Все началось 26 марта, когда журнал The Intercept опубликовал статью про Zoom, где говорилось о том, что приложение сливает личную информацию пользователей социальным сетям, таким как Фейсбук. Даже если у вас нет аккаунта в Фейсбуке.
Это стало отправной точкой в медиасфере и СМИ начали поднимать другие скандалы, связанные с Zoom.
Выяснилось, что сквозное шифрование Е2Е (end-to-end) не применяется для видеоконференций, хотя сайт приложения продолжает об этом утверждать. Это делает данные пользователей доступными для алгоритмов социальных сетей. А это, в свою очередь, позволяет социальным сетям таргетировать рекламу.
Но больше всего пользователей Mac взволновала история со скрытым сервером и подключением к видео- и аудиокомпонентам. Летом прошлого года, Джонатан Лейтшу, специалист по компьютерной безопасности, обнаружил уязвимость приложения Zoom. Приложение устанавливало на вашем ПК локальный сервер localhost, который оставался на компьютере даже после удаления приложения. Кибер-злоумышленники могли получать к нему доступ удаленно и подключаться к камере или микрофону пользователей. Сама компания Apple запустила «тихое» обновление, которое устраняло этот изъян. А компания Zoom выпустило патч в новой версии приложения.
С тех пор как данным приложением начали пользоваться высокопоставленные лица, как премьер-министр Великобритании Борис Джонсон или спецслужбы ФБР, сообщество обеспокоено безопасностью использования приложения. И подняло тему на новый уровень серьезности.
«Надо понимать, что нет возможности сделать приложение безопасным навсегда, для этого существуют постоянные обновления. Касательно Zoom, ситуация осложняется еще сверхпопулярностью на фоне пандемии», — говорит Арман Абдрасилов. «Мир не был готов перевести до 90% своей работы в онлайн. Отсюда вытекает неподготовленность крупных компаний работать удаленно. Zoom — единственный оперативный выход из такой ситуации».
На данный момент, несмотря на громкие заголовки, приложением продолжают пользоваться до 200 млн людей ежедневно, а акции компании выросли на 40% и уже выделили для своего основателя, Эрика Юаня, место в рейтинге Forbes. Но как не стать жертвой собственного успеха.
«Сейчас речь идет не о школьниках и студентах, которые используют приложение в частном порядке, а о компаниях, которые работают с цифрами: банки, трастовые компании, фонды. Приложение сейчас используют даже врачи, я никогда такого не видел, но это происходит. А значит, что есть риск разглашения врачебной тайны, юридической и силовых структур. Надо быстро и оперативно реагировать на любую новость в сложившейся ситуации и Zoom подходит по всем описаниям. Нельзя отрицать его простой, но в тоже время функциональный интерфейс», — считает Арман.
Сам Арман опасается за компании, которые не были подготовлены к такому повороту событий и сейчас вынуждены использовать открытые платформы и общепользовательские приложения.
«Когда сотрудник приходит на работу и садиться за компьютер, он работает внутри собственной локальной сети, которая защищается от внешнего проникновения на сервер. Все данные в одном месте и не могут передаваться третьим лицам. Чего не происходит, когда эти же самые сотрудники проделывают ту же самую работу, но уже через собственные мобильные телефоны и пользовательские гаджеты. Днем он может поработать на планшете, вечером его возьмет жена, чтобы посмотреть сериал, а утром его может использовать ребенок, для своих онлайн-уроков. Здесь нет никакой защиты».
Недавно компания Илона Маска — SpaceX, в письме для своих сотрудников сообщила, что закрывает доступ для работы в Zoom и просит использовать звонки или электронную почту.
«Для таких компаний, которые занимаются обороной страны или руководят и следят за АЭС, нужно понимать, что Zoom — это открытая платформа и обсуждать там что-то серьезное — нельзя! Здесь нужно искать другие выходы».
Сама компания Zoom ударилась в кибербезопасность. В своем блоге Эрик Юань говорит, что замораживает все последующие обновления на 90 дней, пока не будут исправлены выявленные неполадки, и обещает сделать этот процесс максимально прозрачным. Компания и её работники направили все свои силы на безопасность и конфиденциальность, а также планируют провести всесторонний анализ с другими компаниями, чтобы те могли посмотреть, насколько безопасно программа будет обрабатывать запросы.
Пользоваться приложением Zoom или нет уже не вопрос выбора, это стало каждодневной обязанность для миллионов людей, но для больших компаний Арман советует все-таки присмотреться к другим программам.
«Наша организация не рекламирует приложение Jitsi Meet, для нас он просто самый безопасный вариант переговоров, мы загружаем свой сервер в рамках программы и общаемся только внутри собственной сети, наши видео-аудио сообщения не сохраняются. Приложение всегда запрашивает разрешение на использование какой-либо функции в вашем компьютере», — говорит Арман.
Наша редакция тоже решила опробовать приложения и выделила плюсы. Название для ссылки вы придумываете сами, это усложняет работу для хакеров, так как сгенерировать такое количество словосочетаний невозможно. Из функций мы выделили возможность «поднять руку» — все участники видеоконференции видят, если кто-то хочет высказаться. Высокое качество связи. Есть встроенная возможность делиться видео из ютуба и создавать общий документ.
Единственное, что отмечает Арман — это то, что приложение живет на серверах Amazon, что делает нас зависимыми от иностранных разработок. В случае каких-либо блокировок со стороны государства, мы можем остаться отрезанными от сети.
4 марта Касым Жомарт-Токаев приказал КНБ обеспечить эффективную защиту информационных ресурсов и наращивать IT-компании, такие как Astana Hub, парк инновационных технологий «Алатау» и Назарбаев Университет.
На вопрос о том, как защититься простому пользователю от всевозможных атак на конфиденциальную информацию, Арман просит постоянно следить за обновлением приложений.
«Кибер-мошенники следят за своими жертвами, и то, какими инструментами они пользуются в сети. Это помогает им найти брешь в системе какого-либо приложения, которое вы используете регулярно и добраться до ваших личных данных. Постоянные обновления изрядно затрудняют работу для хакеров. Поэтому не пренебрегайте обновлениями для своей операционной системы и следите за обновлениями приложений».
Канат Кожахмет рекомендует не отказываться от приложения школьникам и студентам. «Проблема Zoom в другом: многие фичи по умолчанию позволяют злоупотреблять функционалом. К примеру, школьники могут баловаться, заходя анонимно в разные видеокабинеты, и препятствовать проведению уроков. Нет привязки ученика к конкретному школьному аккаунту по электронной почте. К примеру, ученик [email protected] не стал бы баловаться, идентифицировав себя в звонке.
«У Zoom нет привязки к электронной почте, на урок может подключаться любой по ссылке и оставаться анонимом, указав любое имя. Простому преподавателю будет тяжело разобраться в настройках, чтобы ограничить хулиганов. ФБР даже выпустило предупреждение о так называемых Zoomboomer-ах, которые подбирают идентификационные номера , а подключившись начинают всячески мешать, включая даже порнографию. В целом Zoom можно использовать, но потребуются усилия для должной настройки видеозвонка», — считает Канат Кожахметов.
31 марта на официальном сайте Zoom опубликовали материал о том, как можно себя обезопасить.
Начнём с того, что можно закрыть видеоконференцию в приложении. Вы можете скинуть ссылку на видеоконференцию в общий чат и указать до какого времени студенты могут подключиться к занятиям. Если они не успевают и вы закрываете видеоконференцию, у них высветится сообщение, о том, что конференция закрыта. Чтобы это сделать, нажмите на три точки с надписью «Подробнее», далее выберите «Настройки конференции» и нажмите на «Заблокировать конференцию».
Как контролировать , кто и что может показывать на экране
Для этого зайдите в настройки приложения. Найдите «Демонстрация экрана», в пункте «Кто может осуществлять трансляцию?» выберите «Только организатор». Здесь же можете разрешить/запретить оставлять комментарии на транслируемом экране или в Доске сообщений.
Как обезопасить себя от подключения к трансляции неизвестных или хулиганов?
Приложение Zoom создало так называемую «Комнату ожидания». Вы можете настроить ее так, чтобы все подключаемые к видеоконференции ожидали вашего разрешения на доступ, либо сделать так, чтобы только неизвестным гостям требовалось разрешение на подключение.
Для этого в тех же настройках найдите «Зал ожидания» и включите функцию. Также можете включить определитель гостей. Для этого найдите «определить приглашённых участников конференции/веб-семинара».
Контролировать чат можно и нужно, чтобы участники не спамили или не общались приватно внутри чата общей конференции. В настройках найдите функцию «Чат» и можете либо разрешить участникам конференции отправлять сообщения, либо нет. Внизу есть также функция «Приватный чат», где можно разрешить или запретить пользователям отправлять приватные сообщения другим участникам.
Как удалять участников
Функция позволяет удалить неизвестных гостей или людей, которые мешают проведению встречи. Для этого найдите в чате пункт «Управление участниками», найдите имя участника, которого нужно удалить, рядом с его именем будет функция «Подробнее», в самом конце вы увидите «Удалить». У вас высветится сообщение, что после удаления этого участника он не сможет больше повторно подключиться к конференции.
Это были основные функции, которые позволяют обезопасить себя и своих учеников во время проведения занятий. Подробнее обо всем функционале можно узнать на сайте или в настройках Zoom.
Оставайтесь на связи и предупредите своих близких, коллег или учеников, что нельзя делиться фотографиями экранов, где проводится конференция. Это может стать причиной взлома со стороны кибер-хулиганов.
Получай актуальные подборки новостей, узнавай о самом интересном в Steppe (без спама, обещаем 😉)
(без спама, обещаем 😉)
