Cybersec NewsКибератакиНашите експертиУязивмости, експлойти, ъпдейти

Zoom – добрият, лошият и злият

Компанията прави всичко възможно да поправи своите грешки, но сякаш те нямат край

Последен ъпдейт на 4 май 2020 в 12:09 ч.

Ако още не сте чували за Zoom, не сте работили от вкъщи. Шегата настрана – решенията за видеоконферентни разговори се радват на пика на употребата си покрай пандемията с COVID-19.

Безспорно едно от най-популярните е Zoom. Решението привлече погледите на потребители (потреблението му е скочило 20 пъти от началото на пандемията), експерти по киберсигурност и… хакери. В предходна наша статия вече ви разказахме за част от проблемите, свързани със Zoom – бъг, който позволяваше краденето на Windows потребителски имена и пароли, фалшиви домейни, регистрирани с името на решението и т.н.

Ако все още не ви се е налагало да използвате Zoom и не сте запознати с предимствата му, препоръчваме да изгледате видеото:

Потокът от новини свързани, със Zoom е доста динамичен и труден за проследяване, поради тази причина екипът на FreedOmonline.bg ще ги подбира и синтезира, така че нашите читатели да са максимално информирани по темата.

Добрият

В отворено писмо до потребителите, изпълнителният директор Ерик Ян (Eric S. Yuan) се извинява за проблемите и подчертава мерките, които ще бъдат предприети така, че Zoom да подсили сигурността и поверителността при използването му. В следващите 90 дни разработването на нови функционалности ще бъде замразено и ще се работи единствено в посока отстраняване на бъгове и проблеми.

Тази стратегия дава резултати и за част от проблемите вече има решение. Например, за да противодействат на вълната от така наречените „Zoom бомби“ (zoombombing), Zoom ще включат изискването за парола при създаване на срещи, което до момента беше изключено по подразбиране. Препоръчваме ви да не чакате Zoom, а да започнете да слагате пароли на всяка среща още сега (вижте още съвети за по-сигурни Zoom срещи).

Ъпдейт: След набирането на популярност на zoombombing-a, американското Министерство на правосъдието излезе с официално съобщение, че това е действие, наказуемо със закон. То може да бъде третирано като едно или повече от следните нарушения: неоторизиран достъп до чужд компютър, използване на компютър за извършване на престъпление, измама, престъпление от омраза и др. 

Лошият

Публикация на The Washington Post разкрива, че голяма част от записите на срещи, направени със Zoom, са свободно достъпни в мрежата. Такива записи могат да съдържат чувствителна информация, като фирмени тайни и лични данни (Personally Identifiable Information – PII). Голяма част от потърпевшите потребители нямат идея как записите са станали публично достояние, но тяхното откриване онлайн е лесно благодарение на това, че имената на файловете, с които се запазват записите, следват предвидим модел.

Подозираме обаче, че и самите потребители носят част от вината, понеже при запис на среща възможностите за съхранение на записа са или върху сървъри на Zoom, или локално върху компютъра на организатора (презентатор), което не обяснява как в крайна сметка тези записи са били качени в YouTube и Vimeo.

Злият

„Американска компания с китайско сърце?“ Това е един от въпросите, повдигнати в разследването на канадската Citizen Lab. Освен сериозни проблеми и разминавания (от рекламираното/ документираното) в технологията за криптиране на връзката в Zoom, става ясно, че основната движеща сила в компанията са 700 служители, намиращи се в Китай. Част от трафика също е „отклоняван“ към сървъри, базирани се Китай.

Това може би е една от причините, Space-X (компания на Илон Мъск) да забрани на своите служители да използват Zoom. Министерството на Отбраната на Великобритания преди дни също го забрани, което се оказа неразбрано от кабинета на Борис Джонсън.

Как да защитите Zoom срещите си

Докато чакаме ъпдейтите на Zoom, ето няколко съвета от колегите ни от Sophos, с които да намалите шанса разговорите ви да се окажат подслушвани или публично достъпни:

  1. Пачвайте приложението. Ако имате инсталиран Zoom на компютъра си, не забравяйте да ъпдейтвате приложението редовно. Както става ясно, предстои отстраняване на бъгове и проблеми
  2. Използвайте опцията Waiting Room (чакалня). С нея срещата няма да започне, преди организаторът да даде старт. Така ще може да видите кой точно се е присъединил – или иска да се присъедини.
  3. Контролирайте кой споделя екрана си. В противен случай рискувате да попаднете в кошмара на Кейси Нютон (Casey Newton) и Хънтър Уок (Hunter Walk). Двамата хостват популярна ежедневна публична среща WFH Happy Hour. Тя е била избомбена (виж zoombombing) от трол, случайно попаднал на нея. В последствие, заради липсата на контрол върху това кой споделя екрана си, всички участници е трябвало да се „насладят“ на „ужасни порнографски сцени“ (определението е на участник в злощастната среща).
  4. Използвайте ID на срещи, генерирани на произволен принцип и защитени с пароли.

[box type=“warning“ align=““ class=““ width=““]Екипът на FreedOmonline.bg не може да се ангажира с препоръки за това дали да използвате Zoom или не. Според нас всеки потребител/компания трябва да вземе информирано решение и винаги да се съобразява с максимата – „Всичко е за сметка на нещо“. Когато говорим за цена, лекота и/или бързодействие/ефективност/производителност/функционалност, най–често те са за сметка на сигурността.[/box]

PS: Подозирате ли за съществуването на друго лесно и удобно решение за видеоконферентни разговори, което е с български корени? Представяме ви  Jitsi (Жици)! Проектът също така е с напълно отворен код. Повече за него научете тук.

Покажи още
Back to top button