Súčasná pandémia, ktorú spôsobil koronavírus Covid-19 mení spôsoby práce a návyky ľudí po celom svete. Upúšťa sa aj od osobných stretnutí, či už v súkromí alebo v pracovnom prostredí a do popredia sa dostávajú nástroje, ktoré umožňujú komunikáciu prostredníctvom chatu, audio-video hovorov prostredníctvom internetu. Jedným z nich je aj videokonferenčná platforma Zoom, ktorej používanie vzrástlo za posledné 3 mesiace viac ako 5-násobne. To však prinieslo aj odhalenie “slabých miest” tejto aplikácie.
Ako to funguje?
Aplikácia funguje na všetkých známych platformách ako Windows, macOS, Linux, či Chrome OS a takisto je dostupná aj pre mobilné telefóny s operačným systémom Android či iOS. K už vytvoreným mítingom sa dá pripojiť aj bez aplikácie s použitím iba webového prehliadača (potrebujete kliknúť na tlačidlo “Join a Meeting” a zadať heslo na pripojenie). Najvhodnejším prehliadačom je Google Chrome, v rámci ktorého sú použiteľné všetky dostupné funkcie. Na pripojenie k mítingu prostredníctvom aplikácie účet nepotrebujete, potrebujete ho však v prípade pripojenia sa cez prehliadač, prípadne pokiaľ chcete míting vytvoriť vy, alebo niekomu zatelefonovať, účet je nutný.
Bezpečnostné slabiny
Krádež prihlasovacích údajov (Windows)
Prvého apríla bola zverejnená informácia o tom, že aplikácia zoom nainštalovaná vo windows dokáže exfiltrovať heslá uložené v operačnom systéme. Útočník by prostredníctvom nich mohol získať prístup k emailovému kontu v Outlooku, prípadne do sieťových úložísk. Podľa slov vývojárov bola táto bezpečnostná diera opravená.
Zdieľanie dát s Facebookom (iOS)
Ďalšia bezpečnostná trhlina sa objavila u používateľov mobilných telefónov s iOS, kedy aplikácia Zoom zdieľala s Facebookom osobné údaje používateľa, pričom ten na to nebol nijakým spôsobom upozornený. Zoom kvôli tomu teraz čelí skupinovej žalobe. Problém v aplikácii by už však mal byť odstránený.
Šifrovanie komunikácie
Zoom deklaruje, že využíva na zabezpečenie komunikácie end-to-end šifrovanie, čo znamená, že informáciu dokáže dešifrovať iba koncové zariadenie v komunikácii a teda nie je možné odchytenie a dešifrovanie dát niekým uprostred. To však nie je pravda, pretože Zoom využíva na šifrovanie správ TLS certifikát s 256-bitovou AES šifrou. Komunikácia je tak chránená iba medzi klientom a serverom, inými slovami, Zoom by mohol mať prístup k našej komunikácii, keďže komunikácia sa na ich serveri dešifruje a znova šifruje. Zoom však tvrdí, že na to nemajú prostriedky. V prípade však, že by ich server bol napadnutý hackermi, je možné, že tí by sa k danej komunikácii dostať vedeli..
Zoombombing
Ďalším z radu problémov je, že sa do videohovorov začali pripájať nepovolaný hostia. Tí sa potom správali nemiestne a mítingy rušili napríklad púšťaním pornografického materiálu. K problému dochádzalo kvôli tomu, že Zoom pre daný míting vygeneroval 9-11 miestny identifikátor, ktorý však bolo možné uhádnuť a následne sa k hovoru pripojiť. Zoom to následne vyriešil úpravou spôsobu generovania tohto kódu a pridaním hesla.
Prístup ku kamere
Ešte predtým, ako sa aplikácia Zoom takto masovo rozšírila, čelila ešte minulý rok kritike za bezpečnostný incident, kedy bolo možné vložením nebezpečného kódu do Zoomu umožniť prístup útočníkovi k web kamere a aj mikrofónu bez vedomia používateľa. V súčasnosti by už mal byť problém odstránený
Ukradnuté kontá
Spoločnosť Cyble, ktorá sa zaoberá kybernetickou bezpečnosťou upozornila tiež na to, že na dark webe sa predáva 500 000 mailových adries a hesiel používateľov videokonfrenčnej služby Zoom.
Ako ochrániť videokonferenciu cez Zoom
Ak sa napriek týmto rizikám rozhodnete videokonferečnú službu Zoom používať aj naďalej je dôležité, aby ste dodržiavali viaceré bezpečnostné odporúčania:
- Používajte dvojfaktorovú autentifikáciu (2FA) pri prihlásení.
- Adresu videokonferenčnej miestnosti nešírte verejne. Pošlite ju iba tým ľuďom, ktorí sa skutočne majú pripojiť.
- Používajte čakaciu miestnosť. Budete tak môcť schváliť ľudí predtým, ako sa pripoja do videokonferencie.
- Miestnosť zabezpečte heslom, ktoré bude dostatočne silné. Bude obsahovať aspoň 8 znakov, malé a veľké písmena, číslice a špeciálny znak (.,?!* a iné). Heslo samozrejme verejne nešírte. Pošlite ho iba účastníkom stretnutia.
- Nezverejňujte svoj Personal Meeting ID (PMID). Kto vie vaše PMID, môže sa pripojiť na akýkoľvek vašu videokonferenciu.
- Vyhnite sa inštalácií aplikácií a radšej používajte na komunikáciu internetový prehliadač, ktorý má vyššiu bezpečnosť .
- Aktualizujte si aplikáciu Zoom a internetový prehliadač.
- Vyvarujte sa zdieľaniu citlivých a dôverných informácií počas videokonferencie.
- Zakážte používanie zdieľanej obrazovky pre účastníkov.
- Zakážte zdieľanie súborov.
- Dajte si pozor, aký e-mail použijete pri registrácii. V niektorých prípadoch sú zdieľané kontakty v rámci domény. Je možné, že sa budú vaše kontaktné údaje zdieľať s úplne cudzími ľuďmi. Toto platí pre malých poskytovateľov e-mailových služieb, nie pre veľkých poskytovateľov typu Gmail, Yahoo, Outlook.com a pod
Na záver je určite pozitívnou správou, že Zoom sa momentálne zameral na vyriešenie daných bezpečnostných incidentov, kde deklaroval 90-dňovú lehotu na ich odstránenie, počas ktorej nebude vyvíjať nové vlastnosti aplikácie ale zameria sa čisto na vyriešenie doterajších problémov.