Zoom

В миналото основните заплахи за ИТ сигурността в компаниите бяха вируси, проникнали чрез имейли и флашки, донесени от служители. Днес заплахите навлизат в корпоративните мрежи чрез бързи съобщения и облачни устройства.

Преминаването на много компании, респективно служители, към режим на отдалечена работа, скоростно полуляризира чатовете като част от бизнес комуникацията. Резултатът не закъсня – рязко се увеличи броят на атаките и заплахите, използващи бързи съобщения. Информацията е от Safetica, компания, специализирана в решения, които предотвратяват изтичането на данни (Data Loss Prevention – DLP).

Пандемията породи нови предизвикателства за ИТ сигурността

Тенденцията от началото на 2020 г. е красноречива:

• Обемът на данните, прехвърлени чрез бързи съобщения, се е удвоил по време на пандемията
• Първият локдаун през пролетта на 2020 г. е довел до 50% увеличение на информацията, предадена по интернет. А в края на 2020 г. и пролетта на 2021 г. интензивността на тази форма на онлайн комуникация е нараснала с още 30%
• Платформите за комуникация в екип, като Microsoft Teams и Zoom, както и месинджърите, преживяват голям бум

И всичко това има отрицателно въздействие върху сигурността на корпоративните данни.

Ситуацията допълнително се утежнява от честата практика служителите на дадена компания самостоятелно да избират платформа за ежедневната си работа, често без да уведомяват работодателя си за това („Bring Your Own Service“).

Как да контролирате данните си

В условията на отдалечена работа, използването на месинджъри за комуникация и предаване на данни е удобно и има явни предимства. Вместо да го забранявате, по-добре е да определите комуникационен канал, който считате за безопасен за компанията. А след това да регламентирате правилата за използването му и да обучите служителите си как да го правят.

Когато избирате фирмена платформа за комуникация е добре да се спрете на такава, в която данните ви не се съхраняват непрекъснато. Ако фирмената ви информация е достъпна отвсякъде, по всяко време и от всеки служител, то контрол над нея се губи и рискът от изтичането й се увеличава драстично. Затова е нужно да използвате инструменти за контрол на достъпа, например двуфакторно удостоверяване (2FA).

Не е препоръчително да активирате чат-платформи за „домашна“ употреба и социални медии върху корпоративни устройства. При всички случаи е необходимо да се конфигурира допълнителна защита на достъпа и да се използват подходящи инструменти за предотвратяване на изтичането на данни.

Почти всяка платформа за комуникация се е сблъсквала с проблеми със сигурността

От Facebook Messenger и WhatsApp до Microsoft Teams и Zoom, всички те са имала проблеми със сигурността. Струва си да използвате решения, които не само ефективно се справят с откритите проблеми, но и информират своите потребители за тях. Ако откриването на слабости се пази в тайна и елиминирането им отнема твърде много време, има вероятност грешката да бъде експлоатирана от трети страни.

Сигурно не го четете за първи път, но, ако работите със Zoom, ъпдейтнете приложението си поне до версия 5.1.3 сега – преди да сте прочели следващите редове.

Причината: компанията запуши уязвимост, която позволява отдалечено изпълнение на код в услугата си. Засегнати са най-вече работещите под Windows 7 и по-стари версии на операционната система. 

Компанията е успяла да елиминира грешката непосредствено след идентифицирането й. Въпреки това публикува видеоклип, който показва как експлоатацията може да бъде задействана чрез натискане на бутона „стартиране на видеото“ в Zoom Client. 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

End-to-end криптиране на разговорите през Zoom ще бъде достъпно за всички потребители на платформата. Първата му бета се очаква съвсем скоро – през юли 2020 г., след дълго изчакване на решение.

Забавянето дойде заради потребителите, които не плащат услугите на Zoom. Цитираната причина: притеснението на компанията, че криптирането и на безплатните разговори ще позволи и на престъпници да се възползват от сигурни разговори, без да оставят следи за това. И да затруднят органите на реда в последващи действия срещу тези престъпници.

Все пак, функционалността ще бъде достъпна за всички потребители и ще може да се активира и деактивира от администраторите на ниво акаунт или група.

От началото на пандемията COVID-19, Zoom понесе сериозни критики, че грижата за сигурността на разговорите не съответства на главоломно нарастващия брой потребители. Това доведе до спирането на разработката на нови функционалности, които не са свързани с подобрения в сигурността.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

След Zoom, идва ред на Microsoft Teams. Приложенията за видеоконферентни разговори са на почит този месец сред хакерите и специалистите по киберсигурност, предвид огромният ръст в употребата им.

Microsoft обяви, че е запушил уязвимост в Teams, която позволява кражбата на акаунти на потребители – и последващите от това негативни действия (достъп до копроративна и лична информация, подслушване, шпионаж и др.). Откриватели на уязвимостта са анализаторите от CyberArk.

Атаката се осъществява посредством зловреден GIF (анимиран файл, който често се използва в чатове за изразяване на емоция).

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 16 април 2020 в 10:46 ч.

Инструментът за видеоконферентни разговор Zoom продължава да ъпдейтва сигурността си, след като стана обект на критики (повече виж тук и тук).

Алекс Стамос една от „рок“ звездите в областта на кибер сигурността обяви, че ще работи със Zoom като външен консултант по сигурността. 

В блога си Zoom обяви, че е добавил изцяло ново меню Security за виртуалните домакини на срещите. С него те могат да заключат срещата с парола, да добавят виртуална чакалня, да ограничат споделянето на екрани, чатовете и смяната на имената и да воденето на бележки по споделеното съдържание от страна на участниците в срещата, менюто изглежда така:

Новостта е налична във версия 4.6.10 на приложението за Mac, Windows, iOS, Android и уеб клиента.

Паралелно, компанията обяви, че спира и визуализирането на ID на организираните срещи.
Това са изключително добри новини и промени, но потребителите на Zoom трябва да останат особено бдителни, понеже се появи информацията за продажба на потребителски имена и пароли свързани със Zoom платформата. Според статията на BleepingComputer, близо 530 000 акаунта се продават за 0.002$ всеки. Информацията включва:

• • • • • • e-mail адрес
          • парола
          • URL за лични срещи
          • HostKey

Информацията не е изтекла директно от Zoom, а е събрана чрез credential stuffing атака.

Екипът на freedomonline.bg съветва читатели си да сменят паролите на своите Zoom акаунти, както и на всякъде където ползват същата парола. Напомняме, че е добра практика да не се преизползват (рециклират) пароли, а да се генерират уникални за всяка услуга, както и да се използва многофакторна автентикация (MFA) където е възможно.

Напомняме и за съществуването на достоверната и проверена услуга Have I Been Pwned, където може да проверите дали някой от вашите акаунти (e-mail и парола) са вече компрометирани.

Повече за нововъведенията в сигурността на Zoom прочетете тук.

Последен ъпдейт на 4 май 2020 в 12:09 ч.

Ако още не сте чували за Zoom, не сте работили от вкъщи. Шегата настрана – решенията за видеоконферентни разговори се радват на пика на употребата си покрай пандемията с COVID-19.

Безспорно едно от най-популярните е Zoom. Решението привлече погледите на потребители (потреблението му е скочило 20 пъти от началото на пандемията), експерти по киберсигурност и… хакери. В предходна наша статия вече ви разказахме за част от проблемите, свързани със Zoom – бъг, който позволяваше краденето на Windows потребителски имена и пароли, фалшиви домейни, регистрирани с името на решението и т.н.

Ако все още не ви се е налагало да използвате Zoom и не сте запознати с предимствата му, препоръчваме да изгледате видеото:

Потокът от новини свързани, със Zoom е доста динамичен и труден за проследяване, поради тази причина екипът на FreedOmonline.bg ще ги подбира и синтезира, така че нашите читатели да са максимално информирани по темата.

Добрият

В отворено писмо до потребителите, изпълнителният директор Ерик Ян (Eric S. Yuan) се извинява за проблемите и подчертава мерките, които ще бъдат предприети така, че Zoom да подсили сигурността и поверителността при използването му. В следващите 90 дни разработването на нови функционалности ще бъде замразено и ще се работи единствено в посока отстраняване на бъгове и проблеми.

Тази стратегия дава резултати и за част от проблемите вече има решение. Например, за да противодействат на вълната от така наречените „Zoom бомби“ (zoombombing), Zoom ще включат изискването за парола при създаване на срещи, което до момента беше изключено по подразбиране. Препоръчваме ви да не чакате Zoom, а да започнете да слагате пароли на всяка среща още сега (вижте още съвети за по-сигурни Zoom срещи).

Ъпдейт: След набирането на популярност на zoombombing-a, американското Министерство на правосъдието излезе с официално съобщение, че това е действие, наказуемо със закон. То може да бъде третирано като едно или повече от следните нарушения: неоторизиран достъп до чужд компютър, използване на компютър за извършване на престъпление, измама, престъпление от омраза и др. 

Лошият

Публикация на The Washington Post разкрива, че голяма част от записите на срещи, направени със Zoom, са свободно достъпни в мрежата. Такива записи могат да съдържат чувствителна информация, като фирмени тайни и лични данни (Personally Identifiable Information – PII). Голяма част от потърпевшите потребители нямат идея как записите са станали публично достояние, но тяхното откриване онлайн е лесно благодарение на това, че имената на файловете, с които се запазват записите, следват предвидим модел.

Подозираме обаче, че и самите потребители носят част от вината, понеже при запис на среща възможностите за съхранение на записа са или върху сървъри на Zoom, или локално върху компютъра на организатора (презентатор), което не обяснява как в крайна сметка тези записи са били качени в YouTube и Vimeo.

Злият

„Американска компания с китайско сърце?“ Това е един от въпросите, повдигнати в разследването на канадската Citizen Lab. Освен сериозни проблеми и разминавания (от рекламираното/ документираното) в технологията за криптиране на връзката в Zoom, става ясно, че основната движеща сила в компанията са 700 служители, намиращи се в Китай. Част от трафика също е „отклоняван“ към сървъри, базирани се Китай.

Това може би е една от причините, Space-X (компания на Илон Мъск) да забрани на своите служители да използват Zoom. Министерството на Отбраната на Великобритания преди дни също го забрани, което се оказа неразбрано от кабинета на Борис Джонсън.

Как да защитите Zoom срещите си

Докато чакаме ъпдейтите на Zoom, ето няколко съвета от колегите ни от Sophos, с които да намалите шанса разговорите ви да се окажат подслушвани или публично достъпни:

1. Пачвайте приложението. Ако имате инсталиран Zoom на компютъра си, не забравяйте да ъпдейтвате приложението редовно. Както става ясно, предстои отстраняване на бъгове и проблеми
2. Използвайте опцията Waiting Room (чакалня). С нея срещата няма да започне, преди организаторът да даде старт. Така ще може да видите кой точно се е присъединил – или иска да се присъедини.
3. Контролирайте кой споделя екрана си. В противен случай рискувате да попаднете в кошмара на Кейси Нютон (Casey Newton) и Хънтър Уок (Hunter Walk). Двамата хостват популярна ежедневна публична среща WFH Happy Hour. Тя е била избомбена (виж zoombombing) от трол, случайно попаднал на нея. В последствие, заради липсата на контрол върху това кой споделя екрана си, всички участници е трябвало да се „насладят“ на „ужасни порнографски сцени“ (определението е на участник в злощастната среща).
4. Използвайте ID на срещи, генерирани на произволен принцип и защитени с пароли.

PS: Подозирате ли за съществуването на друго лесно и удобно решение за видеоконферентни разговори, което е с български корени? Представяме ви  Jitsi (Жици)! Проектът също така е с напълно отворен код. Повече за него научете тук.

Последен ъпдейт на 4 май 2020 в 11:57 ч.

Ъпдейт: след масовите публикации, Zoom публикува ъпдейт на приложението, с което запуши уязвимостта, позволяваща кражба на Windows потребителски имена и пароли. Тя е достъпна във версия 4.6.9 (19253.0401). Компанията пушва автоматично ъпдейтите към потребителите си, като включително ще видите и предложение за ъпдейт след проведен конферентен разговор. 

Прочетете и нашия ъпдейт по темата Zoom и съветника ни как да направите видеоконферентните си разговор по-сигурни тук. 

Услугата за видеоконферентни разговори Zoom стана (не)волна жертва на огромната си популярност по време на глобалната пандемия. Това привлече вниманието на специалистите по киберсигурност и хакерите.

Анализатори намериха уязвимости в услугата, позволяващи кражба на мейли, снимки и пароли на потребители, а хакери започнаха масови регистрации на фалшиви домейни, наподобяващи името на Zoom (към момента – поне 68).

Течове на снимки и имейли

Уязвимост във функцията Company Directory позволява кражбата на имейли и профилни снимки на потребителите на услугата.

За да улесни клиентите си, Zoom обединява в една група всички потребители, регистрирани с мейли с един и същи домейн. Множество потребители обаче са забелязали, че дори и да се регистрират с личните си мейли, Zoom автоматично ги е добавил в подобни групи, споделяйки личните им данни с хиляди други непознати – все едно работят в една и съща компания.

Vice са обърнали специално внимание на проблема в подробна статия.

Кражба на Windows пароли

Чрез Zoom могат да бъдат откраднати потребителски имена и пароли за Windows. Това може да доведе до допълнителен риск за потребителите на Microsoft Office 365, защото Windows акаунта ви може да бъде използвани за достъп до корпоративните (или лични) ресурси в облака.

Уязвимостта позволява да бъдат изпълнени програми чрез UNC линкове. Предупреждението дойде от Тавис Орманди (https://twitter.com/taviso), една  от най–уважаваните личности в областта киберсигурността.

За да разберете как точно се случва това, препоръчваме статията в BleepingComputer.

Уязвимостта беше запушена във версия 4.6.9 (19253.0401) на Zoom, достъпна в официалния сайт на компанията. препоръчваме да ъпдейтнете към най-новата налична версия максимално скоро.

Не напълно криптирана комуникация

Противно на рекламираното, Zoom срещите не са защитени с криптиране на връзката от край-до-край. Това е проблем, който засяга повече поверителността отколкото сигурността. Прочетете още тук, но мнението на професора по криптография и компютърни науки М.Грийн от Johns Hopkins University е достатъчно красноречиво:

„Не е много ясно какво точно е криптирано от край-до-край. Мисля, че не са особено честни. Би било хубаво, ако просто признаят,“ казва той. (Оригиналният цитат е “They’re a little bit fuzzy about what’s end-to-end encrypted. I think they’re doing this in a slightly dishonest way. It would be nice if they just came clean”)

Спам, фишинг, фалшиви домейни

Популярността на Zoom доведе и до експлоатирането на името на компанията за разпространение на спам и фишинг. От началото на пандемията до момента са регистрирани над 1 700 домейна, съдържащи думата Zoom, 25% от които са регистрирани през последната седмица.

Проучване на CheckPoint показва, 4% от тях са със зловредно съдържание – т.е. сайтове, които имитират услугата и се опитват да откраднат лични данни и пароли от потребителите или да ги прилъжат да свалят потенциално описани файлове – например, zoom-us-zoom_##########.exe (където ########## е поредица от цифри).

Съветът ни към вас е да не „кликате“ на линкове получени от непознати податели, както и да изписвате собственоръчно домейните на инструментите в адресната лента на уеб браузърите. Също така, да използвате google за търсене в мрежата, понеже в голяма част от случаите търсачката филтрира зловредни резултати свързани с търсенето, както и да сваляте и инсталирате програмите само от официалните сайтове на производителя (но имайте едно наум).

Уязвими приложения за macOS

Две нови уязвимости в macOS приложението на Zoom бяха разкрити от изследователя Патрик Лардъл (Patrick Wardle). Едната уязвимост позволява локална ескалация на привилегии, а другата поемане на контрола върху камерата и микрофона на жертвата. Повече може да прочетете в статията със „закачливото“ име – The ‘S’ in Zoom Stands for Security.