{"id":10861,"title":"\u0417\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u0435 \u043f\u0438\u043b\u043e\u0442 \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435 PwC Venture Hub","url":"\/redirect?component=advertising&id=10861&url=https:\/\/vc.ru\/promo\/349044-korotko-zapustit-pilot-i-poluchit-novyh-klientov-s-pwc&placeBit=1&hash=4330fcc6373e035951e6ff64a3ae572ba5f30463fe8776204270bbc0bd091c81","isPaidAndBannersEnabled":false}

Встречайте сервис групповых звонков с повышенной секьюрностью — Callaba

Групповые звонки используют для общения и бизнеса. Но зачастую пользователи не задумываются о секьюрности и даже не подозревают, что их личные и коммерческие данные легко похитить. Рассказываем, как разработали инструмент групповых звонков, работающий из браузера и защищающий пользователей от MiTM-атак с помощью протокола ZRTP.

Задача — удобные групповые звонки с повышенной секьюрностью

Популярность групповых звонков растет: они позволяют общаться и вести деловые переговоры во время карантина. Пользователи по всему миру оценили удобство такого вида связи и будут использовать его даже после окончания самоизоляции.

При этом звонки по-прежнему остаются неудобными для пользователей: приходится что-то скачивать, разбираться в настройках, регистрироваться и углубляться в инструкцию ради нескольких минут общения.

Поэтому появилась идея создать инструмент, который позволит звонить из вкладки браузера за один клик без установки дополнительных программ.

С помощью такого приложения пользователи могут обсуждать задачи с продуктовой командой, проводить конференции и летучки, демонстрировать на экране, как решать задачу, а также отчитываться о выполненной работе. Это идеальный вариант для удаленки.

Вторая задача — обеспечить таким звонкам стабильную защиту, то есть сделать так, чтобы ваши данные не могли утечь в сеть, проиндексироваться поисковыми системами или попасть в руки мошенников. Чтобы конкурировать с многочисленными аналогами, в нашем инструменте реализована повышенная секьюрность.

Технология webRTC для звонков без дополнительных приложений

Приоритетная задача — общаться напрямую из вкладки браузера. Звонки реализуются благодаря технологии webRTC — она позволяет быстро передавать мультимедиа — аудио и видео — через браузер, а также устанавливать соединение между двумя и более пользователями одновременно.

Этого достаточно, чтобы гарантировать общение без предварительной подготовки и установки программ.

В основе безопасности — протокол ZRTP

Второй слой шифрования обеспечивает дополнительную защиту ваших данных благодаря протоколу ZRTP.

ZRTP — криптографический протокол согласования ключей шифрования. Используется при передаче голоса по IP-сетям и согласует ключи в том же потоке RTP, по которому установлена аудио- или видеосвязь, то есть не требует отдельного канала связи.

Сама по себе идея шифрования телефонии не новая. Протокол существует с 2006 года и защищает данные довольно надежно, но не спасает от «человека посередине» — MiTM-атак или, проще говоря, прослушки.

Решили вопрос с защитой от MiTM-атак

На этапе тестирования выяснилось, что изначально передаваемые потоки в webRTC зашифрованы с помощью SRTP (безопасного протокола передачи данных) и подслушивать их невозможно. Однако уязвимость перед MiTM-атакой посередине сохранялась при любой комбинации соединений и протоколов DTLS и ZRTP. Например, зная IP-адрес пользователей, можно было создать сеанс связи с запросом и украсть информацию.

Команда разработки проекта Callaba решила эту проблему, зашифровав не только потоки, но и сами сессии.

Результат — безопасные групповые звонки

Нам удалось решить проблему с безопасностью звонков через Callaba и гарантировать защиту от прослушивания с помощью протокола ZRTP. Злоумышленники не могут получить доступ к разговору, подслушать или украсть данные.

В программе также зашифрованы текстовые сообщения, которые передаются во внутреннем чате. Благодаря этому решению роботы поисковых систем не индексируют информацию внутри вкладки браузера и не раскрывают персональные данные участников.

Получили даже больше, чем ожидали

Наша команда достигла поставленной цели — сделать групповое общение в сети простым и безопасным:

  • Инструмент работает из браузера по технологии webRTC. Это колоссальное преимущество экономит время на установке приложений и позволяет сосредоточиться на общении.

  • Полная защита от MiTM-атак. На первом уровне безопасность контролирует протокол ZRTP, на втором — наше дополнительное шифрование.
  • Безопасность всех типов данных. Инструмент защищает не только аудио и видео, но и текстовые сообщения во внутреннем чате. Информация не попадет к злоумышленникам и не будет проиндексирована поисковыми системами.

Итогом нашей работы стал доступный и понятный в управлении инструмент групповых звонков, работающий напрямую из браузера и гарантирующий секьюрность.

0
12 комментариев
Популярные
По порядку
Написать комментарий...
Геннадий Собчак

Человек не может присоедениться ко мне. Ему пишет "loading" браузер после загрузки страницы.
Скоро Telegram добавят групповые замки и вам будет тяжело. Телеграм у многих есть.

Ответить
1
Развернуть ветку
Yoram Callaba

Здравствуйте, спасибо за то, что делитесь мыслями :) Проект находится на стадии бета тестирования, Не могли бы вы уточнить какая версия браузера ? Возможно эта проблема будет наблюдаться у других пользователей и возможно благодаря вам, мы могли бы ее оперативно исправить, спасибо.

Ответить
0
Развернуть ветку
Геннадий Собчак

Обычный Яндекс. Только у меня зашло, а у собеседника какая-то чепуха. Не исключаю, что во всём виноват интернет, хотя мы с одного сидим...

Ответить
0
Развернуть ветку
Yoram Callaba

Геннадий большое спасибо за информацию. Мы перепроверили в Яндекс.Браузер связь работает корректно, однако мы заметили, что в режиме включенной встроенной функции "Турбо" аудио и видео потоки фильтруются из за чего связь не может быть установлена. В любом случае, мы включили в список тестируемых и поддерживаемых браузеров, а также добавим возможность информационного сопровождения пользователя в данном браузере. 

Ответить
1
Развернуть ветку
John Doe

За конкурентное преимущество эта секьюрность не сгодится, потому что после шумихи с зумом только ленивый не кричал о своей секьюрности из конкурентов, зум все равно на коне. Лучше расскажите о своей стратегии, как вы собираетесь конкурировать с дюжиной гигантов с многомиллионными бюджетами в этом сегменте?

Ответить
0
Развернуть ветку
Yoram Callaba

John Doe Конечно, вы правы насчет сегмента и мы конечно же знали на что идем, в свою очередь :) По поводу стратегии, нам бы хотелось двигаться в сторону людей и их потребностей, проекту положено начало. Спасибо за уделенное время и что делитесь мыслями. :)

Ответить
0
Развернуть ветку
Art

ярчайший пример того как технари пытаются делать продукты. LOL что такое ZRTP, вы пробовали узнать у аудитории какая тысячная доля ваших клиентов понимает о чем речь? 

Ответить
0
Развернуть ветку
Yoram Callaba

Спасибо за ваш комментарий. Конечно, прежде чем делать продукт, мы конечно же провели кастдев и спросили аудиторию. Всем пофиг на то, как оно называется :) А я как разработчик просто любящий стандарты внедрил это, никакой магии :)  

Ответить
0
Развернуть ветку
Vladimir Hrinenko

Так и не удалось в Хроме включить камеру и микрофон....

Ответить
0
Развернуть ветку
Yoram Callaba

Доброе утро, Владимир. Большое спасибо за обнаружение проблемы, Пожалуйста проверьте не заблокирована ли у вас камера/микрофон в браузере или в операционной системе. Уточните пожалуйста детали вашей проблемы, что вы видите перед собой на экране ?  

Ответить
0
Развернуть ветку
Nikolay Churaev

Методы достижения "секурности" потрясают воображение:)

Ответить
0
Развернуть ветку
Alex Alexis

"секьюрность" - это невозможно читать!
чем не устроило слово "защита" или "безопастность"? 
пожалуйста, перестаньте коверкать язык.

Ответить
–2
Развернуть ветку
Читать все 12 комментариев
Как попасть в ЧС телефонных спамеров?

Реальная рабочая схема попадания в черный список телефонных спамеров. Сработала против спама от Совкомбанка, Альфа-банка, Дом.ру, Билайна, ремонта оконных рам, расчетных счетов для бизнеса и не только.

Ёлки, столы и другие опыты: как ищет точки роста цех, который строил стенды для выставок, а потом — столы для удалёнки Статьи редакции

Монолог предпринимателя о выходах из ситуации, когда спрос на твои основные продукты резко падает уже во второй раз за два года, а материалы не дешевеют.

Производство Stayhomedesk
Python-разработчик, UX-писатель и Product-менеджер. На кого учатся россияне и сколько тратят на онлайн-образование

Ко Дню студента мы выяснили, как в 2021 году изменился спрос на онлайн-образование по сравнению с 2020 годом. Рассказываем, что изменилось за год, и какие направления онлайн-образования пользуются наибольшей популярностью.

Что такое дизайн в корпоративно-инвестиционном банкинге – на примере приложения Райффайзен Бизнес Плюс

Всем привет, меня зовут Никита Маврин и я продуктовый дизайнер в команде корпоративных цифровых каналов в Райффайзен Банке. Расскажу о том, как мы разрабатывали дизайн первого мобильного банка для руководителей большого бизнеса. А ещё о том, почему дизайнеру классно развиваться в корп-инвест банкинге.

Приглашаем автоматизаторов тестирования в команду SberDevices

Салют, на связи команда SberDevices! Объявляем первый в году One Day Offer. На этот раз мы приглашаем автоматизаторов тестирования уровня Middle/Senior, которые специализируются на UI-тестах для девайсов на Android. Также ищем QA-инженеров по тестированию backend’а виртуальных ассистентов Салют. Работа ответственная и масштабная — вас ждут…

Как работает реферальная программа в Playgendary

30-40% принятых офферов — это рекомендации, которых мы получаем по 200-300 ежемесячно. Рассказываем, как пришли к такому результату.

С инфоцыганами все ок, и их клиенты не идиоты. И вот почему

Есть расхожее мнение, что инфоцыгане — это мошенники, которые дурят невинных граждан, научить ничему не могут, обещаний своих не выполняют, и гореть бы им в своем высокоэффективном аду. Ах, если бы все было так просто.

Как мы увеличили выручку в пять раз при помощи ИТ-решений

«Ойл Ресурс Групп» была маленькой компанией с ручным трудом и низкой эффективностью.

Мобильное приложение «Топливо» и маркетплейс ОРГ-Маркет

Исследователи нашли вирус в доработанных модулях «1С» — он украл данные «десятка компаний» Статьи редакции

Программа отправляла информацию о клиентах, платежах и потенциальных договорах на чужую почту.

Mastercard снизит межбанковские комиссии при оплате картой на Wildberries, Aliexpress, Ozon и других маркетплейсах Статьи редакции

Условия начнут действовать с 31 января 2022 года.

null