Görüntülü görüşme yapmak için riskli platformları kullanmaktan kaçının

11.04.2020
Görüntülü görüşme yapmak için riskli platformları kullanmaktan kaçının
COVID-19'un yayılması, birçok şirketi ve kuruluşu, işlerini sürdürebilmek için uzaktan çalışmaya zorladı . Bu önlem, üretkenliği korurken çalışan sağlığı için iyi bir önlem olsa da, siber saldırganların başarılı olması için daha fazla fırsat sunuyor.

GLOBALEXPO, GLOBALEXPO: Tek bir yerde çevrimiçi sergiler, video görüşmeleri ve konferanslar , burada güvenli video ve video konferans da yapıyoruz. Güvenli Jitsi Meet platformundaki http://meet.globalexpo.online üzerindeki GLOBALEXPO çözümü size %100 verir kimsenin verilerinize erişemeyeceğinden emin olun, herhangi bir şey kaydetmeye veya yüklemeye gerek yok. Bu konuyla daha fazla ilgileniyorsanız, bir makale de var .


GLOBALEXPO, girişiminin bir parçası olarak #POMAHAME" href="http://www.pomahame.eu/"> #POMAHAME her şirkete, çevrimiçi fuarlardan birinde çevrimiçi dünyada kendilerini tanıtma, hatta kısa çevrimiçi görüntülü sohbetler ve video konferanslar yapma fırsatını tamamen ücretsiz, şifre imkanı ile güvenli bir şekilde, şifresiz olarak sunar. kayıt ve herhangi bir kısıtlama olmaksızın. Katılımcı kaydı, herkesin yapabileceği basit adımlardan oluşur . Bu kayıt için 5 dakika ayırın ve çevrimiçi sergilerimizden birine buradan kaydolun > :


KATILIMCI KAYDI





  • Yetkisiz Erişim ve Bombalama
  • Konferans yazılımındaki güvenlik açığı
  • Konferans yazılımının uygulanması ve çalıştırılmasından kaynaklanan zayıflıklar ve hatalar
  • Devam eden video konferanslara yönelik DoS ve DDoS saldırıları


Bombalama ve dinleme



ABD FBI, çevrimiçi eğitim veya iş toplantıları için kullanılan video konferanslara katılan saldırganları engellemek için uyardı. Bazı konferanslar yalnızca mizahi içerikle kesintiye uğrarken, bazılarında tehdit ve sözlü saldırılar içeren pornografik veya nefret dolu içerikler yer aldı. Bu tür olaylar Amerikan liselerinde de kaydedildi. Bilinmeyen bir saldırgan Zoom platformu üzerinden telekonferans çevrimiçi eğitimine katılarak tüm eğitimi kesintiye uğrattı.


Modern video konferans platformları genellikle kamera ve mikrofon kapalıyken veya Dial-in veya genel olarak isimsiz anonim bağlantılara izin verir. telefon ağı. Bu tür katılımcılar, daha büyük video konferanslarda iletişimi gizlice dinleyebilir.


Güvenlik Açığı Kötüye Kullanımı



Güvenlik açığı, video konferans platformlarında bile önlenemez ve güvenlik yamalarının hemen yüklenmesi gibi yazılım güvenlik politikaları burada da geçerlidir. Örneğin, popüler Zoom video konferans çözümüne yönelik Mart ve Nisan güncellemeleri, kötüye kullanıma yol açabilecek birkaç ciddi güvenlik açığını hemen ele alıyor. saldırganlar için fırsatlar. Güvenlik açıkları etkinleştirildi:


  • zayıf uçtan uca şifreleme uygulaması nedeniyle katılımcıların bilgisi olmadan bir video konferansı dinleyin
  • Windows ortamından saldırgana doğru parolaları filtreleyin
  • uygulamayı yüklerken işletim sistemi ayrıcalıklarını atlayın
  • yetkisiz kötü amaçlı kod yükleyin

Zoom platformundaki güvenlik açıkları düzeltilmiş olsa da, birçok kullanıcı uygulamayı güncellemediği için saldırılar devam ediyor.


< / div >

Konferans yazılımının uygulanması ve çalıştırılmasından kaynaklanan zayıflıklar ve hatalar

Her biri yükleniyor Kuruma dış ortamdan erişilebilecek olan teknoloji, altyapının konfigürasyon ve ayarlarında da değişiklikleri beraberinde getirmektedir. En önemli değişiklikler, güvenlik duvarlarında ve diğer güvenlik özelliklerinde kuruluşun çevresinde gerçekleşir. Yöneticiler genellikle güvenliğe zarar veren kurallarda istisnalara izin verir. RDP (son haftalarda açık RDP protokollerinde bir artış gördüğümüz) ve VNC gibi ortak protokollerin yanı sıra belirli bağlantı noktalarının açılması ve güvenliklerinin olmaması, kuruluş içinde bir saldırganın yolunu açıyor. Zayıflıklar ayrıca video konferans çözümünün kendisinin yanlış uygulanmasından, güncel olmayan sürümlerin yüklenmesinden veya sunucunun yetersiz güvenliğinden de kaynaklanabilir, bu da yalnızca güvenliğinin ihlal edilmesine değil, aynı zamanda saldırganın başka bir şirkete izinsiz girmesine de yol açabilir. altyapı.


Yöneticiler ayrıca işleri kolaylaştırır video konferans çözümünün bulunduğu tüm bağlantı noktalarına IP adresi iletişimini açarak, böylece çözümün iletişim kurduğu belirli bağlantı noktalarını aramak zorunda kalmazlar. Böyle bir prosedür, bazı çözümler tarafından doğrudan gereklidir. Ancak bu, yüksek bir riske yol açar ve uygulama sırasında asla gerçekleşmemelidir - ister tüm bağlantı noktalarını açın, ister çok sayıda bağlantı noktasının açılmasını gerektiren bir çözümü uygulayın.


DoS ve DDoS saldırıları


Bir video konferans aramasını kesintiye uğratmanın veya tamamen engellemenin başka bir yolu da devam eden video konferans aramasının gerçek çalışmasına saldırmaktır. Saldırgan, kurbanın altyapısına doğrudan saldırmak veya video konferans görüşmesinin yapıldığı ISS'nin altyapısına saldırmak için bir dizi seçenek arasından seçim yapabilir.





Video konferansı kullanan çoğu uygulama (örneğin Zoom, Webex, Skype) genellikle çalışmak için altyapıya sahip olmanıza gerek kalmadan yalnızca bulut trafiği sağlar. böyle bir hizmet. Video konferans aramaları için bulut çözümü, operasyonel açıdan ucuz bir çözüm olduğu için, kullanıcı açısından avantaj, hız ve kullanım kolaylığı olduğu için büyük bir çekiciliktir. Bununla birlikte, bulut işletim modunun da önemli dezavantajları vardır - işlem, bireysel aramaları kaydedebilen ve depolayabilen harici bir operatör tarafından sağlandığından, konuşmaların gizliliği asla garanti edilemez. Bulut hizmetlerine yapılan saldırılar da özel bir şey değildir - hizmet ne kadar çok kullanılırsa, saldırganlar için hedef o kadar çekici olur.


Video Konferans Güvenlik Önerileri

Video konferans sistemleri işi kolaylaştırır ve işi verimli kılmak için iyi bir araç olabilir. Ancak riskli platformlarda güvenli olmayan video konferans, yüksek güvenlik riski taşır. Bu nedenle Ulusal Siber Güvenlik Merkezi SK-CERT şunları önermektedir:


  • Video konferans için ağ iletişimi şifrelemesi, oturum açarken iki faktörlü kimlik doğrulama ve benzeri gibi iyi bilinen ve yeterli güvenlik özelliklerine sahip iyi bilinen yazılımları kullanın
  • Özellikle hükümet için Zoom'u kullanmanızı önermiyoruz. Başka, daha güvenli alternatifler kullanmanızı öneririz
  • Yalnızca güncellenmiş yazılımı kullanın ve güvenlik güncellemeleri yayınlanırsa kurulumu geciktirmeyin
  • Her video konferans aramasını kapsamlı, tahmin edilmesi zor bir parolayla koruyun. Birden çok video konferans görüşmesinde aynı şifreyi kullanmayın
  • Tercihen video konferans ortamı girişlerini kontrol ederek ve yöneterek ("bekleme" özelliği) her video konferans katılımcısını doğrulayın
  • Video konferansı herkese açık değil özel yapın
  • Video konferans bağlantısını sosyal ağlar veya benzerleri aracılığıyla herkese açık olarak paylaşmayın, bağlantıyı yalnızca video konferansa katılması gereken belirli kişilerle paylaşın
  • Hassas verileri telekonferanslarla iletmek istiyorsanız, bilginin bir parçası olmak için bunu yapın ve bir kısmı arama sırasında söylendi ve diğer kısmı başka bir uygulama üzerinden mesaj olarak gönderdi
  • Video konferansı tehlikeye atacağına dair herhangi bir şüpheniz varsa veya cihazınız garip davranıyorsa, derhal işvereninizi ve kuruluşunuzdaki siber güvenlikten sorumlu kişiyi bilgilendirin. />

Tüm şirketler evden çalışma kurmadığından, ev ofisine güvenlik açısından nasıl yaklaşılacağına dair güvenlik yönergeleri ve düzenlemeleri bile geliştirmediler. .
Späť na blog