Wraz ze wzrostem popularności wideokonferencji ujawniły się problemy związane z prywatnością i bezpieczeństwem. Bezpieczeństwo wideo-rozmów to nie tylko temat dla agencji rządowych i RODO. Dobre praktyki i zasady bezpieczeństwa aplikacji i usług, z których korzystasz w domu i w pracy są niezwykle ważne i niestosowanie ich może mieć poważne konsekwencje.
Wideokonferencje są dziś powszechne i dostępne praktycznie z każdego urządzenia komputerowego mogącego łączyć się do Internetu. Dlatego, jeśli mówimy o ich bezpieczeństwie mamy przede wszystkim na myśli odpowiednie zabezpieczenie rozmowy i korzystanie z zaufanych aplikacji.
O jakich zagrożeniach mówimy?
Za sprawą ogromnej popularności wideo-rozmów, cyberprzestępcy rozpoczęli serię nowych ataków na tę technologię i korzystających z niej użytkowników. Oto kilka z nich, które zaobserwowaliśmy do tej pory:
- „Bombardowanie” spotkania – tzw. meeting bombing, to przypadek kiedy link lub identyfikator spotkania zostanie odkryty przez osobę z zewnątrz, która posiada złe zamiary. W takim wypadku osoba trzecia może dołączyć do spotkania w dwóch celach. Albo aby podsłuchiwać, albo aby spowodować zamieszanie i zniszczyć spotkanie. Przestępcy, który uzyskują nieuprawniony dostęp do krytycznych sesji, często generują setki kont maszynowych, które łączą się do takiego spotkania i powodują zwieszenie i zamknięcie sesji dla wszystkich uczestników. To typowe działania destrukcyjne.
- Złośliwe linki – uczestnik spotkania, który ma złośliwe zamiary, wrzuca na czat konferencji złośliwe linki do pobrania malware. To bardzo częsty zabieg i bardzo skuteczny, gdyż praktycznie żadne narzędzie do wideo-rozmów nie ma posiada filtracji czatu pod względem spamu czy złośliwych plików.
- Skradzione linki do spotkań – w tym przypadku chodzi o spotkania, które odbywają się cyklicznie pod tym samym linkiem, np. w prywatnym lub publicznym pokoju. Aby uniknąć nieautoryzowanego dostępu do spotkań, należy włączyć opcję braku możliwości dołączenia przed gospodarzem. W niektórych narzędziach ustawienie to jest wyłączone domyślnie.
- Udostępnianie danych – praktycznie każde narzędzie do rozmów grupowych posiada możliwość udostępniania plików uczestnikom spotkania. Przed taką czynnością należy upewnić się, że połączenie na pewno jest szyfrowane end-to-end. Nie zawsze jest nam obojętne czy nasze poufne informacje zostaną udostępnione firmą trzecim.
- Ataki Zero-Day – w wielu narzędziach do zdalnych sesji, udostępniających pulpit oraz dających możliwość przekazania kontroli wykrywane są podatności Zero-Day. Oznacza to na przykład, że nieuprawniona osoba będzie w stanie nagrywać nasz pulpit lub nawet przechwytywać znaki wpisywane z klawiatury. Tutaj jedyną opcją jest korzystanie z zaufanych aplikacji i stałe ich aktualizowanie.
Co powinniśmy zrobić?
Każdy kto korzysta z wideo-rozmów (a teraz praktycznie każdy) powinien zadbać o kilka podstawowych zasad, które nie są trudne do stosowania, a uchronią przed większością wyżej wypisanych zagrożeń:
- Wymagaj hasła – jako gospodarz spotkania jest to działanie nr 1, które możesz podjąć. Ustaw hasło jako obowiązkowe dla wszystkich uczestników oraz dodatkowo zadbaj o nieudostępnianie danych organizatora i identyfikatora spotkania.
- Weryfikuj uczestników – podczas wysyłania zaproszenia sprawdź dokładnie listę uczestników. Usuń wszystkich, którzy nie powinni brać w nim udziału. W przypadku spotkań poufnych, zwiększ bezpieczeństwo i wymagaj od użytkowników uwierzytelnienia (na przykład poprzez włączenie kamery czy podanie dodatkowego kodu).
- Sprawdzaj zaproszenia, które otrzymujesz – jest to bardzo ważne, jeśli jesteś w roli uczestnika. Popularnym phishingiem jest podsyłanie do użytkowników fałszywych linków do spotkań i kazanie im o podanie danych uwierzytelniających, na przykład adresów mailowych i haseł.
- Aktualizowanie oprogramowania – standard, jeśli chodzi o bezpieczeństwo, tyczy się to przede wszystkich właśnie popularnych komunikatorów, ponieważ podatności najczęściej są znajdywane w nich.
- Zachowaj poufność – przy udostępnianiu pulpitu upewnij się, że nie pokazujesz w tle niczego poufnego. Nie udostępniaj również poufnych informacji innym uczestnikom, jeśli ich nie znasz.
- Zgłaszaj podejrzane działania – jeśli korzystasz z wideokonferencji w pracy, zawsze zgłaszaj odpowiednim osobom z IT wszelkie podejrzane aktywności, które zauważysz.