Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai

Vaizdo konferencijų saugumo spragos: specialistas atskleidė, kokias gudrybes naudoja piktavaliai
GEG 05
2020-05-05 09:27 2020

Įvedus karantiną Lietuvoje, tiek švietimo įstaigos, tiek didžioji dalis įmonių prisitaikė prie situacijos ir mokymąsi bei darbą ėmė organizuoti nuotoliniu būdu. Viena dažniausiai naudojamų vaizdo konferencijų platformų – „Zoom“. Masiškas naudojimasis ja atskleidė nemažai saugumo spragų asmeninių duomenų saugumui. Apie platformos privalumus, saugumą ir ką reikėtų žinoti vartotojams, norintiems apsaugoti asmeninius duomenis, kalbamės su Vilniaus Gedimino technikos universiteto (VGTU) Fundamentinių mokslų fakulteto Informacinių sistemų katedros lektoriumi Vitalijumi Gurčinu.

Pastebėta saugumo spragų dėl naudojimosi „Zoom“. Gal, Jūsų žiniomis, yra kitų alternatyvių platformų, kurios saugesnės ar patogesnės vartotojams?

„Zoom“ pelnė populiarumą dėl savo patogumo, lengvos prieigos vartotojams ir patikimos bendravimo priemonės, o tai buvo ypač reikšminga mokymo proceso dalyviams, kuriems per trumpą laiką reikėjo transformuotis iš fizinės mokymo erdvės į virtualią klasę. Paskelbus karantiną ir naudotojams apgulus vaizdo konferencijų platformas, „Zoom“ buvo viena iš platformų, kuri su padidėjusiu srautu susidorojo puikiai, ko negalima buvo pasakyti apie kitas platformas, kai vartotojai negalėjo pasigirti sklandžiu darbu.

Taip pat „Zoom“ populiarumas pritraukė ir piktavalių dėmesį, kurių tikslas – pasiekti kuo didesnį kiekį taikinių, kitaip dar vadinamu atakos paviršiumi, kuriuos pažeidus būtų gaunama daugiausia naudos. Šiuo atveju tai buvo nuotolinio mokymosi ir darbo vaizdo transliacijų platformose dirbantys ir besimokantys milijonai vartotojų. Piktavaliai netruko pademonstruoti „Zoom“ platformos netobulumus ir saugos spragas ne tik teoriškai, bet ir praktiškai. „Zoom“ sureagavo, privalomai įdiegė susitikimo slaptažodį ir laukimo kambarį, kas padeda užkirsti kelią tam tikroms paviešintoms atakoms. Įvykę saugos incidentai ir aktyvuotos saugą užtikrinančios funkcijos platformos patogumo iš esmės nepakeitė, bet sumažino jos patrauklumą vartotojams.

Kaip alternatyvą dėl paviešintų „Zoom“ spragų vartotojai renkasi „Microsoft Teams“ platformą, dėl dažnai jau egzistuojančios „Office 365“ integracijos institucijose, kur jau yra įgyvendintas vartotojų tapatybės ir prieigos kontrolės valdymas. Nuotoliniam mokymuisi taip pat populiaru, ypač mokyklose, „Google Hangouts (Meet)“, kuri kartais vadinama pilnaverte „Zoom“ alternatyva patogumo prasme. Taip pat jaunuomenei patinka ir „Discord“. Rečiau yra naudojama „Skype“, kuri turi apribojimų dėl skirtingų įrenginių. Technologijų sektorius naudoja „Webex“, „GoToMeeting“. Vertinant iš kibernetinės saugos perspektyvos, visos paminėtos platformos pastaruoju metu susiduria su saugos problemomis.

Kokių konkrečių saugumo spragų įžvelgtumėte?

Kalbant apie verslą, akivaizdu, kokiais tikslais gali būti naudinga dalyvauti klausytojo role verslo virtualiame susitikime ar tiesiog atsisiųsti įrašytą verslo susitikimą. Tačiau klausimas, kokius vertingus duomenis galima gauti prisijungus prie pamokos, paskaitos ar užvaldžius mokymui skirtą paskyrą, yra aktualesnis. Tokios galimybės leidžia, pavyzdžiui, skleisti tam tikrą ideologinę medžiagą, demonstruoti nepriimtiną turinį. Dėl technologinių aspektų ir nedidelės švietimo įstaigų darbuotojų patirties, kai kurios tokios atakos buvo identifikuojamos kaip nepaklusnių mokinių ar studentų pasirodymas. Tokio tipo išpuoliai buvo pavadinti „Zoombombing“, kai piktadariai, generuodami „Zoom“ susitikimų ID, jungdavosi prie atsitiktinių susitikimų ir vykdė savo kenkėjišką veiklą. Apsisaugoti nuo tokių atakų buvo galima susitikimams priskiriant slaptažodį, be kurio piktadarys, sugeneravęs susitikimo ID, nebūtų galėjęs prisijungti.

Vaizdo transliacijų platformų saugumą galima būtų išskirti į dvi dalis: kokias galimybes valdyti saugą turi patys vartotojai ir technologinė platformos sauga. Dalis karantino metu paviešintų „Zoom“ saugos problemų buvo susijusios su vartotojų ribotu žinojimu, kaip teisingai naudotis platforma. Kita dalis „Zoom“ saugos problemų yra technologinės, kurių vartotojai kontroliuoti negali ir tai yra iki šiol nurodoma kaip pagrindinės priežastys, dėl kurių reikia įvertinti rizikas ir „Zoom“ naudoti apdairiai.

Vartotojas ir susitikimų iniciatorius iš dalies saugumą gali kontroliuoti įrankyje ar platformoje esančiomis funkcinėmis galimybėmis. Privatumą užtikrinti virtualioje aplinkoje yra sudėtingiau, tai parodė ir „Zoom“ duomenų dalinimasis su „Facebook“, nors „Zoom“ ir deklaruoja, jog rūpinasi vartotojų privatumu renkant, naudojant ir atskleidžiant tam tikrą informaciją. Vis dėlto viešinti ir dalintis privačiais duomenimis nevertėtų, jei nėra tiksliai žinoma, kaip paslaugos yra valdomos.

Ką vartotojai turi žinoti dėl duomenų saugumo, naudojantis „Zoom“?

Svarbiausia taisyklė – nedemonstruoti ir nekalbėti to, ko niekada nenorėtumėte, kad pamatytų ar išgirstų svetimi. Jei yra poreikis dalintis svarbiais dokumentais ar privačia informacija, tai galima atlikti ir kitais kanalais, o susipažinus su informacija, esančia dokumentuose, aptarti konferencinių pokalbių metu. Dalintis ekrane matomu vaizdu reikėtų tik identifikavus visus dalyvius, nes apsaugoti informaciją nuo nutekinimo, dalyvaujant online susitikimuose, neįmanoma. Ekrane matomą vaizdą galima fiksuoti telefonu ar ekraną fiksuojančia programine įranga. Atsižvelgiant į tai, kad „Zoom“ nešifruoja duomenų tarp galinių įrenginių, o šifruoja tik komunikacijos kanalą, net jei ir visi dalyviai yra žinomi, sunku nuspėti, ką iš transliuojamo susitikimo gali kaupti ir pats „Zoom“.

Vartotojai ir susitikimų šeimininkai turi valdyti savo duomenis, dalintis tik aktualiu langu, o ne visu ekranu. Siekiant išvengti netikėtų situacijų, kai vaizdo transliacijos metu kameros matymo lauke gali atsirasti objektų, patenkančių po privatumo apibrėžimu ar trukdančių susitikimui, verta naudoti fono paveikslėlį ar fono suliejimo funkciją, kad matytųsi tik susitikimo dalyvis. Kaip papildomas saugumo priemones „Zoom“ leidžia taikyti vandens ženklą ekranui, kuriuo yra dalijamasi. Taip pat egzistuoja galimybė taikyti vandens ženklą-parašą ir garsui.

Į ką turėtų atkreipti dėmesį vartotojai, norėdami apsaugoti asmeninius duomenis?

Kiekvieną susitikimą patarčiau apsaugoti slaptažodžiu. Taip pat naudoti laukimo kambarį, valdyti priimamus į susitikimą dalyvius. Dar geriau – naudoti skirtingą ID ir slaptažodį kiekvienam susitikimui. Nors „Zoom“ suteikia galimybę į susitikimo nuorodą įterpti slaptažodį, taip padarant prisijungimą patogesniu, bet sumažinant saugą dėl sukčiavimo atakų. Piktavaliai jau išmoko po susitikimo nuoroda slėpti nuorodą į kenksmingą puslapį. Dėl šių priežasčių galima susitikimo nuorodą ir slaptažodį įtraukti atskirai vienoje žinutėje, siunčiant pakvietimą elektroniniu paštu.

Susirinkus visiems dalyviams, galima užrakinti susitikimą, jog nauji dalyviai prisijungti neturėtų galimybių. Esant poreikiui, tam tikrus dalyvius laikinai galima patalpinti į laukimo kambarį. Jeigu nėra poreikio arba kol jo nėra, išjungti galimybę susitikimo dalyviams dalintis ekranu. Be to, riboti failų tipus, kurie būtų leistini dalintis susitikimo metu. Žinoma, reikėtų nesidalinti susitikimų ir konferencijų nuorodomis viešai prieinamuose resursuose ir socialiniuose tinkluose. Paieškojus ir šiandien internete galite rasti atvirai prieinamų „Zoom“ susitikimo nuorodų su slaptažodžiais, susitikimų kalendoriumi.

Kitas dalykas – dalyviams, esantiems iš tos pačios ugdymo institucijos ar įstaigos, leisti prisijungti tik iš nurodyto domeno pagal elektroninį paštą. O jei būtų daromas susitikimo vaizdo įrašas, reikėtų iš anksto apgalvoti, kur jis bus saugomas. Taip pat reikėtų nepamiršti dviejų faktorių autentifikacijos, ją būtina įgalinti, norint apsaugoti savo paskyrą.

VGTU inf. ir nuotrauka 

Panašūs straipsniai

Mistinės vaizdo kameros Ruklos seniūnijoje: slaptas sekimas ar politinis žaidimas?

Mistinės vaizdo kameros Ruklos seniūnijoje: slaptas sekimas ar politinis žaidimas? 3

Balandžio 10 d. skelbėme, kad atnaujinant Ruklos seniūnijos signalizaciją, saugos tarnyba nedideliuose judesio davikliuose aptiko slaptas vaizdo kameras, kurios buvo įdiegtos dvejose vietose. (Plačiau apie t...

Nuotolinio mokymo pamokos: mokosi ir vaikai, ir mokytojai

Nuotolinio mokymo pamokos: mokosi ir vaikai, ir mokytojai

„Mokytojas yra toks asmuo, kuriam technologijos leidžia susikalbėti su šiuolaikiniais moksleiviais. Turime išmokti tą kalbą, jei norime dirbti“, –  įsitikinusi Vilniaus Salomėjos Nėries gimnazijos lietuvių k...

Ekspertai įspėja: daugėja melagingos informacijos apie koronavirusą socialiniuose tinkluose

Ekspertai įspėja: daugėja melagingos informacijos apie koronavirusą socialiniuose tinkluose

Lietuvos informacinę erdvę stebintys kariuomenės ekspertai atkreipia dėmesį į vis didėjantį dezinformacijos srautą, susijusį su koronaviruso valdymu. Specialistai ragina gyventojus ...

Būkite atsargūs: piktavaliai atakuoja .lt domenų turėtojus

Būkite atsargūs: piktavaliai atakuoja .lt domenų turėtojus

KTU Interneto paslaugų centras, administruojantis .lt aukščiausio lygio domeną, įspėja domenų turėtojus būti atsargius ir neužkibti ant piktavalių, siekiančių priversti registruoti interneto vardus kituose a...

Teisingumo ministras E. Jankevičius: vaizdo stebėjimo kameros miestuose galimai pažeidžia žmonių privatumą

Teisingumo ministras E. Jankevičius: vaizdo stebėjimo kameros miestuose galimai pažeidžia žmonių privatumą

Savivaldybių planai įrengti miestuose stebėjimo kameras viešajai tvarkai užtikrinti visuomenėje sukėlė abejonių dėl tokio sekimo tikslų ir kaip gali būti panaudojama sukaupta informacija. Teisingumo ministra...

90 proc. kibernetinio saugumo pratybose „Kibernetinis skydas 2019“ dalyvavusių vietinių instruktorių teigė, kad pratybos buvo naudingos

90 proc. kibernetinio saugumo pratybose „Kibernetinis skydas 2019“ dalyvavusių vietinių instruktorių teigė, kad pratybos buvo naudingos

Pastaraisiais metais itin augant kibernetinių incidentų sudėtingumui, kai atakos tampa vis labiau rafinuotos Nacionalinio kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) ir Lietuvos kar...

Kas labiau pasiteisina: skaitmeninis ar tradicinis mokymas?

Kas labiau pasiteisina: skaitmeninis ar tradicinis mokymas? 1

Karantinui užsitęsus mokyklos jau priprato dirbti nuotoliniu būdu, tam pasitelkė naujų, iki šiol mažiau naudotų ugdymo būdų ir priemonių. Dėl to net galima buvo išgirsti švietimo atstovus teigiant, esą skait...

Psichiatrijos dienos stacionare - „Enya“ dainos lietuvių atlikėjų balsais

Psichiatrijos dienos stacionare - „Enya“ dainos lietuvių atlikėjų balsais

Nuo šiol asmenys, besilankantys Jonavos Psichiatrijos dienos stacionare, multimedijos kambaryje, galės pasinerti į visišką atsipalaidavimą klausantis „Enya“ dainų, skambančių lietuvių atlikėjų balsais. Tokia...

Vaizdo įraše užfiksuotas itin pavojingas petardų galios didinimas

Vaizdo įraše užfiksuotas itin pavojingas petardų galios didinimas

Kasmet šalyje dėl nesaugaus elgesio su pirotechnikos priemonėmis (fejerverkais, petardomis) nukenčia žmonės. Sužalojimai dėl nesaugaus ir neatsargaus pirotechnikos priemonių naudojimo itin skaudūs ‒ nutrauki...

Minime Medicinos darbuotojų dieną: ko pandemijos metu vieni kitiems linki medikai?

Minime Medicinos darbuotojų dieną: ko pandemijos metu vieni kitiems linki medikai?

Šiuo metu apie medikus, besikaunančius su koronavirusu, rašoma daug: pandemija primena, koks svarbus yra jų darbas ir kokia trapi gali būti sveikatos sistema. Minėdami Medicinos dar...

Ar žinote kiek asmeninių duomenų kaupia jūsų programėlės?

Ar žinote kiek asmeninių duomenų kaupia jūsų programėlės?

Pasauliniais statistikos duomenimis, šiandien kiekvienas vartotojas savo išmaniajame telefone turi vidutiniškai apie 60-90 programėlių. Tačiau, vos 10 iš jų vartotojai naudoja reguliariai. Kaskart parsisiunč...

Atsitikus labai rimtai nelaimei viskas vyks pagal sovietmečio "panetkes"?

Atsitikus labai rimtai nelaimei viskas vyks pagal sovietmečio "panetkes"? 3

„Trečiadienį, kaip nurodo įmonės „Achema“ atstovai, apie 10 val. 55 min. dėl techninių priežasčių buvo sustabdytas AB „Achema“ gamybinis įrengimas. Anot įmonės atstovų, procesas truko maždaug 1–1,5 minutės. Į įv...

Kiaulių laikytojams bus kompensuotos įsigytos biologinio saugumo priemonės

Kiaulių laikytojams bus kompensuotos įsigytos biologinio saugumo priemonės

Kiaulių laikytojai nuo birželio 1 d. vėl galės teikti paraiškas ir gauti valstybės pagalbą biologinio saugumo priemonių įsigijimo išlaidoms kompensuoti. Šiai de minimis pagalbai iš viso...

Svarbi informacija privačių miškų savininkams

Svarbi informacija privačių miškų savininkams

Artėjant pavasariui, artėja vienas prasmingiausių darbų miškininkams - tai miško atkūrimo darbai. Privačių miškų savininkai privalo atkurti plynas kirtavietes per tris metus po jų atsiradimo. Sodinimas tai t...

SAM: branduolinės avarijos atveju vartojamas tik stabilusis jodas

SAM: branduolinės avarijos atveju vartojamas tik stabilusis jodas

Žmones pasiekiant netiksliai informacijai, kad saugotis nuo radiacijos poveikio neva tinka jodo lašai ar maisto papildai su jodu, Sveikatos apsaugos ministerija (SAM) pabrėžia, k...

Kibernetiniame pasaulyje nusikaltimai vyksta taip pat dažnai kaip ir gatvėse

Kibernetiniame pasaulyje nusikaltimai vyksta taip pat dažnai kaip ir gatvėse

Lietuvoje kiekvieną valandą įvykdomos maždaug 6 kibernetinės atakos. Nacionalinio kibernetinio saugumo centro duomenimis, kasmet mūsų šalyje registruojama arti 55 tūkst. kibernetini...