Действительно ли программа Zoom небезопасна? Проверяем

АПДЕЙТ 04.04.2020
1) Дополнен список альтернатив Zoom, новая информация об изменениях политики Zoom. Дополнена информация об утечках.
2) МОН отменил уроки в прямом эфире, так как интернет в стране не справляется с такими потоками, дистанционное обучение будет проводиться в других форматах, не требующих стриминга.

АПДЕЙТ 06.04.2020
1) Ряд СМИ опубликовал сообщение о тысячах слитых пользовательских видео, сделанных в Zoom. Все сообщения ссылаются на газету Washington Post и статью от 3 апреля, однако дают неполную, а потому — вводящую в заблуждение информацию. В самой статье чётко сказано, что утечка данных в первую очередь связана с несоблюдением мер кибербезопасности организаторами и сохранением записей конференций на на облачных сервисах и серверах Zoom в стандартном именовании и без защиты, что позволяло хакерам найти их в поиске. Это не снимает ответственности с компании и вопросов к предыдущему соглашению о конфиденциальности, но даёт более чёткое представление о проблеме и не вводит в заблуждение.
2) Как и мы, Washington Post подготовили инструкцию по безопасности в Zoom. Мы дополнили нашу инструкцию (см. ниже в статье) двумя дополнительными полезными советами.

В научной и образовательной среде случилось некоторое подобие паники после ряда публикаций о том, что злоумышленники могут похищать данные пользователей программы Zoom. Преподаватели, вынужденные из-за пандемии коронавируса перейти на дистанционное обучение, срочно ищут аналоги/замену этому ПО для конференций, а нам за несколько часов поступило более десятка запросов от пользователей по этой теме.

И мы понимаем их обеспокоенность, поскольку, например, сообщение ЦАРКА (Центр анализа и расследования кибератак, Казахстан) звучало следующим образом:

Участившиеся ошибки Zoom могут представлять угрозу для Казахстана.
В программном обеспечении Zoom, которое сейчас бьет все рекорды популярности в мире, нашли две критические уязвимости. Одна из ошибок позволяет злоумышленникам красть пароли операционной системы Windows. Вторая уязвимость позволяет получить доступ к микрофону и камере без запроса доступа у пользователя MacOS. Если проблема не устранится в кратчайшее время, Казахстан может столкнуться с массовой атакой, в том числе и на критическую инфраструктуру, из-за временной сверх популярности Zoom.

ЦАРКА

Проверяем, так ли это и рассказываем, что делать, чтобы себя защитить и какие альтернативы Zoom (в том числе — бесплатные) можно использовать. И сначала ответим на главный беспокоящий наших читателей вопрос — «нужно ли срочно удалять Zoom?».

Ответ — нет, если вы соблюдаете необходимые меры безопасности

Несмотря на регулярно возникающие претензии к разработчикам данной программы, стоит отметить, что под давлением других разработчиков и общественности, они исправляют недостатки (иногда из исправляют сами разработчики ОС).
АПДЕЙТ 04.04.2020: Проблемы с конфиденциальностью у данной программы известны уже давно, а на днях появились новые исследования, поэтому мы не рекомендуем использовать данную программу для действительно секретных совещаний и для бизнеса без строгих настроек безопасности.

НО(!) главная проблема безопасности кроется не в самой программе, а в небезопасном поведении её пользователей.

Дело в том, что при соблюдении правил безопасности получить доступ к вашей конференции, организованной с помощью официального клиента программы, можно только если вы выдадите в открытый доступ ссылку и/или ключ конференции. Именно с этим связано предупреждение ФБР о взломах конференций и атаках троллей, которое назвали ZoomBombing и именно это даёт хакерам доступ к вашим данным.

Как обезопасить конференцию в Zoom (видео)

  • Не выдавайте в открытый доступ (не публиковать в соцсетях, открытых группах в мессенджерах, на своих сайтах) ссылки-приглашения в конференцию. Ограничьте список участников, передавайте ссылку на конференцию по e-mail или в защищённом канале только для участников.
  • Включите возможность присоединяться к конференции не скачивая программу, если участники опасаются устанавливать её.
  • Запретите пересылку файлов в чате или выберите разрешённые типы файлов для пересылки.
  • Включите «Зал ожидания»: Участники не смогут войти в конференцию, пока вы не дадите индивидуальное право на вход из зала ожидания. Если зал ожидания включен, настройка разрешения участникам входить в конференцию раньше организатора автоматически отключается.
  • Менее радикальная мера: просто запретить участникам входить в конференцию раньше организатора.
  • Читайте ссылки в чате, перед тем, как кликать на них.
  • На всякий случай, проверьте, используете ли вы официальный клиент. Можно удалить клиент, провести полную чистку и загрузить новый с официального сайта.
  • ВАЖНО: Часть описанных настроек можно включить только на сайте Zoom в своей учётной записи (смотрите видео выше)! Некоторые небезопасные функции Zoom после скандала перевёл по умолчанию в отключенное состояние, но стоить проверить.
  • Если вам нужна запись видеоконференции — не сохраняйте файл в стандартном именовании. Когда Zoom сохраняет видео на компьютере, он дает файлу имя по умолчанию, которое хакер может легко предсказать, а затем искать через одну из бесплатных поисковых систем, которая сканирует открытые веб-каталоги и онлайн-файловые сервисы. Используйте случайное имя файла или уникальное.
  • Zoom позволяет людям загружать свои записи на облачные сервисы Amazon, Dropbox и Google, а также на YouTube и Vimeo. Если вы не хотите, чтобы файл был общедоступным, убедитесь, что ваши учетные записи на этих сайтах настроены на приватные или защищены паролем. Если кто-то попытается найти этот файл, сайт откажет ему в доступе.
  • Если вы считаете, что всё это не обезопасит вас и/или вашу компанию/проект — воспользуйтесь аналогом Zoom. Об аналогах читайте ниже.

Аналоги Zoom для проведения конференций

  1. Google Hangouts и Google Hangouts Meet (корпорация добра всегда готова прийти на помощь).
  2. Jitsi (открытое ПО всегда приятнее, хотя и не всегда достаточно хорошо работает. Но это можно развернуть на собственном сервере).
  3. Skype for Business (требует очень устойчивого интернет-канала).
  4. GoToMeeting (хорошо, но стоит денег).
  5. Slack (приятно, но крайне дорого).
  6. Microsoft Teams (ниже сравнение бесплатных версий МТ и Zoom)

О чём стоит помнить:
1) Так или иначе, потенциально небезопасна любая программа, которой вы даёте доступ к своим личным данным, камере, микрофону, жёсткому диску и облачным хранилищам. Хакеры регулярно пытаются взламывать популярные приложения и им это регулярно удаётся. WhatsApp или WeChat на наш взгляд куда как опаснее, чем Zoom.
2) При использовании других программ для конференций мы настоятельно рекомендуем вам детально изучить настройки и внести необходимые ограничения по пересылке файлов и управлению конференцией.

Итоги

  • Полуправда и манипуляция: Утверждение о том, что «ошибки в программе Zoom могут представлять угрозу для Казахстана» является в большой степени манипулятивным. Во-первых, они могут представлять угрозу по большей части только пользователям Zoom, а не всей стране, сделан перенос с части пользователей на целое. Во-вторых, найденные уязвимости представляют угрозу в основном для тех, кто не соблюдает мер по кибербезопасности во время организации конференций и это касается в принципе любых популярных многопользовательских программ. Практически все СМИ написали об угрозе, но не объяснили её суть и необходимые меры безопасности, касающиеся не только Zoom но и любых других многопользовательских программ.
  • Правда: В Zoom действительно найдены уязвимости, в особенности — в версии для Windows. Если вас это беспокоит — дождитесь исправлений (часть уже вышла), перейдите на браузерную версию или воспользуйтесь программой-аналогом.
  • Если вам интересно, наша редакция продолжает использовать Zoom наравне с Microsoft Teams и Google Hangouts и ещё рядом сервисов для конференций, в том числе Facebook Messenger — естественно — соблюдая все необходимые меры безопасности.

3 апреля Zoom официально признал ошибки и проблемы с конфиденциальностю и объявил, что в ближайшие 90 дней они будут исправлены.

Павел Банников
Журналист, редактор. Филолог-славист. Соавтор и составитель ряда работ по журналистике и языку вражды. Работал журналистом и редактором в различных научно-популярных, развлекательных и общественно-политических изданиях Казахстана. Главный редактор проекта «Фактчек в Казахстане». Медиатренер, создатель образовательного проекта Factcheck.Academy