На карантине: безопасное использование Zoom

Меры карантина уже распространились на  порядка 4 млрд жителей планеты, а это почти половина всего населения Земли. На удаленную работу, обучение, общение с друзьями и близкими вынуждены переходить все больше людей. Соразмерно растет интерес общества к средствам видеоконференцсвязи. Предсказуемо, что в связи с  колоссальным наплывом физических и корпоративных пользователей, такие системы испытывают повышенный интерес со стороны киберпреступников. 

Новостные ленты СМИ заполнены сообщениями об уязвимостях Zoom – платформы, снявшей ограничения на связь для изолированных  пользователей. Эксперты группы компаний Angara помогают разобраться в причинах возникших проблем с Zoom, а также рассматривают доступные альтернативы данной платформе.

Что же такое Zoom? Если обратиться к Gartner и их «Magic Quadrant for Meeting Solutions» за 2019 год, это одно из лидирующих решений по организации удаленной конференц-связи наряду с продуктами Cisco, Microsoft и LogMein.

gartner-videoconf.png

В корпоративном секторе решение широко используется для онлайн-обучения, открытых вебинаров, совещаний и других подобных активностей.

В последнее время исследователи обнаружили следующие уязвимости Zoom:

  • Уязвимость внедрения UNC-пути в функцию часа и через нее похищение учетных данных пользователей Windows в виде логина и хэш-пароля NTLM (из которого возможно раскрыть пароль пользователя). Напомним, утилита HashCat анонсировала в феврале 2019 года, что взлом восьмизначного пароля NTLM на сборке из восьми видеокарт Nvidia RTX возможен за 2,5 часа.

  • Утечка нескольких тысяч записей личных видеозвонков пользователей сервиса из online-хранилища, где они хранились без парольной защиты.

  • Проблемы со сквозным шифрованием TLS.

  • Проблемы с группировкой контактов с одним и тем же доменом электронной почты в «Каталог компании» и возможным раскрытием электронных адресов и фотографий пользователей.

  • Популярность сервиса повлекла за собой внимание киберпреступников: в прошлом месяце специалисты сообщили о значительном увеличении количества зарегистрированных фейковых доменов «Zoom» – злоумышленники используют их для фишинга и других зловредных рассылок.

При этом Zoom обладает ощутимыми преимуществами: 

  • простота использования и прозрачность управления, 

  • устойчивое качество связи и картинки, в том числе на мобильных устройствах, 

  • доступность подключения и т.д. 

Надо отметить, что Gartner назвал одной из сильных сторон Zoom активное развитие продукта. Уже на прошлой неделе разработчики заявили о полном аудите ИБ сервиса. Уже введены: обязательность ввода пароля для начала видеоконференции, ограничения на сбор информации в iOS клиентах со стороны Facebook, обновлена политика безопасности, выпущено исправление для UNC-уязвимости.

Кроме того, существует множество альтернативных решений для видеоконференций. Корпоративные средства представлены выше в квадрате Gartner. Домашние пользователи могут использовать дополнительно Microsoft Skype, WhatsUp (который, кстати, для конференций небольших групп людей оказался чрезвычайно удобен), Whereby и другие.

Предлагаем использовать следующие рекомендации, как обезопасить себя при использовании удаленной конференц-связи:

  • Не доверять никакому сервису слепо. Все сервисы подвержены тем или иным утечкам и уязвимостям. Но надо понимать, что открытыми становятся медиаресурсы, которые пользователь никак не защитил сам: не назначил механизма аутентификации (например пароль), сохранил в облаке без шифрования или без защиты доступа паролем и др.

  •  Если компьютер доступен по RDP, SMB или другим протоколам из глобальной сети, не используйте слабые пароли Windows (8 знаков – недостаточно). Или применяйте экранирующее устройство – межсетевой экран, роутер с функциями фильтрации и NAT и т.д. Эта рекомендация имеет место быть вне зависимости от возможностей утечек учетных записей через Zoom.

  •  Назначайте  пароли на видеоконференции, ограничивайте функции «расшаривания» экрана (screen sharing), изучайте рекомендации производителя по безопасной работе с продуктом.

Источник: Information Security


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах