Mokslas ir IT

2020.04.10 15:00

Ar saugu nuotoliniam bendravimui naudoti „Zoom“ programą?

LRT.lt2020.04.10 15:00

Dėl koronaviruso įsigaliojus karantinui dauguma organizacijų – mokyklos, universitetai, valdžios institucijos ir kitos įstaigos – priverstos tęsti veiklą nuotoliniu būdu, todėl padaugėjo kibernetinių grėsmių. Dirbdami iš namų darbuotojai mažiau tiesiogiai komunikuoja tarpusavyje, o jų naudojami įrenginiai ne visada pakankamai apsaugoti arba galbūt naudojamasi netinkamomis ar nepakankamai saugiomis programomis rengiant internetines garso ir vaizdo konferencijas.

Nacionalinis kibernetinio saugumo centras (NKSC) taip pat įspėja apie „Zoom“ pažeidžiamumus, duomenų privatumo ir kitas saugumo problemas, tinklalapyje knf.vu.lt rašo VU Kauno fakulteto kibernetinio saugumo tyrimų grupė.

Pastarosiomis dienomis viešojoje erdvėje nuskambėjo ne vienas skandalas, susijęs su plačiai naudojama nuotolinio bendravimo programa „Zoom“. Ši programa pasižymi draugiška vartotojo sąsaja, todėl nenuostabu, kad jos populiarumas karantino metu stipriai padidėjo – pastaruoju metu šio įrankio naudojimas išaugo daugiau nei 5 kartus, tačiau tuo pačiu į viešumą iškilo visa aibė problemų, dėl kurių tokios organizacijos, kaip NASA, SpaceX, Google, Niujorko mokyklos, Vokietijos užsienio reikalų ministerija ir kt., ėmė drausti savo darbuotojams darbo tikslais naudoti „Zoom“.

Saugumo ir privatumo problemos „Zoom“

Vienas pirmųjų didesnio atgarsio sulaukusių privatumo pažeidimų paviešintas aptikus, jog „Zoom“ iOS programėlė vartotojų duomenis reklamos tikslais siunčia į „Facebook“ platformą net tuo atveju, kai vartotojas neturi paskyros šiame socialiniame tinkle. Tai nėra nauja praktika, neretai tokie duomenys siunčiami analizuoti ir rengti tolimesnėms reklamos strategijoms. Tačiau šis vartotojų duomenų panaudojimo kanalas nebuvo minimas „Zoom“ privatumo politikoje, kuri buvo pakoreguota, kai tik vartotojai atkreipė dėmesį šią problemą.

Daugiau nei prieš savaitę buvo aptikta saugumo spraga programinėje įrangoje, leidžianti pavogti duomenis – „Windows“ operacinės sistemos prisijungimo duomenis naudojant UNC nuorodas „Zoom“ susirašinėjimo metu. Tokiu būdu visas įrenginys tapdavo pažeidžiamas. „Zoom“ problema aptikta ir Apple gamintojo MAC kompiuteriuose – Saugumo spragos dėka, atakuotojas galėjo gauti prieigą prie kompiuterio mikrofono, kameros ir vykdyti kitus veiksmus administratoriaus teisėmis.

Dar viena saugumo spraga yra susijusi su „Zoom“ pokalbių metu siunčiamomis nuorodomis. Norint pakviesti dalyvius į „Zoom“ pokalbį, yra sugeneruojamas trumpas adresas, kurį atspėję įsilaužėliai gali prisijungti prie privačių pokalbių – JAV federalinių tyrimų biuras pateikė savo rekomendacijas dėl atsargumo priemonių naudojant šį įrankį, o visai neseniai viešoje erdvėje pasirodė ir šimtai įrašų su privačiais pokalbiais.

Kita pastebėta problema susijusi su duomenų šifravimu. Oficialiai „Zoom“ kompanija skelbia, kad duomenys yra šifruojami, tačiau šifruojamas tik ryšys – Pats įrankis taip pat parodo, kad pokalbių duomenys šifruojami, tačiau panagrinėjus plačiau, paaiškėjo jog šifruojami ne duomenys, o ryšio kanalas. Panašiai, kaip interneto svetainėse, kur naudojant HTTPS protokolą yra šifruojamas ryšio kanalas tarp vartotojo ir svetainės serverio. Programos „Zoom“ naudojimo atveju, kai patys duomenys nešifruojami, jie gali būti pasiekiami šios programos sistemai.

Be to, buvo aptikta, jog dalis vaizdo ir garso skambučių buvo siunčiami per Kinijos serverius, nors komunikuojančios šalys nebuvo iš Kinijos.

„Zoom“ ir galimos alternatyvos

Šių metų balandžio 1 dieną kompanija paskelbė, jog laikinai stabdo ZOOM plėtrą siekiant išspręsti saugumo ir privatumo problemas.

Akivaizdu, kad „Zoom“ vaizdo ir garso konferencijų programą šiuo metu naudojantys vartotojai gali tapti lengvesniu taikiniu įvairiems įsilaužimams – vartotojo duomenų perėmimui, duomenų vagystėms, prisijungimui prie įrenginio įtaisų (mikrofono ar vaizdo kameros ir pan.). To gali nesužinoti net ir pakankamą informacinių technologijų raštingumo lygį pasiekę šios programos naudotojai.

Verta atkreipti dėmesį, kad ne tik „Zoom“, bet dauguma nuotoliniam bendravimui skirtų programinių įrankių yra vienaip ar kitaip pažeidžiami ir rizikingi. Todėl potencialias grėsmes kiekvienu atveju turėtų įvertinti pats programinės įrangos vartotojas. Tačiau akivaizdu, kad šiuo metu visas iškilusias savo problemas sprendžianti „Zoom“ nėra tinkamai pasirengusi visuotiniam naudojimui. Taip pat reikėtų nepamiršti, jog patys esame atsakingi už savo, savo organizacijos, darbuotojų, kolegų ir ypač vaikų saugumą. Todėl kiekvienas pirmiausia paklauskime savęs, ar verta visu tuo rizikuoti naudojantis nepakankamai saugiais įrankiais.

Vietoje „Zoom“ šiuo metu siūlytume rinktis saugesnes vaizdo ir garso konferencijų programų alternatyvas:

– „Microsoft Teams“;
– „Skype“;
– „Signal“.

Specialisto rekomendacijos

Viešoje erdvėje pasipylus nerimo signalams dėl vaizdo konferencijų platformos „Zoom“ naudojimo saugumo, susiekėme su Nacionaliniu kibernetinio saugumo centru (NKSC), taip pat informavusiu apie šios platformos iššūkius, rašoma portale e-etika.lt.

Dėl paprastumo ir patogumo naudoti žaibiškai išpopuliarėjusios nuotolinio bendravimo platformos „Zoom“ inžinieriai šiuo metu tobulina ne programos funkcionalumus – augimo šuolis atvėrė saugumo spragas, kurioms spręsti kompanija metė savo technologinius pajėgumus.

„Zoom“ susiduria su iš tiesų rimtais saugumo iššūkiais, tačiau juos sprendžia su dideliu dėmesiu, kompanija savo inžinierių pajėgas 90-čiai dienų dedikavo darbui su saugumo ir stabilumo sprendimais, tai sveikintinas žingsnis, – sako Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys. – Nuo 10 mln. vartotojų per labai trumpą laiką „Zoom“ platforma išaugo iki 200 mln., jie pateko po saugumo specialistų padidinamuoju stiklu, buvo nustatytos saugumo spragos, kurias jie operatyviai ėmėsi lopyti. Taigi viešiems pokalbiams, nuotoliniam mokymuisi šia platforma naudotis galima, bet reiktų paisyti tam tikrų saugumo patarimų, vienas jų – pokalbių kanalai turėtų būti apsaugoti slaptažodžiu“.

Pasak NKSC vadovo, mažiau apsaugotuose pokalbių kanaluose yra realių galimybių prisijungti pašaliečiams. Svarbu įdiegti naujausią programos „Zoom“ versiją, mat čia jau ištaisytos kai kurios spragos ir pokalbių kanalai bus automatiškai apsaugoti slaptažodžiais. Svarbu paisyti ir virtualaus pokalbio etiketo – kamerą įjunkime tik tuomet, kai kalbame.

Kibernetinio saugumo centro vadovas priduria, jog turime būti budrūs – pokalbio organizatoriai „Zoom“ programoje mūsų pokalbius ir vaizdus gali įrašinėti, o vėliau juos išsaugoti.

„Kol „Zoom“ saugumo spragos taisomos, valstybiniame sektoriuje, kritinėse šalies infrastruktūrose ir verslo konfidencialiems pokalbiams siūlome rinktis alternatyvias platformas, bent jau kol „Zoom“ neišleido savo platformos saugumo atnaujinimų“, – pabrėžė NKSC vadovas.

Taigi, apibendrinus – viešiems nekonfidencialiems pokalbiams, nuotoliniam mokymuisi „Zoom“ platforma naudotis galima, bet būtina paisyti saugumo patarimų:

1. Pokalbių kanalai turėtų būti apsaugoti slaptažodžiu. Mažiau apsaugotuose pokalbių kanaluose yra realių galimybių prisijungti pašaliečiams.
2. Platformą atidarykite per naršyklę, programos į įrenginį nediekite.
3. Jei programą visgi reikia įdiegti, įsitikinkite, kad naudojate naujausią programos „Zoom“ versiją. Čia jau ištaisytos kai kurios spragos ir pokalbių kanalai bus automatiškai apsaugoti slaptažodžiais.
4. Naudokite tik vaizdo funkciją, o susirašinėjimui ar dokumentų siuntimui pasirinkite kitą komunikavimo priemonę.
5. Kamerą įjunkite tik tuomet, kai kalbate.
6. Konfidencialiems pokalbiams ar dokumentams siųsti, kol „Zoom“ saugumo spragos taisomos, geriau rinktis alternatyvias platformas.