Kako zaštititi Zoom sastanke od napada nazvanog ''Zoom-bombardovanje''

Vesti, 02.04.2020, 10:30 AM

Mnoge zemlje uvele su zbog pandemije brojna ograničenja kretanja a mnogo kompanija je svoje zaposlene poslalo kući uz obavezu da od kuće nastave sa radom. To je dovelo do toga da je softver za video konferencije Zoom postao popularan način za uspostavljanje kontakta sa kolegama, prijateljima i porodicom, pa čak i za prisustvovanje online časovima fitnesa.

Međutim, sa porastom popularnosti Zooma, sve više je aktuelan i napad nazvan “Zoom-bombardovanje”. Zoom bombardovanje je kada neko dobije neovlašćeni pristup Zoom sastanku posle čega može da na različite načine uznemirava učesnike sastanka, ili da se šali na njihov račun i snimke kasnije objavi na društvenim medijima.

FBI je objavio vodič za korisnike Zooma koji treba da pomogne korisnicima da se zaštite od Zoom bombardovanja.

“FBI je primio više prijava da su konferencije ometane pornografskim i/ili slikama mržnje i pretećim porukama”, upozorava FBI.

Pre svega, važno je razmotriti posledice po privatnost kada odlučite da učestvujete u Zoom sastancima.

Jedna od najvažnijih stvari koju treba imati na umu je da domaćin na svom računaru može sačuvati snimljenu sesiju, uključujući i video i audio. Zato vodite računa o tome šta izgovarate ili otkrivate ako je to nešto što ne biste želeli da neko drugi vidi ili zna. Učesnici sastanka će znati kada se sastanak snima jer će se u gornjem levom uglu prikazati indikator “Recording...”.

Takođe je važno imati na umu da korisnik može preuzimati svoje razgovore pre nego što napusti sastanak. Ovi zapisi će sadržavati samo poruke koje ste mogli da vidite, ali ne i privatne poruke drugih korisnika.

Kako je objavio sajt Intercept Zoom nema pravu end-to-end enkripciju (E2E). To znači da je šifrovana samo komunikacija između učesnika sastanka i Zoomovih servera, dok podaci o sastancima koji prolaze kroz Zoom mrežu nisu. To teoretski znači da bi neko ko je zaposlen u Zoomu mogao da nadgleda saobraćaj sastanka i da ga špijunira, ali Zoom je rekao za Intercept da postoje zaštitne mere koje sprečavaju ovo.

“Zoom ima slojevite zaštitne mere za zaštitu privatnosti naših korisnika, što uključuje sprečavanje bilo koga, uključujući i zaposlene u Zoomu, da direktno pristupe bilo kakvim podacima koje korisnici dele tokom sastanaka, uključujući - ali ne ograničavajući se na video, audio i sadržaj četa tih sastanaka. Ono što je važno, Zoom ne izvlači podatke korisnicka niti prodaje bilo kakve korisničke podatke.”

Sada kada znate potencijalne rizike koje nosi korišćenje Zooma, pre zakazivanja sastanka sa prijateljima ili kolegama, treba znati šta možete da uradite kako biste zaštitili Zoom sastanke.

Prilikom kreiranja novog sastanka, Zoom će automatski omogućiti postavku „Require meeting password“ i dodeliti šestocifrenu lozinku. Ne bi trebalo poništiti ovu opciju, jer ćete na taj način omogućiti pristup vašem sastanku bilo kome, bez vašeg odobrenja.

Zoom omogućava domaćinu da omogući funkciju čekaonice koja sprečava korisnike da uđu na sastanak pre nego što ih domaćin primi. Ova funkcija se može omogućiti tokom kreiranja sastanka otvaranjem naprednih postavki, aktiviranjem postavke „Enable waiting room“, a zatim klikom na dugme „Save“. Kada je ovo omogućeno, svako ko se pridruži sastanku biće smešten u čekaonicu gde će mu se prikazati poruka: “Molimo pričekajte, domaćin sastanka će vas uskoro pustiti.” Domaćin sastanka će biti upozoren kada se neko pridruži sastanku a može videti i one koji čekaju klikom na dugme „Upravljanje učesnicima“ na traci sa alatkama. Zatim može da postavi kursor miša iznad svakog korisnika koji čeka i klikne na „Admit“ ako treba da budu na sastanku.

Ako se od vas zatraži da ažurirate Zoom, učinite to. Najnovije nadogradnje za Zoom omogućavaju podrazumevane lozinke za sastanak i dodaju zaštitu od ljudi koji traže ID-jeve sastanka.

Budući da je Zoom u ovom trenutku toliko popularan, sajber-kriminalci će se usredsrediti na njega kako bi pronašli ranjivosti. Instaliranjem najnovijih ispravki, bićete zaštićeni od otkrivenih ranjivosti.

Svakom Zoom korisniku se dodeljuje stalni „Personal Meeting ID“ (PMI) koji je povezan sa njihovim nalogom. Ako svoj PMI date nekom drugom, on će uvek moći da proveri da li je sastanak u toku i potencijalno mu se može pridružiti ako lozinka nije konfigurisana. Umesto da delite svoj PMI, napravite nove sastanke koje ćete po potrebi deliti sa učesnicima.

Da biste sprečili napad na sastanak, trebalo bi da sprečite učesnike koji nisu domaćin da dele svoj ekran. Ako ste domaćin, to se može učiniti klikom na strelicu gore pored „Share Screen“ u alatnoj traci i zatim klikom na „Advanced Sharing Options“. Kada se otvori ekran “Advanced Sharing Options”, promenite podešavanje “Who Can Share?” podešavanjem na „Only Host“.

Ako su se svi pridružili vašem sastanku i ne pozivate više nikog drugog, zaključajte sastanak kako se više niko ne bi mogao pridružiti. Da biste to učinili, kliknite na dugme „Manage Participants“ na alatnoj traci Zooma i izaberite opciju „More“. Zatim odaberite opciju „Lock Meeting“.

Ako napravite sliku vašeg sastanka, onda će svako ko vidi ovu sliku moći da vidi pridruženi ID sastanka. To može biti poziv za druge ljude da pokušaju da pristupe sastanku.

Na primer, premijer Velike Britanije Boris Džonson objavio je na Twitteru sliku „prvog digitalnog kabineta ikad“, a u sliku je bio uključen i ID sastanka. Ovo su mogli iskoristiti napadači za neovlašćeni pristup sastanku ručnim pridruživanjem preko prikazanog ID-a. Srećom, sastanak virtualnog kabineta bio je zaštićen lozinkom, ali ovo pokazuje zašto svi sastanci treba da imaju lozinku ili barem čekaonicu.

Kada kreirate Zoom sastanke, nikada ne bi trebalo javno objavljivati link za sastanak. Ako to učinite, pretraživači poput Googlea će indeksirati linkove i učiniti ih dostupnim svima koji ih pretražuju. Kako je podrazumevana postavka u Zoomu ugrađivanje lozinki u linkove za poziv, kad osoba ima vaš Zoom link, ona može izvesti Zoom-bombardovanje vašeg sastanka.