Blog Banner

הימנע משימוש בפלטפורמות מסוכנות לביצוע שיחות וידאו

    התפשטות ה-COVID-19 אילצה חברות וארגונים רבים לעבוד מרחוק במאמץ להמשיך את העסק לפעול . אמנם אמצעי זהירות זה מהווה מדד טוב לבריאות העובדים תוך שמירה על פרודוקטיביות, אך הוא גם פותח הזדמנויות נוספות לתוקפי סייבר להצליח.

    GLOBALEXPO מעודד אותך לקרוא את המאמר: GLOBALEXPO: תערוכות מקוונות, שיחות וידיאו וכנסים במקום אחד , שבו אנו עושים גם שיחות ועידה בווידאו ווידאו מאובטחות. פתרון GLOBALEXPO ב- http://meet.globalexpo.online בפלטפורמת Jitsi Meet המאובטחת נותן לך 100% ביטחון שאף אחד לא יכול לגשת לנתונים שלך, אין צורך להירשם או להתקין שום דבר. אם אתה מתעניין יותר בנושא זה, יש גם מאמר , שבה השווינו מספר כלים לשיחות ועידה בווידאו ולשיחות וידאו.


    GLOBALEXPO כחלק מיוזמת #POMAHAME" href="http://www.pomahame.eu/"> #POMAHAME מציעה לכל חברה להציג את עצמה בעולם המקוון באחת מהתערוכות המקוונות או אפילו את ההזדמנות לערוך צ'אטים מקוונים קצרים ווידאו ועידות וידאו בחינם לחלוטין, בצורה מאובטחת עם אפשרות לסיסמא, ללא הרשמה וללא כל הגבלה. רישום מציג מורכב משלבים פשוטים שכולם יכולים לעשות. השקיעו 5 דקות של זמן ברישום זה והירשם לאחת מהתערוכות המקוונות שלנו כאן > :


    רישום מציג





    • גישה לא מורשית והפצצה
    • פגיעות בתוכנת ועידות
    • חולשות ושגיאות הנגרמות כתוצאה מהטמעה ותפעול של תוכנת ועידות
    • התקפות DoS ו-DDoS על ועידות וידאו מתמשכות


    הפצצות והאזנות



    ה-FBI האמריקאי הזהיר מפני תוקפים שהצטרפו לוועידות וידאו ששימשו להדרכה מקוונת או פגישות עסקיות כדי לשבש אותם. בעוד שכנסים מסוימים הופרעו רק על ידי תוכן הומוריסטי, אחרים הכילו תוכן פורנוגרפי או שנאה הכולל איומים והתקפות מילוליות. אירועים כאלה נרשמו גם בבתי ספר תיכוניים אמריקאים, בשעה תוקף לא ידוע הצטרף להדרכה המקוונת של שיחות ועידה טלפוניות דרך פלטפורמת Zoom, ושיבוש את כל ההדרכה.


    פלטפורמות מודרניות לשיחות ועידה בווידאו מאפשרות לעתים קרובות חיבורים אנונימיים ללא שם, כשהמצלמה והמיקרופון כבויים, או בחיוג, או מהציבור רשת טלפון. משתתפים כאלה יכולים לצותת לתקשורת בוועידות וידאו גדולות יותר.


    ניצול לרעה של פגיעות



    פגיעות אינה נמנעת אפילו על ידי פלטפורמות ועידות וידאו, ומדיניות אבטחת תוכנה, כגון התקנה מהירה של תיקוני אבטחה, חלה גם כאן. לדוגמה, עדכוני מרץ ואפריל לפתרון ועידת הווידאו הפופולרי Zoom מטפלים מיד בכמה פגיעויות חמורות שעלולות להוביל להתעללות. הזדמנויות לתוקפים. פגיעויות מופעלות:


    • האזן לשיחת וידאו ללא ידיעת המשתתפים עקב הטמעת הצפנה לקויה מקצה לקצה
    • סינון סיסמאות מסביבת Windows לכיוון התוקף
    • עקיפת הרשאות מערכת ההפעלה בעת התקנת האפליקציה
    • התקן קוד זדוני לא מורשה

    למרות שפגיעויות תוקנו בפלטפורמת Zoom, ההתקפות נמשכות מכיוון שמשתמשים רבים לא עדכנו את האפליקציה.


    חולשות ושגיאות הנגרמות כתוצאה מהטמעה ותפעול של תוכנת ועידות

    טוען כל אחד הטכנולוגיה שאמורה להיות נגישה מהסביבה החיצונית לארגון מביאה עמה גם שינויים בתצורה ובהגדרות התשתית. השינויים המשמעותיים ביותר מתרחשים בהיקף הארגון בחומות אש ובמאפייני אבטחה נוספים. מנהלי מערכת מאפשרים לעתים קרובות חריגים לכללים הפוגעים באבטחה. פתיחת פורטים ספציפיים, כמו גם פרוטוקולים נפוצים כמו RDP (שם ראינו עלייה בפרוטוקולי RDP פתוחים בשבועות האחרונים) ו-VNC, וחוסר האבטחה שלהם פותחים את הדרך לתוקף בתוך הארגון. חולשות יכולות להיגרם גם מיישום לא נכון של פתרון ועידת הווידאו עצמו, התקנת גרסאות לא מעודכנות או אבטחה לא מספקת של השרת, מה שעלול להוביל לא רק לפשרה שלו, אלא גם לחדירת התוקף לחברה אחרת. תשתית.


    מנהלי מערכת גם מקלים על הדברים על ידי פתיחת תקשורת כתובות IP לכל היציאות עליהן נמצא פתרון ועידת הווידאו, כך שלא יצטרכו לחפש יציאות ספציפיות דרכן הפתרון מתקשר. הליך כזה אפילו נדרש ישירות על ידי כמה פתרונות. עם זאת, זה מוביל לסיכון גבוה ולעולם לא אמור לקרות במהלך ההטמעה - האם לפתוח את כל הפורטים או ליישם פתרון שדורש פתיחת מספר רב של פורטים.


    התקפות DoS ו-DDoS


    דרך נוספת לשבש או למנוע לחלוטין שיחת ועידת וידאו היא לתקוף את הפעולה בפועל של שיחת ועידת הווידאו המתמשכת. תוקף יכול לבחור מתוך מספר אפשרויות לתקוף ישירות את תשתית הקורבן או לתקוף את התשתית של ספק שירותי האינטרנט שעליה מתקיימת שיחת ועידת הווידאו.





    רוב היישומים המשתמשים בשיחות ועידה בווידאו (למשל Zoom, Webex, Skype) מספקות בדרך כלל תעבורת ענן בלבד, ללא צורך בבעלות על התשתית שתפעל שירות כזה. פתרון הענן לשיחות ועידה בווידאו מהווה אטרקציה גדולה, שכן מבחינה תפעולית מדובר בפתרון זול, מבחינת המשתמש היתרון הוא מהירות ונוחות שימוש. עם זאת, לאופן הפעולה בענן יש גם חסרונות משמעותיים - לעולם לא ניתן להבטיח את סודיות השיחות, שכן הפעולה ניתנת על ידי מפעיל חיצוני שיכול להקליט ולאחסן שיחות בודדות. גם התקפות על שירותי ענן אינן מיוחדות - ככל שהשירות נעשה שימוש רב יותר, כך המטרה אטרקטיבית יותר עבור התוקפים.


    המלצות אבטחה לשיחות ועידה בווידאו

    מערכות ועידת וידאו מקלות על העבודה ויכולות להיות כלי טוב לשמירה על יעילות העבודה. עם זאת, שיחות ועידה בווידאו לא מאובטחות בפלטפורמות מסוכנות טומנות בחובן סיכון אבטחה גבוה. לכן, המרכז הלאומי לאבטחת סייבר SK-CERT ממליץ:


    • השתמש בתוכנה ידועה בעלות מוניטין טוב ותכונות אבטחה נאותות, כגון הצפנת תקשורת ברשת, אימות דו-גורמי בעת הכניסה וכן הלאה עבור שיחות ועידה בווידאו
    • במיוחד עבור הממשלה, אנו לא ממליצים להשתמש בזום. אנו ממליצים להשתמש בחלופות אחרות ובטוחות יותר
    • השתמש רק בתוכנה מעודכנת ואל תעכב את ההתקנה אם ישוחררו עדכוני אבטחה
    • הגן על כל שיחת ועידת וידאו באמצעות סיסמה מקיפה שקשה לנחש. אל תשתמש באותה סיסמה במספר שיחות ועידה בווידאו
    • אמת כל משתתף בוועידת וידאו, רצוי על ידי בדיקה וניהול של ערכי סביבת ועידת וידאו ("המתנה")
    • הפוך את ועידת הווידאו לפרטית, לא לציבורית
    • אם ברצונך להעביר נתונים רגישים עם ועידות טלפוניות, עשה זאת כדי שתהיו חלק מהמידע וחלק נאמר במהלך השיחה ושלח את החלק השני בהודעה דרך אפליקציה אחרת
    • אם יש לך חשד לפגיעה בשיחות ועידה בווידאו, או אם המכשיר שלך מתנהג בצורה מוזרה, הודע מיד למעסיק שלך ולאדם האחראי על אבטחת הסייבר בארגון שלך. />

    בשל העובדה שלא כל החברות הקימו עבודה מהבית, אפילו לא פיתחו הנחיות ותקנות אבטחה כיצד לגשת למשרד הביתי מנקודת מבט אבטחה .