Действительно ли программа Zoom небезопасна? Проверяем

Родители казахстанских школьников обеспокоены информацией о том, что установив программу Zoom, они могут потерять деньги с карт. Со вчерашнего дня, 2 апреля, в месенджерах и социальных сетях распространилась информация о том, что программа Zoom для дистанционного обучения детей небезопасна. Родители обеспокоены сложившейся ситуацией, многие из-них начали удалять ее, сообщается на сайте Factcheck.kz. - Через эту программу мошенники могут снять деньги. Теперь я боюсь, удалила Zoom, так как мои карты, на которых есть деньги, привязаны к телефону, где была установлена программа дистанционного обучения для школьников, - говорит в сообщении женщина. В научной и образовательной среде случилось некоторое подобие паники после ряда публикаций о том, что злоумышленники могут похищать данные пользователей программы Zoom. Преподаватели, вынужденные из-за пандемии коронавируса перейти на дистанционное обучение, срочно ищут аналоги/замену этому ПО для конференций, а нам за несколько часов поступило более десятка запросов от пользователей по этой теме. И мы понимаем их обеспокоенность, поскольку, например, сообщение ЦАРКА (Центр анализа и расследования кибератак, Казахстан) звучало следующим образом:

Участившиеся ошибки Zoom могут представлять угрозу для Казахстана. В программном обеспечении Zoom, которое сейчас бьет все рекорды популярности в мире, нашли две критические уязвимости. Одна из ошибок позволяет злоумышленникам красть пароли операционной системы Windows. Вторая уязвимость позволяет получить доступ к микрофону и камере без запроса доступа у пользователя MacOS. Если проблема не устранится в кратчайшее время, Казахстан может столкнуться с массовой атакой, в том числе и на критическую инфраструктуру, из-за временной сверхпопулярности Zoom.

Проверяем, так ли это и рассказываем, что делать, чтобы себя защитить и какие альтернативы Zoom (в том числе — бесплатные) можно использовать. И сначала ответим на главный беспокоящий наших читателей вопрос — «нужно ли срочно удалять Zoom?». Ответ — нет, если вы соблюдаете необходимые меры безопасности. Несмотря на регулярно возникающие претензии к разработчикам данной программы, стоит отметить, что под давлением других разработчиков и общественности, они исправляют недостатки (иногда из исправляют сами разработчики ОС). НО(!) главная проблема безопасности кроется больше не в самой программе, а в небезопасном поведении её пользователей. Дело в том, что при соблюдении правил безопасности получить доступ к вашей конференции, организованной с помощью официального клиента программы, можно только если вы выдадите в открытый доступ ссылку и/или ключ конференции. Именно с этим связано предупреждение ФБР о взломах конференций и атаках троллей, которое назвали ZoomBombing и именно это даёт хакерам доступ к вашим данным. Как обезопасить конференцию в Zoom (видео) J-_F9s0R1w0

• Не выдавайте в открытый доступ (не публиковать в соцсетях, открытых группах в мессенджерах, на своих сайтах) ссылки-приглашения в конференцию. Ограничьте список участников, передавайте ссылку на конференцию по e-mail или в защищённом канале только для участников.
• Включите возможность присоединяться к конференции не скачивая программу, если участники опасаются устанавливать её.
• Запретите пересылку файлов в чате или выберите разрешённые типы файлов для пересылки.
• Включите «Зал ожидания»: Участники не смогут войти в конференцию, пока вы не дадите индивидуальное право на вход из зала ожидания. Если зал ожидания включен, настройка разрешения участникам входить в конференцию раньше организатора автоматически отключается.
• Менее радикальная мера: просто запретить участникам входить в конференцию раньше организатора.
• Читайте ссылки в чате перед тем, как кликать на них.
• На всякий случай, проверьте, используете ли вы официальный клиент. Можно удалить клиент, провести полную чистку и загрузить новый с официального сайта.
• ВАЖНО: Часть описанных настроек можно включить только на сайте Zoom в своей учётной записи (смотрите видео выше)! Некоторые небезопасные функции Zoom после скандала перевёл по умолчанию в отключенное состояние, но стоить проверить.
• Если вы считаете, что всё это не обезопасит вас — воспользуйтесь аналогом Zoom. Об аналогах читайте ниже.

Аналоги Zoom для проведения конференций

1. Google Hangouts и Google Hangouts Meet (корпорация добра всегда готова прийти на помощь).
2. Jitsi (открытое ПО всегда приятнее, хотя и не всегда хорошо работает. Но это можно развернуть на собственном сервере).
3. Skype for Business (требует очень устойчивого интернет-канала).
4. GoToMeeting (хорошо, но стоит денег).
5. Slack (приятно, но крайне дорого).

О чём стоит помнить: 1) Так или иначе, потенциально небезопасна любая программа, которой вы даёте доступ к своим личным данным, камере, микрофону, жёсткому диску и облачным хранилищам. Хакеры регулярно пытаются взламывать популярные приложения и им это регулярно удаётся. WhatsApp или WeChat на наш взгляд куда как опаснее, чем Zoom. 2) При использовании других программ для конференций мы настоятельно рекомендуем вам детально изучить настройки и внести необходимые ограничения по пересылке файлов и управлению конференцией.

Итоги

• Полуправда и манипуляция: Утверждение о том, что «ошибки в программе Zoom могут представлять угрозу для Казахстана» является в большой степени манипулятивным. Во-первых, они могут представлять угрозу по большей части только пользователям Zoom, а не всей стране, сделан перенос с части пользователей на целое. Во-вторых, найденные уязвимости представляют угрозу только для тех, кто не соблюдает мер по кибербезопасности во время организации конференций и это касается в принципе любых популярных многопользовательских программ. Практически все СМИ написали об угрозе, но не объяснили её суть и необходимые меры безопасности.
• Правда: В Zoom действительно найдены уязвимости, в особенности — в версии для Windows. Если вас это беспокоит — дождитесь исправлений (часть уже вышла), перейдите на браузерную версию или воспользуйтесь программой-аналогом.
• Если вам интересно, наша редакция продолжает использовать именно Zoom — естественно — соблюдая все меры безопасности.

Мы дорожим каждым нашим подписчиком и читателем, поэтому, пожалуйста, внимательно ознакомьтесь с рекомендациями при комментировании.