Rizika videokonferencí aneb s čím kdo zachází, tím také schází
Ovládání videokonferenčních aplikací se pomalu stává nutností, neboť se jedná o jeden z hlavních nástrojů pro práci z Home Office, a to ať už jde o komunikaci s kolegy, klienty, dodavateli anebo jako způsob vzdálené výuky.
Ne každý však videokonferenční aplikace ovládá, umí je správně používat, a stejně jako vzdálená práce v aplikacích přináší i videokonference nové bezpečnostní výzvy a rizika, která bychom neměli ignorovat.
Rizika videokonferencí jsou tu s námi mnohem déle, a někteří si jistě vzpomenou na Project Zero team a jejich testy videokonferencí (WebRTC, FaceTime a WhatsApp), při kterých našli 11 vážných zranitelností!
Bavíme-li se o videokonferencích takto obecně, mluvíme hlavně o těch, které jsou přístupné přes web a v drtivé většině přes protokol WebRTC (Google projekt, který se zabýval implementací RTC do prostředí web. prohlížečů), ale nemůžeme opomenout ani starý známý Skype nebo aktuálně tolik “populární” Zoom, který je na tom v poslední době evidentně nejhůře, resp. jeho uživatelé.
Mnohé teď asi napadne, jak chci srovnávat jablka s hruškami, když jen WebRTC využívá i v různých modifikacích možná až tisíce videokonferenčních aplikací, navíc Skype, Zoom a další používají i vlastní proprietární protokoly, byť WebRTC se stává standardem právě z důvodu, že není kromě web. prohlížeče potřeba tlustý klient a velkou výhodou je standardizace bezpečnosti a i to, že jde o open source.
Stejně jako telefonní hovor i ten videokonferenční se skládá ze dvou částí: signalizace (ustanovení, udržování a rozpojení videohovoru) a přenosu média (zvuku/videa). Specifikem pro WebRTC je, že neobsahuje žádnou signalizaci, lze tedy zvolit vlastní, ale jsou tu jisté podmínky, více zde.
Zranitelnosti (a tedy i útoky) se můžou vyskytovat jak v signalizaci, tak i u vlastního přenosu média. Účinným technickým opatřením je umožnit přístup do videokonference pouze z vnitřní sítě nebo z VPN. To lze samozřejmě udělat i u firemního Skype a ošetříme tím zároveň i černé pasažéry z Internetu.
Pokud videokonference uvádí, že je použito bezpečné end-to-end šifrování a zároveň umožňuje spojení více než 2 účastníků, tak už prostý zdravý rozum říká, že tu možná něco nehraje. Opravdu každý účastník videokonference bude mít end-to-end spojení s každým dalším účastníkem videokonference?
Možná u 3 nebo 4 to ještě je možné za předpokladu velmi úsporného využití pásma, ale pokud jich videokonference nabízí např. 32, tak zcela jistě ne. Naopak každý účastník bude mít spojení se serverem, který videokonferenci zajišťuje. Takový server tedy plní úlohu legitimního MiTM zařízení. Aby nedošlo k nedorozumění např. WebRTC nabízí šifrování typu end-to-end mezi dvěma koncovými body. Pokud služba běží peer-to-peer (i když na trase bude TURN server kvůli NATu), je šifrována od začátku do konce, např. jako aplikace Signal. Pokud ale WebRTC používá mediální servery (SFU nebo MCU), pak je více než jisté, že server bude mít přístup k přenášenému médiu!
Nechci se však tentokrát věnovat žádným konkrétním technologiím ani zranitelnostem, nýbrž výhradně rizikům a souvisejícím opatřením, která jsou zpravidla účinná pro většinu videokonferencí. A hlavním rizikem online videokonferencí je únik citlivých informací, kdy zpravidla dochází k triviálnímu zneužití legitimní funkcionality dané aplikace.
Na vině je jednoznačně nedostatečná bezpečnostní osvěta ze strany zaměstnavatele a nízké bezpečnostní povědomí zaměstnanců. Jinými slovy, zaměstnavatel se rozhodl použít pro komunikaci určitou aplikaci, vyzval své zaměstnance k tomu, aby ji začali používat, ale vůbec je neseznámil s jejími funkcemi, ani s riziky dané technologie obecně.
Je s podivem, že musíte být seznámeni s obsluhou kávovaru nebo myčky, a s obsluhou videokonferenční aplikace nikoliv. Před zavedením jakékoliv videokonferenční technologie do firmy rozhodně doporučuji provést penetrační testy.
Bez ohledu na to, jakou používáte videokonferenci, tak nejspíš narazíte na stejný problém a to, jak zajistit, aby se vám do vašeho on-line sezení přihlásili jen ti oprávnění účastníci. A nemusí se hned jednat o průmyslovou špionáž, i když ani tu v tomto případě nelze zcela vyloučit.
Odkaz na přihlášení do videokonference se posílá e-mailem. A účastníkům pak již jen postačí, když na uvedený odkaz kliknou. V takovém případě může dojít k tomu, že e-mail může být omylem doručen jiné osobě, může být přeposlán anebo se může k obsahu e-mailu dostat neoprávněná osoba a ta na odkaz kliknout a do vaší videokonference se tak připojit.
Veškerá bezpečnost se tak odvíjí od zabezpečení vašeho e-mailu a e-mailu všech příjemců, a pokud zaměstnanec při práci z domova používá své soukromé zařízení, kde nejdou zpravidla aplikovány žádné bezpečnostní politiky, systém a aplikace nejsou aktualizované, tak může být toto zařízení kompromitováno.
Přístup do virtuální konferenční místnosti sice můžete chránit heslem, ale pokud toto heslo jde e-mailem spolu s pozvánkou, tak je to víceméně ochrana před někým, komu by se podařilo ID konference uhádnout, což u většiny řešení není možné.
Další možností je pak ještě jednotlivé účastníky umístit do čekárny a před zahájením konference je postupně schvalovat, ale ani zde nemáte jistotu, že povolíte přístup té správné osobě, protože může vystupovat pod jakýmkoliv jménem a vydávat se za zaměstnance jakékoliv organizace. Stejně tak se může stát, že se někdo přihlásí později a ani si toho nevšimnete, že je tam někdo navíc.
Účinným organizačním opatřením je, že se postupně představí všichni účastníci. Pokud jednotlivé účastníky znáte, tak tímto způsobem dokážete eliminovat černého pasažéra, ale u velkých skupin to bude těžko realizovatelné.
V okamžiku, kdy přístup do konferenční místnosti získá neoprávněná osoba, tak stejně jako ostatní účastníci získává informace o přítomnosti ostatních účastníků, což může být někdy též zajímavá informace a dále pak o všem, co bylo řečeno a ukázáno. Vždy mějte na paměti, že kdokoliv z účastníků může provést záznam videokonference a použít ho i k vydírání.
Dále je nutné si dávat pozor na odkazy, které mohou být vloženy kterýmkoliv účastníkem komunikace a vést na stažení škodlivého kódu. Škodlivé odkazy nemusí být jen v e-mailu nebo na webu, ale stále častěji se objevují právě i v těchto nástrojích na online komunikaci. Ne každý nástroj umožňuje zabránit vkládání odkazů.
A pak tu máme riziko, že se k obsahu konference dostane třetí strana, obzvláště v případě, že není zajištěno E2E šifrování. Ale jak je popsáno výše, ne všechna deklarovaná E2E šifrování jsou skutečná E2E šifrování.
V neposlední řadě je také vhodné zmínit jeden takový nešvar a to Zoombombing, který je asi tou nejznámější formou ohrožení videokonferencí, jehož účelem je hlavně videokonferenci narušit a pobavit se na cizí účet, ale i tak bychom neměli zapomínat i na skryté hrozby videokonferencí.
Občas k tomu dojde i nešťastnou náhodu, když se zapomenete odhlásit a můžete mít za chvíli plno a zjistit, že najednou vysíláte živě něco, co ani nechcete.
MALÝ, Robert, 2020. Rizika videokonferencí aneb s čím kdo zachází, tím také schází. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/rizika-videokonferenci-aneb-s-cim-kdo-zachazi-tim-take-schazi/. [citováno 07.12.2024].
Štítky: videokonference
K článku “Rizika videokonferencí aneb s čím kdo zachází, tím také schází” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.