Безопасность приложения Zoom. Стоит ли опасаться конференции?

Безопасность приложения Zoom. Стоит ли опасаться конференции? Сертификаты
Содержание
  1. Сделайте встречу уникальной
  2. Организуйте вход на конференцию по приглашениям
  3. Устройте фейсконтроль на входе
  4. Заблокируйте Zoom-конференцию
  5. Включите сквозное шифрование
  6. Проверьте надежность канала
  7. Позаботьтесь о дополнительной защите
  8. Unc-уязвимость в windows-клиенте
  9. Zero-day-уязвимость за 0 тысяч
  10. Zoom запретил пользоваться сервисом властям россии и госкомпаниям
  11. Безопасно ли общение через zoom
  12. В zoom обнаружен ряд проблем с безопасностью
  13. Вопросы к шифрованию
  14. Две уязвимости в macos-клиенте
  15. Дыры в безопасности
  16. Еще одна проблема шифрования в zoom связана с его практической реализацией:
  17. Запрещённый контент в эфире
  18. Защита учетной записи
  19. Зумбомбинг
  20. Используем залы ожидания
  21. Каждую конференцию на пароль
  22. Как повысить конфиденциальность и безопасность
  23. Как предотвратить zoom-бомбинг и обезопасить ваши видеоконференции
  24. Каким требованиям законодательства в сфере безопасности отвечает zoom
  25. Не скачивайте поддельные приложения и моды
  26. Недостатки платформы zoom
  27. Неполное удаление видео
  28. Ответы на неавторизованные xmpp-запросы
  29. Передача данных
  30. Правила, которые помогут защитить ваши онлайн-конференции.
  31. Продажа аккаунтов
  32. Прослушка вызовов
  33. Реакция компаний и zoom
  34. Рекомендации
  35. Связь через посредника
  36. Скачивание без согласия
  37. Слабое шифрование видео
  38. Хит-парад багов zoom
  39. Хранение кодов в китае
  40. Шаг 1: до запуска конференции
  41. Шаг 2: во время видеочата

Сделайте встречу уникальной

Создать конференцию в Zoom можно двумя способами — на базе персонального идентификатора (PMI) или с применением «одноразовой» ссылки для конкретной беседы. PMI привязан к учетной записи и остается неизменным целый год с момента последнего входа.

Так что все, кто хоть раз участвовал в конференции на базе PMI, могут подключиться ко всем будущим беседам с использованием этого же PMI, даже если вы их не позовете. Поэтому никогда не используйте персональную ссылку, создавайте отдельную для каждого собрания — это займет всего несколько секунд.

Организуйте вход на конференцию по приглашениям

Делиться ссылкой на конференцию в общедоступных чатах или группах — не лучшая идея. С таким же успехом можно написать на заборе адрес, где вы планируете праздновать день рождения, и надеяться, что обойдется без незваных гостей. Если вы знаете всех участников будущей беседы, лучше уведомить каждого из них лично.

Отправьте адресату ссылку на запланированный видеочат по электронной почте, сообщением в мессенджере или другим удобным для вас способом. Если вы уже начали звонок, а потом вспомнили, что кого-то не хватает — воспользуйтесь встроенной функцией Zoom и отправьте приглашение на нужный адрес электронной почты контакту из списка.

Устройте фейсконтроль на входе

Даже если вы отправили ссылку лично другу или коллеге, не факт, что по ней не присоединится к звонку кто-то другой — от знакомых, которым ваш адресат решил переслать приглашение, до озорного младшего брата или взломавшего компьютер злоумышленника.

Чтобы заранее проверить, нет ли на звонке незваных гостей, активируйте зал ожидания. Это специальное пространство, в которое гости попадают по пригласительной ссылке, если вы выбрали одноименную настройку при создании конференции. Здесь вы сможете взглянуть на ники и решить, впускать ли того или иного пользователя в конференцию.

После начала конференции можно отправить участника назад в зал ожидания — к примеру, если вам необходимо обсудить некоторые вопросы в более узком кругу собеседников. Еще вы можете выбрать, включить зал ожидания для всех или только для тех гостей, которые не выполнили вход в свой Zoom-аккаунт.

Заблокируйте Zoom-конференцию

Когда все в сборе — заблокируйте конференцию, и к начатой беседе больше никто не сможет присоединиться. Даже если ссылка на ваш видеочат станет доступна посторонним, они не смогут ей воспользоваться. Кстати, блокировка стала одним из действенных способов борьбы с зумбомбингом — хулиганским вторжением в чужие конференции, получившим распространение в период пандемии.

Включите сквозное шифрование

Разработчики Zoom долгое время использовали шифрование P2PE (point-to-point encryption), при котором секретные ключи хранились на сервере. Оно защищало от простого перехвата данных, но если бы злоумышленнику удалось взломать сервер Zoom, он получил бы шанс расшифровать вашу беседу.

Поэтому сейчас в Zoom появилось E2EE — сквозное шифрование (end-to-end encryption), при котором ключи хранятся только на устройствах пользователей. Включите сквозное шифрование, и в левом верхнем углу экрана Zoom появится специальный значок — зеленый щит с замочком. Это сигнал, что ваше общение надежно защищено от прослушки.

Правда, стоит учитывать, что по умолчанию сквозное шифрование выключено не без причины: если его включить, то к звонку не смогут присоединиться участники, использующие клиенты Lync или Skype, онлайн-версию Zoom Web Client или любые сторонние клиенты для Zoom.

Проверьте надежность канала

Вы можете в любой момент проверить, не подключились ли киберпреступники к вашему каналу связи в ходе атаки «человек посередине». Если нажать на значок щита, вы увидите секретный код. Организатор может зачитать его вслух, а участники — сравнить со своими.

Цифровой код напрямую связан с механизмом сквозного шифрования, который соединяет между собой устройства участников. Если код организатора совпадает с кодами собеседников, то связь между конечными устройствами не нарушена. Если где-то в обмен данными вмешался злоумышленник, последовательности цифр будут отличаться.

Когда функции организатора переходят другому участнику или кто-то присоединяется к собранию или покидает его, секретный код генерируется заново, и его можно снова проверить.

Позаботьтесь о дополнительной защите

Чтобы скрыть свой IP-адрес и сам факт звонка от посторонних, подключайтесь к конференции через безопасное соединение, например с помощью Kaspersky Secure Connection. Особенно если звоните через общественный Wi-Fi.

Не забывайте и про надежное защитное решение — какими бы совершенными ни были функции безопасности в Zoom, они бессильны против зловреда, поселившегося на устройстве одного из собеседников.

Unc-уязвимость в windows-клиенте

Обнаруженная в клиенте Zoom для Windows уязвимость могла привести к утечке учетных данных пользователей через UNC-ссылки. При использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата.

Zero-day-уязвимость за $500 тысяч

В середине апреля с. г. были обнаружены zero-day-уязвимости в клиентах Zoom для Windows и macOS. RCE-уязвимость Windows-клиента практически сразу же была выставлена на продажу неизвестными за 500 тыс. долларов США. По заявлению продавцов, она позволяет удаленно выполнить произвольный код на Windows-компьютере с установленным клиентом Zoom. Для эксплуатации этой ошибки атакующий должен был позвонить жертве, либо участвовать с ней в одной конференции.

Уязвимость в macOS-клиенте не давала таких возможностей, поэтому ее использование в реальных атаках маловероятно.

Zoom запретил пользоваться сервисом властям россии и госкомпаниям

Безопасность приложения Zoom. Стоит ли опасаться конференции?

По информации CNEWS, американская компания Zoom Video Communications отозвала у своих российских партнеров авторизацию на продажу лицензий сервиса видеоконференсвязи российским госорганам и компаниям с госучастием. Причем запрет на предоставления услуг этим организациям вступил в силу с 31 марта 2021 года и он касается также и госструктур СНГ.

Источники CNEWS, включая представителей реселлеров, подтвердили факт отзыва, причем Zoom не пояснил его причину. Скорее всего, эта не временная мера, а долгосрочное ограничение.

Безопасность приложения Zoom. Стоит ли опасаться конференции?Информационное письмо, которое было разослано авторизиированным партнерам Zoom в России.

Издание CNEWS пояснило, что запрет мало скажется на работе госорганов, так как они редко приобретали корпоративные лицензии Zoom. Однако, компании с госучастием в последнее время наоборот часто использовали бизнес-версию этого сервиса, включая аэропорты, «Газпром» и ВТБ, музеи и вузы в разных городах страны. Заблокированные организации могут перейти на аналоги Zoom, например российский TrueConf, «Телемост» от «Яндекса», «Сбермитап» от «Сбера» или «Сферум» от Минпросвещения.

CNEWS напомнило, что в настоящее время из-за санкций разработчики иностранного ПО также заблокировали поставки своих решений в госорганы и различные организации в России. Это сделали Autodesk, Red Hat и Microsoft. Часть российских компаний смогли найти выход из этой ситуации и закупали ПО и лицензии с помощью обходных путей и различных схем. Часть компаний решила эту проблема кардинально — они перешли на импортозамещение.

7 апреля, по информации ТАСС, головной офис компании Zoom Video Communications в США начал проверку после сообщений об отключении российских государственных компаний и учреждений от сервиса видеосвязи.

По данным издания «Коммерсантъ», работа сервиса по действующим контрактам продолжится. Zoom может даже сделать отдельный продукт для госсектора, но за время его запуска большая часть заказчиков перейдет на альтернативы, в том числе российского производства.

Безопасно ли общение через zoom

Как ответить на вопрос о том, безопасна ли программа для удаленного общения Zoom? Можно сказать, что уровень защиты находится на высоком уровне, но не гарантирует полную надежность, в частности, при не соблюдении минимальных требований.

Про сертификаты:  Сертификация полиэтиленовой пленки

Согласно официальной информации на сайте платформы, предпринимаются следующие меры для борьбы с проблемами приватности и конфиденциальности Zoom:

  1. Параметры аутентификации. Существует несколько методов, в том числе двухфакторная аутентификация, для защиты отдельной учетной записи и веб-портала в целом.
  2. Хранение информации. Сервис не требует и не использует личные данные участников (фотографии, мобильные номера, наименования компаний) – для регистрации достаточно указать имя, электронную почту и пароль. В то же время платформа запоминает IP-адрес, операционную систему устройства для отслеживания подозрительной активности с аккаунта.
  3. Запрос на согласие участников. Каждый участник конференции может получать уведомления при запуске видеозаписи. До подключения к чату пользователь также может предварительно оценить качество картинки.
  4. Мониторинг. Zoom не просматривает личные, публичные видеочаты, их содержимое.
  5. Сертификация систем. Текущая практика обеспечения безопасности высоко оценена специалистами соответствующей сферы.

Подробно ознакомиться с политикой компании можно по следующей ссылке.

В zoom обнаружен ряд проблем с безопасностью

«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.

В условиях карантина, связанного с пандемией коронавируса, существенно возросла популярность сервисов для общения и конференцсвязи, таких как Zoom. В связи с этим ПО попало в поле зрения специалистов в области кибербезопасности, выявивших в нем несколько проблем. К примеру, как стало известно, iOS-приложение Zoom отправляло Facebook данные об устройствах пользователей, и хотя разработчики исправили эту проблему, исследователи нашли несколько новых.

Как сообщает портал The Intercept, используемое в Zoom шифрование не является по-настоящему сквозным. Согласно информации, представленной на сайте Zoom и в отчете безопасности, приложение использует сквозное шифрование (end-to-end encryption). Тем не менее, на вопрос сотрудников The Intercept пресс-секретарь Zoom ответил, что «в настоящее время включить сквозное шифрование для видеозвонков в Zoom невозможно».

Приложение использует TLS, стандарт, использующийся в браузерах для HTTPS-сайтов. Другими словами, данные, передаваемые между пользователями и серверами Zoom, шифруются так же, как трафик Gmail и Facebook. В свою очередь, термин «сквозное шифрование», как правило, означает полную защиту трафика между двумя пользователями без доступа к нему компании. Zoom не использует такой подход, поэтому заявление о сквозном шифровании вводит в заблуждение.

Сама компания не согласна с обвинениями в введении пользователей в заблуждение. «Используя в своих материалах слово “сквозное” (end-to-end – ред.), мы имеем в виду, что шифруем соединение между двумя конечными точками Zoom», – пояснили представители компании.

О еще одной проблеме в Zoom сообщило издание Vice. Как оказалось, из-за уязвимости приложение раскрывает электронные адреса и фотографии тысяч пользователей, а также позволяет осуществлять видеозвонки с незнакомцами. Проблема связана с тем, как приложение обрабатывает контакты, считающиеся им принадлежащими к одной организации.

Как правило, Zoom группирует контакты с одним и тем же доменом электронной почты в «Каталог компании». Это позволяет пользователям находить своего коллегу, видеть его фотографию и электронную почту и инициировать с ним видеозвонок. Для сотрудников компаний такой подход весьма удобен, но приложение также объединяет пользователей, подписавшихся на данную услугу с помощью личной электронной почты. То есть, затронутый пользователь может видеть в своем «Каталоге компании» личные электронные адреса и фотографии людей с тем же доменом, даже если никто из них на самом деле не является его коллегой.

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Вопросы к шифрованию

На сайте Zoom декларируется, что все видеозвонки защищены end-2-end-шифрованием, однако исследователи выяснили, что в действительности все не так красиво: сервис действительно использует шифрование, но сеансовый ключ клиентская программа запрашивает у одного из серверов “системы управления ключами”, входящими в состав облачной инфраструктуры Zoom.

Две уязвимости в macos-клиенте

Бывший сотрудник АНБ Патрик Уордл обнаружил в Zoom-клиенте для macOS две уязвимости, позволявшие злоумышленнику захватить контроль над устройством.

Первая уязвимость была связана с тем, что инсталлятор Zoom применял технику теневой установки, которую часто используют вредоносные программы, чтобы установиться без взаимодействия с пользователем. Локальный непривилегированный злоумышленник мог внедрить в инсталлятор Zoom вредоносный код и получить привилегии root.

Вторая уязвимость позволяла атакующему внедрить вредоносный код в установленный Zoom-клиент и получить доступ к камере и микрофону, которые уже предоставлены приложению. При этом не будет отображаться никаких дополнительных запросов или уведомлений.

Дыры в безопасности

Снова по-весне, всплыла информация о торговле обнаруженными дырами и ‘кротовыми норами’ в защите сервиса. Пользователи обнаружили две проблемы в системе, и не сообщили о находках разработчикам. А решили вести преступную торговлю проблемами в системе.

Это было озвучено человеком, ранее торговавшим информацией о ‘дырах’ в системе. Он рассказал, что одна проблема выявлена в программе для Виндовс, вторая для МакОС. Разработчики заявили, что провели проверку, и не обнаружили ‘пробоин’ в защите программ.

Еще одна проблема шифрования в zoom связана с его практической реализацией:

  • хотя в документации указано, что используются 256-битные ключи AES, их фактическая длина составляет лишь 128 бит;

  • алгоритм AES работает в режиме ECB — худшем из возможных режимов работы AES, проблема которого в том, что зашифрованные данные частично сохраняют структуру оригинальных данных.

zoom шифрування
Результат шифрования изображения с использованием режима ECB и других режимов AES / Фото Wikipedia

Запрещённый контент в эфире

Хакеры, привлеченные массовой популярностью платформы, придумали для себе ‘развлечение’ — подключившись к онлайн-собранию, они вклинивались в эфир. И начинали крутить видеоролики содержащие в себе кадры с порнографией или насилием. Для подключения, хулиганы использовали ссылки на конференцию, размещённые в открытых форумах, чатах и группах.

Преследуемая цель, только одна — срыв встречи. Подобное наблюдалось во время школьных уроков. Неизвестные подключались в видеоуроку, и транслировали порно. Способом воспрепятствование подобному, является отправка ссылок в личных сообщениях, использование пароля и отключение доступа к демонстрации экрана.

Защита учетной записи

Для обеспечения безопасности zoom, необходимо:

  • Настроить опцию двухфакторной аутентификации, которая обеспечит дополнительную защиту учёт ной записи.
  • Пароль от личного кабинета, должен быть сложным и надёжным. Стоит избегать комбинаций с цифрами идущими друг за другом или русских слов напечатанных в английской раскладке.
  • Не передавать PMI посторонним людям, не публиковать его на открытых форумах и площадках.

Также, при указании почтового адреса, лучше использовать стороннюю почту. Если она будет взломана, личные данные не уйдут ‘на сторону’.

Зумбомбинг

Вызванный пандемией взрывной рост количества пользователей сервиса в сочетании с не слишком строгими настройками безопасности конференций по умолчанию создал благоприятные условия для разного рода пранков и троллинга. Появились целые сообщества зум-троллей, которые врываются на онлайн-уроки и упражняются там в своеобразном “остроумии”, включая трансляцию своего экрана с игрой или порнороликом, разрисовывая документ на экране непристойными изображениями или громко матерясь.

Но проблема значительно шире, чем просто срыв онлайн-уроков. Журналисты The New York Times нашли множество закрытых чатов и веток на форумах Reddit и 4Chan, участники которыхорганизуют массовые кампании по срыву публичных мероприятий, онлайн-встреч обществ анонимных алкоголиков и других Zoom-встреч.

Используем залы ожидания

В настройках программы, есть опция включения специального режима, которая не позволяет входить в конференцию, не получив разрешения от администратора беседы. Называется она ‘Зал ожидания’.

Все участники при входе в конференцию помещаются в виртуальную комнату, где ждут пока организатор, их не запустит. Если пользователь, во время беседы будет мешать собранию, его перемещают обратно в комнату ожидания.

Включаем демонстрацию только после проверки безопасности данныхВ платформе есть настройка позволяющая участникам собрания показывать происходящее на их экранах. При настройке беседы, необходимо выбрать, кто сможет демонстрировать экран. Доступ к показу экрана, нужно давать проверенным участникам. Если на встрече соберётся много незнакомых людей, лучше отключить показ экрана у собеседников.

Стоит отключать и микрофоны у пользователей в беседе. Когда нет звука, нет и возможности устроить беспорядок в собрании.

Как видно из приведённой информации, в Зуме имеется ряд определённых проблем. Однако, разработчики регулярно исправляют системные баги и пробелы в безопасности. Сохранение конфиденциальности, является и ответственностью самих пользователей Зум. Придерживаясь правил, клиенты помогут сохранять данные в безопасности.

Про сертификаты:  Маркировка табака и сигарет: регистрация, условия обязательной маркировки табака 2020 - 2021 | Официальный сайт Честный ЗНАК

Каждую конференцию на пароль

Пароль необходимо устанавливать на каждую проводимую беседу. Это убережёт трансляцию от вторжения злоумышленников, и защитит передаваемую информацию. Подключится к онлайн-встречи получится у людей получивших, вместе с приглашением и секретный код. Пароль создаётся администратором при создании конференции. Который сообщает остальным участникам.

Чтобы найти пароль, необходимо:

  • В ведущейся трансляции, кликается иконка в виде i, расположенная в верхнем левом углу экрана.
  • Откроется текст, где пароль расположен напротив надписи с соответствующим названием.
  • В запланированной конференции:
  • Открывается раздел ‘Конференции’.
  • Кликается название беседы.
  • Нажимается строка с надписью ‘Показать приглашение на конференцию’.
  • Пароль будет отображаться в нижней строчке появившегося окна.

Как повысить конфиденциальность и безопасность

Минимально требуемые способы защиты личной учетной записи, компьютера или смартфона от вредоносных для устройства программ –  создание надежного пароля и установка антивируса. Безусловно, важно не предоставлять данные авторизации, контакты сторонним пользователям. Также не переходить по неизвестным ссылкам.

Файлы и документы, передаваемые через чат, могут содержать вирусы. Проверяйте все материалы до загрузки.

Как предотвратить zoom-бомбинг и обезопасить ваши видеоконференции

Что такое Zoom-бомбинг?

Zoom-бомбинг относится к нежелательному вторжению незнакомых людей или Интернет-троллей в видеоконференцию Zoom. Цель Zoom-бомбардировщика заключается в том, чтобы посеять хаос различными способами, чаще всего путем вставки непристойных изображений или другого отвлекающего контента во время транслируемой видеоконференции. Как только хакеры получают доступ к собранию, то эти незваные гости обычно делятся своими экранами, чтобы перехватить контроль над собранием и бомбардировать участников отвлекающим или незаконным контентом.

Как предотвратить Zoom-бомбинг: 7 советов

Хотя атака типа Zoom-бомбинг может случиться с кем угодно, вы можете предпринять ряд шагов, чтобы уменьшить вероятность нападения. Недавно Zoom запустил новые параметры безопасности, которые можно настроить во время активного вызова, а также вы можете заранее обезопасить свою встречу, предварительно отключив и включив правильные настройки.

Используйте уникальные идентификаторы для вызова

У каждого пользователя Zoom есть идентификатор персональной конференции (Personal Meeting ID, PMI), который функционирует аналогично номеру телефона. Это цифровой код, которым вы можете поделиться с людьми, когда захотите встретиться с ними, и он остается неизменным. При создании новой конференции у вас есть возможность использовать свой личный идентификатор PMI или сгенерировать случайный и уникальный идентификатор.

Ваш PMI полезен для повторяющихся встреч с небольшой группой, так как вы можете использовать его снова и снова без истечения срока действия. Тем не менее, любой, у кого есть ваш PMI, может участвовать в ваших собраниях в любое время. Если ваш PMI обнаружен в Интернете, он уязвим для использования злоумышленниками Zoom, которые теперь могут получить доступ к вашим конференциям. С другой стороны, уникальный идентификатор генерирует новый код каждый раз, когда вы планируете новую конференцию, что делает ее намного более безопасной.

Всегда устанавливайте пароль на доступ к конференции

Используйте опцию «Зал ожидания»

Конференция Zoom может начаться одним из двух способов: в момент входа в конференцию первого пользователя или после того, как ведущий разрешит ее начать. При включенной функции зала ожидания каждый пользователь, который входит в систему, добавляется в очередь и должен быть вручную одобрен организатором конференции. Включение функции зала ожидания является разумной мерой безопасности, поскольку она позволяет организатору проверять всех, кто пытается войти в конференцию, обеспечивая более высокий уровень контроля над тем, кто может и не может присоединиться.

Настройте опции демонстрации экрана

Zoom- бомбардировщики печально известны тем, что перехватывают экран после того, как они вошли в конференцию Zoom. Вы можете предотвратить это, изменив настройки общего доступа к экрану до или во время конференции.

Чтобы настроить элементы управления общим доступом к экрану перед конференцией:

1.    Перейдите на веб-портал Zoom (не в приложение на самом устройстве) и в разделе Личный > Настройки > На конференции (базовые) перейдите к опции «Демонстрация экрана».

2.      Выберите опцию «Только организатор».

Чтобы настроить элементы управления общим доступом к экрану во время конференции:

1.   Посмотрите на опции управления для организатора (они доступны на вашем экране, если вы являетесь организатором конференции) и нажмите на стрелку рядом с кнопкой «Демонстрация экрана»

2. Выберите «Расширенные параметры совместного использования»

3. У опции «Кто может осуществлять демонстрацию?» выберите параметр «Только организатор».

Заблокируйте Вашу конференцию

У организаторов есть возможность заблокировать свои конференции в Zoom после того, как все участники подключились к ней. Блокировка не позволяет никому более подключиться к проводимой конференции – даже тем пользователям, у которых есть правильный идентификатор конференции и пароль. Заблокировать конференцию можно следующим образом:

1. После начала конференции перейдите к опциям управления для организатора и выберите в меню раздел «Участники»

2.    Далее в появившемся экране нажмите на кнопку с тремя точками и в контекстном меню выберите опцию «Заблокировать конференцию»

Отключите у пользователей аудио и видео

Один из верных способов предотвратить отображение непристойного контента на вашей конференции – это отключить у ее участников возможность транслирования видео. Отключить видео можно при планировании конференции на той же вкладке, на которой вы настраиваете свой уникальный идентификатор конференции  и пароль. При планировании новой конференции просто перейдите в раздел «Запланировать конференцию» и отключите опцию «Видео участников».

Чтобы еще больше защитить вашу конференцию от злоумышленников, вы также можете отключить аудио (звук) для всех участников. Организатор конференции может это сделать в опциях настройки планируемой конференции (там же, где и настройка видео), а также после начала конференции. В последнем случае это можно сделать следующим образом:

1. После начала конференции перейдите к опциям управления для организатора и выберите в меню раздел «Участники»

2.     Далее в появившемся справа экране нажмите на кнопку с тремя точками и в контекстном меню выберите опцию «Выключать звук участников при входе»

3. Проверьте там же, что также отключена опция «Разрешить участникам включать свой звук»

Удалите нежелательного участника с вашей конференции

Если в вашу конференцию подключиться нежелательный участник, то вы как организатор имеете право удалить его или приостановить конференцию. Все, что вам нужно сделать, это выбрать раздел «Участники» в опциях управления для организатора в нижней части экрана Zoom, затем навести курсор на имя человека, которого вы хотите удалить, и выбрать «Удалить».

Что делать, если вы столкнулись с Zoom-бомбингом

Если ваша конференция была прервана Zoom-бомбардировщиком, вы можете предпринять несколько шагов в дополнение к его удалению из конференции:

2.     Удалите злоумышленника с вашей конференции: Во время конференции выберите раздел «Участники» в опциях управления для организатора, затем наведите курсор на имя человека, которого вы хотите удалить, и выберите опцию «Удалить».

3.     Проверьте свои настройки в Zoom и убедитесь, что у вас установлены правильные настройки безопасности.

Panda Security в России и СНГ

7(495)105 94 51, marketing@rus.pandasecurity.com

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Каким требованиям законодательства в сфере безопасности отвечает zoom

Все сведения о клиентах, собираемые сервисом применяются только для улучшения процесса работы платформы и для оказания качественных услуг. Компания не собирает информацию для рекламных целей, и не передаёт полученные в результате сбора данные, сторонним лицам. В том числе и рекламным организациям.

Не скачивайте поддельные приложения и моды

Для обеспечения безопасности зум, нельзя качать программы и приложения с посторонних источников. По данным экспертов, в сети-интернет содержится большое количество вредоносного ПО, которое маскируется под приложения от сервиса зум.

Компьютерные программы, необходимо загружать с официального сервиса платформы. А приложения для смартфонов и планшетов, качаются с официальных маркетов приложений.

Недостатки платформы zoom

Несмотря на постоянные совершенствование системы безопасности, уязвимости Zoom по-прежнему имеются. В частности, известны следующие случаи нарушения конфиденциальности:

  • внедрение сторонних пользователей в закрытые видеоконференции;
  • утечка записей, созданных во время видеозвонка в Зоом;
  • отсутствует сквозное шифрование – действия, личная информация пользователей может использоваться социальными сетями для таргетированной рекламы;
  • создание скрытых серверов на ПК после загрузки Zoom, через которые злоумышленники получают удаленный доступ к устройству.
Про сертификаты:  Сертификация окон. Тонкости оформления сертификата на окна: пвх, стеклопакеты | Промтехсерт

Важно понимать, любой сервис, имеющий доступ к микрофону, веб-камере, медиафайлам пользователей по умолчанию не гарантируют полной безопасности приложения, в том числе Zoom.

Неполное удаление видео

Было выяснено, что видеоролики, после удаления были доступны для ознакомления в облачном хранилище, в течение 1-2 часов. Также был обнаружен баг, с помощью которого в платформе находились ролики, через ссылки предназначенные для общего просмотра. Обнаруженные видеофайлы скачивались и просматривались на устройстве.Сервис разработал новое обновление направленное на избавление от бага.

Ответы на неавторизованные xmpp-запросы

В конце апреля в Zoom обнаружилась еще одна неприятная уязвимость. С помощью специально сформированного XMPP-запроса любой желающий мог получить список всех пользователей сервиса, относящихся к любому домену.

Обратите внимание Полезные функции Zoom о которых вы могли не знать: субтитры, зал ожиданий и виртуальный фон

Передача данных

Не так давно, а точнее весной, вскрылась информация о том, что приложение работающее на устройствах с операционной системой ios, сливает сведения о владельцах гаджета в социальную сеть Фейсбук. Даже если владелец смартфона в ней не зарегистрирован. Платформа передавала каким оператором мобильной связи пользуется человек, какой у него смартфон и рекламный код гаджета.

Сливала сведения в каком городе проживает владелец устройства, и к какому часовому поясу он относится. Подобные данные, часто используют при настройке показа рекламы, адаптируя её под конкретного человека.Когда мир узнал об этом баге, Зум избавились от кода пересылавшего данные в социальную сеть. И разработчики по-быстрому создали обновление для приложений.

Но, через пару дней, на компанию был подан судебный иск, за нарушение конфиденциальных данных.

Правила, которые помогут защитить ваши онлайн-конференции.

  1. Используйте последнюю версию ПО.

  2. Загружайте установщик программы только с официальных ресурсов.

  3. Убедитесь, что ID встречи генерируется автоматически для повторяющихся мероприятий.

  4. Не публикуйте ID встреч в интернете.

  5. Запретите передачу файлов.

  6. Разрешите показ экрана только организатору встречи, чтобы защититься от зумбомбинга.

  7. Разрешайте подключение к встречам только авторизованным пользователям.

  8. Закройте возможность новых подключений после начала мероприятия.

  9. Включите для организатора возможность блокировать или удалять участников встречи.

Важно! Zoom наконец сделают безопаснее: компания купила стартап Keybase

Меры, которые реализует разработчик Zoom, и соблюдение правил “онлайн-гигиены” для видеоконференций позволят эффективно и безопасно работать даже в условиях пандемии.

Продажа аккаунтов

В продаже аккаунтов Зум не виноват. Часто сами пользователи сливают данные для входа в аккаунты. Или хакеры подбирают данные для входа, которые были слиты ранее. Как выяснилось, в теневом интернете и закрытых группах на продажу выставлено около полумиллиона аккаунтов. Часть учёток, принадлежит российскому домену.

Прослушка вызовов

Зимой, одна из компаний занимающаяся кибербезопасностью, уведомила общественность о проблеме позволяющей вести прослушку вызовов и просматривать передаваемые в чатах документы и вложенные файлы. Проблема была связана с идентификаторами, которые предназначены для доступа к трансляции.

Злоумышленники создавали базу специальных кодов, и используя программы подбора ключей, искали идентификатор для проводимых видеобесед. Под удар попадали онлайн-собрания без пароля, к которым подходил идентификатор. Как выяснило агентство, вероятность правильного подбора ключа, равняется 4%.

На данный момент, этот баг исправлен разработчиками. Создали опцию отвечающую за использование пароля по умолчанию. Если злоумышленник попытается подключиться к беседе, то через пару попыток, он попадёт в бан.

Реакция компаний и zoom

Учитывая обилие проблем с безопасностью, многие компании и правительственные организации отказываются от Zoom, запрещая своим сотрудникам пользоваться сервисом. В их числе Google, Сенат США и Правительство Германии, NASA и SpaceX, а также множество других компаний и правительств разных стран.

Программ без ошибок не бывает, поэтому их обнаружение в Zoom не является чем-то необычным. Гораздо важнее то, как компания-разработчик реагирует на выявленные ошибки. На начальном этапе Zoom проявил совершенно неприемлемую медлительность, игнорируя уведомления о проблемах.

Однако массовые отказы от использования сервиса сыграли свою роль. В своем интервью CNN в начале апреля CEO Zoom Эрик Юань сказал, что компания двигалась слишком быстро, поэтому они допустили некоторые ошибки. Усвоив урок, они сделали шаг назад, чтобы сосредоточиться на конфиденциальности и безопасности.

Этим шагом назад стала программа “90 дней к безопасности”, запущенная 1 апреля 2020 года. В соответствии с ней компания останавливает работу над новыми функциями и занимается только устранением выявленных проблем, а также проводит аудит безопасности кода.

Видимым для пользователей результатом этой программы стал выпуск Zoom версии 5.0, в которой помимо прочего был произведен апгрейд AES-шифрования до 256 бит, а также реализовано множество других доработок, связанных с безопасностью по умолчанию.

Рекомендации

Использование любых программ требует ответственного отношения к безопасности, и Zoom не исключение.

Связь через посредника

Платформа не имеет нормальной авторизации. Верификация через смс-сообщения отсутствует, а двухфакторная аутентификация работает только в браузерной версии сервиса.

Не доработана защита данных и при подключении к звонку через ссылку. Сведения передаются посреднику (интернет-провайдер или мобильному оператору). Если оператор будет атакован хакерами, то информация клиента утечёт в ‘лапы’ злоумышленников.

Скачивание без согласия

Один из работников компании работающей в сфере кибербезопасности установил, что программа для компьютеров работающих на операционной системе mac, может самостоятельно устанавливаться в систему. При этом не спрашивая разрешения у владельца устройства.

Слабое шифрование видео

Весна, явно не задалась для компании Зум, так как появились заявления о том, что сервис не защищает сквозным шифрованием трансляцию аудио и видеосигналов. Данное шифрование считается наиболее безопасным для передачи данных через ‘всемирную паутину’.

Сервис заявлял на своём сайте и в блоке с информацией для пользователей, что для безопасной передачи сведений применяется сквозной способ шифровки. Однако, на практике выяснилось, что применяется протокол TLS.

Подобное шифрование опасно тем, что кодировка данных происходит между серверами и клиентами. А не между пользователями. Из-за этого, Зум может подслушивать и подсматривать трансляции, и передавать их третьей стороне, например в полицию.

На претензию, компания пояснила, что сквозное шифрование применяется для обеспечения конфиденциальности в чатах. И у организации отсутствует ключ, позволяющий расшифровать передаваемые послания.

Хит-парад багов zoom

За последние несколько месяцев публикации о критических уязвимостях в Zoom появлялись в лентах новостей едва ли не чаще, чем сообщения об ошибках Windows. Приведем самые нашумевшие проблемы:

Хранение кодов в китае

Известно о случаях, когда ключи для шифровки шли на китайские сервера. Организация Зум имеет в своём владении несколько китайских дочерних организаций. И в них трудятся около 700 человек занимающихся разработкой ПО. В теории, кампания, может прогнуться под требования китайского правительства.

Сервис, в ответ на заявление создал настройку позволяющую самостоятельно выбирать территорию, через которую будут проходить ключи. Однако, для владельцев бесплатных учётных записей, данная настройка не действительна.

Шаг 1: до запуска конференции

Чтобы свести к минимуму недостатки работы программы, задайте нужные параметры безопасности. Для этого войдите в личный кабинет на платформе Zoom и откройте раздел «Настройки», расположенный в левой панели.

В блоке «Конференция» обратите внимание на следующие пункты:

Шаг 2: во время видеочата

Управлять настройками конфиденциальности можно во время видеочата. Перейти к ним можно через нижнюю панель:

  • Во вкладке «Безопасность» можно определить возможности участников, активировать зал ожидания и заблокировать конференцию (после запуска никто более не сможет войти в текущую комнату).
  • Кликните на вкладку «Чат» – справа появится окно с сообщениями. Перейдите по иконке в виде трех точек и укажите подходящие параметры.
  • Нажмите на иконку стрелки рядом с «Демонстрация» и выберите, кто может запускать показ экрана.
  • Через пункт «Участники» можно управлять полномочиями членов видеочата – отключать/включать звук и видео. Для этого наведите на имя нужного пользователя или измените параметры через иконку в виде трех точек.

При входе с мобильного устройства в Zoom автоматически включается «Безопасный специальный режим».


Гарантировать полную безопасность использования Zoom, как и любой аналогичный сервис, не может. Однако компания вносит изменения с целью повышения уровня защиты в рамках «90-дневного плана по укреплению безопасности». Однако каждый пользователь также может улучшить конфиденциальность конференции через базовые настройки платформы.

Оцените статью
Мой сертификат
Добавить комментарий