Насколько безопасен Skype и другие инструменты для видеоконференций?

На чтение 16 мин. Просмотров 1 Опубликовано
1 год ago1 год ago

1 min

Программное обеспечение для видеоконференций удобно для всего: от общения с членами семьи, которые живут далеко, до организации крупных международных рабочих встреч. Но некоторые программы, используемые для проведения конференций, могут быть не такими безопасными, как вы думаете. В программном обеспечении для проведения конференций, таких как Skype, существует ряд уязвимостей безопасности.

Уязвимости в скайпе

Безопасность видеоконференций - Уязвимости в Skype

Skype является одним из самых популярных инструментов для проведения видеоконференций как для личного пользования, так и для делового общения. И теперь приложение принадлежит Microsoft

, одна из крупнейших технологических компаний в мире. Таким образом, вы можете предположить, что это без проблем безопасности. К сожалению, это не так.

В 2018 году исследователь обнаружил уязвимость безопасности что позволило вредоносным программам изменять компьютеры пользователей с помощью механизма обновления Skype. Если хакеры смогли воспользоваться этой уязвимостью, они могли бы запустить код, который предоставляет им полный доступ через ПК с Windows, на которых установлен Skype. Хакеры могли установить программное обеспечение, украсть данные или шпионить за пользователями.

К счастью, Microsoft выявила и исправила эту проблему до появления отчетов. В пост на форумах поддержки MicrosoftЧлен команды Skype сказал, что эта проблема касается только версий Skype 7.40 и ниже. «Проблема была в программе, которая устанавливает программное обеспечение Skype – проблема была не в самом программном обеспечении Skype», – сказала она в посте. «У установщика текущей версии Skype для Windows (v8) нет этой проблемы, и она доступна с октября 2017 года».

Хорошей новостью в этом случае является то, что Microsoft исправила проблему до того, как о ней стало известно общественности. Однако воспринимайте это как напоминание о том, как важно поддерживать программное обеспечение в актуальном состоянии.

Уязвимости в Zoom

Безопасность видеоконференций - Уязвимости в Zoom

Еще одним популярным вариантом видеоконференций, особенно для бизнеса, является Zoom. Но это также имело свою долю проблем безопасности.

Уязвимость локального веб-сервера Mac

В 2019 году исследователь безопасности Джонатан Лейтшух объявил уязвимость, которую он обнаружил в приложении Zoom для Mac. Эксплойт использовал локальный веб-сервер, который работает в фоновом режиме, чтобы Zoom работал на Mac. Этот локальный веб-сервер имел уязвимости, которые позволяли хакерам взаимодействовать с ним через веб-сайты. Он может даже включать камеры пользователей без их разрешения. Лейчух предупредил, что хакеры могут использовать эту уязвимость, чтобы включить камеры для сбора информации для фишинговых атак.

Странно, сначала Zoom ответил в Сообщение блога по сути отрицая, что это была проблема. Компания заявила, что выпустила исправление, но «мы не заставляли наших пользователей обновлять ее, потому что это эмпирически уязвимость с низким уровнем риска». Они также продолжали критиковать исследователя за то, как он раскрыл эту уязвимость. В некотором смысле такое поведение было более тревожным, чем сама уязвимость. Проблемы безопасности случаются практически с каждой компанией-разработчиком программного обеспечения, но компании должны активно защищать пользователей, когда возникают проблемы.

Увеличить в конце концов отошел от своего положения«Мы неправильно оценили ситуацию и не отреагировали достаточно быстро». Они выпустили обновление для приложения Mac, которое удалило локальный веб-сервер и устранило проблему. Они также пообещали улучшить свою программу вознаграждения за ошибки, чтобы, надеюсь, избежать подобных проблем в будущем.

Шпионаж на собраниях через идентификаторы собраний

Другая уязвимость Zoom была раскрыта Check Point Research в январе 2020 года. Фирма обнаружила проблему с тем, как Zoom назначает идентификаторы собраний. Эти идентификаторы представляют собой строки из девяти – 11 цифр, которые обозначают виртуальную комнату для встреч участников. Можно также установить пароль для собраний. Но если организаторы не устанавливают пароль, идентификатор конференции – это единственное, что делает конференцию конфиденциальной.

Check Point обнаружил, что они могут случайным образом генерировать идентификаторы Zoom Meeting. Затем они могли быстро проверить, были ли эти идентификаторы действительными. В итоге они смогли предсказать около четырех процентов случайно сгенерированных идентификаторов собраний. С помощью этих идентификаторов собраний исследователи смогли получить доступ к собраниям, которые должны были быть закрытыми.

Хорошей новостью было то, что Zoom, похоже, извлекли уроки из своих предыдущих ошибок в отношении безопасности. Когда Check Point обнаружил уязвимость для Zoom, Zoom быстро предпринял действия, чтобы исправить ее. Они принесли защиту, такую ​​как добавление пароля к будущим встречам по умолчанию.

Zoom также изменил свою систему, чтобы посторонним было сложнее определить, действителен ли ID собрания или нет. Наконец, они блокируют устройства, которые повторно сканируют идентификаторы собраний.

Эти изменения должны сделать хакерам намного труднее просматривать собрания Zoom, которые они не должны.

Уязвимости в Webex

Еще один вариант видеоконференций, который вы увидите в деловом мире, – это веб-сайты Cisco Webex Meetings Suite и Webex Meetings Online. Это программное обеспечение имело свою уязвимость, раскрытую и в январе 2020 года. Эта уязвимость позволяла неавторизованному лицу присоединяться к собранию, которое должно было быть защищено паролем, даже если у него не было правильного пароля.

Уязвимость воспользовалась проблемой в мобильном приложении Webex, когда пользователь щелкает веб-ссылку на собрание. Затем браузер направляет приложение на открытие. В этот момент может проникнуть неавторизованный пользователь.

В этом случае Cisco раскрыли уязвимости сами, Компания также заявила, что исправила ошибку и что обновление программного обеспечения не требуется.

Как обезопасить свое программное обеспечение для видеоконференций

Учитывая все эти уязвимости, нелегко быть полностью уверенным в безопасности вашего программного обеспечения для видеоконференций. Но есть несколько шагов, которые вы можете предпринять, чтобы улучшить безопасность вашей видеоконференции:

  • Держите ваше программное обеспечение в актуальном состоянии. Все уязвимости, которые мы обсуждали в этой статье, были исправлены. Но вы можете получить исправление, только если обновите свое программное обеспечение. Отсутствие обновления вашего программного обеспечения оставляет эти дыры в безопасности открытыми.
  • Проверьте, к какому оборудованию имеют доступ ваши приложения, Находитесь ли вы на компьютере или в мобильном приложении, вы можете проверить, имеет ли программное обеспечение доступ к вашей камере.или микрофон. Если вы хотите посещать встречи только с аудио, вы можете вообще отменить доступ к вашей камере.
  • Посмотрите, есть ли на вашем ноутбуке индикатор камеры. Многие современные ноутбуки со встроенными веб-камерами имеют индикатор где-то, который загорается, когда веб-камера используется. Проверьте, работает ли ваш, и если свет горит, когда вы не используете свою камеру, то продолжайте расследование.
  • Помните, что безопасность для проведения конференций – это улица с двусторонним движением. Когда вы проводите конференцию, вам не нужно просто следить за обновлением своего программного обеспечения. Вы также должны поощрять людей, с которыми вы общаетесь, обновлять свое программное обеспечение.

Автор оригинала: Heise Online

  • Перевод

В последнее время участились спекуляции по поводу безопасности известного клиента обмена голосовыми, видео и аудио сообщениями Skype. Согласно последним отчетам (2008 год) в программе обнаружена дыра, которая позволяет перехватывать исходящие и входящие соединения. Сама компания называет такие утверждения голословными. Однако на встрече представителей интернет-провайдеров и австрийского управления сервисов законной прослушки, прошедшей 25 июня, высокопоставленные чиновники в правительстве Австрии сообщили, что для них не является проблемой перехват соединений Skype. Это было также подтверждено рядом других участников, присутствующих на встрече. Skype отказалась дать комментарии по этому поводу, равно как и ответить на вопрос — существуют ли клиенты, позволяющие перехватывать зашифрованный трафик. Однако в Сети множатся слухи о существовании специального прослушивающего устройства или набора устройств, который Skype предлагает купить заинтересованным государствам. Причина слухов кроется в том, что Skype не раскрывает спецификаций протокола и принципов работы клиента, таким образом на компании лежит вся ответственность за шифрование миллионов разговоров по всему миру, что в корне не устраивает представителей из серьезных бизнес-кругов. В прошлом месяце, австрийский провайдер ORF сообщил, что австрийская полиция способна прослушивать соединения Skype. Официальные лица в правительстве на этот раз ограничились лишь общими комментариями. Самое интересное, что на вышеупомянутой встрече не присутствовали независимые технические эксперты, состав участников включал в себя юристов, представителей управляющих органов и заинтересованных правительственных организаций. Они потребовали от австрийских провайдеров предоставить комплексное решение для фильтрации сетевого трафика, который должен идти через специально создаваемые дата центры. Чтобы облегчить фильтрацию, австрийские провайдеры должны предоставлять своим клиентам исключительно статические IP. Естественно, эти усилия обосновываются возросшей угрозой со стороны террористов и усиливающейся активностью преступных организаций, использующих зашифрованные протоколы, в том числе Skype, для общения и планирования преступных действий. Уже известно, что два ведущих австрийских провайдера уже поддались давлению со стороны властей. Специальные устройства для перехвата шифрованного траффика уже были установлены и действуют. Несложно догадаться, что австрийский опыт сейчас активно перенимается другими странами, и неизвестно, являются ли австрийцы первопроходцами.

Сразу стоит оговориться, что, как говорят специалисты, абсолютно безопасных систем не бывает: заряженное ружье рано или поздно выстрелит, и в любой системе при достаточно долгом и тщательном поиске можно обнаружить «дыры». К тому пользователи любой, даже самой безопасной системы далеко не всегда задумываются о том, насколько безопасно их поведение. Поэтому, говоря о безопасности в сфере защиты информации, следует понимать, что защищенная система – это та, которая делает доступ к данным внутри неё настолько дорогим, что её взлом оказывается бессмысленным с экономической точки зрения.

В целом Skype, несмотря на произошедшие за годы его эволюции смену собственника и упрощение системы защиты трафика, продолжает оставаться такой системой. Но с определенными оговорками. Давайте разберемся, что именно делает Skype защищенным и где его слабые места.

Чего опасаться

Изначально Skype разрабатывался как распределенная система, которая передает сообщения напрямую между устройствами конечных пользователей приложения. Доступ к центральному серверу был необходим только для авторизации пользователя. За счет распределенной архитектуры Skype приложение было достаточно трудно блокировать, потому что прямая связь между двумя абонентами давала возможность перебирать различные варианты каналов, находя незаблокированные пути. Дополнительно разработчики популярного сервиса IP-телефонии реализовали стойкое шифрование трафика с помощью длинного ключа, который, в свою очередь, шифровался еще более длинным.

Несмотря на то, что сегодня Skype уже не применяет распределенную структуру в первоначальном виде, в нем используется 7 алгоритмов шифрования, поэтому даже появляющиеся время от времени сообщения о взломе того или другого из них – не причина считать Skype небезопасным средством общения. Постоянный выпуск новых версий программы, даже несмотря на возможность отказаться от обновления, делает попытки взломщиков еще менее результативными.

По мнению эксперта по информационной безопасности компании SearchInformАлексея Дрозда, сегодня наибольшую угрозу при общении по Skype представляет вовсе не протокол передачи данных, который достаточно надежен, а устройства, на которых Skype установлен. Ведь на них, помимо Skype, может находиться шпионское ПО, которое крадет данные еще до их шифрования Skype-клиентом. Особенно актуально это для пользователей настольных версий Windows и мобильных устройств на платформе Android; куда лучше защищены пользователи продукции Apple и Windows Phone.

Каким именно образом работают Skype-шпионы? Эти приложения перехватывают данные, вводимые пользователем с клавиатуры или микрофона, и перенаправляют их злоумышленникам до того, как Skype успеет их зашифровать. Аналогичным образом, кстати, работают модули контроля Skype, используемые в DLP-системах для защиты от утечки информации через Skype. Только их на рабочих компьютерах устанавливает работодатель, не желающий нести ущерба из-за утечек данных.

Вполне понятно, что для подобных клавиатурных и микрофонных шпионов уязвим не только Skype, но и другие средства общения по Сети, какими бы защищенными протоколами они ни обладали. Даже современные антивирусы не всегда оказываются спасением, особенно когда речь идет об Android: несмотря на их более чем широкую распространенность, на начало 2015 в мире насчитывалось более 16 млн зараженных устройств. Кевин МакНейм, глава по безопасности и директор Alcatel-Lucent Kindsight Security Labs, считает: «Смартфоны на Android являются самой простой мишенью для вредоносных приложений. При этом ноутбуки на Windows по-прежнему остаются главной целью для профессиональных киберпреступников».

Как защититься

Одним из возможных вариантов борьбы за безопасность Skype и других интернет-переговоров от шпионского программного обеспечения является, по мнению специалистов, шифрование устройства на базе Android, а также шифрование Windows с помощью функции BitLocker. Впрочем, и тот, и другой варианты заметно осложняют работу с устройством, поскольку каждый раз требуется вводить пароль, эффективность которого напрямую зависит от его сложности. Кроме того, восстановить данные при утрате пароля в ряде случаев будет просто невозможно. Как отмечаетсертифицированный специалист Microsoftпо пользовательской безопасности Владимир Безмалый, «на сегодня существует непростой выбор – либо вы шифруете ваше устройство и миритесь с огромными неудобствами, либо вы получаете удобство использования, но в ущерб безопасности».

«При совершении звонков из Skype на мобильные и стационарные номера часть беседы, которая проходит в ТСОП (телефонной сети общего пользования), не шифруется. Например, в случае групповых звонков с участием двух пользователей Skype и одного пользователя ТСОП часть звонка в ТСОП не шифруется, но шифруется часть в Skype», ‑ отмечается в официальном сообщении службы поддержки Skype. Поэтому защитой от аппаратных средств прослушки (телефонных «жучков» и т.п.) Skype, конечно же, служить не может.

Еще одна возможность прослушивания Skype доступна только ограниченному кругу лиц, которые работают в спецслужбах. Корпорация Microsoft официально предоставляет им доступ к любой необходимой информации, что предусматривается лицензионным соглашением и политикой конфиденциальности Skype. Подробностей, конечно, никто не раскрывают, но эксперты считают, что все  данные хранятся на серверах Microsoft до тридцати дней. Поэтому если ваша деятельность может как-то заинтересовать спецслужбы, то защищенный протокол Skype ничем помочь не сможет.

Впрочем, гораздо проще, чем внедрять на телефон и ноутбук жертвы троян-перехватчик или договариваться со спецслужбами, воспользоваться методами социальной инженерии и узнать логин и пароль от его или её Skype-аккаунта. Из-за функции автоматического возобновления связи при обрыве доступ к одной учетной записи с разных устройств позволяет злоумышленнику собирать данные жертвы, включая голосовые переговоры.

Таким образом, подводя итоги, можно сделать очень простой вывод: Skype безопасен для тех, кто знает, как им безопасно пользоваться, и при этом не делает с его помощью чего-то противозаконного. Чтобы повысить защищенность переговоров, защитите свои компьютеры и портативные устройства с помощью качественных антивирусов и настроек шифрования данных и никогда не давайте никому свои логин и пароль от Skype.

ПРЕДИСЛОВИЕ

Осенью 2012 года уважаемое сообщество уже обсуждало уязвимость в Скайпе. Обсуждение прошло по всем крупным новостным сайтам и получило широкую огласку т.е. прошло очень удачно, в результате Майкрософт наконец-то закрыл эту уязвимость. Цель этой статьи аналогична — привлечь к проблеме как можно больше внимания в надежде что Майкрософт отреагирует и исправит свою систему безопасности в Скайпе. Через эту дыру невозможно взломать скайп аккаунт, однако последствия могут быть еще печальнее. В системе безопасности скайпа есть такой сервис, нажав правой кнопкой мышки на контакте, из контекстного меню можно выбрать пункт «Заблокировать этого пользователя» и поставить галочку в пункте «Сообщить о нарушении правил этим абонентом».

Этот сервис прекрасно работает и помогает в борьбе со спамом. Но как всегда нашлись «предприимчивые» пользователи и теперь используют этот сервис в «борьбе с неугодными» пользователями скайпа. Как это работает — можно сделать поиск по логину и непосредственно из поиска блокировать и репорт делать или, зная логин, просто вызывать меню через skype:insert_username_here?menu. По предварительным подсчетам достаточно 9 (возможно больше) таких жалоб и аккаунт автоматически блокируется. Сейчас эти новоявленные «хакеры» уже собираются в группы, размещают через соц. сети информацию какой аккаунт нужно заблокировать и он блокируется в течение очень короткого времени. Теперь самое неприятное — служба поддержки скайпа не рассматривает никакие конкретные случаи автоматической блокировки аккаунта. Ответ один — вы нарушили пункт 6.3 Условий использования Skype. В результате что получается — если у вас есть важные контакты, история переписки, красивый и запоминающийся логин, к которому вы уже давно привыкли, оплаченные подписки, деньги на балансе и т.п. вы потеряете это все и навсегда. Угнанный аккаунт можно восстановить через саппорт, доказав что это ваш аккаунт, а в этом случае доказывать что-то бесполезно. На форуме скайпа эта проблема уже давно обсуждается, вот одна из тем goo.gl/64aDA, но к сожалению ничего не меняется. Автор этих строк пострадал лично от потери аккаунта, но возможно кто-то не считает сложившуюся ситуацию с автоматическими блокировками в Скайпе проблемой, прошу обсудить это в комментариях.

Что бы сделали вы, если бы ваш аккаунт был заблокирован таким образом?

  • 48,0%Бился бы с поддержкой Skype «до победного»
  • 35,2%Создал бы новый аккаунт
  • 45,6%Нашел бы альтернативу

Проголосовал 4391 пользователь. Воздержались 718 пользователей.E88DBA03-AEE4-4E52-9104-EC2A5CC483A9_cx0_cy12_cw0_w33_r1.jpg

В Усть-Каменогорске суд провели по Скайпу

B74B8E47-2C21-4EC0-8BBC-DB47F8A934BB_cx0_cy3_cw0_w33_r1.jpg

Криптовечеринка на защите неприкосновенности частной жизни

</li>F769CA5F-9388-423B-B9C3-815E1292B77D_cx0_cy10_cw0_w33_r1.jpg

«Скайп» облегчил властям доступ к данным своих пользователей

</li>B82A16C3-B7D6-4878-B7E5-AB475890E87F_cx0_cy9_cw0_w33_r1.jpg

«Взломать пароль 123456 для хакера ничего не стоит»

</li>DA3FB54A-A96A-469E-81CF-88BE6D47E153_cx0_cy12_cw0_w33_r1.jpg

Интернет революцию в Казахстан не принесет, говорит советник Назарбаева

</li>

  • 46cf124d-d88c-4ff1-9c2f-e69882ac3f11_tv_w100_r1.jpgШалкар Куанышбаев

    Несломленный. Как парень в коляске мотивирует других

  • 6f39cb2e-b763-4cd5-a075-85eec2b8e62e_tv_w33_r1.jpg«Узники» Синьцзяна

    С пикетирующими китайское консульство встретились дипломаты США

  • 8f9e4487-9e88-4cc0-bbaa-bee207823a24_tv_w33_r1.jpgКызылординская область

    Сельчане просят областного акима вмешаться в земельный спор

  • Итоги недели

    Пикеты казахов из Китая: молчание Нур-Султана, воззвание к Вашингтону

  • За свободу родных

    «Почему не вмешиваются Токаев, Назарбаев?» 32-й день протестов у консульства Китая

Весь архив

  • Обзор прессы

    «Комедия» в суде Казахстана, «черепашья» кампания по вакцинации и Блэр, «консультант автократов»

  • Политика

    Пустые обещания: как в Казахстане и Узбекистане всё сулят, да никак не проведут реформы

  • Интервью

    «Угроза независимости». Что не устраивает адвокатов в законопроекте Минюста?

  • Наглядно

    «Спутник V»: что известно о российской вакцине против COVID?

  • Один день

    «Это Тува, братан!» Как живет столица самого бедного региона России

Весь архив

Читайте также

  • Центральная Азия

    Матчество вместо отчества. Вызов «патриархальным» устоям?

  • Мир

    Сайт заблокирован? Это неприятно, но проблему можно решить

  • «Узники» Синьцзяна

    Принудительное расселение мусульман Синьцзяна — в фокусе нового исследования

Используемые источники:

  • https://okdk.ru/naskolko-bezopasen-skype-i-drugie-instrumenty-dlya-videokonferencij/
  • https://habr.com/ru/post/31679/
  • https://forbes.kz/process/internet/kto_i_kak_proslushivaet_skype
  • https://habr.com/post/183302/
  • https://rus.azattyq.org/a/skype-security-and-privacy-issues/24889812.html

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий

© 2024