло в 20 раз, в качестве альтернативы многие рассматривают опенсорсную программу Jitsi Meet, которая недавно начала тестировать настоящее сквозное шифрование, где обмен ключами происходит между участниками видеоконференции без участия сервера. Процесс шифрования реализован на интерфейсе WebRTC API под названием Insertable Streams, который позволяет приложениям добавлять произвольные шаги обработки данных. Здесь этими шагами являются обмен ключами и активация криптошифров в пиринговых соединениях RTCPeerConnections, — сказано в техническом описании. — Ключ берётся из url-фрагмента (после знака решётки). В отличие от параметров запроса, этот фрагмент URL не отправляется на сервер, так что это подходящее место для него. Для прослушивания изменений в свойстве ключа мы используем событие window.location.onhashchange».
Остаётся надеяться, что российская система видеосвязи будет опубликована с открытыми исходными кодами (так положено по законодательству для всех государственных разработок). Возможно, в ней будет реализована криптография с шифрами по ГОСТу.
«Вместе с министерством цифрового развития, связи и массовых коммуникаций мы <…> разрабатываем новый продукт отечественный „Цифровая образовательная среда”, где будут использованы только отечественные разработки, только отечественное программное обеспечение, в том числе и видеоплатформа, аналогичная Zoom и Skype», — заявил министр. Он пояснил, что такая платформа «позволит исключить из образовательного процесса проблемы, связанные с неустойчивостью зарубежных систем».
Кравцов отметил, что от использования Zoom отказались в Сингапуре, поскольку там был «несанкционированный доступ к процессу образования».
Вероятно, под «несанкционированным доступом к процессу образования» министр подразумевает так называемый «зумбомбинг», когда к незащищённой паролем видеоконференции мог присоединиться любой желающий, просто введя номер конференции в программе.
Более подробно о ситуации в Сингапуре написала газета The Guardian: «Причиной запрета стало несанкционированное подключение злоумышленников к конференциям и демонстрация школьникам изображений порнографического характера. Во время другого инцидента хакеры стали приставать к школьницам и делать им непристойные предложения».
За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др. 28 марта The Intercept опубликовало расследование о том, что видеоконференции Zoom не используют оконечное шифрование между участниками встречи, а только TLS, в результате чего можно внедряться на конференции через серверы компании. В то же время на официальном сайте утверждалось, что сеансы защищены end-to-end шифрованием (см. скриншот).
Пришлось внести изменения в документацию и извиниться перед пользователями. Руководство компании назвало ситуацию «путаницей» в терминологии: «Zoom всегда стремился использовать шифрование в максимально возможном количестве сценариев, поэтому мы использовали термин „сквозное шифрование”», — объяснили они.
Хотя за последние несколько месяцев количество пользователей Zoom выросло в 20 раз, в качестве альтернативы многие рассматривают опенсорсную программу Jitsi Meet, которая недавно начала тестировать настоящее сквозное шифрование, где обмен ключами происходит между участниками видеоконференции без участия сервера. Процесс шифрования реализован на интерфейсе WebRTC API под названием Insertable Streams, который позволяет приложениям добавлять произвольные шаги обработки данных. Здесь этими шагами являются обмен ключами и активация криптошифров в пиринговых соединениях RTCPeerConnections, — сказано в техническом описании. — Ключ берётся из url-фрагмента (после знака решётки). В отличие от параметров запроса, этот фрагмент URL не отправляется на сервер, так что это подходящее место для него. Для прослушивания изменений в свойстве ключа мы используем событие window.location.onhashchange».
Остаётся надеяться, что российская система видеосвязи будет опубликована с открытыми исходными кодами (так положено по законодательству для всех государственных разработок). Возможно, в ней будет реализована криптография с шифрами по ГОСТу.
