Сергей Белов

Сергей Белов про коронавирус

Все посты

https://facebook.com/1775876441
17-05-2020 02:23:54

Интересно получилось с Zoom'ом. Каждое издание не упустило возможность попинать его безопасность, хотя реальных уязимостей то было 2:
- Zoom-bombing - ID со слабой энтропией и отсутствие паролей при присоединении к звонку
- Уязвимость еще прошлого года https://www.facebook.com/sergeybelove/posts/10206285252568307

Реальных - имею ввиду с импактом, что действительно ставило под угрозу пользователей. Все остальное в большинстве своем или ложь маркетинга - например TLS для звонко…в вместо заявленного E2E. Так-то мы с вами каждый день доверяем TLS в браузере и не жалуемся. Или странные попытки продукт менеджеров сделать продукт удобнее, например скрывая "лишние" вопросы пользователю при установке. Все это, конечно, плохо и наводит на определенные мысли, но с технической точки зрения не критичное поведение.

Писали про каких-то 500к аккаунтов - непонятно что это за аккаунты. Возьмите любой большой публичный сервис и можно найти кучу его аккаунтов в свободной продаже, чаще всего это автореги и боты для спама.

Еще писали 0day в виндовом клиенте за $500k. Если в вашем софте 0day стоит $500к - то вас можно с этим поздравить, значит у вас все неплохо с безопасностью, для примера zerodium скупает 0day LPE+RCE в десктопном Google Chrome за эти же $500k, одна из самых высоких цен на рынке.

Если не было бы Zoom-bombing'а за время пандемии, к Zoom вообще бы сложно было прикопаться по делу.

Но сейчас скорее удивляют шаги, которые компания делает, чтобы исправить ситуацию в публичном пространстве:

- 90 дней нон-стоп работы над безопасностью (это круто), мы еще такого не видели, хотя бы в качестве заявления
- Нанимает известных людей в ИБ (это хорошо), но которые в своих вебинарах подтверждают очевидное (это странно). Например в духе что-то AES GCM 256 это хорошо. Ну да, хорошо)
- Покупает keybase (это странно). Вообще сложно прокомментировать это поглащение, разве что: "мы купили крутой security стартап, который вы все любите, любите и нас теперь!". Кажется, что так это не работает, но надеюсь что keybase помогут Zoom своей культурой и экспертизой
- Не запускает bug bounty (это плохо)

В сухом остатке пока получаем популярную софтину, которую за бесплатно посмотрело уже какое-то количество людей из ИБ и пока ничего (кроме двух уязвимостей в начале поста) не нашло. А компания бодается со странными набросами странными способами.