С началом карантина сервисом Zoom начали пользоваться все и для всего: рабочие встречи, вечеринки с друзьями, семинары, уроки или вебинары – за март ежедневный трафик вырос на 553%. Но такая популярность имела и негативные последствия: теперь чуть ли не ежедневно появляются новости об уязвимостях сервиса, взломах и др. Логично, что у пользователей возникает вопрос: безопасно ли пользоваться сервисом и какие он имеет альтернативы? На эти вопросы отвечают специалисты Лаборатории цифровой безопасности.
Zoombombing
Самая распространенная угроза при использовании Zoom – так называемый zoombombing, когда к вашей онлайн-встрече присоединяется посторонний человек, часто с чисто хулиганских побуждений. «Зумбомбер» может транслировать во встрече провокационные видео, громко включать музыку и тому подобное. Подобные вещи были популярны в первые дни карантина, когда много пользователей только начали пользоваться Zoom для онлайн-встреч и были плохо осведомлены с функционалом сервиса.
Сейчас вероятность «зумбомбинга» существенно ниже. В частности, потому что Zoom включил некоторые функции по умолчанию:
- комната ожидания: участников подтверждает организатор (host);
- пароль для встреч: чтобы присоединиться к встрече нужно иметь не только идентификатор конференции, но и пароль.
Также вы можете настроить дополнительные опции для защиты. Далее мы рассмотрим настройки, доступные для всех версий: и бесплатных, и платных.
Вопросы безопасности функции в Zoom до начала встречи
Несколько опций можно настроить по ссылке в начале встречи, а именно:
- отключить функцию входа раньше организатора (join before host) – участники не смогут присоединиться к встрече раньше организатора; эта функция полезна для запланированных встреч, ведь при мгновенных встречах администраторами становятся те, кто ее создает;
- выключить функцию передачи файлов – эта функция полезна для встреч со многими участниками, которые не знают друг друга (вебинары, вечеринки, онлайн-митинги и т.д.), ведь в чат могут прислать зараженные файлы.
Если вы участвуете в событиях и увидели, что кто-то прислал файл или ссылку, лучше ничего не загружать и не переходить по ссылке. Если вы перешли по ссылке и страница требует пароль от учетной записи электронной почты, Facebook и т.д., не спешите вводить данные, ведь это может быть фишинговый сайт.
Выключить передачу файлов можно в настройках в разделе In Meeting (basic)> File transfer.
Настроить запись встречи. Zoom позволяет записывать встречи автоматически и записывать их в локальный файл (который хранится на устройстве или в облачном хранилище). Вы можете управлять этими настройками по ссылке. Zoom предоставляет возможности:
- выключить функцию записи;
- ограничить ее и спрашивать у участников разрешение на запись встречи;
- включить оповещения, когда кто-то записывает/заканчивает встречу.
Комната ожидания. Если у вас не появилась эта функция автоматически, можете попробовать настроить ее самостоятельно. Это можно сделать в настройках в разделе In Meeting (Advanced)> Waiting Room.
Вопросы безопасности настройки Zoom во время встречи
Больше опций для настройки имеет организатор встречи (host). Итак, ему доступна функция управления участниками. Нажав на «Управление участниками» (Manage Participants) вы увидите окно с участниками, которые уже присоединились к встрече или ожидающих подтверждения (подтвердить их можно там).
Организатор встречи может передать функции хоста другим участникам. Если навести указатель на имя участника, появится кнопка More, которая откроет несколько функций, среди которых возможность сделать участника хостом, удалить участника или переименовать его. Также вы можете вернуть себе права хоста в любой момент.
Нажав кнопку More под списком участников вы увидите больше возможностей хоста:
- выключать микрофон (mute) участников при входе (эта функция полезна в основном для вебинаров);
- позволять участникам снова включить свой микрофон (unmute) обратите внимание, если участник «замютил» себя сам, он не сможет включить микрофон, если эта функция отключена;
- закрыть встречу: если хотите дополнительно обезопаситься от того, чтобы к вашей встрече не присоединились посторонние люди, после начала встречи можно воспользоваться этой функцией; новые участники не могут присоединяться к закрытой встречи;
- управлять залом ожидания добавлять/удалять участников встречи.
Скриншеринг. Также, для большего комфорта встречи, можно ограничить возможности участников распространять экран своего компьютера и тому подобное. Это можно сделать, нажав стрелку у Share screen> Advanced Sharing Options.
Как сделать Zoom неуязвимым
В течение последних нескольких недель в Zoom был выявлен ряд уязвимостей, которые потенциально позволяли злоумышленникам получать частичный доступ к устройствам пользователей. Однако следует понимать, что уязвимости периодически находят в любом программном обеспечении. Можно с уверенностью сказать, что в операционной системе, офисных программах, браузере и других программах, установленных на вашем устройстве, также была найдена не одна уязвимость.
Разработчики программного обеспечения регулярно выпускают обновления безопасности, которые закрывают известные уязвимости, и именно поэтому так важно вовремя обновлять программное обеспечение на ваших устройствах.
Если вы используете приложение Zoom на смартфоне или лэптопе – важно установить обновления, ведь именно с помощью обновлений сервис закрывает уязвимости.
В случае уязвимостей, важным моментом является то, как быстро разработчики реагируют на найденные уязвимости и выпускают изменения. В случае Zoom мы видим, что компания оперативно закрывает найдены уязвимости, и даже объявила 90-дневный мораторий на добавление новых функций, чтобы иметь возможность сосредоточиться на вопросах безопасности.
Большое количество найденных уязвимостей за короткое время может быть связанной с тем, что Zoom неожиданно стал очень популярным сервисом, из-за чего на него обратили внимание многие исследователи. Однако это скорее положительный момент, поскольку, таким образом растет вероятность, что уязвимости найдут и опишут исследователи, а в дальнейшем разработчики их закроют.
Также исследователи обнаружили, что Zoom самом деле не использует сквозное (end-to-end) шифрование. Это означает, что сама компания может иметь доступ к содержанию ваших разговоров. Шифрование происходит между устройством пользователя и серверами компании. По подобному принципу происходит шифрование в большинстве популярных сервисов, в сервисах, которые мы используем для работы, например Gmail, Google Диск, обычные чаты в Facebook Messenger, Telegram и тому подобное.
При этом Zoom использует TLS-шифрование, то есть злоумышленник, просто присоединившись к вашему Wi-Fi, а также ваш интернет-провайдер не могут прослушивать ваши разговоры в Zoom. Если вы хотите именно сквозное шифрование, следует использовать мессенджеры, имеющих опцию голосовых разговоров со сквозным шифрованием, например, WhatsApp.
В Washington Post вышла статья о том, что онлайн стали доступны сотни видеозаписей с Zoom, включая записи интимного характера. Как отмечается в статье, большинство встреч вероятнее всего были записаны с помощью встроенной функции Zoom для записи видео, а затем хранились на сторонних онлайновых хранилищах без паролей.
Что можно порекомендовать в этом случае? Подумайте, действительно ли вам нужно записывать встречи. Если же вы решили все-таки записывать, позаботьтесь, чтобы файл с видеозаписью надежно хранился: если храните в облачном хранилище – защитите аккаунт в нем надежным паролем и двухфакторной аутентификацией, если храните на компьютере – установите на компьютер пароль.
Хост имеет возможность отсоединить возможность записывать встречи для участников с помощью встроенных средств Zoom, которые мы описали в настройках безопасности. Впрочем, это не является гарантией, что у кого-то из участников встречи не будет технической возможности записать ее другим образом, например, снять видео на смартфон. Это уже вопрос доверия к участникам встречи, которое выходит за пределы технических рекомендаций.
С кем Zoom делится данными
Крупные компании, например Google, Facebook, Apple и т.д., имеют утвержденные политики, при каких условиях и какие данные своих пользователей они могут предоставлять по требованию правоохранительных органов, и публикуют периодические transparency reports, в которых детализируют, сколько запросов они получили за определенный период, какой процент из них удовлетворили, каких стран касались запросы и тому подобное. Поскольку на фоне карантина и социальной изоляции Zoom вошел в перечень крупных сервисов, правозащитники из Access Now обратились к Zoom с письмом, в котором предлагаю ввести аналогичную практику и прозрачность относительно того, какими данными пользователей при каких условиях Zoom может делиться с третьими сторонами.
Итак, для онлайн-вечеринок с друзьями и рабочих совещаний, на которых вы не обсуждаете очень сенситивную информацию, Zoom является вполне приемлемым вариантом, но стоит его корректно настроить. Если для вас является проблемой, что Zoom имеет доступ к содержанию ваших разговоров, а следовательно теоретически может кому-то передать эти данные, для чувствительных разговоров пользуйтесь другим решением со сквозным шифрованием, например, голосовыми звонками в WhatsApp.
Фото: unsplash
Подписывайтесь на «Телекритику» в Telegram и Facebook!
