Problemy z aplikacjami do wideokonferencji

Na ile bezpieczne są najpopularniejsze aplikacje do wideokonferencji?

#zostanwdomu to nie tylko popularny ostatnio hasztag w sieciach społecznościowych, ale także brutalna rzeczywistość dla firm, które musiały oddelegować swoich pracowników do pracy zdalnej ze względu na epidemię nowego koronawirusa. Spotkania osobiste zastąpione zostały wideopołączeniami. Warto jednak zauważyć, że na spotkaniach firmowych nie rozmawia się wyłącznie o pogodzie, a więc zanim wybierzesz aplikację do wideokonferencji, przyjrzyj się stosowanym przez nią mechanizmom zabezpieczającym dane. Nie sprawdzaliśmy tych aplikacji w naszych laboratoriach, lecz przejrzeliśmy publicznie dostępne zasoby, aby dowiedzieć się, jakie problemy powoduje najczęściej używane oprogramowanie tego typu.

Google Meet i Google Duo

Firma Google oferuje dwie usługi połączeń wideo: Meet i Duo. Pierwsza aplikacja integruje się z innymi usługami od Google’a (tzw. G Suite). Jeśli Twoja firma ich używa, Hangouts Meet będzie wygodnym rozwiązaniem.

Google Meet a bezpieczeństwo

Wśród zalet rozwiązania Meet producent wymienia niezawodną infrastrukturę przetwarzania danych, szyfrowanie (jednak nie pełne) oraz zestaw narzędzi zabezpieczających. Wszystkie są aktywne domyślnie. Podobnie jak wiele innych produktów dla biznesu, G Suite, w tym Google Meet, spełnia standardy bezpieczeństwa zaawansowanego i oferuje między innymi możliwość konfiguracji i zarządzanie uprawnieniami dostępowymi.

Google Duo a bezpieczeństwo

Jeśli chodzi o aplikację mobilną Duo, chroni ona dane za pomocą pełnego szyfrowania. Jednak aplikacja ta jest przeznaczona dla użytkowników prywatnych, a nie dla firm. W organizowanych za jej pośrednictwem konferencjach może wziąć udział 12 osób.

Luki w bezpieczeństwie i wady

Poza kilkoma informacjami przypominającymi nam, że firma Google gromadzi dane użytkowników, przez co może stwarzać zagrożenie dla tajemnic handlowych, nie znaleźliśmy konkretnych informacji o bezpieczeństwie tych aplikacji. Nie oznacza to, że usługi Google są bez skazy, lecz raczej świadczy o tym, że dba o nie odpowiedni zespół ds. bezpieczeństwa, który rozwiązuje problemy, zanim wyrządzą one jakiekolwiek szkody.

Slack

W aplikacji Slack można utworzyć wiele czatów, które są widoczne w jednym oknie. Dodatkowo można utworzyć w nich kanały poświęcone różnym projektom. W konferencji może wziąć udział maksymalnie 15 uczestników.

Bezpieczeństwo

Slack spełnia zestaw międzynarodowych standardów bezpieczeństwa, w tym SOC 2. Serwis można tak skonfigurować, aby współpracował z danymi medycznymi i finansowymi. Ponadto umożliwia on firmom wybór regionu, w którym przechowywane będą dane. Aby dołączyć do grupy na Slacku, należy otrzymać zaproszenie lub posiadać adres e-mail w domenie firmowej.

Ponadto Slack oferuje swoim klientom elastyczne instrumenty zarządzania zagrożeniami, integrację z rozwiązaniami Data Loss Prevention (DLP) oraz narzędziami umożliwiającymi kontrolę dostępu do danych. Na przykład administratorzy mogą ograniczyć używanie Slacka na urządzeniach prywatnych i kopiowanie informacji opublikowanych na jego kanałach.

Luki w bezpieczeństwie i wady

Jak twierdzą producenci Slacka, tylko ograniczona liczba firm naprawdę potrzebuje pełnego szyfrowania, a implementacja tej funkcji może ograniczyć funkcjonalność rozwiązania. Dlatego Slack nie ma w planach dodania kompleksowego szyfrowania.

Ponadto Slack umożliwia integrację a innymi aplikacjami, za których bezpieczeństwo Slack nie bierze odpowiedzialności.

Ponadto badacze znaleźli dość poważne problemy z zabezpieczeniami tego rozwiązania. Producenci załatali lukę, która umożliwiała kradzież danych, a także taką, która umożliwiała przechwycenie sesji użytkownika.

Teams

Rozwiązanie Microsoft Teams integruje się z pakietem Office 365, co jest jego największa zaletą w przypadku użytkowników firmowych. W odpowiedzi na zwiększone zapotrzebowanie na pracę z użyciem narzędzi domowych firma Microsoft oferuje aktualnie darmowy sześciomiesięczny okres próbny dla Microsoft Teams, jednak użytkownicy, którzy skorzystają z tej oferty, nie będą mogli skonfigurować ustawień i polityk — co stwarza potencjalne zagrożenie dla bezpieczeństwa.

Bezpieczeństwo

Teams spełnia wiele standardów międzynarodowych. Można go tak skonfigurować, aby obsługiwał poufne dane medyczne. Ponadto producent chwali się, że rozwiązanie zapewnia elastyczne możliwości zarządzania bezpieczeństwem. W niektórych planach taryfowych Teams może zostać zintegrowane z narzędziami dodatkowymi, takimi jak DLP czy skanowanie plików wysyłanych. Nasze rozwiązanie służące do ochrony rozwiązania MS Office 365 skanuje dane wymieniane w ramach Teams, aby uniemożliwić rozprzestrzenianie się szkodliwego oprogramowania w sieci firmowej.

Wysyłane na serwer dane, w postaci rozmów lub wideopołączeń, są szyfrowane, jednak nie w pełni. Jeśli zaś chodzi o przechowywanie i przetwarzanie, informacja nigdy nie wychodzi poza region, w którym działa firma.

Luki w bezpieczeństwie

Dobrym pomysłem jest monitorowanie luk w zabezpieczeniach rozwiązania Teams. Firma Microsoft zwykle szybko je eliminuje, a jednak od czasu do czasu się one pojawiają. Na przykład niedawno badacze znaleźli lukę, która umożliwiała przejęcie konta.

Skype dla firm

Chmurowa wersja rozwiązania Skype dla firm — poprzednika Teams in Office 365 — powoli przechodzi do przeszłości, jednak nadal można zainstalować je lokalnie. Niektórzy użytkownicy uważają, że jest on wygodniejszy niż Teams, a firma Microsoft będzie oferować wsparcie dla lokalnych wersji rozwiązania Skype jeszcze przez jakiś czas.

Bezpieczeństwo

Rozwiązanie Skype dla firm szyfruje informacje, jednak nie jest ono kompleksowe. Zabezpieczenia usługi można dostosować. Ponadto używa ona oprogramowania serwera lokalnego, zatem wideopołączenia i inne dane nigdy nie opuszczają sieci firmowej — co oczywiście jest sporą zaletą.

Luki w bezpieczeństwie i wady

Produkt nie będzie wspierany wiecznie. O ile Microsoft nie zmieni swoich planów, wsparcie dla tej aplikacji zakończy się w lipcu 2021 roku, a Skype for Business Server 2019 otrzyma przedłużone wsparcie do 14 października 2025 roku.

WebEx Meetings i WebEx Teams

Cisco WebEx Meetings to dość specyficzna usługa do wideokonferencji. Cisco WebEx Teams to w pełni funkcjonalna usługa do współpracy, która obsługuje miedzy innymi wideopołączenia. Różnicę stanowi tu podejście do szyfrowania.

Bezpieczeństwo

Cisco WebEx Meetings obejmuje usługi klasy biznesowej oraz pełne szyfrowanie (opcja ta jest domyślnie wyłączona, jednak producent aktywuje ją na żądanie. W pewien sposób ogranicza to funkcjonalność tego narzędzia, lecz jeśli pracownicy wymieniają się informacjami o charakterze poufnym, z pewnością warto się na to zdecydować). Cisco WebEx Teams oferuje pełne szyfrowanie tylko dla korespondencji i dokumentów; połączenia wideo i zwykłe są szyfrowane na serwerach firmy Cisco.

Luki w bezpieczeństwie i wady

Tylko w marcu bieżącego roku producent ten zamknął dwie luki w bezpieczeństwie rozwiązania WebEx Meetings grożące zdalnym wykonaniem kodu. Z kolei na początku zeszłego roku w kliencie WebEx Teams wykryto poważny błąd umożliwiający uruchomienie poleceń z uprawnieniami aktualnego użytkownika. Firma Cisco jest znana z tego, że poważnie traktuje kwestie bezpieczeństwa i szybko aktualizuje swoje usługi.

WhatsApp

Rozwiązanie WhatsApp powstało z myślą o komunikacji osób prywatnych, jednak darmowa aplikacja umożliwia organizowanie wideokonferencji przez małe firmy i zespoły. Program ten nie nadaje się dla większych firm; w wideopołączeniach może wziąć udział tylko czterech uczestników naraz.

Bezpieczeństwo

WhatsApp ma bezsprzeczną zaletę w postaci prawdziwego pełnego szyfrowania. Oznacza to, że ani podmioty trzecie, ani pracownicy WhatsAppa nie mają dostępu do wideopołączeń. Jednak w przeciwieństwie do innych aplikacji dla biznesu, WhatsApp nie oferuje innych możliwości zarządzania bezpieczeństwem czatów ani połączeń oprócz wbudowanych.

Luki w bezpieczeństwie i wady

Tylko w zeszłym roku atakujący dystrybuowali oprogramowanie szpiegowskie Pegasus za pośrednictwem połączeń wideo WhatsApp. Luka została wyeliminowana, jednak warto pamiętać, że aplikacja nie oferuje ochrony klasy biznesowej, zatem użytkownicy powinni śledzić na bieżąco informacje ze świata cyberbezpieczeństwa.

Zoom

Wykorzystująca chmurę platforma do wideokonferencji Zoom co jakiś czas pojawia się w informacjach. Ma ona elastyczny cennik (z darmowym 40-minutowym połączeniem, w którym może wziąć udział do 100 uczestników), a wygodna dla użytkowników formuła przyciągnęła wiele osób. Niestety równie wiele uwagi przyciągnęły również jej słabości.

Bezpieczeństwo

Usługa jest zgodna z międzynarodowym standardem bezpieczeństwa SOC 2, oferuje oddzielny plan zgodny z ustawą HIPAA (Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych), a także umożliwia elastyczną konfigurację. Organizatorzy sesji mogą blokować uczestników nawet wtedy, gdy zdobędą oni łącze i hasło; mogą również zakazać nagrywania itp. W razie potrzeby Zoom można tak skonfigurować, aby ruch nie opuszczał firmy.

Zoom aktywnie eliminuje zgłoszone luki w bezpieczeństwie. Ponadto firma planuje przykładać większą wagę do bezpieczeństwa produktu poprzez dodanie nowych funkcji.

Luki w bezpieczeństwie i wady

Producenci Zooma twierdzą, że rozwiązanie korzysta z szyfrowania kompleksowego, jednak nie do końca jest to prawdą. W szyfrowaniu pełnym nikt oprócz nadawcy i odbiorcy nie może odczytać przesyłanych danych, tymczasem Zoom deszyfruje dane wideo na swoich serwerach i nie zawsze odbywa się to w kraju firmy.

W aplikacjach Zoom zidentyfikowano wiele luk różnej maści. Klienty dla systemu Windows i macOS zawierały wyeliminowane już błędy, dzięki którym hakerzy mogli kraść dane logowania do konta na komputerze. Dwie kolejne luki w aplikacji dla macOS potencjalnie umożliwiają przejęcie całkowitej kontroli nad urządzeniem.

Ponadto według wielu źródeł trole internetowe dołączały do otwartych konferencji, które nie były zabezpieczone hasłem, pozostawiając swoje nieprzyzwoite komentarze i udostępniając swój ekran zwierający obsceniczne treści. Ogólnie problem ten można rozwiązać, odpowiednio konfigurując ustawienia konferencji. Zoom dodał też domyślną ochronę hasłem.

Ze względu na informacje o problemach z bezpieczeństwem aplikacji Zoom większe firmy z niej rezygnują. Trzeba jednak pamiętać, że luki zawierają wszystkie serwisy, a w przypadku Zooma wypadkowa wiąże się z jego ogromną popularnością.

Wybierz aplikację, która najbardziej spełnia Twoje potrzeby

Nie istnieje idealnie bezpieczna aplikacja do wideokonferencji (ani żadna inna). Dlatego zdecyduj się na usługę, której wady nie przeszkadzają Twojej firmie. I pamiętaj, że wybranie odpowiedniej aplikacji to zaledwie pierwszy krok.

  • Poświęć czas na to, aby właściwie skonfigurować usługę. Zbyt luźne ustawienia były powodem pojawienia się wielu wycieków.
  • Terminowo aktualizuj swoją aplikację, aby jak najszybciej usuwać luki w zabezpieczeniach.
  • Zadbaj o to, aby pracownicy władali przynajmniej podstawowymi umiejętnościami w zakresie bezpiecznego zachowania w internecie. Możesz zorganizować też zdalne szkolenie za pośrednictwem naszego rozwiązania Kaspersky Automated Security Awareness Platform.
Porady