Zoom menghadapi kritik karena menolak enkripsi e2e pengguna gratis
By: Date: June 4, 2020 Categories: teknologi
Zoom menghadapi kritik karena menolak enkripsi e2e pengguna gratis

Zoom membiarkan kritik karena ditolak enkripsi e2e pengguna gratis

 

Zoom membiarkan kritik karena ditolak enkripsi e2e pengguna gratis

Zoom membiarkan kritik karena ditolak enkripsi e2e pengguna gratis

Berapa harga privasi? Perbesarmenghadapi badai keamanan baru setelah CEO Eric Yuanmenegaskan bahwa rencana untuk me-reboot kredibilitas keamanannya yang rusak dengan ( sebenarnya ) menerapkan enkripsi ujung-ke-ujung sebenarnya tidak mencakup penyediaan tingkat keamanan ini kepada pengguna yang tidak membayar.
Zoom ‘premium untuk privasi’ ini diperlukan sehingga dapat memberikan penegakan hukum dengan akses ke konten panggilan, per Bloomberg , yang melaporkan komentar terkait keamanan yang dibuat oleh Yuan selama panggilan pendapatan kemarin, ketika perusahaan  melaporkan kenaikan besar berkat coronavirus pandemi percepatan pengambilan alat kerja jarak jauh.
“Pengguna gratis pasti kami tidak ingin memberikan [enkripsi e2e] karena kami juga ingin bekerja sama dengan FBI, dengan penegak hukum setempat jika beberapa orang menggunakan Zoom untuk tujuan yang buruk,” kata Yuan pada panggilan itu.
Pakar keamanan dengan cepat pergi ke Twitter untuk mengutuk kebijakan Zoom ‘bayar kami atau tidak e2e’.
Privacy Matters
@PrivacyMatters
👀 This is a bizzare policy to say the least. Zoom. Perhaps it should have said “Y’all free users are just potential criminals. Y’all don’t deserve e2e protection” https://twitter.com/nicoagrant/status/1268020841054269440 …
Nico Grant
@NicoAGrant
Zoom’s CEO says he won’t encrypt free calls so Zoom can work more with law enforcement:
“Free users for sure we don’t want to give that because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose,” Yuan said. $ZM
75
2:18 PM – Jun 3, 2020
Twitter Ads info and privacy
46 people are talking about this
Charlie Miller
@0xcharlie
remember unless you want to pay for zoom, they’ll be happy to hand over your calls to the feds.  it doesn’t matter how good the crypto is if you can’t turn it on.  e2e encryption for ALL users. https://twitter.com/nicoagrant/status/1268020841054269440 …
Nico Grant
@NicoAGrant
Zoom’s CEO says he won’t encrypt free calls so Zoom can work more with law enforcement:
“Free users for sure we don’t want to give that because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose,” Yuan said. $ZM
96
11:52 AM – Jun 3, 2020
Twitter Ads info and privacy
49 people are talking about this
Jesse Cooke
@jc00ke
I’ll never use (free) Zoom until it supports e2e encryption. Why the fuck acqui-hire @KeybaseIO and then say this bullshit? https://twitter.com/NicoAGrant/status/1268020841054269440 …
Nico Grant
@NicoAGrant
Zoom’s CEO says he won’t encrypt free calls so Zoom can work more with law enforcement:
“Free users for sure we don’t want to give that because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose,” Yuan said. $ZM
12
12:24 PM – Jun 3, 2020
Twitter Ads info and privacy
See Jesse Cooke’s other Tweets
Direktur riset rekanan EFF, Gennie Gebhart, juga secara kritis membahas keputusan Zoom untuk menahan enkripsi e2e untuk pengguna gratis di utas Twitter akhir bulan lalu, menyusul panggilan umpan balik dengan perusahaan – mengkritiknya karena memutar apa yang dia cirikan sebagai peningkatan murni sebagai pertimbangan keselamatan .
Selimut-bebas untuk selimut-berpendapat bahwa ‘hal-hal buruk terjadi pada akun gratis’, sarannya.
Gennie Gebhart
@jenuhhveev
 · May 29, 2020
Replying to @jenuhhveev
The plan that I heard is to build out end-to-end encryption, but as a premium feature offered only to paid accounts.
Zoom’s rationale? “Bad things like CSAM happen on free accounts,” and so Zoom wants to maintain lawful interception capabilities for those calls.
Gennie Gebhart
@jenuhhveev
You heard that right, activists, journalists, organizers, and cash-strapped non-profits of the world: Zoom *could* offer you best-practice security, but it won’t, because you might be a child pornographer. Better luck next time.
82
3:18 AM – May 29, 2020
Twitter Ads info and privacy
32 people are talking about this
Maju cepat ke hari ini dan tweet tentang laporan komentar Yuan yang ditulis oleh reporter teknologi Bloomberg, Nico Grant, memicu intervensi tidak lain dari Alex Stamos – mantan Facebook dan Yahoo! eksekutif keamanan yang mendaftar sebagai konsultan pada strategi keamanan Zoom pada hari-hari April setelah perusahaan telah dilayani dengan gugatan class action dari pemegang saham karena melebih-lebihkan klaim keamanan .
Stamos – yang merupakan OMS di Yahoo!selama periode ketika NSA menggunakan pintu belakang untuk memindai email pengguna dan juga meningkatkan keamanan di Facebook pada saat Rusia menerapkan kampanye disinformasi besar – besaran yang menargetkan pemilihan presiden AS 2016 – ditimbang melalui Twitter untuk mengklaim ada “tindakan penyeimbangan yang sulit antara berbagai jenis bahaya ”yang katanya membenarkan keputusan Zoom untuk menolak enkripsi e2e untuk semua pengguna.
Alex Stamos
@alexstamos
 · 21h
Replying to @alexstamos
The current decision by Zoom’s management is to offer E2EE to the business and enterprise tiers and not to the limited, self-service free tier.
A key point: organizations that are on a business plan but are not paying due to a Zoom offer (like schools) will also have E2EE.
Alex Stamos
@alexstamos
Will this eliminate all abuse? No, but since the vast majority of harm comes from self-service users with fake identities this will create friction and reduce harm.
42
1:07 PM – Jun 3, 2020
Twitter Ads info and privacy
See Alex Stamos’s other Tweets
Anehnya, Stamos juga CSO di Facebook ketika raksasa teknologi itu menyelesaikan peluncuran enkripsi e2e di WhatsApp – memberikan tingkat keamanan ini kepada lebih dari satu miliar pengguna aplikasi pesan bergerak dan obrolan video gratis.
Yang mungkin menyarankan konsepsi Stamos tentang “bahaya” online telah berkembang pesat sejak 2016 – setelah semua, ia sejak itu mendarat di Stanford sebagai profesor tambahan (tempat ia meneliti “teknologi aman”). Meskipun, pada tahun yang sama (2016), ia membela keputusan majikannya untuk tidak menjadikan enkripsi e2e sebagai default di Facebook Messenger. Jadi benang merah pemersatu Stamos nampaknya dibayar untuk mempertahankan pengambilan keputusan perusahaan sambil menerapkan ‘keahlian keamanan’.
Nya Twit (n) ter-campur terbaru berjalan untuk mengetik, dengan konsultan keamanan kini membela keputusan manajemen Zoom untuk tidak memperpanjang enkripsi e2e untuk pengguna bebas dari produk.
Tapi dia mentweet pertahanan AES enkripsi sebagai alternatif yang valid untuk enkripsi e2e telah menarik beberapa kritik tajam dari komunitas crypto – sebagai serangan terhadap standar yang ditetapkan.
Alex Stamos
@alexstamos
Some facts on Zoom’s current plans for E2E encryption, which are complicated by the product requirements for an enterprise conferencing product and some legitimate safety issues.
The E2E design is available here:https://github.com/zoom/zoom-e2e-whitepaper/blob/master/zoom_e2e.pdf …
596
1:07 PM – Jun 3, 2020
Twitter Ads info and privacy
285 people are talking about this
Nadim Kobeissi, seorang peneliti kriptografi terapan yang berbasis di Paris – yang memberi tahu kami bahwa perangkat lunak pemodelan protokol dan analisisnya digunakan oleh tim Zoom selama pengembangan sistem terenkripsi e2e yang diusulkan untuk pertemuan (produk berbayar) – memanggil Stamos untuk “bersikeras bahwa AES enkripsi, yang dapat dilewati oleh Zoom Inc. sesuka hati, memenuhi syarat sebagai enkripsi nyata ”.
Itu “apa yang benar-benar menyesatkan di sini”, Kobeissi twit .
Nadim Kobeissi
@kaepora
 · 20h
A thread in which Alex Stamos justifies @Zoom’s plan to not provide e2e encryption except to paying customers by calling it a “safety issue”.
His comments regarding “AES encryption” for free tier refer to fake encryption that won’t survive MitM attacks. https://twitter.com/alexstamos/status/1268061790954385408 …
Nadim Kobeissi
@kaepora
Stamos is replying to people calling out Zoom’s lack of e2e encryption for free tier by calling their takes “misleading”, insisting that AES encryption, which can be bypassed by Zoom Inc. at will, qualifies as real encryption. Which, of course, is what’s truly misleading here.
View image on TwitterView image on Twitter
17
3:06 PM – Jun 3, 2020
Twitter Ads info and privacy
See Nadim Kobeissi’s other Tweets
Dalam sebuah panggilan telepon dengan TechCrunch, Kobeissi menyempurnakan kritiknya, mengatakan bahwa ia khawatir, secara lebih luas, bahwa arus dan (katanya) fokus “Internet zeitgeist” yang sangat dibutuhkan pada keamanan online sedang dibajak oleh kepentingan pribadi tertentu untuk mendorong agenda mereka sendiri. dengan cara yang dapat memutar balik keuntungan keamanan online utama – seperti perluasan enkripsi e2e ke aplikasi pengiriman pesan gratis seperti WhatsApp dan Signal – dan mengarah pada kemunduran umum cita-cita dan standar keamanan.

Kobeissi menunjukkan bahwa enkripsi AES – yang dipertahankan Stamos – tidak mencegah intersepsi server dan

mengintip panggilan. Juga tidak menawarkan cara bagi pengguna Zoom untuk mendeteksi serangan seperti itu, dengan ahli crypto menekankan itu “pada dasarnya berbeda dari enkripsi tahan pengintaian”.
Oleh karena itu ia mengkarakteristikkan pertahanan Stamos terhadap AES sebagai “menyesatkan dan manipulatif” – mengatakan hal itu mengaburkan garis pemisah yang jelas antara enkripsi e2e dan non-e2e.
“Ada dua masalah [dengan situasi Zoom]: 1) Tidak ada enkripsi e2e untuk pengguna gratis; dan 2) ada penipuan yang disengaja, ”kata Kobeissi kepada TechCrunch.
Dia juga mempertanyakan mengapa Stamos belum secara terbuka mendorong Zoom untuk menemukan cara untuk mengimplementasikan enkripsi e2e dengan aman bagi pengguna gratis – menunjuk, dengan contoh, pada mekanisme ‘laporan penyalahgunaan’ yang baru-baru ini diterapkan Facebook pada e2e yang dienkripsi “Pembicaraan Rahasia” yang terenkripsi di Messenger .
“Mengapa tidak berkembang di Facebook MessengerFrank, menyarankannya, menyerukan Zoom untuk menggunakan akuisisi tim keamanan Keybase untuk berinvestasi dan melakukan penelitian yang akan meningkatkan standar keamanan untuk semua pengguna.
Mekanisme seperti itu bisa “secara mutlak” diterapkan pada panggilan video dan suara, katanya.
“Saya pikir [Stamos] memiliki efek buruk pada jenis kebenaran yang akhirnya dikomunikasikan tentang layanan ini,” tambah Kobeissi dalam komentar kritis lebih lanjut tentang mantan CSO Facebook – yang menurutnya sama dengan “pemecah masalah” yang dipanggil “untuk membuat perusahaan dapat diterima sebagai mungkin untuk komunitas keamanan sambil membiarkannya melakukan apa yang diinginkan”.

Kami telah menghubungi Zoom dan Stamos untuk memberikan komentar. Pembaruan: Stamos sekarang telah

mengirim tanggapan ini untuk kritik Kobeissi tentang pembelaannya terhadap AES, dengan menulis: “Tier gratis dienkripsi melalui kabel, seperti WebEx, Meet, Tim, dan pesaing lainnya. Seperti halnya perusahaan-perusahaan itu, server memiliki akses ke kunci enkripsi untuk memungkinkan hal-hal seperti jembatan telepon, layanan kamar, dan transkripsi in-cloud. Tweet dan kertas yang saya tautkan membuat ini semua sangat jelas dan akurat. “
“[Facebook] Sistem pemalsuan Messenger mengatasi masalah penting, memungkinkan host untuk melaporkan aktivitas buruk dengan cara yang aman secara kriptografis. Kami melihat desain Messenger saat kami membuat pelaporan host. Ini penting untuk berurusan dengan ‘Zoombombings’, terutama ketika pengganggu melakukan sesuatu yang sangat berbahaya, ”tambah Stamos ketika ditanya tentang kemungkinan menerapkan mekanisme serupa pada platform Zoom.

“Tapi itu tidak membahas masalah keselamatan lainnya, yang merupakan penciptaan akun swalayan berumur

pendek yang kemudian menjadi tuan rumah pertemuan yang benar-benar berbahaya bagi orang asing, yang menguntungkan adalah pelecehan langsung terhadap anak-anak. Saat ini, tim T&S Zoom yang dapat menerima rapat kecil yang berhemat sangat tinggi tetapi dirancang E2E yang tepat (seperti yang telah kami usulkan) akan dipindahkannya.