Je li Zoom siguran i trebaju li ga tvrtke zabraniti

Brz rast broja korisnika aplikacije za videokonferencije Zoom tijekom pandemije izazvane koronavirusum ukazao je na sigurnosne propuste aplikacije koju koriste milijuni privatnih i poslovnih korisnika. Saznajte kako podesiti aplikaciju da biste je sigurnije koristili

1040
zoom

Za Zoom danas znaju svi: roditelji, suradnici, prijatelji, djedovi i bake, susjedi… Tvrtka koje proizvodi softver za videokonferencije izašla je na burzu u travnju prošle godine, a zvjezdane trenutke doživljava u doba pandemije izazvane koronavirusom.

Ljudi su počeli masovno koristiti servis kako bi bili u kontaktu s prijateljima, počeli su organizirati virtualna druženja. No, brzi rast broja korisnika otkrio je i sigurnosne slabosti aplikacije koju danas koriste milijuni privatnih i poslovnih korisnika. Mnogi od njih shvaćaju da bi ih besplatna aplikacija mogla skupo koštati zbog krađe osobnih podataka.

Svoju popularnost u širokom potrošačkom krugu aplikacija temelji na tome da nudi besplatne 40-minutne konferencijske pozive u kojima može sudjelovati do 100 korisnika. Jednostavna je za uporabu, za pristup sastanku nisu potrebni pristupni podaci, a sučelje je relativno intuitivno. No, upravo te prednosti predstavljaju i glavne sigurnosne rizike aplikacije.

Od početka svibnja kreće besplatni Google Meet

Sigurnosni propusti

Učestali su incidenti nazvani Zoombombing ili Zoom Raiding, kada nepozvani sudionici upadaju na konferenciju. Takvi incidenti u početku se mogli smatrati “neslanim šalama” ili “trolanjem”, no prerasli su u govor mržnje i ozbiljno uznemiravanje, zbog čega ih je u SAD-u počeo istraživati FBI, piše New York Times.

Zoombombing koristi Zoomov sustav slučajno generiranih ID pristupnih kodova i nepostojanje pristupnih lozinki kako bi se nepozvani sudionici pridružili konferenciji. Nakon upada emitiraju uvredljive materijale, poput pornografije ili poruka mržnje. Stručnjaci za informacijsku sigurnost razvili su alat koji u jednom satu može otkriti 100 ID pristupnih kodova za Zoom i informacije o 2400 video konferencija u jednom danu. To je primer koliko je jednostavno upasti nepozvan na videokonferenciju.

Zoom tvrdi da je krajem prošle godine omogućio postavljanje lozinki, ali mnogi ljudi ih dalje ne koriste.

Stručnjaci tvrtke za informacijsku sigurnost Check Point izvijestili su nedavno o velikom porastu broja lažnih domena kojima se mame naivni korisnici kako bi im se ukrali osobni podaci.

Sve više stručnjaka za informacijsku sigurnost zbog takvih propusta preporučuje da se Zoom ne koristi. Među njima je i Patrick Wardle, bivši operater za kibernetičku sigurnost NSA,koji je u svom blogu istaknuo dva opasna sigurnosna propusta. Oba su sada ispravljena, a utjecali su na macOS verziju Zooma. Jedan je hakerima omogućavao instaliranje malwarea ili spywarea, a drugi ubacivanje zlonamjernog koda koji omogućava pristup web kameri i mikrofonu ciljanog uređaja.

Je li Zoom vrijedan rizika

Zoom je, poput Googla, na putu da postane standardni glagol u svakodnevnom govoru, kaže Wardle za Computer Weekly. “Međutim, ako vam je stalo do privatnosti ili informacijske sigurnosti, razmislite dva puta hoćete li koristiti inačicu aplikacije za macOS.”

Stručnjaci tvrtke Bleeping Computer otkrili su pak propust u inačici za Windowse koji je omogućavao krađu vjerodajnica svakog korisnika koji klikne na zloćudnu poveznicu. Propust je u međuvremenu također ispravljen.

Poduzeća moraju znati da njihovi djelatnici na uređajima koriste aplikacije koje nadilaze elektroničku poštu i internet. Zoom je danas jedna od najpopularnijih aplikacija za čiju primjenu nije potreban preglednik i to otvara nove sigurnosne rizike o kojima tvrtke trebaju brinuti. To uključuje slične alate poput Teamsa i Slacka, koji su također sigurnosno ranjivi.

Douglas Jones, suosnivač i partner smatra da nije vrijedno riskirati: “Uvijek se odlučujem za oprez. Zoom je u usponu, što znači da će biti pod povećalom. umiranje se razbuktalo, što znači da je pod većim nadzorom. Desit će se slično onome što se desilo Facebooku i Uber kada su se njihove prakse našle pod povećalom. U ovom trenutku to je još uvijek sigurnosni rizik, stoga bih predložio da tražite neko drugo rješenje. Nema sumnje da je Zoom u sadašnjim okolnostima zanimljiv alat za svakog poduzetnika koji barem prividno želi nastaviti normalno raditi, ali ne vrijedi riskirati da informacije tvrtke ili informacije o klijentu budu ugrožene. Kada jednom izgubite povjerenje klijenta, vrlo ga je teško vratiti”.

No, neki drugi poduzetnici smatraju kako je ovo, ako Zoom reagira na odgovarajući način i poboljša sigurnost aplikacije, prava prilika za kompaniju.

>>Rad od kuće u vrijeme koronavirusa

Najbolja praksa za sigurnosne timove

Zoom, dakle, ne bi trebalo samo tako odbaciti. Međutim, kao i kod drugih aplikacija, treba obratiti pažnju na to kako ona funkcionira, posebno sa sigurnosnog aspekta, te na najbolje sigurnosne prakse vezane uz aplikaciju.

Stručnjaci za informacijsku sigurnost ističu kako rizike prilikom primjene aplikacija nezavisnih proizvođača treba shvatiti vrlo ozbiljno.

Neprekidni nadzor od presudne je važnosti za minimiziranje sigurnosnih rizika, posebno u vremenima kao što je današnje, kada se kompanije, kako bi omogućile učinkovit rad na daljinu, okreću novim alatima poput Zooma koje prethodno nisu dobro upoznale.

“Platforma Zoom nudi niz prednosti onima koji moraju raditi od kuće tijekom ovog razdoblja. Kao i kod svakog alata, važno je biti svjestan mogućih rizika i koristiti funkcije unutar platforme koje omogućuju sigurniju komunikaciju“, kaže Omri Herscovici iz Check Pointa.

Konferencijski ID

Aleksandr Yampolskiy, izvršni direktor tvrtke za informacijsku sigurnost SecurityScorecard, preporučuje nekoliko koraka koje bi IT timovi trebali poduzeti za sigurno korištenje Zooma.

Prvo, izbjegavajte korištenje osobnog ID-a za javne videokonferencije. Osobni ID je u stvari kontinuirana videokonferencija i svatko može u bilo kojem trenutku upasti u vaš osobni virtualni prostor. Odaberite u postavkama “ID jednokratnog sastanka” (one-time meeting ID) ili automatsko generiranje ID-a.

Drugo, spriječite sudionike sastanka da dijele zaslon tijekom poziva koristeći upravljačke kontrole na dnu. Kliknite strelicu pokraj dijeljenja zaslona, ​​a zatim napredne postavke dijeljenja. Pod “tko može dijeliti?” (Who can share?) odaberite “samo domaćin” (only host).

Obavezno u postavkama podesite da video sastanku mogu prisustvovati “samo autorizirani korisnici” (‘only authenticated users can join’). Odabir ove opcije koristan je ako želite kontrolirati svoj popis gostiju i na sastanak pozvati samo one koje želite. Time sprječavate da se sastanku preko elektroničke pošte pridruži netko nepozvan.

Odabirom opcije”čekaonica” (‘enable waiting room’ ) možete pregledavati tko pokušava pristupiti sastanku i spriječiti neželjene goste. To je virtualni red i kao domaćin možete pojedinačno potvrđivati ili uklanjati ljude, te primati sljedeću osobu po vlastitom redoslijedu.

Izdvojite osjetljive aplikacije i podatke

Da bi se u potpunosti zaštitila od sigurnosnih prijetnji, poduzeća bi trebala izdvojiti osjetljive poslovne aplikacije, podatke i vjerodajnice u zaseban OS koji nije izložen rizičnim “vanjskim” aplikacijama.

Zoom se ne razlikuje bitno od drugih alata za videokonferencije dostupnih na tržištu. Većina ima slične probleme kada je riječ o privatnosti, tako da poduzeća – pa organizacije moraju biti oprezne u pogledu rizika koji se predstavljaju. Ovakvim koracima ublažit će se većina prijetnji koje bi se mogle ostvariti za većinu zaposlenika “, rekao je Malik.

Javvad Malik iz tvrtke Knowbe4 ima još nekoliko savjeta koji mogu pridonijeti većoj sigurnosti svih zaposlenika.

Za osjetljivije razgovore mogu se razmotriti alternative i poduzeti strože mjere. To možda neće biti prikladno za masovne sastanke, ali može pridonijeti sigurnosti manjih sastanaka.

Za veće sastanke koji zahtijevaju dodatnu sigurnost, primjerice u industrijama od državnog značaja, Zoom je do sada bio prilično otvoren za izravne dogovore kako bi osigurao višu razinu privatnosti.

Yampolskiy takav pristup preporučuje za sve tvrtke koje se bave osjetljivim podacima. „Za opću poslovnu suradnju Zoom je dovoljan, ali ako se bavite vlasničkim podacima ili osobno identificirajućim podacima, razmislite o dijeljenju tih podataka kroz na sigurnije i privatnije kanale kao što su PGP šifrirane e-poruke, Signal ili Wickr. Američko Ministarstvo obrane i njegovi dobavljači uložili su mnogo novca kako bi razvili šifrirane VTC tehnologije i ta rješenja mogu biti primjenjiva u drugim industrijama.”

>>Tehnički problemi prilikom rada od kuće i kako ih otkloniti

Ljudske pogreške

Zoom je također podložan jednostavnim ljudskim pogreškama. Primjer je britanski premijer Borisa Johnsona, koji je trenutno u karanteni zbog koronavirusa u svojoj rezidenciji u Downing Streetu.

Johnson je 31. ožujka podijelio dnevni red sastanka kabineta putem Zooma. Pri tome je otkrio korisnička imena ministara Dominica Raaba i Michaela Govea, što je vrlo korisna informacija za zlonamjerne hakere. Zahvaljujući tim podacima svaki Kiber-kriminalac mogao bi se pridružiti povjerljivom sastanku britanske Vlade.
Sigurnosni timovi moraju educirati korisnike da ni pod kojim okolnostima nije prihvatljivo dijeliti snimke zaslona, pa ni one s veće udaljenosti, ili ekranskih aplikacija.

Korisnici moraju biti svjesni osobnih i osjetljivih informacija koje dijele na internetu. Korisnici alata za videokonferencije moraju biti svjesni i onoga što se događa, kao i svih informacija na zaslonu. Kao i kod telefonskih konferencija, ID video sastanka osjetljiv je podatak koji će nepozvanim korisnicima omogućiti pristup sastanku.

Rad na daljinu novo je iskustvo za mnoge tvrtke i zaposlenike. Mnogi zaposlenici objavljuju svoja iskustva na društvenim mrežama. Takvu praksu ne treba osuđivati, ali treba poticati poduzeća i zaposlenike da budu odgovorni prilikom dijeljenja informacija.

Prikazivanje korisničkog ID-a može lako ugroziti poduzeće. Prilikom korištenja sustava za videokonferencije važno je biti svjestan svih njegovih mogućnosti, uključujući ono što se može vidjeti na ekranu i sigurnosnih mjera koje su dostupne.

Kad god je to moguće, potaknite zaposlenike da koriste službeno računalo s najnovijim sigurnosnim zakrpama, koristite dvofaktorsku autentifikaciju i najnovija rješenja za zaštitu krajnjeg korisnika od zloćudnog softvera i drugih oblika kibernetičkih napada. Kontinuirano educirajte osoblje kako biste ih nauči da prepoznaju i izbjegnu takve napade.

Nagli rast broja korisnika

Nakon nedavnog sigurnosnog ažuriranja izvršni direktor Zooma Eric Yuan rekao je da je svjestan odgovornosti koju Zoom ima otkako je njegova usluga postala hit. Istaknuo je da je Zoom krajem prosinca 2019. imao dnevno oko 10 milijuna sudionika sastanaka na besplatnim i plaćenim verzijama, a krajem ožujka ove godine broj korisnika dosegao je 200 milijuna.

“Podržati tako veliki priljev korisnika u posljednjih nekoliko tjedana bio je veliki izazov za nas. Fokusirali smo se na to kako bismo korisnicima osigurali kontinuiranu uslugu i jednako korisničko iskustvo koje je doprinijelo rastu platforme i njenoj popularnosti među poslovnim korisnicima širom svijeta, uz veću sigurnost, pouzdanost i privatnost. Međutim, svjesni smo da smo iznevjerili očekivanja oko privatnosti i sigurnosti – uključujući i svoja vlastita. Zbog toga mi je iskreno žao i želim javno podijeliti što radimo u vezi s tim “, rekao je Yuan.

Istaknuo je da je platforma kreirana prvenstveno za poslovne korisnike s potpunom informatičkom podrškom i uspostavljenim sigurnosnim politikama. Nitko nije očekivao da će ju odjednom prihvatiti mnogo šira skupina korisnika koji ju koriste na “bezbroj neočekivanih načina”.

“Ti novi načini primjene pomogli su nam da otkrijemo nepredviđene probleme naše platforme. Predani novinari i stručnjaci za informacijsku sigurnost također su nam pomogli da prepoznamo rizične propuste. Cijenimo pitanja koja su nam postavili – o tome kako usluga funkcionira, o našoj infrastrukturi i kapacitetima, te o našim politikama privatnosti i sigurnosti. Ta će pitanja Zoom učiniti kvalitetnijim, ne samo kao tvrtku, nego i za sve njegove korisnike”, poručio je Yuan.

Edukacija i podrška

Zoom je već pojačao edukaciju i podršku za korisnike. Omogućio je besplatne demonstracije i live webinare, pojačao je resurse kako bi smanjio vrijeme čekanja na podršku i poduzeo mjere da pomogne korisnicima u rješavanju incidenata uznemiravanja ili Zoombombinga.

Nakon prijetnje tužbom uklonio je sa svog iOS klijenta Facebook SDK koji je korisničke podatke slao popularnoj društvenoj mreži, ažurirao je svoju politiku privatnosti kako bi bio transparentniji oko podataka koje prikuplja i poduzeo je dodatne sigurnosne korake prilikom upotrebu svoje platforme u školama.

Priznali su da podaci nisu baš uvijek bili šifrirani od početka do kraja. Uglavnom jesu, ali na nekim uređajima koji nemaju vlastitu komunikacijsku politiku to nije uvijek bio slučaj. Uklonili su funkciju koja je pratila korisnikov zaslon.

Sigurnosno su ažurirali inačice za Mac i Windows te uklonili LinkedIn Sales Navigator nakon što je značajka identificirala nepotrebno otkrivanje podataka.

“Tijekom sljedećih 90 dana posvetit ćemo se otkrivanju i rješavanju problema. Također se zalažemo za transparentnost u ovom procesu. Želimo učiniti sve što je potrebno kako bismo zadržali povjerenje korisnika”, rekao je Yuan.

Zoom će zamrznuti razvoj novih funkcionalnosti i usmjerit će svoje inženjere na privatnost i sigurnost; prozvao je nezavisne stručnjake i korisnike da mu pomognu poboljšati sigurnost pri novim načinima primjene aplikacije; priprema detaljno izvješće o podacima koje prikuplja i sadržaju; radi na poboljšanju sustava za otkrivanje bugova; osniva informacijsko sigurnosno vijeće za suradnju s industrijskim sektorom; pokreće testove White Box kako bi identificirao nove propuste.

Privatni i poslovni korisnici i dalje koriste Zoom jer je jednostavan i besplatan, no njegovi konkurenti trude se dostići ga. Zoom će pak pokušati održati svoju lidersku poziciju, ali to će zahtijevati da privatnosti i sigurnosti korisnika postavi kao prioritet ispred jednostavnosti primjene aplikacije.