Известные проблемы в приложениях для видеоконференций

Рассказываем, как обстоят дела с безопасностью в самых популярных программах для видеоконференций.

#Лучшедома последнее время не только популярный тег в социальных сетях, но и суровая реальность для компаний, которые из-за эпидемии перевели большую часть сотрудников на дистанционный режим работы. Личные встречи уступили место видеосвязи. А поскольку речь на корпоративных совещаниях идет явно не о погоде, то прежде чем остановить свой выбор на той или иной программе, важно разобраться, как в ней реализованы механизмы защиты данных. Сразу хотим оговориться: мы не ставим задачи выяснить, какое из приложений наиболее безопасно, мы просто собрали информацию из открытых источников об известных проблемах.

Google Meet и Google Duo

Компания Google предлагает два сервиса для видеосозвона: Meet и Duo. Первый представляет собой приложение, интегрированное с другими сервисами Google (G Suite). Если ваша компания пользуется ими, Google Meet удобно впишется в работу.

Безопасность — Google Meet

Среди преимуществ этой программы разработчики отмечают надежность инфраструктуры, в которой обрабатываются данные, шифрование (правда, не сквозное) и набор инструментов для защиты, включенных по умолчанию. Как большинство бизнес-продуктов, набор G Suite, в том числе Hangouts Meet, соответствует передовым стандартам безопасности и позволяет управлять настройками и правами доступа.

Безопасность — Google Duo

Мобильное приложение Duo, в свою очередь, защищает информацию с помощью сквозного шифрования. Правда, оно рассчитано на простых пользователей, а количество участников конференции в нем не может превышать 12.

Уязвимости и недостатки

Мы не смогли найти ничего настораживающего, кроме нескольких постов о том, что Google собирает данные пользователей, а поэтому может представлять опасность и для корпоративных секретов. Это, конечно, не значит, что приложения Google идеальны — однако точно известно, что у компании сильная команда безопасников, способная решать проблемы до того, как они причинят реальные неприятности.

Slack

В Slack можно создавать рабочие пространства для разных команд, удобно отображающиеся в одном окне, а также каналы внутри рабочего пространства, посвященные разным проектам. Созвон более 15 пользователей в нем невозможен.

Безопасность

Slack соответствует набору международных стандартов безопасности, в том числе SOC2. Сервис настраивается для работы с медицинской и финансовой информацией и позволяет компаниям выбирать регион, на территории которого будут храниться их данные. Присоединиться к рабочему пространству в Slack кто попало не может: нужно либо приглашение, либо почтовый адрес на корпоративном домене.

Кроме того, Slack предоставляет клиентам гибкие инструменты управления рисками, возможность интеграции с решениями для защиты от утечек (Data Loss Prevention, DLP) и контроль доступа к данным. Например, администраторы могут запретить пользоваться Slack с личных устройств и копировать информацию из каналов.

Уязвимости и недостатки

Создатели сервиса считают, что сквозное шифрование нужно лишь незначительному числу организаций, например из оборонной или банковской отрасли. При этом оно может негативно сказаться на функциональности. Соответственно, сквозного шифрования в Slack нет и, по всей видимости, не предвидится.

В Slack также можно интегрировать сторонние приложения, ответственность за безопасность реализации которых создатели сервиса не несут.

Находят уязвимости и в самом Slack, причем серьезные. Так, весной 2019 года был обнаружен баг, позволяющий воровать данные, а осенью — еще один, эксплуатация которого приводила к перехвату сессии пользователя. Впрочем, обе уязвимости уже исправлены.

Teams

Teams интегрирован в Office 365, и в этом его основное достоинство для корпоративного пользователя. В ответ на увеличение спроса на инструменты для совместной работы Microsoft выпустила бесплатную шестимесячную пробную версию инструмента, но следует помнить, что изменять настройки пользователей и политик в этом случае будет нельзя, а это может сказаться на безопасности.

Безопасность

Teams соответствует ряду международных стандартов, настраивается для работы с конфиденциальными медицинскими данными и предоставляет возможность гибкого управления безопасностью. В некоторых тарифных планах к Teams можно подключать дополнительные инструменты, такие как DLP или сканирование отправляемых файлов. Наше решение для защиты MS Office 365, в частности, сканирует передаваемые через Teams данные, чтобы не допустить распространения угрозы по сети компании.

Передаваемые на сервер данные шифруются, будь то чат или видеозвонки, но речь идет не о сквозном шифровании. Что касается хранения и обработки информации, то она остается в пределах региона, в котором находится ваша компания.

Уязвимости

За уязвимостями в Teams тоже стоит следить. Обычно Microsoft закрывает их достаточно быстро, но время от времени их все-таки находят. Только недавно исследователи обнаружили уязвимость, в теории позволявшую захватить учетную запись.

Skype для бизнеса

Облачная версия Skype для бизнеса — предшественник Teams в составе Office 365, который постепенно уходит в прошлое. Однако вы можете установить сервис на ресурсах вашей организации. Некоторые пользователи считают ее более удобной, чем Teams.

Безопасность

Skype для бизнеса, как и большинство средств видеосвязи, передает информацию в зашифрованном виде, однако не использует сквозное шифрование. Также сервис предоставляет возможность настроить защиту в соответствии с требованиями компании. Кроме того, при использовании локального Skype видеозвонки и другие данные не покидают корпоративную сеть, что с точки зрения безопасности — несомненный плюс.

Уязвимости и недостатки

Стоит учитывать, что срок жизни этого продукта все-таки постепенно подходит к концу. Если Microsoft не изменит свои планы, то в июле 2021 года с поддержки снимут клиентское приложение, а Skype для бизнеса Server 2019 будет получать расширенную поддержку до осени 2025 года.

WebEx Meetings и WebEx Teams

Cisco WebEx Meetings — это узкоспециализированный инструмент для видеосвязи. Cisco WebEx Teams — полноценное средство для совместной работы, которое также поддерживает видеозвонки. Для этого поста нас интересует разница в подходах к шифрованию.

Безопасность

Cisco WebEx Meetings сочетает в себе преимущества бизнес-сервисов и сквозное шифрование. Правда, по умолчанию эта опция отключена, но по запросу от организации провайдер может ее включить. Это приводит к некоторому ограничению функциональности, но если на совещаниях ваши сотрудники обсуждают конфиденциальную информацию, стоит рассмотреть этот вариант. Cisco Webex Teams обеспечивает сквозное шифрование только для переписки и документов, которыми вы обмениваетесь, а вот видео- и аудиозвонки на серверах Cisco расшифровывают.

Уязвимости и недостатки

Только в марте разработчик устранил две уязвимости в Webex Meetings, которые могли привести к удаленному выполнению кода. А в начале прошлого года серьезный баг нашелся в клиенте Webex Teams. Он позволял выполнять команды с привилегиями текущего пользователя, если тот перейдет по вредоносной ссылке. Впрочем, Cisco известна серьезным отношением к безопасности, так что ее сервисы обновляются достаточно оперативно.

WhatsApp

Мессенджер WhatsApp создавался не для бизнеса, а для бытового общения, и все же его можно использовать для видеосовещаний в небольших компаниях или командах: он бесплатен, и большинство сотрудников с ним и так знакомы. А вот для крупного бизнеса эта программа не годится: созваниваться по видеосвязи может не более четырех человек за раз.

Безопасность

Безусловное достоинство WhatsApp — сквозное шифрование. Однако в отличие от бизнес-приложений в WhatsApp почти нет опций по управлению безопасностью чатов и звонков. Приходится полагаться на меры, принятые разработчиками.

Уязвимости и недостатки

По иронии судьбы, в прошлом году именно видеозвонки в WhatsApp эксплуатировали злоумышленники, распространявшие шпионское ПО Pegasus. Разработчики мессенджера устранили баг, но стоит помнить, что приложение не рассчитано на защиту бизнес-класса, и если вы все-таки используете его, то вам следует как минимум внимательно следить за новостями кибербезопасности. Например, недавно в WhatsApp обнаружили уязвимость, из-за которой поисковики индексировали приватные групповые чаты (разработчики ее оперативно закрыли).

Zoom

Облачная платформа для проведения видеоконференций Zoom с начала пандемии COVID-19 не сходит со страниц сайтов с IT-новостями. Ее гибкая ценовая политика (40-минутные конференции на сотню участников можно проводить бесплатно) и удобство в использовании привлекло множество пользователей, но также вызвало и пристальный интерес к ее безопасности.

Безопасность

Сервис соответствует международному стандарту безопасности SOC2, предлагает отдельный тарифный план для медицинских организаций и гибкие настройки. В частности, организатор конференции может заблокировать ее даже для тех, у кого есть нужная ссылка и пароль, запретить запись и так далее. А при необходимости можно настроить Zoom так, чтобы весь трафик оставался внутри компании.

Кроме того, Zoom активно работает над обнаруженными ошибками, а в ближайшее время планирует и вовсе отдать приоритет именно безопасности сервиса, а не внедрению новых функций.

Уязвимости и недостатки

Разработчики Zoom утверждают, что в программе реализовано сквозное шифрование, но как раз тут они не совсем правы. При сквозном шифровании пересылаемые данные не может прочесть никто, кроме отправителя и получателя, а Zoom расшифровывает видео на своих серверах, причем не всегда в той стране, в которой находится ваша компания.

За последнее время в приложениях Zoom обнаружили целый букет уязвимостей разной степени серьезности. Например, в клиентах для Windows и macOS нашелся баг, позволяющий похитить учетные данные от компьютера (разработчики его уже исправили). Еще два бага в приложении для macOS могли стать причиной полного захвата устройства.

Кроме того, в открытые конференции, не защищенные паролем, не раз заявлялись сетевые тролли, публиковали сомнительные комментарии и включали демонстрацию экрана с неприличным контентом. В целом эта проблема лечится грамотной настройкой конференции, но для подстраховки разработчики Zoom включили защиту паролем по умолчанию.

На фоне новостей о проблемах с безопасностью в Zoom от сервиса начали отказываться крупные организации. Однако стоит понимать, что так или иначе уязвимы любые сервисы, и в случае с Zoom против него сыграл во многом внезапный рост популярности.

Каждый выбирает по себе

Абсолютно безопасного приложения для видеоконференций — как и для любых других задач — не существует. Самое разумное — выбирать такой сервис, проблемы которого конкретно для вашей компании не критичны. И помнить, что недостаточно просто установить на устройства сотрудников нужное приложение.

• Уделите внимание настройке выбранного вами сервиса. Помните, что многие утечки происходят из-за того, что администратор разрешил что-то лишнее.
• Вовремя обновляйте программы — уязвимости есть везде, а в обновлениях их исправляют.
• Удостоверьтесь, что сотрудники компании имеют хотя бы базовые навыки безопасной работы в Интернете. Если это не так, организуйте для них дистанционное обучение. В этом вам может помочь наша платформа Kaspersky Automated Security Awareness Platform.

30.04.2020