Dėl koronaviruso prevencijos įvedus karantiną, dauguma organizacijų – mokyklos, universitetai, valdžios institucijos ir kitos įstaigos – priverstos tęsti veiklą nuotoliniu būdu, todėl, be įprastų sunkumų, padaugėjo ir kibernetinių grėsmių. Nacionalinis kibernetinio saugumo centras (NKSC) įspėja apie „Zoom“ pažeidžiamumą, duomenų privatumo ir kitas saugumo problemas, todėl Vilniaus universiteto (VU) Kauno fakulteto kibernetinio saugumo tyrimų grupė parengė rekomendacijas saugiam nuotoliniam darbui užtikrinti.

„Zoom“ saugumo ir privatumo problemos

Dirbdami iš namų darbuotojai mažiau tiesiogiai komunikuoja tarpusavyje, o jų naudojami įrenginiai ne visada pakankamai apsaugoti arba galbūt naudojamasi netinkamomis ar nepakankamai saugiomis programomis rengiant internetines garso ir vaizdo konferencijas. Pastarosiomis dienomis viešojoje erdvėje nuskambėjo ne vienas skandalas, susijęs su plačiai naudojama nuotolinio bendravimo programa „Zoom“. Ši programa pasižymi draugiška vartotojo sąsaja, todėl nenuostabu, kad jos populiarumas per karantiną smarkiai padidėjo – pastaruoju metu šio įrankio naudojimas išaugo daugiau nei 5 kartus, tačiau kartu į viešumą iškilo visa aibė problemų, dėl kurių tokios organizacijos kaip NASA, „SpaceX“, „Google“, Niujorko mokyklos, Vokietijos užsienio reikalų ministerija ir kt. ėmė drausti savo darbuotojams darbo tikslais naudoti „Zoom“.

Vienas pirmųjų didesnio atgarsio sulaukusių privatumo pažeidimų paviešintas aptikus, kad „Zoom“ iOS programėlė vartotojų duomenis reklamos tikslais siunčia į „Facebook“ platformą net tuo atveju, kai vartotojas neturi paskyros šiame socialiniame tinkle. Tai nėra nauja praktika, neretai tokie duomenys siunčiami analizuoti ir tolimesnėms reklamos strategijoms rengti. Tačiau šis vartotojų duomenų panaudojimo kanalas nebuvo minimas „Zoom“ privatumo politikoje, kuri buvo pakoreguota, kai tik vartotojai atkreipė dėmesį į šią problemą.

Daugiau nei prieš savaitę buvo aptikta saugumo spraga programinėje įrangoje, leidžianti pavogti „Windows“ operacinės sistemos prisijungimo duomenis naudojant UNC nuorodas „Zoom“ susirašinėjimo metu, dėl to visas įrenginys tapdavo pažeidžiamas. „Zoom“ problema aptikta ir „Apple“ gamintojo MAC kompiuteriuose – dėl saugumo spragos atakuotojas galėjo gauti prieigą prie kompiuterio mikrofono, kameros ir vykdyti kitus veiksmus administratoriaus teisėmis.

Dar viena saugumo spraga yra susijusi su „Zoom“ pokalbių metu siunčiamomis nuorodomis. Norint pakviesti dalyvius į „Zoom“ pokalbį, yra sugeneruojamas trumpas adresas, kurį atspėję įsilaužėliai gali prisijungti prie privačių pokalbių. JAV federalinių tyrimų biuras pateikė savo rekomendacijas dėl atsargumo priemonių naudojant šį įrankį, o visai neseniai viešojoje erdvėje pasirodė ir šimtai įrašų su privačiais pokalbiais.

Kita pastebėta problema susijusi su duomenų šifravimu. Oficialiai „Zoom“ kompanija skelbia, kad duomenys yra šifruojami, tačiau šifruojamas tik ryšys, panašiai, kaip interneto svetainėse, kur naudojant HTTPS protokolą yra šifruojamas ryšio kanalas tarp vartotojo ir svetainės serverio. Programos „Zoom“ naudojimo atveju, kai patys duomenys nešifruojami, jie gali būti pasiekiami šios programos sistemai. Be to, buvo aptikta, kad dalis vaizdo ir garso skambučių buvo siunčiami per Kinijos serverius, nors komunikuojančios šalys nebuvo iš Kinijos.

Galimos alternatyvos

Kadangi „Zoom“ vaizdo ir garso konferencijų programą šiuo metu naudojantys vartotojai gali tapti lengvesniu taikiniu įvairiems įsilaužėliams – gali būti perimami vartotojo duomenys, vykdomos duomenų vagystės, prisijungiama prie įrenginio įtaisų (mikrofono ar vaizdo kameros ir pan.), balandžio 1 d. kompanija paskelbė, kad laikinai stabdo „Zoom“ plėtrą, siekdama išspręsti saugumo ir privatumo problemas.

Verta atkreipti dėmesį, kad ne tik „Zoom“, bet ir dauguma nuotoliniam bendravimui skirtų programinių įrankių yra vienaip ar kitaip pažeidžiami ir rizikingi, todėl potencialias grėsmes kiekvienu atveju turėtų įvertinti ir pats programinės įrangos vartotojas.

VU Kauno fakulteto kibernetinio saugumo tyrimų grupė pabrėžia, kad šiuo metu visas iškilusias savo problemas sprendžianti „Zoom“ nėra tinkamai parengta visuotinai naudoti, todėl šiuo metu siūloma rinktis saugesnes vaizdo ir garso konferencijų programų alternatyvas: „Microsoft Teams“, „Skype“, „Adobe Connect“, „Google Hangouts Meet“, „Cisco Webex“.