Veszélyben vannak a videókonferencia szoftverek?

A Covid – 19 okozta helyzet emberek millióit kényszerítette otthoni munkavégzésre. A Zoom és más videókonferencia programok felhasználóinak száma az egekbe szökött, és szinte azonnal a hackerek célpontjává vált.

A koronavírus miatti korlátozó intézkedések következtében sok vállalatnak át kellett helyeznie a tevékenységét online környezetbe – ami döntő többségüknek rekordidő alatt sikerült is. Azonban nem mindegyikük tájékoztatta megfelelően alkalmazottait a távmunkával kapcsolatos, új kiberbiztonsági fenyegetésekről, például a videókonferencia-platformokról, melyek használata megfelelő biztonsági intézkedések nélkül problémát jelenthet. Az IFSEC szerint a videókonferencia-eszközök (például Microsoft Teams, Zoom) iránti növekvő igény számos adatvédelmi problémához vezetett a végpontok közötti titkosítás miatt.

Justin Brookman, a Consumer Reports magazin fogyasztói adatvédelmi és technológiai politikájának igazgatója hangsúlyozta, hogy biztonsági szempontból a Zoom különösen nagy kudarcot vallott. Az FBI jelenleg több olyan esetet is vizsgál, ahol hackerek Zoom videokonferenciákra léptek be és ott rasszista, homofób vagy antiszemita üzenetekkel fenyegették a résztvevőket.

Hogyan törhettek be a hackerek ezekre a videokonferenciákra? Egyszerűen olyan URL-ek létrehozásával és kitalálásával, amivel csatlakozni lehet a videocsevegésekhez. Brookman szerint a Zoomnak korábban nem kellett ennyi biztonsági fenyegetéssel megküzdenie, de ahogyan emberek tízmilliói kezdték el használni az alkalmazást, vonzó célpont lett a hívatlan vendégek számára is.

A videohívások bosszantó, olykor fenyegető hangvételű megzavarásának problémája gyorsan globális jelenséggé vált. Franciaországban, Németországban és az Egyesült Államokban is számoltak be hasonló eseményekről, ami aggályokat vetett fel más videókonferencia-platformok biztonsági rendszereivel kapcsolatban is.

Az úgynevezett “Zoom-bombázás” óta kutatók megállapították, hogy a Microsoft Teams biztonsági rendszere is könnyen megtámadható. A BBC arról írt, hogy a Microsoft Teamsben asztali vagy webes használat esetén rosszindulatú GIF-ek segítségével könnyedén lehet támadásokat kezdeményezni. A módszer lényege egy meghackelt aldomainben rejlik, és pusztán azzal, hogy a felhasználó megnézi az adott GIF-et, lehetőséget ad arra, hogy a támadók adatokat kaparinthassanak meg a fiókjából.

A Microsoft azóta javította ugyan ezt a biztonsági problémát, de a kutatók arra figyelmeztetnek, hogy a jövőben más platformokon is megismétlődhetnek ehhez hasonló támadások.

A videokonferenciák biztonsága ugyanakkor magukon a felhasználókon is múlik. Jól példázza ezt az Egyesült Királyság miniszterelnökének, Boris Johnsonnak az esete, aki a legelső virtuális kabinet-ülésről osztott meg Twitteren egy fotót, de nem távolította el a meeting azonosító számát. Ez potenciálisan lehetővé tette bárki számára, hogy csatlakozzon a beszélgetéshez. Mindazonáltal az Egyesült Királyság Nemzeti Kiberbiztonsági Központja kijelentette, hogy ha az értekezletnek nincsen bizalmas besorolása, akkor akár sor is kerülhetett volna erre.

A legfontosabb következtetés a vállalkozások számára: a COVID-19 és az azt követő gyors elmozdulás a digitalizáció felé, egyértelműen megmutatta az erős végpontvédelem és az alkalmazottak alapos képzésének fontosságát.

Mire figyeljünk, hogy biztonságosan használhassuk a videókonferencia alkalmazásokat?

1. Ügyeljünk a környezetünkre: mielőtt csatlakoznánk egy videóhíváshoz, ellenőrizzük, hogy nem árul-e el a mögöttünk látszódó háttér valamilyen szenzitív információt. Értékes adatokat tartalmazhat például egy tábla, amelyre az előző hívás során jegyzeteltünk.
   
   
2. Korlátozzuk a hozzáféréseket: a legtöbb videókonferencia alkalmazásban lehetőségünk van domain név alapján korlátozni a hozzáféréseket, így beállíthatjuk, hogy csak a cégünk munkavállalói csatlakozhassanak a hívásokhoz. A másik lehetőség, ha csak az előzetesen meghívott résztvevőknek engedélyezzük a csatlakozást. Érdemes jelszót beállítanunk a meetingekhez, így a meghívottak egy automatikusan generált jelszót is kapnak a meghívóban, amelyet meg kell adniuk a belépéshez.
   
   
3. Legyünk óvatosak a fájlok küldésekor: fontoljuk meg a küldhető fájltípusok korlátozását. A legjobb, ha nem engedélyezzük a végrehajtható fájlok (például a .exe kiterjesztésű fájlok) átküldését.
   
   
4. Figyeljünk a képernyő megosztásakor: érdemes korlátozni a képernyő megosztásának lehetőségét, például, hogy csak a hívás szervezője vagy az általa kijelölt felhasználó tehesse ezt meg. Így kizárhatjuk annak a lehetőségét, hogy valamelyik résztvevő véletlenül osszon meg olyasmit, amit nem szeretett volna. Megosztáskor csak a szükséges, éppen használt programot mutassuk, ne a teljes képernyőt, ugyanis egy asztali ikon vagy fájlnév is árulkodó lehet. Jó, ha szem előtt tartjuk, hogy az Apple iOS képernyőképeket készít, amikor a felhasználó átvált az alkalmazások között – így fennáll az esélye, hogy érzékeny adatokat is rögzít. Ha a videókonferencia platform lehetővé teszi, akkor érdemes beállítanunk, hogy ez a kép homályosan jelenjen meg.