Як (Чи) безпечно використовувати Zoom?

З початком карантину Zoom почали користуватись усі й для усього: робочі зустрічі, вечірки з друзями, семінари, уроки чи вебінари за березень щоденний трафік Zoom зріс на 535%. 

Ледь не щодня почали з’являтися новини про вразливості сервісу, злами і те, що Ілон Маск заборонив працівникам SpaceX користуватися Zoom. Логічно, у користувачів постає запитання чи безпечно користуватися сервісом і які він має альтернативи?

Zoombombing

Найпоширеніша загроза під час використання Zoom так званий «Zoombombing», коли до вашої онлайн-зустрічі приєднується стороння людина, часто із суто хуліганських мотивів. «Зумбомбер» може почати транслювати в зустрічі провокативне відео, голосно вмикати музику тощо. Подібні речі були популярними в перші дні карантину, коли багато користувачів лише почали користовуватися Zoom для онлайн-зустрічей і були погано обізнаними із функціоналом сервісу.

Наразі ймовірність «зумбомбінгу» суттєво нижча. Зокрема тому, що Zoom увімкнув деякі функції за замовчуванням:

  • Кімната очікування: учасників підтверджує організатор (host)
  • Пароль для зустрічей: щоб приєднатися до зустрічі потрібно мати не лише ідентифікатор конференції, але й пароль.

Також ви можете налаштувати додаткові опції для захисту. Далі ми розглянемо налаштування доступні для усіх версій Zoom: і безкоштовних, і платних.

Безпекові функції у Zoom до початку зустрічі

Кілька опцій можна налаштувати за посиланням до початку зустрічі.

Вимкнути функцію входу раніше за організатора (join before host)
Учасники не зможуть приєднатися до зустрічі раніше за організатора. Ця функція корисна для запланованих зустрічей, адже при миттєвих зустрічах адміністраторами стають ті, хто її створює.

Вимкнути функцію передачі файлів
Ця функція корисна для зустрічей з багатьма учасниками, які не знають одне одного (вебінари, вечірки, онлайн-мітинги тощо), адже у чат можуть надіслати заражені файли.

Якщо ви берете участь у події і побачили, що хтось надіслав файл або посилання, краще нічого не завантажувати та не переходити за посиланням. Якщо ви перейшли за посиланням і сторінка вимагає пароль від облікового запису пошти, фейсбуку і т.д, не поспішайте вводити дані, адже це може бути фішинговий сайт.


Вимкнути передачу файлів можна у налаштуваннях у розділі In Meeting (basic) > File transfer.

Налаштувати запис зустрічі
Zoom дозволяє записувати зустрічі автоматично та записувати їх в локальний файл (який зберігається на пристрої або у хмарному сховищі). Ви можете керувати цим налаштуванням за посиланням. Zoom надає можливість:

  • вимкнути функцію запису;
  • обмежити її та запитувати в учасників дозвіл на запис зустрічі
  • увімкнути сповіщення, коли хтось записує/закінчує зустріч. 

Кімната очікування
Якщо у вас не з’явилась ця функція автоматично, можете спробувати налаштувати її самостійно. Це можна зробити у налаштуваннях у розділі In Meeting (Advanced) > Waiting Room.

Безпекові налаштування Zoom під час зустрічі

UPD. 8 квітня Zoom спростив деякі безпекові налаштування – тепер у головному вікні з’явилась іконка «Безпека», де можна керувати такими налаштуваннями:

  • блокування зустрічі;
  • кімната очікування;
  • дозволяти учасникам: шерити екран, чатитися, перейменовувати себе.

Детальніше про ці налаштування далі.


Найбільше опцій для налаштування має організатор зустрічі (host).

Керування учасниками
Натиснувши на Керування учасниками (Manage Participants) ви побачите вікно з учасниками, які вже приєднались до зустрічі або які чекають на підтвердження (підтвердити їх можна там).


Організатор зустрічі може передати функції хоста іншим учасникам. Якщо навести вказівник на ім’я учасника, з’явиться кнопка More, яка відкриє кілька функцій, серед яких можливість зробити учасника хостом, видалити учасника або перейменувати його. Також ви можете повернути собі права хоста в будь-який момент.

Натиснувши кнопку More під списком учасників ви побачите більше можливостей хоста:

  • Вимикати мікрофон (mute) учасників при вході (ця функція корисна здебільшого для вебінарів).
  • Дозволяти учасникам знову увімкнути свій мікрофон (unmute). Зверніть увагу, якщо учасник замютив себе сам, він не зможе увімкнути мікрофон, якщо ця функція вимкнена. 
  • Закрити зустріч. Якщо хочете додатково убезпечитись від того, щоб до вашої зустрічі не приєдналися сторонні люди, після початку зустрічі можна скористатися цією функцією. Нові учасники не можуть приєднуватися до закритої зустрічі. 
  • Керувати залом очікування. Додавати/видаляти учасників зустрічі.

Скріншерінг
Також, для більшого комфорту зустрічі, можна обмежити можливості учасників поширювати екран свого комп’ютера тощо. Це можна зробити, натиснувши стрілку біля Share screen > Advanced Sharing Options.


Але ж у Zoom регулярно знаходять якісь вразливості!

Так, протягом останніх кількох тижнів у Zoom було виявлено низку вразливостей, які потенційно давали змогу зловмисникам отримувати частковий доступ до пристроїв користувачів. Однак варто розуміти, що вразливості періодично знаходять у будь-якому програмному забезпеченні. Можна із впевненістю сказати, що в операційній системі, офісних програмах, браузері та інших програмах, що встановлені на вашому пристрої, також було знайдено не одну вразливість.

Розробники програмного забезпечення регулярно випускають оновлення безпеки, які закривають відомі вразливості, і саме тому так важливо вчасно оновлювати програмне забезпечення на ваших пристроях.

Якщо ви використовуєте додаток Zoom на смартфоні чи лептопі – важливо встановити оновлення, адже саме за допомогою оновлень сервіс закриває вразливості.

У випадку вразливостей, важливим моментом є те, як швидко розробники реагують на знайдені вразливості і випускають зміни. У випадку Zoom ми бачимо, що компанія оперативно закриває знайдені вразливості, і навіть оголосила 90-денний мораторій на додавання нових функцій, щоб мати змогу зосередитись на безпекових питаннях.

Велика кількість знайдених вразливостей за короткий час може бути пов’язаною із тим, що Zoom несподівано став дуже популярним сервісом, через що на нього звернули увагу багато дослідників. Однак це радше позитивний момент, оскільки таким чином зростає ймовірність, що вразливості знайдуть та опишуть дослідники, а в подальшому розробники їх закриють. 

Але кажуть, що в Zoom є проблеми із шифруванням?

Так, дослідники виявили, що Zoom насправді не використовує наскрізне (end-to-end) шифрування. Це означає, що сама компанія може мати доступ до змісту ваших розмов. Шифрування відбувається між пристроєм користувача і серверами компанії.

За подібним принципом відбувається шифрування у більшості популярних сервісів, сервісів, які ми використовуємо для роботи, наприклад Gmail, Google Диск, звичайні чати у Facebook Messenger, Telegram тощо. 

При цьому Zoom використовує TLS-шифрування, тобто зловмисник, просто приєднавшись до вашого WiFi, і навіть ваш інтернет-провайдер не можуть прослуховувати ваші розмови у Zoom. Якщо ви хочете саме наскрізного шифрування, варто використовувати месенджери, що мають опцію голосових розмов із наскрізним шифруванням, наприклад, WhatsApp. 

А як же скандал із тим, що стали доступними відеозаписи розмов у Zoom?

Так, у Washington Post вийшла стаття про те, що онлайн стали доступними сотні записаних відео із Zoom, включно із записами інтимного характеру. Як відзначається у статті, більшість зустрічей найімовірніше були записані за допомогою вбудованої функції Zoom для запису відео, а після цього зберігалися на сторонніх онлайнових сховищах без паролів.

Що можна порекомендувати у цьому випадку? Подумайте, чи дійсно вам потрібно записувати зустрічі. Якщо ж ви вирішили таки записувати, подбайте, щоб файл із відеозаписом надійно зберігався: якщо зберігаєте у хмарному сховищі, захистіть обліковий запис у ньому надійним паролем і двофакторною аутентифікацією, якщо зберігаєте на комп’ютері, встановіть на комп’ютер пароль. 

Хост має змогу відключити можливість записувати зустріч для учасників за допомогою вбудованих засобів Zoom, які ми описали у налаштуваннях безпеки. Втім, це не є гарантією, що хтось із учасників зустрічі не матиме технічної змоги записати її іншим чином, наприклад зняти відео на смартфон. Це вже питання довіри до учасників зустрічі, яке виходить за межі технічних рекомендацій.

Із ким Zoom ділиться даними: Transparency Reports?

Великі компанії, як-от Google, Facebook, Apple тощо публікують мають затверджені політики, за яких умов та які дані своїх користувачів вони можуть надавати на вимогу правоохоронних органів, та публікують періодичні transparency reports, в яких деталізують, скільки запитів вони отримали за певний період, який відсоток із них задовольнили, яких країн стосувалися запити тощо. Оскільки на фоні карантину та соціальної ізоляції Zoom увійшов до переліку великих сервісів, правозахисники із Access Now звернулись до Zoom із листом, в якому пропоную запровадити аналогічну практику і прозорість щодо того, якими даними користувачів за яких умов Zoom може ділитися із третіми сторонами.

Якщо ви дочитали цей текст до кінця і все ще не отримали для себе відповіді:

  • для онлайн-вечірок з друзями і робочих нарад, на яких ви не обговорюєте надзвичайно сенситивної інформації, Zoom є цілком прийнятним варіантом, але варто його коректно налаштувати;
  • якщо для вас є проблемою, що Zoom має доступ до змісту ваших розмов, а отже теоретично може комусь передати ці дані, для чутливих розмов користуйтесь іншим рішенням із наскрізним шифруванням, наприклад, голосовими дзвінками у WhatsApp.