90天資安強化進度報告:4月15日

2020-04-17_1

再次感謝所有參加今天(2020-04-15)"Ask Eric Anything"網路研討會的嘉賓,Zoom執行長Eric S. Yuan的第二個會議週報向您提供Zoom正在進行的隱私和安全工作進度。

本週,Zoom執行長Eric與產品總監Oded Gal、技術長 Brendan Ittelson還有新任的資安顧問Alex Stamos一同討論了這90天資安計劃開始執行以來,我們在兩週內取得的進展以及接下來將做那些事情。

上週已完成及接下來要進行的項目更新:
2020-04-17_2

2020-04-17_3

本週要點

本週"Ask Eric Anything"網路研討會的一些重點:

會議控制台新增安全圖示選單

會議控制台裡新增一個全新的安全性圖示選單,讓會議主持人和聯席主持人可以一鍵開啟多項現有的Zoom安全功能,包括"鎖定會議"和"啟用等候室"。

Zoom會議的預設功能調整

我們對Zoom會議的預設設定進行了調整,以提升會議的安全性。系統預設免費用戶和單帳號付費用戶都直接啟用了預設會議密碼及等候室功能,K-12教育計劃的用戶則需要輸入密碼才能加入會議,等候室預設開啟。

增加會議密碼強度

帳號擁有者和管理員現可調整會議密碼強度,可選擇數字、英文字母和特殊符號作為密碼組合,或可僅要求數字當作密碼。免費帳號用戶現在將預設以英數密碼取代過往純數字密碼。

會議連線傳遞路徑調整

自4月18日開始,帳戶管理員將可選擇不使用特定區域的資料中心,提供更多的掌握權於您的Zoom會議連線傳遞路徑。有關該功能的更多細節可參考我們的部落格文章(中文翻譯版請參考)。

與Luta Security公司的Katie Moussouris合辦漏洞賞金計劃

Zoom將與Luta Security一起重新啟動我們的漏洞賞金計劃。Luta Security由Katie Moussouris創建,一些由她所創建非常重要的弱點掃描計畫至今仍持續的進行中。她啟動了與微軟(Microsoft)和賽門鐵克(Symantec)產品相關的漏洞研究,還啟動了微軟和美國五角大廈(Pentagon)的漏洞賞金計劃。Luta Security將透過一項90天的"康復"方案全面評估Zoom的計劃,該方案將涵蓋所有的內部漏洞弱點處理流程。更多細節可參考Katie的部落格文章

引薦Alex Stamos

Eric介紹了Alex Stamos,現任史丹佛大學網際網路觀察(the director of Stanford’s Internet Observatory)所長;曾任職於Facebook 擔任CSO(Chief Security Officer)。他將以顧問身分加入Zoom以幫助我們鑑別和實作強化的資安措施。Alex說:「沒有其他議題能比讓人在隔離中過生活更令人關注且具影響力。」 又說: 「從來沒有一家公司像Zoom這樣必須如此迅速地擴展規模,並且,能支援上億使用者是一個引人入勝的技術挑戰。我很高興加入這個快速發展與反應迅速的團隊。」

問與答

小組於現場回答了網路研討會與會者的問題。以下是Eric與其嘉賓討論的一些主題:

免費帳戶或付費帳戶哪個安全?

儘管與免費帳戶相比,付費帳戶具有更多自定的設定功能,但Eric向與會者保證,大多數安全功能適用於免費和付費帳戶。實際上,免費帳戶現在已預設開啟多項安全設定。

您能否能針對Zoom的漏洞賞金計劃提供更多詳細訊息?

Alex說到,漏洞賞金計劃是一種獎勵用戶和資安研究人員用以發掘Zoom產品漏洞的方式。他還提到所有Zoom用戶和安全研究人員皆可參與,包括那些先前曾通報過Zoom漏洞的研究人員。請造訪我們的資安網頁以提交可能的問題。

您可以分享與Zoom加密有關的更新嗎?

Alex解釋,Zoom短期內將著重在將現有256-AES ECB加密機制改為使用更安全的256-AES GCM加密,而長期的規劃將著重在導入新的加密設計,這將大幅降低Zoom系統的風險。

暗網上的用戶資訊該如何處理?

最近有報導說,可以在暗網上購買Zoom用戶資料;然而如Alex所解釋,這是大多數大型公司(例如Yahoo、Facebook和Amazon)所面對的問題。他還說到,這些資訊很可能是因為用戶在多個帳戶中使用相同的密碼而被他人竊取,也可能是用戶電腦上早已被安裝了惡意程式而導致被竊。Zoom正在架設可以檢測使用者是否正在嘗試破解用戶帳號和密碼配對的檢測系統,並阻止他們再次嘗試。我們還聘請了多家情資公司來查找,企圖誘引使用者下載惡意程式或是誤導使用者提供帳密資訊的密碼轉存和用於竊取密碼的工具,像是透過以公司為名建立的各式釣魚網站。

未受邀者可聽Zoom的會議內容嗎?

Brendan說,只有您會議中的用戶才能收聽對話並且這些用戶會顯示在與會者清單,未經授權之人將無法收聽相關資訊。他同時說明,只有主持人本人才能選擇是否啟用錄影,Zoom從不會介入。

如果您錯過了本週場次,可以在這裡觀看錄影:

您也可以查看上週的研討會重點內容。並註冊下週的"Ask Eric Anything"網路研討會。

原文: 90-Day Security Plan Progress Report: April 15