Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai

Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai
GEG 05
2020-05-05 08:27 2020

Įvedus karantiną Lietuvoje, tiek švietimo įstaigos, tiek didžioji dalis įmonių prisitaikė prie situacijos ir mokymąsi bei darbą ėmė organizuoti nuotoliniu būdu. Viena dažniausiai naudojamų vaizdo konferencijų platformų – „Zoom“. Masiškas naudojimasis ja atskleidė nemažai saugumo spragų asmeninių duomenų saugumui. Apie platformos privalumus, saugumą ir ką reikėtų žinoti vartotojams, norintiems apsaugoti asmeninius duomenis, kalbamės su Vilniaus Gedimino technikos universiteto (VGTU) Fundamentinių mokslų fakulteto Informacinių sistemų katedros lektoriumi Vitalijumi Gurčinu.

Pastebėta saugumo spragų dėl naudojimosi „Zoom“. Gal, Jūsų žiniomis, yra kitų alternatyvių platformų, kurios saugesnės ar patogesnės vartotojams?

„Zoom“ pelnė populiarumą dėl savo patogumo, lengvos prieigos vartotojams ir patikimos bendravimo priemonės, o tai buvo ypač reikšminga mokymo proceso dalyviams, kuriems per trumpą laiką reikėjo transformuotis iš fizinės mokymo erdvės į virtualią klasę. Paskelbus karantiną ir naudotojams apgulus vaizdo konferencijų platformas, „Zoom“ buvo viena iš platformų, kuri su padidėjusiu srautu susidorojo puikiai, ko negalima buvo pasakyti apie kitas platformas, kai vartotojai negalėjo pasigirti sklandžiu darbu.

Taip pat „Zoom“ populiarumas pritraukė ir piktavalių dėmesį, kurių tikslas – pasiekti kuo didesnį kiekį taikinių, kitaip dar vadinamu atakos paviršiumi, kuriuos pažeidus būtų gaunama daugiausia naudos. Šiuo atveju tai buvo nuotolinio mokymosi ir darbo vaizdo transliacijų platformose dirbantys ir besimokantys milijonai vartotojų. Piktavaliai netruko pademonstruoti „Zoom“ platformos netobulumus ir saugos spragas ne tik teoriškai, bet ir praktiškai. „Zoom“ sureagavo, privalomai įdiegė susitikimo slaptažodį ir laukimo kambarį, kas padeda užkirsti kelią tam tikroms paviešintoms atakoms. Įvykę saugos incidentai ir aktyvuotos saugą užtikrinančios funkcijos platformos patogumo iš esmės nepakeitė, bet sumažino jos patrauklumą vartotojams.

Kaip alternatyvą dėl paviešintų „Zoom“ spragų vartotojai renkasi „Microsoft Teams“ platformą, dėl dažnai jau egzistuojančios „Office 365“ integracijos institucijose, kur jau yra įgyvendintas vartotojų tapatybės ir prieigos kontrolės valdymas. Nuotoliniam mokymuisi taip pat populiaru, ypač mokyklose, „Google Hangouts (Meet)“, kuri kartais vadinama pilnaverte „Zoom“ alternatyva patogumo prasme. Taip pat jaunuomenei patinka ir „Discord“. Rečiau yra naudojama „Skype“, kuri turi apribojimų dėl skirtingų įrenginių. Technologijų sektorius naudoja „Webex“, „GoToMeeting“. Vertinant iš kibernetinės saugos perspektyvos, visos paminėtos platformos pastaruoju metu susiduria su saugos problemomis.

Kokių konkrečių saugumo spragų įžvelgtumėte?

Kalbant apie verslą, akivaizdu, kokiais tikslais gali būti naudinga dalyvauti klausytojo role verslo virtualiame susitikime ar tiesiog atsisiųsti įrašytą verslo susitikimą. Tačiau klausimas, kokius vertingus duomenis galima gauti prisijungus prie pamokos, paskaitos ar užvaldžius mokymui skirtą paskyrą, yra aktualesnis. Tokios galimybės leidžia, pavyzdžiui, skleisti tam tikrą ideologinę medžiagą, demonstruoti nepriimtiną turinį. Dėl technologinių aspektų ir nedidelės švietimo įstaigų darbuotojų patirties, kai kurios tokios atakos buvo identifikuojamos kaip nepaklusnių mokinių ar studentų pasirodymas. Tokio tipo išpuoliai buvo pavadinti „Zoombombing“, kai piktadariai, generuodami „Zoom“ susitikimų ID, jungdavosi prie atsitiktinių susitikimų ir vykdė savo kenkėjišką veiklą. Apsisaugoti nuo tokių atakų buvo galima susitikimams priskiriant slaptažodį, be kurio piktadarys, sugeneravęs susitikimo ID, nebūtų galėjęs prisijungti.

Vaizdo transliacijų platformų saugumą galima būtų išskirti į dvi dalis: kokias galimybes valdyti saugą turi patys vartotojai ir technologinė platformos sauga. Dalis karantino metu paviešintų „Zoom“ saugos problemų buvo susijusios su vartotojų ribotu žinojimu, kaip teisingai naudotis platforma. Kita dalis „Zoom“ saugos problemų yra technologinės, kurių vartotojai kontroliuoti negali ir tai yra iki šiol nurodoma kaip pagrindinės priežastys, dėl kurių reikia įvertinti rizikas ir „Zoom“ naudoti apdairiai.

Vartotojas ir susitikimų iniciatorius iš dalies saugumą gali kontroliuoti įrankyje ar platformoje esančiomis funkcinėmis galimybėmis. Privatumą užtikrinti virtualioje aplinkoje yra sudėtingiau, tai parodė ir „Zoom“ duomenų dalinimasis su „Facebook“, nors „Zoom“ ir deklaruoja, jog rūpinasi vartotojų privatumu renkant, naudojant ir atskleidžiant tam tikrą informaciją. Vis dėlto viešinti ir dalintis privačiais duomenimis nevertėtų, jei nėra tiksliai žinoma, kaip paslaugos yra valdomos.

Ką vartotojai turi žinoti dėl duomenų saugumo, naudojantis „Zoom“?

Svarbiausia taisyklė – nedemonstruoti ir nekalbėti to, ko niekada nenorėtumėte, kad pamatytų ar išgirstų svetimi. Jei yra poreikis dalintis svarbiais dokumentais ar privačia informacija, tai galima atlikti ir kitais kanalais, o susipažinus su informacija, esančia dokumentuose, aptarti konferencinių pokalbių metu. Dalintis ekrane matomu vaizdu reikėtų tik identifikavus visus dalyvius, nes apsaugoti informaciją nuo nutekinimo, dalyvaujant online susitikimuose, neįmanoma. Ekrane matomą vaizdą galima fiksuoti telefonu ar ekraną fiksuojančia programine įranga. Atsižvelgiant į tai, kad „Zoom“ nešifruoja duomenų tarp galinių įrenginių, o šifruoja tik komunikacijos kanalą, net jei ir visi dalyviai yra žinomi, sunku nuspėti, ką iš transliuojamo susitikimo gali kaupti ir pats „Zoom“.

Vartotojai ir susitikimų šeimininkai turi valdyti savo duomenis, dalintis tik aktualiu langu, o ne visu ekranu. Siekiant išvengti netikėtų situacijų, kai vaizdo transliacijos metu kameros matymo lauke gali atsirasti objektų, patenkančių po privatumo apibrėžimu ar trukdančių susitikimui, verta naudoti fono paveikslėlį ar fono suliejimo funkciją, kad matytųsi tik susitikimo dalyvis. Kaip papildomas saugumo priemones „Zoom“ leidžia taikyti vandens ženklą ekranui, kuriuo yra dalijamasi. Taip pat egzistuoja galimybė taikyti vandens ženklą-parašą ir garsui.

Į ką turėtų atkreipti dėmesį vartotojai, norėdami apsaugoti asmeninius duomenis?

Kiekvieną susitikimą patarčiau apsaugoti slaptažodžiu. Taip pat naudoti laukimo kambarį, valdyti priimamus į susitikimą dalyvius. Dar geriau – naudoti skirtingą ID ir slaptažodį kiekvienam susitikimui. Nors „Zoom“ suteikia galimybę į susitikimo nuorodą įterpti slaptažodį, taip padarant prisijungimą patogesniu, bet sumažinant saugą dėl sukčiavimo atakų. Piktavaliai jau išmoko po susitikimo nuoroda slėpti nuorodą į kenksmingą puslapį. Dėl šių priežasčių galima susitikimo nuorodą ir slaptažodį įtraukti atskirai vienoje žinutėje, siunčiant pakvietimą elektroniniu paštu.

Susirinkus visiems dalyviams, galima užrakinti susitikimą, jog nauji dalyviai prisijungti neturėtų galimybių. Esant poreikiui, tam tikrus dalyvius laikinai galima patalpinti į laukimo kambarį. Jeigu nėra poreikio arba kol jo nėra, išjungti galimybę susitikimo dalyviams dalintis ekranu. Be to, riboti failų tipus, kurie būtų leistini dalintis susitikimo metu. Žinoma, reikėtų nesidalinti susitikimų ir konferencijų nuorodomis viešai prieinamuose resursuose ir socialiniuose tinkluose. Paieškojus ir šiandien internete galite rasti atvirai prieinamų „Zoom“ susitikimo nuorodų su slaptažodžiais, susitikimų kalendoriumi.

Kitas dalykas – dalyviams, esantiems iš tos pačios ugdymo institucijos ar įstaigos, leisti prisijungti tik iš nurodyto domeno pagal elektroninį paštą. O jei būtų daromas susitikimo vaizdo įrašas, reikėtų iš anksto apgalvoti, kur jis bus saugomas. Taip pat reikėtų nepamiršti dviejų faktorių autentifikacijos, ją būtina įgalinti, norint apsaugoti savo paskyrą.

VGTU inf. ir nuotrauka 

Panašūs straipsniai

Vaikas susižeidė žaisdamas. Kodėl tėvus aplanko vaiko teisių apsaugos specialistas?

Vaikas susižeidė žaisdamas. Kodėl tėvus aplanko vaiko teisių apsaugos specialistas?

Vaiko teisių gynėjai domisi ne tik tais atvejais, kai vaikas neprižiūrimas arba skriaudžiamas. Specialisto atvykimas į darnią,  rūpestingą šeimą, neretai sukelia nusistebėjimą, kartais ir pasipiktinimą. „Pir...

Jonavietis perspėja: nuosavame kieme nufilmuotas šmirinėjantis potencialus vagis

Jonavietis perspėja: nuosavame kieme nufilmuotas šmirinėjantis potencialus vagis 6

„Vaizdo stebėjimo kamera užfiksavo nepažystamą asmenį šmirinėjantį po mano privatų, tvora aptvertą, kiemą. "Nekviesto svečio" vizitas truko apie minute. Baugu, nes greičiausiai tai buvo žvalgyba rezgant būsimą v...

Vis daugiau darželių ir mokyklų registruojasi dalyvauti konkurse sveiko gyvenimo įpročiams ugdyti

Vis daugiau darželių ir mokyklų registruojasi dalyvauti konkurse sveiko gyvenimo įpročiams ugdyti

Lapkričio viduryje startavęs edukacinis-kūrybinis konkursas „Sveikai gyventi – gera!“, padėsiantis vaikams kūrybiškai formuoti sveiko gyvenimo įpročius, jau sutraukė gausų būrį dalyvių. Norą dalyvauti konkur...

Prasideda švietimo inovacijų paroda „Mokykla 2020“, ji vyks nuotoliniu būdu

Prasideda švietimo inovacijų paroda „Mokykla 2020“, ji vyks nuotoliniu būdu

Lapkričio 20–21 dienomis vyks didžiausias švietimo bendruomenės metų renginys – svarbių švietimo diskusijų ir inovatyvių mokymo priemonių paroda „Mokykla 2020“. 10-oji paroda dėl epidemiologinės situacijos š...

2020–2021 mokslo metai: kas naujo?

2020–2021 mokslo metai: kas naujo?

Nauji mokslo metai atneš reikšmingų permainų bendrajam ugdymui: baigiamas rengti ir švietimo bendruomenei pristatomas atnaujintas bendrojo ugdymo programų paketas. Planuojama, kad jau kitąmet jas galės išban...

Tyrimas atskleidė, kokios priemonės pasiteisino, o kokios - ne per pirmąją pandemijos bangą

Tyrimas atskleidė, kokios priemonės pasiteisino, o kokios - ne per pirmąją pandemijos bangą

Mykolo Romerio universiteto (MRU) teisės, viešosios politikos ir ekonomikos tyrėjai – ekspertai atliko išsamų per pirmąją pandemijos bangą pavasarį priimtų valstybės sprendimų teisinių, viešo valdymo ir fina...

Informacija apie Kauno apylinkės teismo darbo organizavimą

Informacija apie Kauno apylinkės teismo darbo organizavimą

Atsižvelgiant į Lietuvos Respublikos Vyriausybės 2020 m. spalio 26 d. nutarimą „Dėl karantino kai kurių savivaldybių teritorijose paskelbimo“ pakeitimo, Teisėjų tarybos 2020 m. spalio 23 d. raštu dėl teismų ...

Išaugo gyventojų pasitikėjimas vartotojų teisių apsauga

Išaugo gyventojų pasitikėjimas vartotojų teisių apsauga

Visuomenės nuomonių tyrimas atskleidė, jog gyventojai ir verslininkai vartotojų teisių apsaugą Lietuvoje vertina vis geriau – teigiamai vertina 51 proc. gyventojų ir 62 proc. verslininkų. Toks visuomenės ver...

Tyrimas atskleidė pirkėjų požiūrį į ekologiškus produktus

Tyrimas atskleidė pirkėjų požiūrį į ekologiškus produktus

Spalio pabaigoje atliktas šalies gyventojų ekologiškų produktų pirkimo įpročių tyrimas atskleidė, kad didžioji dalis respondentų pasitiki ekologiškų produktų ženklais, o daugiausia dėmesio ekologiškiems prod...

Europoje atliktas tyrimas atskleidė visuomenės požiūrį į 5G

Europoje atliktas tyrimas atskleidė visuomenės požiūrį į 5G

Dauguma Europos gyventojų palankiai vertina 5G technologijos atėjimą ir tikisi ją įgalinti savo veiklose. Į 5G pozityviau žiūri jaunesni europiečiai, vyresni žmonės šios technologijos atžvilgiu yra daugiau n...

Psichologė apie nuotolines Kalėdas: kaip peržengti ekranus?

Psichologė apie nuotolines Kalėdas: kaip peržengti ekranus?

Pandemijos mastams nemažėjant ir karantinui griežtėjant, tapo aišku, kad Kalėdas šiemet švęsime nelankydami savo artimųjų. Psichologai siūlo išeitį, kad nesijaustume vieniši – pasitelkti technologijas ir sur...

„Jonavos vandenys“ išvalė vandens gręžinius, tęs dezinfekciją

„Jonavos vandenys“ išvalė vandens gręžinius, tęs dezinfekciją 1

Bendrovė „Jonavos vandenys“ išvalė ir dezinfekavo aštuonis miesto vandens gręžinius, po to kai įranga vandens tiekimo sistemoje užfiksavo padidėjusį indikatorinį rodiklį – padidėjusį kolonijas sudarančių vie...

Kodėl motociklininkams svarbu mokėti manevruoti ne tik greitai, bet ir lėtai?

Kodėl motociklininkams svarbu mokėti manevruoti ne tik greitai, bet ir lėtai?

Geri manevravimo įgūdžiai yra neatsiejami nuo saugios kelionės motociklu. Būtent dėl to „Regitroje“ praktikos egzaminų metu būsimi motociklininkai turi pademonstruoti, kaip jie geba atlikti lėtuosius ir grei...

Apklausoje dalyvavę jonaviečiai atskleidė, kad specialistų rekomendacijų ilgajam savaitgaliui laikysis ne visi

Apklausoje dalyvavę jonaviečiai atskleidė, kad specialistų rekomendacijų ilgajam savaitgaliui laikysis ne visi

Šiemet Vėlinių ir Visų Šventųjų savaitgalis bus ilgesnis nei anksčiau - dar 2019 metais priimtos Darbo kodekso pataisos, kuriomis nutarta nuo 2020 m. lapkričio 2-ąją – Mirusiųjų atminimo (Vėlinių) dieną, įtr...

Rugsėjį – padidintas policijos dėmesys vaikų saugumui

Rugsėjį – padidintas policijos dėmesys vaikų saugumui

Prasidėjus naujiems mokslo metams, į gatves ir kelius tradiciškai sugrįžta jaunieji eismo dalyviai. Po vasaros atostogų darželinukai, moksleiviai, studentai vyks į mokymo įstaigas autobusais ir automobiliais...

„Vyras turi uždirbti daugiau už žmoną“ – Alytuje, Jonavoje ir Ukmergėje, kitaip nei visoje Lietuvoje, toks požiūris nepopuliarus

„Vyras turi uždirbti daugiau už žmoną“ – Alytuje, Jonavoje ir Ukmergėje, kitaip nei visoje Lietuvoje, toks požiūris nepopuliarus

Regionų gyventojai smurtą patiriančias moteris kaltina dažniau negu likusi visuomenė, tačiau, klausiami apie lyčių stereotipus, juos vertina kritiškiau. Tai paaiškėjo atlikus gyventojų nuomonės apklausas „...