Во всем – от домашнего обучения детей и полноценной удаленной работы до поддержания контактов с друзьями и членами семьи – мы все чаще полагаемся на интернет-технологии, чтобы оставаться на связи. Похоже, что эта тенденция будет только усиливаться со временем.
Видео-конференц-связь – один из важнейших элементов этого процесса. В апреле 2020 года ежедневное количество участников встреч с использованием платформы Zoom достигло 300 миллионов человек, в то время как в декабре 2019 года их было всего 10 миллионов. Количество пользователей возросло в тридцать раз за каких-то четыре месяца! Пандемия привела к тому, что приложение Zoom стало одним из самых скачиваемых за последние месяцы. Видео-конференц-связь используют для своих задач не только студенты, учителя, родственники, деловые партнеры и общественные группы всех размеров, но и такие известные личности, как Алан Гринспен, бывший председатель Совета управляющих Федеральной резервной системы США, и Борис Джонсон, премьер-министр Великобритании. Но насколько безопасны видеозвонки и что нужно сделать, чтобы оградить себя от рисков?
В этой статье мы остановимся на основных вопросах, связанных с безопасностью видео-конференц-связи, и мерах, которые вы можете предпринять, чтобы защитить себя.
Правительство США считает, что, учитывая возможность хакерских атак, переход на удаленную работу – это вопрос национальной безопасности. Агентство национальной безопасности США недавно провело оценку 13 самых популярных инструментов для видеозвонков.
При оценивании учитывались в числе прочих следующие критерии:
Полная версия отчета доступна по ссылке – но если вкратце, АНБ считает, что каждый сервис видеозвонков имеет какую-нибудь уязвимость или даже несколько. Например:
АНБ присудило самый высокий рейтинг WhatsApp от Facebook, Signal (WhatsApp также использует код этого приложения) и Wickr. Хотя отчет не является окончательным, он представляется полезным обзором основных вопросов, связанных с безопасностью видео-конференц-связи, и подчеркивает тот факт, что ни один из продуктов, доступных на рынке, не отвечает всем критериям надежности.
Основные аспекты безопасности видеозвонков включают:
Сквозное шифрование обеспечивает надежную защиту видео-конференц-связи, открывая доступ к звонку только соответствующим пользователям и никаким другим лицам и службам, включая само приложение. Более подробно о шифровании данных и принципах его работы можно прочитать в нашей статье «Что такое шифрование».
Могут ли посторонние наблюдать или записывать ваши видеозвонки? Кто и как может присоединяться к вашим звонкам? Учитывая, что школы переводят учеников на онлайн-обучение в Zoom, нарушение приватности видеозвонков может стать вопросом безопасности детей. Доступ к звонку в Zoom осуществляется путем перехода по короткому цифровому URL-адресу, который легко можно сгенерировать или подобрать.
Насколько строго соблюдаются политики конфиденциальности, такие как Общий регламент ЕС по защите данных или Калифорнийский закон о защите персональных данных пользователей? Насколько прозрачны условия использования приложения в отношении сбора данных пользователей и предоставления третьим сторонам доступа к этим данным?
Это особенно важно, если вы имеете дело с закрытыми сведениями или документами.
Например:
Zoom часто упрекают за функцию отслеживания внимания, которая информирует организатора звонка, если участник переключился на другое окно на 30 секунд или более. Эта функция позволяет работодателям и учителям проверять, следят ли их сотрудники или ученики за ходом рабочего совещания или урока.
Например, могут ли пользователи по незнанию скачать приложения, которые получат доступ к камере и микрофону? Приложение или вредоносное ПО могут предоставлять персональную информацию хакеру, который затем сможет продать ее, обнародовать или использовать в иных целях.
Так, о некоторых уязвимостях системы безопасности в Zoom уже сообщалось ранее. В 2019 году было обнаружено, что приложение Zoom устанавливало на устройства пользователей скрытый веб-сервер, с помощью которого пользователя можно было принудительно добавить в видеочат. Другая лазейка позволяла перехватить контроль над компьютером Mac пользователя Zoom, в том числе управлять веб-камерой и микрофоном. Разработчики Zoom постоянно устраняют обнаруженные уязвимости и рассказывают о своих успехах в блоге компании.
Один из наиболее обсуждаемых в последнее время примеров атак на видеозвонки – «Zoom-бомбардировки». Так называют вторжения посторонних в видеоконференции с целью их срыва – например, незваные гости могут выкрикивать расистские лозунги или угрозы. Хотя название этого явления относится к приложению Zoom, похожие инциденты происходили и с другими платформами для видео-конференц-связи, включая WebEx и Skype. 30 марта 2020 года ФБР объявило о расследовании увеличившегося количества случаев перехвата видеозвонков.
На некоторых форумах, включая Reddit и Discord, проводились согласованные попытки вторжения в видеоконференции Zoom. Пользователи Twitter предлагали пароли к видеоконференциям, к которым можно было подключиться без разрешения участников. Некоторые нерадивые ученики и студенты срывали таким образом онлайн-уроки и подстрекали товарищей к подобному поведению.
На TikTok и YouTube распространялись записи с видеозвонков в Zoom, на которых посторонние пользователи вторгались в видеочат с оскорбительными, расистскими или антисемитскими заявлениями, после чего организатору звонка приходилось завершать конференцию.
Ранее обычный поиск в Google адресов, содержащих строку «Zoom.us», выдавал ссылки на не защищенные паролем конференции, что позволяло подключаться к звонкам без приглашения.
Открытое вторжение в видеоконференции, каким бы неприятным и обескураживающим для участников оно ни было, вызывает куда меньше опасений, чем незамеченное присутствие посторонних, которое может стать серьезным риском как для корпоративной безопасности, так и для приватности персональных данных.
Не так давно журнал Forbes сообщал о продаже хакерами свыше 500 000 наборов украденных учетных данных Zoom, которые включали URL-адреса персональных звонков и хост-ключи Zoom. Вероятно, значительная часть этих учетных данных включала повторно используемые пароли, которые хакеры получили из других источников.
В ответ представители Zoom заявили:
«Мы уже привлекли несколько организаций, чтобы найти эти базы паролей и инструменты, которые были использованы для их создания, а также компанию, которая уже закрыла тысячи веб-сайтов, где пользователей обманом заставляли скачивать вредоносное ПО или предоставлять свои учетные данные. Мы продолжаем расследование ситуации, блокируем учетные записи, которые были взломаны, просим пользователей сменить пароли на более надежные и рассматриваем возможность реализации дополнительных технологических решений для поддержки наших усилий».
После начала пандемии COVID-19 самым популярным приложением для видео-конференц-связи стало Zoom, обогнав и привычный мессенджер Skype, и приложение FaceTime, которое широко использовалось для видеозвонков друзьям.
Быстрый рост числа пользователей привел и к росту недовольства тем, что Zoom недостаточно серьезно относится к безопасности видеозвонков пользователей. Беспокойство вызывало и отсутствие в Zoom сквозного шифрования, на которое рассчитывали некоторые пользователи. Представители Zoom выпустили руководства по обеспечению приватности звонков в своем блоге и в виде видеоролика, однако в них меры предлагается принимать самим пользователям.
Способы обеспечения безопасности видеочатов у каждой платформы свои, поэтому важно знать особенности вашей конкретной платформы. Однако многие общие принципы остаются одинаковыми для всех приложений видеосвязи.
Вот несколько базовых советов, которые помогут сделать видеозвонки безопаснее:
Следите за тем, чем делитесь в интернете, включая ваши слова и поведение в видеозвонках. Всегда есть риск, что кто-то может вас записывать или подглядывать за вами, оставаясь незамеченным. Личную информацию следует раскрывать только в случае крайней необходимости.
Не публикуйте ее в открытых постах в социальных сетях, онлайн-профилях, не рассылайте в групповых сообщениях электронной почты и не делитесь ею там, где ее могут увидеть посторонние. Приглашайте участников из самого приложения и предупреждайте их о том, что ссылку больше никому передавать не нужно.
Так вы будете знать, если сообщение электронной почты с приглашением в чат будет передано кому-то еще, и сможете убедиться, что в звонке не участвуют посторонние. В противном случае вы сможете выяснить, почему приглашение попало не в те руки. При необходимости запланируйте другую встречу с новыми данными для входа.
Большинство приложений для видеозвонков дают возможность защитить звонки паролем. Создайте надежный пароль, который будет сложно подобрать. Задавайте сложные пароли и не используйте один и тот же пароль для разных приложений и сервисов.
Так вы будете уверены, что посторонние не смогут получить доступ к вашим разговорам. Популярные приложения для видеозвонков, использующие сквозное шифрование:
Чаще всего уязвимости системы безопасности и эксплойты обнаруживаются в устаревших версиях приложений. Обновления нередко содержат исправления безопасности, устраняющие ошибки и уязвимости. Своевременное обновление приложения для видео-конференц-связи – один из самых эффективных способов защитить себя от хакеров, потому что, именно выпуская обновления, разработчики исправляют нарушения безопасности. Это мера предосторожности, которую стоит принимать всегда, не только для приложений с видеозвонками и видео-конференц-связью. Обновлять приложения и другое ПО на ваших устройствах можно достаточно просто на всех основных платформах. В большинстве случаев вам даже не придется ничего делать, кроме как подтвердить обновление. Убедитесь, что участники беседы тоже используют последнюю версию приложения.
Если у кого-то из приглашенных участников пропадает соединение с чатом, нужно временно разрешить подключение, чтобы такой участник мог вернуться, и снова запретить.
Такие функции позволяют направить участников в отдельную виртуальную комнату перед началом конференции. Организатор или ведущий вручную допускает к конференции только нужных участников. Вы можете пообщаться с каждым участником в начале звонка, чтобы убедиться, что на собрании не будут присутствовать посторонние.
Всегда полезно знать все особенности вашего ПО для видео-конференц-связи до начала его использования. Пройдитесь по всем настройкам, посмотрите профиль пользователя, изучите все доступные опции на случай, если какие-то из них нужно будет изменить. Если что-то не вполне понятно и вы не уверены, как следует поступить, сделайте себе пометку, чтобы позже разобраться с этим вопросом.
Никогда не повредит пробежаться по настройкам видеозвонков, чтобы узнать, можно ли дополнительно себя обезопасить.
Например:
Мы уже рассказывали, как определить поддельное приложение. Проверяйте рейтинг приложения, читайте отзывы пользователей и не скачивайте приложения с неизвестных сайтов.
Убедитесь, что можете доверять вашему собеседнику, прежде чем раскрывать любые личные сведения. Принимайте запросы на переписку или звонки только от пользователей из вашего списка друзей.
Так хакерам будет сложнее получить доступ к вашим устройствам или учетным записям, поскольку система будет требовать не только пароль, но и дополнительный PIN-код.
Корпорации будут пытаться следить за вами при любой возможности, так что лучше им не помогать в этом. Прикрывайте веб-камеру на своем устройстве, когда она не используется, и всегда закрывайте приложение после его использования, а не просто переключайтесь из него.
Запретите любым участникам, кроме организатора, записывать конференцию или настройте уведомления, чтобы знать, когда кто-то из участников начнет запись.
Например, любые настройки, позволяющие передавать данные третьим лицам, а также все функции, которые якобы должны помочь улучшить ваш пользовательский опыт путем предоставления рекламным компаниям или партнерам доступа к вашим данным. Отключите настройки, которые позволяют незнакомым людям вас находить, добавлять в друзья, присоединяться к вашей группе или беседе или отправлять вам сообщения. Отключите для всех пользователей возможность записывать звук и изображение с вашей камеры. Устанавливайте пароли на все сервисы.
Выключив веб-камеру и перейдя только на голосовое общение, вы предотвратите любые попытки узнать личную информацию о вас, которую могут выдать окружающие предметы. Это также снижает нагрузку на интернет-канал и улучшает общее качество звука и изображения.
Веб-трансляция – это конференция или презентация, проводимая в онлайн-режиме. Участники могут смотреть выступления, задавать вопросы выступающим и общаться друг с другом. Управление веб-трансляцией доступно только организатору и избранному кругу выступающих. Этот формат может помочь лучше контролировать большое количество участников.
Особенности бесплатных точек доступа Wi-Fi, привлекательные для пользователей, в равной степени привлекательны и для хакеров – например, возможность подключения без аутентификации. Это позволяет злоумышленникам беспрепятственно получать доступ к незащищенным устройствам, подключенным к такой сети. Поэтому при подключении к публичным сетям нужно принимать меры предосторожности.
Получив ваш телефон в руки, злоумышленник может запросто установить хакерское приложение и создать вам большие проблемы.
Помните: хакеры и киберпреступники весьма предприимчивы. Рост объемов использования видео-конференц-связи приводит к тому, что она становится приоритетной целью злоумышленников. Компаниям, которые хотят сохранять лидерство на этом рынке, придется не только совершенствовать технологии совершения видеозвонков, но и неустанно прикладывать усилия для защиты пользователей.
А позаботиться о себе сами вы сможете при помощи антивирусного решения «Лаборатории Касперского», которое защищает от вирусов ваш персональный компьютер и устройства под управлением Android, надежно хранит пароли и личные документы, а также осуществляет шифрование данных, которые вы посылаете или получаете через безопасное соединение.
Статьи по теме: