З початком карантину сервісом Zoom почали користуватись усі й для усього: робочі зустрічі, вечірки з друзями, семінари, уроки чи вебінари – за березень щоденний трафік зріс на 553%. Але така популярність мала й негативні наслідки: тепер ледь не щодня з’являються новини про вразливості сервісу, злами та ін. Логічно, що у юзерів постає запитання: чи безпечно користуватися сервісом і які він має альтернативи? На ці питання відповідають фахівці Лабораторії цифрової безпеки.
Zoombombing
Найпоширеніша загроза під час використання Zoom – так званий zoombombing, коли до вашої онлайн-зустрічі приєднується стороння людина, часто із суто хуліганських мотивів. «Зумбомбер» може транслювати у зустрічі провокативні відео, голосно вмикати музику тощо. Подібні речі були популярними у перші дні карантину, коли багато користувачів лише почали користуватися Zoom для онлайн-зустрічей і були погано обізнаними із функціоналом сервісу.
Наразі ймовірність «зумбомбінгу» суттєво нижча. Зокрема, тому що Zoom увімкнув деякі функції за замовчуванням:
- кімната очікування: учасників підтверджує організатор (host);
- пароль для зустрічей: щоб приєднатися до зустрічі потрібно мати не лише ідентифікатор конференції, але й пароль.
Також ви можете налаштувати додаткові опції для захисту. Далі ми розглянемо налаштування, доступні для усіх версій: і безкоштовних, і платних.
Безпекові функції у Zoom до початку зустрічі
Кілька опцій можна налаштувати за посиланням до початку зустрічі, а саме:
- вимкнути функцію входу раніше за організатора (join before host) – учасники не зможуть приєднатися до зустрічі раніше за організатора; ця функція корисна для запланованих зустрічей, адже при миттєвих зустрічах адміністраторами стають ті, хто її створює;
- вимкнути функцію передачі файлів – ця функція корисна для зустрічей з багатьма учасниками, які не знають одне одного (вебінари, вечірки, онлайн-мітинги тощо), адже у чат можуть надіслати заражені файли.
Якщо ви берете участь у події й побачили, що хтось надіслав файл або посилання, краще нічого не завантажувати та не переходити за посиланням. Якщо ви перейшли за посиланням і сторінка вимагає пароль від облікового запису пошти, Facebook і т.д., не поспішайте вводити дані, адже це може бути фішинговий сайт.
Вимкнути передачу файлів можна у налаштуваннях у розділі In Meeting (basic) > File transfer.
Налаштувати запис зустрічі. Zoom дозволяє записувати зустрічі автоматично та записувати їх у локальний файл (який зберігається на пристрої або у хмарному сховищі). Ви можете керувати цим налаштуванням за посиланням. Zoom надає можливості:
- вимкнути функцію запису;
- обмежити її та запитувати в учасників дозвіл на запис зустрічі;
- увімкнути сповіщення, коли хтось записує/закінчує зустріч.
Кімната очікування. Якщо у вас не з’явилась ця функція автоматично, можете спробувати налаштувати її самостійно. Це можна зробити у налаштуваннях у розділі In Meeting (Advanced) > Waiting Room.
Безпекові налаштування Zoom під час зустрічі
Найбільше опцій для налаштування має організатор зустрічі (host). Отже, йому доступна функція керування учасниками. Натиснувши на «Керування учасниками» (Manage Participants) ви побачите вікно з учасниками, які вже приєднались до зустрічі або які чекають на підтвердження (підтвердити їх можна там).
Організатор зустрічі може передати функції хоста іншим учасникам. Якщо навести вказівник на ім’я учасника, з’явиться кнопка More, яка відкриє кілька функцій, серед яких можливість зробити учасника хостом, видалити учасника або перейменувати його. Також ви можете повернути собі права хоста у будь-який момент.
Натиснувши кнопку More під списком учасників ви побачите більше можливостей хоста:
- вимикати мікрофон (mute) учасників при вході (ця функція корисна здебільшого для вебінарів);
- дозволяти учасникам знову ввімкнути свій мікрофон (unmute); зверніть увагу, якщо учасник «замютив» себе сам, він не зможе увімкнути мікрофон, якщо ця функція вимкнена;
- закрити зустріч: якщо хочете додатково убезпечитись від того, щоб до вашої зустрічі не приєдналися сторонні люди, після початку зустрічі можна скористатися цією функцією; нові учасники не можуть приєднуватися до закритої зустрічі;
- керувати залом очікування: додавати/видаляти учасників зустрічі.
Скріншерінг. Також, для більшого комфорту зустрічі, можна обмежити можливості учасників поширювати екран свого комп’ютера тощо. Це можна зробити, натиснувши стрілку біля Share screen > Advanced Sharing Options.
Як зробити Zoom невразливим
Протягом останніх кількох тижнів у Zoom було виявлено низку вразливостей, які потенційно давали змогу зловмисникам отримувати частковий доступ до пристроїв користувачів. Однак варто розуміти, що вразливості періодично знаходять у будь-якому програмному забезпеченні. Можна з упевненістю сказати, що в операційній системі, офісних програмах, браузері та інших програмах, що встановлені на вашому пристрої, також було знайдено не одну вразливість.
Розробники програмного забезпечення регулярно випускають оновлення безпеки, які закривають відомі вразливості, і саме тому так важливо вчасно оновлювати програмне забезпечення на ваших пристроях.
Якщо ви використовуєте додаток Zoom на смартфоні чи лептопі – важливо встановити оновлення, адже саме за допомогою оновлень сервіс закриває вразливості.
У випадку вразливостей, важливим моментом є те, як швидко розробники реагують на знайдені вразливості та випускають зміни. У випадку Zoom ми бачимо, що компанія оперативно закриває знайдені вразливості, та навіть оголосила 90-денний мораторій на додавання нових функцій, щоб мати змогу зосередитись на безпекових питаннях.
Велика кількість знайдених вразливостей за короткий час може бути пов’язаною із тим, що Zoom несподівано став дуже популярним сервісом, через що на нього звернуло увагу багато дослідників. Однак це радше позитивний момент, оскільки, таким чином зростає ймовірність, що вразливості знайдуть та опишуть дослідники, а надалі розробники їх закриють.
Також дослідники виявили, що Zoom насправді не використовує наскрізне (end-to-end) шифрування. Це означає, що сама компанія може мати доступ до змісту ваших розмов. Шифрування відбувається між пристроєм користувача і серверами компанії. За подібним принципом відбувається шифрування у більшості популярних сервісів, у сервісах, які ми використовуємо для роботи, наприклад Gmail, Google Диск, звичайні чати у Facebook Messenger, Telegram тощо.
При цьому Zoom використовує TLS-шифрування, тобто зловмисник, просто приєднавшись до вашого Wi-Fi, і навіть ваш інтернет-провайдер не можуть прослуховувати ваші розмови у Zoom. Якщо ви хочете саме наскрізне шифрування, варто використовувати месенджери, що мають опцію голосових розмов із наскрізним шифруванням, наприклад, WhatsApp.
У Washington Post вийшла стаття про те, що онлайн стали доступні сотні записаних відео із Zoom, включно із записами інтимного характеру. Як зазначається у статті, більшість зустрічей найімовірніше були записані за допомогою вбудованої функції Zoom для запису відео, а після цього зберігалися на сторонніх онлайнових сховищах без паролів.
Що можна порекомендувати у цьому випадку? Подумайте, чи дійсно вам потрібно записувати зустрічі. Якщо ж ви вирішили таки записувати, подбайте, щоб файл із відеозаписом надійно зберігався: якщо зберігаєте у хмарному сховищі – захистіть обліковий запис у ньому надійним паролем і двофакторною аутентифікацією, якщо зберігаєте на комп’ютері – встановіть на комп’ютер пароль.
Хост має змогу від’єднати можливість записувати зустріч для учасників за допомогою вбудованих засобів Zoom, які ми описали у налаштуваннях безпеки. Втім, це не є гарантією, що хтось з учасників зустрічі не матиме технічної змоги записати її іншим чином, наприклад, зняти відео на смартфон. Це вже питання довіри до учасників зустрічі, яке виходить за межі технічних рекомендацій.
З ким Zoom ділиться даними
Великі компанії, як-от Google, Facebook, Apple тощо, мають затверджені політики, за яких умов та які дані своїх користувачів вони можуть надавати на вимогу правоохоронних органів, та публікують періодичні transparency reports, у яких деталізують, скільки запитів вони отримали за певний період, який відсоток із них задовольнили, яких країн стосувалися запити тощо. Оскільки на фоні карантину та соціальної ізоляції Zoom увійшов до переліку великих сервісів, правозахисники з Access Now звернулись до Zoom із листом, у якому пропоную запровадити аналогічну практику та прозорість щодо того, якими даними користувачів за яких умов Zoom може ділитися із третіми сторонами.
Отже, для онлайн-вечірок з друзями та робочих нарад, на яких ви не обговорюєте надзвичайно сенситивної інформації, Zoom є цілком прийнятним варіантом, але варто його коректно налаштувати. Якщо для вас є проблемою, що Zoom має доступ до змісту ваших розмов, а отже теоретично може комусь передати ці дані, для чутливих розмов користуйтесь іншим рішенням із наскрізним шифруванням, наприклад, голосовими дзвінками у WhatsApp.
Фото: unsplash
Підписуйтесь на «Телекритику» у Telegram та Facebook!
