Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai

Įvedus karantiną Lietuvoje, tiek švietimo įstaigos, tiek didžioji dalis įmonių prisitaikė prie situacijos ir mokymąsi bei darbą ėmė organizuoti nuotoliniu būdu. Viena dažniausiai naudojamų vaizdo konferencijų platformų – „Zoom“. Masiškas naudojimasis ja atskleidė nemažai saugumo spragų asmeninių duomenų saugumui. Apie platformos privalumus, saugumą ir ką reikėtų žinoti vartotojams, norintiems apsaugoti asmeninius duomenis, kalbamės su Vilniaus Gedimino technikos universiteto (VGTU) Fundamentinių mokslų fakulteto Informacinių sistemų katedros lektoriumi Vitalijumi Gurčinu.

Pastebėta saugumo spragų dėl naudojimosi „Zoom“. Gal, Jūsų žiniomis, yra kitų alternatyvių platformų, kurios saugesnės ar patogesnės vartotojams?

„Zoom“ pelnė populiarumą dėl savo patogumo, lengvos prieigos vartotojams ir patikimos bendravimo priemonės, o tai buvo ypač reikšminga mokymo proceso dalyviams, kuriems per trumpą laiką reikėjo transformuotis iš fizinės mokymo erdvės į virtualią klasę. Paskelbus karantiną ir naudotojams apgulus vaizdo konferencijų platformas, „Zoom“ buvo viena iš platformų, kuri su padidėjusiu srautu susidorojo puikiai, ko negalima buvo pasakyti apie kitas platformas, kai vartotojai negalėjo pasigirti sklandžiu darbu.

Taip pat „Zoom“ populiarumas pritraukė ir piktavalių dėmesį, kurių tikslas – pasiekti kuo didesnį kiekį taikinių, kitaip dar vadinamu atakos paviršiumi, kuriuos pažeidus būtų gaunama daugiausia naudos. Šiuo atveju tai buvo nuotolinio mokymosi ir darbo vaizdo transliacijų platformose dirbantys ir besimokantys milijonai vartotojų. Piktavaliai netruko pademonstruoti „Zoom“ platformos netobulumus ir saugos spragas ne tik teoriškai, bet ir praktiškai. „Zoom“ sureagavo, privalomai įdiegė susitikimo slaptažodį ir laukimo kambarį, kas padeda užkirsti kelią tam tikroms paviešintoms atakoms. Įvykę saugos incidentai ir aktyvuotos saugą užtikrinančios funkcijos platformos patogumo iš esmės nepakeitė, bet sumažino jos patrauklumą vartotojams.

Kaip alternatyvą dėl paviešintų „Zoom“ spragų vartotojai renkasi „Microsoft Teams“ platformą, dėl dažnai jau egzistuojančios „Office 365“ integracijos institucijose, kur jau yra įgyvendintas vartotojų tapatybės ir prieigos kontrolės valdymas. Nuotoliniam mokymuisi taip pat populiaru, ypač mokyklose, „Google Hangouts (Meet)“, kuri kartais vadinama pilnaverte „Zoom“ alternatyva patogumo prasme. Taip pat jaunuomenei patinka ir „Discord“. Rečiau yra naudojama „Skype“, kuri turi apribojimų dėl skirtingų įrenginių. Technologijų sektorius naudoja „Webex“, „GoToMeeting“. Vertinant iš kibernetinės saugos perspektyvos, visos paminėtos platformos pastaruoju metu susiduria su saugos problemomis.

Kokių konkrečių saugumo spragų įžvelgtumėte?

Kalbant apie verslą, akivaizdu, kokiais tikslais gali būti naudinga dalyvauti klausytojo role verslo virtualiame susitikime ar tiesiog atsisiųsti įrašytą verslo susitikimą. Tačiau klausimas, kokius vertingus duomenis galima gauti prisijungus prie pamokos, paskaitos ar užvaldžius mokymui skirtą paskyrą, yra aktualesnis. Tokios galimybės leidžia, pavyzdžiui, skleisti tam tikrą ideologinę medžiagą, demonstruoti nepriimtiną turinį. Dėl technologinių aspektų ir nedidelės švietimo įstaigų darbuotojų patirties, kai kurios tokios atakos buvo identifikuojamos kaip nepaklusnių mokinių ar studentų pasirodymas. Tokio tipo išpuoliai buvo pavadinti „Zoombombing“, kai piktadariai, generuodami „Zoom“ susitikimų ID, jungdavosi prie atsitiktinių susitikimų ir vykdė savo kenkėjišką veiklą. Apsisaugoti nuo tokių atakų buvo galima susitikimams priskiriant slaptažodį, be kurio piktadarys, sugeneravęs susitikimo ID, nebūtų galėjęs prisijungti.

Vaizdo transliacijų platformų saugumą galima būtų išskirti į dvi dalis: kokias galimybes valdyti saugą turi patys vartotojai ir technologinė platformos sauga. Dalis karantino metu paviešintų „Zoom“ saugos problemų buvo susijusios su vartotojų ribotu žinojimu, kaip teisingai naudotis platforma. Kita dalis „Zoom“ saugos problemų yra technologinės, kurių vartotojai kontroliuoti negali ir tai yra iki šiol nurodoma kaip pagrindinės priežastys, dėl kurių reikia įvertinti rizikas ir „Zoom“ naudoti apdairiai.

Vartotojas ir susitikimų iniciatorius iš dalies saugumą gali kontroliuoti įrankyje ar platformoje esančiomis funkcinėmis galimybėmis. Privatumą užtikrinti virtualioje aplinkoje yra sudėtingiau, tai parodė ir „Zoom“ duomenų dalinimasis su „Facebook“, nors „Zoom“ ir deklaruoja, jog rūpinasi vartotojų privatumu renkant, naudojant ir atskleidžiant tam tikrą informaciją. Vis dėlto viešinti ir dalintis privačiais duomenimis nevertėtų, jei nėra tiksliai žinoma, kaip paslaugos yra valdomos.

Ką vartotojai turi žinoti dėl duomenų saugumo, naudojantis „Zoom“?

Svarbiausia taisyklė – nedemonstruoti ir nekalbėti to, ko niekada nenorėtumėte, kad pamatytų ar išgirstų svetimi. Jei yra poreikis dalintis svarbiais dokumentais ar privačia informacija, tai galima atlikti ir kitais kanalais, o susipažinus su informacija, esančia dokumentuose, aptarti konferencinių pokalbių metu. Dalintis ekrane matomu vaizdu reikėtų tik identifikavus visus dalyvius, nes apsaugoti informaciją nuo nutekinimo, dalyvaujant online susitikimuose, neįmanoma. Ekrane matomą vaizdą galima fiksuoti telefonu ar ekraną fiksuojančia programine įranga. Atsižvelgiant į tai, kad „Zoom“ nešifruoja duomenų tarp galinių įrenginių, o šifruoja tik komunikacijos kanalą, net jei ir visi dalyviai yra žinomi, sunku nuspėti, ką iš transliuojamo susitikimo gali kaupti ir pats „Zoom“.

Vartotojai ir susitikimų šeimininkai turi valdyti savo duomenis, dalintis tik aktualiu langu, o ne visu ekranu. Siekiant išvengti netikėtų situacijų, kai vaizdo transliacijos metu kameros matymo lauke gali atsirasti objektų, patenkančių po privatumo apibrėžimu ar trukdančių susitikimui, verta naudoti fono paveikslėlį ar fono suliejimo funkciją, kad matytųsi tik susitikimo dalyvis. Kaip papildomas saugumo priemones „Zoom“ leidžia taikyti vandens ženklą ekranui, kuriuo yra dalijamasi. Taip pat egzistuoja galimybė taikyti vandens ženklą-parašą ir garsui.

Į ką turėtų atkreipti dėmesį vartotojai, norėdami apsaugoti asmeninius duomenis?

Kiekvieną susitikimą patarčiau apsaugoti slaptažodžiu. Taip pat naudoti laukimo kambarį, valdyti priimamus į susitikimą dalyvius. Dar geriau – naudoti skirtingą ID ir slaptažodį kiekvienam susitikimui. Nors „Zoom“ suteikia galimybę į susitikimo nuorodą įterpti slaptažodį, taip padarant prisijungimą patogesniu, bet sumažinant saugą dėl sukčiavimo atakų. Piktavaliai jau išmoko po susitikimo nuoroda slėpti nuorodą į kenksmingą puslapį. Dėl šių priežasčių galima susitikimo nuorodą ir slaptažodį įtraukti atskirai vienoje žinutėje, siunčiant pakvietimą elektroniniu paštu.

Susirinkus visiems dalyviams, galima užrakinti susitikimą, jog nauji dalyviai prisijungti neturėtų galimybių. Esant poreikiui, tam tikrus dalyvius laikinai galima patalpinti į laukimo kambarį. Jeigu nėra poreikio arba kol jo nėra, išjungti galimybę susitikimo dalyviams dalintis ekranu. Be to, riboti failų tipus, kurie būtų leistini dalintis susitikimo metu. Žinoma, reikėtų nesidalinti susitikimų ir konferencijų nuorodomis viešai prieinamuose resursuose ir socialiniuose tinkluose. Paieškojus ir šiandien internete galite rasti atvirai prieinamų „Zoom“ susitikimo nuorodų su slaptažodžiais, susitikimų kalendoriumi.

Kitas dalykas – dalyviams, esantiems iš tos pačios ugdymo institucijos ar įstaigos, leisti prisijungti tik iš nurodyto domeno pagal elektroninį paštą. O jei būtų daromas susitikimo vaizdo įrašas, reikėtų iš anksto apgalvoti, kur jis bus saugomas. Taip pat reikėtų nepamiršti dviejų faktorių autentifikacijos, ją būtina įgalinti, norint apsaugoti savo paskyrą.

Pranešimą paskelbė: Agnė Augustinaitė, Vilniaus Gedimino technikos universitetas
Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai