Dėl koronaviruso įsigaliojus karantinui dauguma organizacijų – mokyklos, universitetai, valdžios institucijos ir kitos įstaigos – priverstos tęsti veiklą nuotoliniu būdu, todėl padaugėjo kibernetinių grėsmių. Dirbdami iš namų darbuotojai mažiau tiesiogiai komunikuoja tarpusavyje, o jų naudojami įrenginiai ne visada pakankamai apsaugoti arba galbūt naudojamasi netinkamomis ar nepakankamai saugiomis programomis rengiant internetines garso ir vaizdo konferencijas. NKSC taip pat įspėja apie „Zoom“ pažeidžiamumus, duomenų privatumo ir kitas saugumo problemas.
Pastarosiomis dienomis viešojoje erdvėje nuskambėjo ne vienas skandalas, susijęs su plačiai naudojama nuotolinio bendravimo programa „Zoom”. Ši programa pasižymi draugiška vartotojo sąsaja, todėl nenuostabu, kad jos populiarumas karantino metu stipriai padidėjo – Pastaruoju metu šio įrankio naudojimas išaugo daugiau nei 5 kartus, tačiau tuo pačiu į viešumą iškilo visa aibė problemų, dėl kurių tokios organizacijos, kaip NASA, SpaceX, Google, Niujorko mokyklos, Vokietijos užsienio reikalų ministerija ir kt., ėmė drausti savo darbuotojams darbo tikslais naudoti „Zoom“.
Saugumo ir privatumo problemos „Zoom“
Vienas pirmųjų didesnio atgarsio sulaukusių privatumo pažeidimų paviešintas aptikus, jog „Zoom“ iOS programėlė vartotojų duomenis reklamos tikslais siunčia į “Facebook” platformą net tuo atveju, kai vartotojas neturi paskyros šiame socialiniame tinkle. Tai nėra nauja praktika, neretai tokie duomenys siunčiami analizuoti ir rengti tolimesnėms reklamos strategijoms. Tačiau šis vartotojų duomenų panaudojimo kanalas nebuvo minimas „Zoom“ privatumo politikoje, kuri buvo pakoreguota, kai tik vartotojai atkreipė dėmesį šią problemą.
Daugiau nei prieš savaitę buvo aptikta saugumo spraga programinėje įrangoje, leidžianti pavogti duomenis – „Windows“ operacinės sistemos prisijungimo duomenis naudojant UNC nuorodas „Zoom“ susirašinėjimo metu. Tokiu būdu visas įrenginys tapdavo pažeidžiamas. „Zoom“ problema aptikta ir Apple gamintojo MAC kompiuteriuose – Saugumo spragos dėka, atakuotojas galėjo gauti prieigą prie kompiuterio mikrofono, kameros ir vykdyti kitus veiksmus administratoriaus teisėmis.
Dar viena saugumo spraga yra susijusi su „Zoom“ pokalbių metu siunčiamomis nuorodomis. Norint pakviesti dalyvius į „Zoom“ pokalbį, yra sugeneruojamas trumpas adresas, kurį atspėję įsilaužėliai gali prisijungti prie privačių pokalbių – JAV federalinių tyrimų biuras pateikė savo rekomendacijas dėl atsargumo priemonių naudojant šį įrankį, o visai neseniai viešoje erdvėje pasirodė ir šimtai įrašų su privačiais pokalbiais.
Kita pastebėta problema susijusi su duomenų šifravimu. Oficialiai „Zoom“ kompanija skelbia, kad duomenys yra šifruojami, tačiau šifruojamas tik ryšys – Pats įrankis taip pat parodo, kad pokalbių duomenys šifruojami, tačiau panagrinėjus plačiau, paaiškėjo jog šifruojami ne duomenys, o ryšio kanalas. Panašiai, kaip interneto svetainėse, kur naudojant HTTPS protokolą yra šifruojamas ryšio kanalas tarp vartotojo ir svetainės serverio. Programos „Zoom“ naudojimo atveju, kai patys duomenys nešifruojami, jie gali būti pasiekiami šios programos sistemai.
„Zoom“ ir galimos alternatyvos
Šių metų balandžio 1 dieną kompanija paskelbė, jog laikinai stabdo ZOOM plėtrą siekiant išspręsti saugumo ir privatumo problemas.
Akivaizdu, kad „Zoom“ vaizdo ir garso konferencijų programą šiuo metu naudojantys vartotojai gali tapti lengvesniu taikiniu įvairiems įsilaužimams – vartotojo duomenų perėmimui, duomenų vagystėms, prisijungimui prie įrenginio įtaisų (mikrofono ar vaizdo kameros ir pan.). To gali nesužinoti net ir pakankamą informacinių technologijų raštingumo lygį pasiekę šios programos naudotojai.
Verta atkreipti dėmesį, kad ne tik „Zoom“, bet dauguma nuotoliniam bendravimui skirtų programinių įrankių yra vienaip ar kitaip pažeidžiami ir rizikingi. Todėl potencialias grėsmes kiekvienu atveju turėtų įvertinti pats programinės įrangos vartotojas. Tačiau akivaizdu, kad šiuo metu visas iškilusias savo problemas sprendžianti „Zoom“ nėra tinkamai pasirengusi visuotiniam naudojimui. Taip pat reikėtų nepamiršti, jog patys esame atsakingi už savo, savo organizacijos, darbuotojų, kolegų ir ypač vaikų saugumą. Todėl kiekvienas pirmiausia paklauskime savęs, ar verta visu tuo rizikuoti naudojantis nepakankamai saugiais įrankiais.
Vietoje „Zoom“ šiuo metu siūlytume rinktis saugesnes vaizdo ir garso konferencijų programų alternatyvas:
- Microsoft Teams
- Skype
- Adobe Connect
- Google Hangouts Meet
- Cisco Webex
VU Kauno fakulteto kibernetinio saugumo tyrimų grupė