10 porad zwiększających poziom bezpieczeństwa i prywatności w serwisie Zoom

Przejmij pełną kontrolę na swoimi spotkaniami realizowanymi poprzez usługę Zoom.

Wymuszenie izolacji społecznej i kwarantanny na całym świecie zmusiło nas do poszukania skutecznych sposobów komunikowania się. Dzięki łatwości użytkowania i atrakcyjnym cenom aplikacja Zoom szybko zyskała na popularności. Tymczasem jej producenci nie byli przygotowani na to, że tak wiele osób weźmie jej bezpieczeństwo pod lupę.

Zwiększona popularność Zooma szybko ujawniła jej wady. Firma dobrze poradziła sobie z ogromnym wzrostem użytkowania i sprawnie zareagowała na odkrycia badaczy bezpieczeństwa. Jednak, podobnie jak w przypadku każdej usługi, aktualizacje kodu nie rozwiążą wszystkich kwestii. Dlatego warto mieć na uwadze część problemów. Oto 10 porad pozwalających dla użytkowników usługi Zoom zwiększyć poziom swojego bezpieczeństwa i prywatności.

1. Zabezpiecz swoje konto

Konfigurując konto w serwisie Zoom, należy stosować podstawowe środki ochronne: użyć silnego i unikatowego hasła oraz zabezpieczyć je uwierzytelnianiem dwuskładnikowym, zwiększając w ten sposób jego bezpieczeństwo i utrudniając ewentualnie włamanie się na nie.

Warto wiedzieć, że po zarejestrowaniu się oprócz loginu i hasła otrzymasz specjalny identyfikator. Nie udostępniaj go nikomu. Ponieważ Zoom oferuje opcję tworzenia publicznych spotkań przy użyciu tego identyfikatora, może on dość łatwo wyciec. Wówczas każda osoba, która go pozna, będzie mogła dołączyć do dowolnego organizowanego przez Ciebie spotkania. Dlatego należycie go chroń przed innymi.

2. Użyj służbowego e-maila, aby zarejestrować się w Zoomie

W aplikacji Zoom wykryto dziwny błąd (który w momencie pisania tego tekstu nie został jeszcze naprawiony), który powoduje, że konta pocztowe z tej samej domeny są traktowane tak, jakby należały do jednej firmy (o ile nie jest to popularna domena typu @gmail.com lub @yahoo.com), a każdy członek tej grupy otrzymuje listę kontaktów pozostałych osób. Doświadczyli tego na przykład użytkownicy, którzy zarejestrowali konta przy użyciu poczty w domenie @yandex.kz, która jest publiczną usługą poczty e-mail w Kazachstanie. Podobna sytuacja może się powtórzyć w przypadku adresów e-mail należących do mniejszych publicznych dostawców poczty e-mail.

Aby więc zarejestrować się w Zoomie, użyj służbowego e-maila — udostępnianie swoich firmowych danych kontaktowych współpracownikom nie stanowi problemu. Jeśli nie masz służbowej poczty e-mail, użyj dodatkowego konta w znanej domenie publicznej, którego nie zna nikt — w ten sposób zachowasz prywatność.

3. Nie daj się nabrać na fałszywe aplikacje Zoom

Denis Parinow, badacz bezpieczeństwa z firmy Kaspersky, odkrył, że w marcu tego roku liczba złośliwych plików noszących nazwy popularnych usług wideokonferencji (Webex, GoToMeeting, Zoom itp.) wzrosła mniej więcej trzykrotnie w porównaniu z roku poprzednim. Najprawdopodobniej oszuści wykorzystują popularność aplikacji takich jak Zoom i próbują ukryć złośliwe oprogramowanie pod postacią klientów do wideokonferencji.

W związku z tym lepiej użyj oficjalnej strony aplikacji Zoom — zoom.us — aby bezpiecznie pobrać ją na komputer, a w przypadku urządzeń mobilnych skorzystaj z oficjalnych sklepów: App Store lub Google Play.

4. Nie udostępniaj linków do konferencji za pośrednictwem mediów społecznościowych

Dziś, jeśli chcesz zorganizować wydarzenie publiczne, często dostępna jest jedynie wersja online. Z tego powodu z usługi Zoom korzysta coraz więcej osób. Jednak nawet jeśli Twoje wydarzenie naprawdę jest otwarte dla wszystkich, lepiej nie udostępniaj łącza do niego w mediach społecznościowych.

Jeśli korzystałeś już z aplikacji Zoom, prawdopodobnie słyszałeś o zjawisku zwanym Zoombombing. Autorem tego terminu jest dziennikarz Josh Constine z magazynu Techcrunch i odnosi się on do trolli zakłócających spotkania Zoom poprzez publikowanie obraźliwych treści. W tej chwili na kilku czatach w serwisie Discord i wątkach na 4Chan (oba są bardzo popularne wśród trolli) omawiane są kolejne cele.

Skąd trolle wiedzą o nadchodzących wydarzeniach? Znajdują je w mediach społecznościowych, dlatego unikaj upubliczniania linków do spotkań organizowanych w serwisie Zoom. A jeśli nie chcesz rezygnować z tej opcji, wyłącz opcję używania osobistego identyfikatora spotkania.

5. Każde spotkanie zabezpieczaj hasłem

Skonfigurowanie hasła do spotkania to najlepszy sposób na to, aby uczestniczyły w nim tylko wybrane osoby. Ostatnio serwis Zoom włączył domyślną ochronę hasłem. Jednak hasło do spotkania to nie to samo co hasło do konta w Zoomie. I podobnie jak linki do spotkań, hasła do nich nigdy nie powinny pojawiać się w mediach społecznościowych ani innych kanałach publicznych. W przeciwnym razie takie spotkanie mogą zakłócać trolle.

6. Włącz opcję Poczekalnia

Innym ustawieniem, które daje większą kontrolę nad spotkaniem, jest Poczekalnia, która jest od niedawna włączona domyślnie. Dzięki niej uczestnicy czekają w „poczekalni”, aż gospodarz zatwierdzi każdego z nich. Daje to możliwość kontrolowania osób dołączających do spotkania — i zidentyfikowania osób, które nie miały w nim uczestniczyć, a które w jakiś sposób zdobyły hasło. Pozwala również przenieść niechcianą osobę ze spotkania do poczekalni. Lepiej więc pozostaw tę opcję włączoną.

7. Zwróć uwagę na funkcje udostępniania ekranu

Wiele aplikacji do wideokonferencji oferuje udostępnianie ekranu, dzięki czemu jeden z uczestników może udostępniać innym swój ekran. Zoom nie jest tu wyjątkiem. Jednak niektóre ustawienia warto mieć na oku:

  • Umożliwienie udostępniania ekranu tylko gospodarzowi lub wszystkim uczestnikom. Jeśli inne osoby nie muszą pokazywać swojego ekranu, wiesz, którą opcję wybrać.
  • Umożliwienie wielu uczestnikom jednoczesnego udostępniania swojego ekranu. Jeśli nie wiesz, czy ta opcja będzie przydatna, lepiej jej nie włączaj. A gdy zajdzie taka potrzeba, wiedz, że masz taką możliwość.

8. Jeśli to możliwe, używaj klienta internetowego

Wiele aplikacji klienckich dla Zooma ma sporo wad. Niektóre wersje umożliwiają hakerom dostęp do kamery i mikrofonu urządzenia, inne umożliwiają stronom internetowym dodawanie użytkowników do połączeń bez ich zgody. Zoom szybko rozwiązał te i wiele innych problemów oraz przestał udostępniać dane użytkowników Facebookowi i LinkedIn. Jednak ze względu na brak odpowiedniej oceny bezpieczeństwa aplikacje umożliwiające korzystanie z Zooma prawdopodobnie są narażone na ataki i mogą stosować nieczyste praktyki, takie jak udostępnianie danych stronom trzecim.

Z tego powodu zalecamy, aby w razie możliwości korzystać z interfejsu internetowego, zamiast instalować aplikację na urządzeniu. Wersja internetowa znajduje się w piaskownicy przeglądarki i nie ma takich uprawnień jak zainstalowana aplikacja, co pozwala ograniczać potencjalne szkody.

W niektórych przypadkach może się jednak okazać, że Zoom pobrał instalator, a do spotkania można dołączyć tylko za pośrednictwem aplikacji klienckiej. W takim przypadku staraj się ograniczyć liczbę urządzeń, na których zainstalowany jest Zoom. Najlepiej, gdyby był to zapasowy smartfon czy laptop. Urządzenie to powinno zawierać jak najmniej informacji osobistych. Chociaż brzmi to nieco paranoicznie, lepiej być mądrym przed szkodą.

A przy okazji: jeśli w Twojej firmie wykorzystywany jest Skype dla firm (znany wcześniej jako Lync), możesz z niego korzystać. Jest kompatybilny z Zoomem i świetnie obsługuje realizowane przez niego połączenia konferencyjne, a przy tym jest wolny od wymienionych wyżej wad.

9. Nie wierz w to, że Zoom zapewnia pełne szyfrowanie

Swoją popularność na rynku Zoom zdobył nie tylko ze względu na ceny i zestaw funkcji, ale także dlatego, że informował o pełnym szyfrowaniu. Dzięki takiemu rozwiązaniu cała komunikacja między Tobą a pozostałymi osobami jest szyfrowana i tylko uczestnicy danego spotkania mają dostęp do wymienianych treści. Wszystkie pozostałe strony, w tym usługodawcy, nie mają do nich dostępu.

Brzmi fajnie, ale według badaczy bezpieczeństwa niestety jest to prawie niemożliwe. Zoom musiał przyznać, że w jego przypadku drugi koniec to w rzeczywistości serwer Zoom — co oznacza, że wideo jest szyfrowane, ale pracownicy firmy Zoom i potencjalnie organy ścigania mają do niego dostęp. Jeśli chodzi o treści wpisywane w czatach, wydaje się, że naprawdę są one w pełni szyfrowane. Takie oszukane szyfrowanie niekoniecznie wiąże się z automatyczną rezygnacją z Zooma — pełnego szyfrowania nie mają również inne popularne usługi do wideokonferencji. Tak czy inaczej, należy o tym pamiętać i unikać omawiania osobistych lub handlowych tajemnic podczas takiego spotkania.

10. Zastanów się, co ludzie mogą zobaczyć lub usłyszeć

Punkt ten odnosi się do każdej usługi wideokonferencji, a nie tylko do Zooma. Zanim dołączysz do rozmowy, zastanów się, co inni mogą zobaczyć i usłyszeć. Warto mieć na sobie kompletny strój i trzymać się podstawowych zasad stosowanych podczas spotkania.

To samo dotyczy ekranu. Jeśli planujesz go udostępnić, zamknij wszystkie okna, aby nie zobaczyły ich inne osoby. Możesz niechcący pokazać prezent-niespodziankę, który kupujesz online dla osoby, z którą właśnie rozmawiasz poprzez Zoom, albo ujawnić, że szukasz pracy — o czym Twój szef nie powinien wiedzieć. Inne przykłady zostawiam Twojej wyobraźni.

Ciesz się korzystaniem z Zooma

Samoizolacja może być nudna i dawać poczucie samotności. Postaraj się wyobrazić sobie, jak to było, gdy nie było internetu, wideokonferencji ani możliwości pracy zdalnej. Cieszymy się, że takie aplikacje jak Zoom istnieją — i że teraz możemy bezpiecznie z nich korzystać.

Porady