避免使用有风险的平台进行视频通话

11.04.2020
避免使用有风险的平台进行视频通话
COVID-19 的传播迫使许多公司和组织进行远程工作以保持业务运行。虽然这种预防措施是在保持生产力的同时很好地衡量员工健康,但它也为网络攻击者提供了更多成功的机会。

GLOBALEXPO 鼓励您阅读这篇文章: GLOBALEXPO:在一个地方进行在线展览、视频通话和会议 ,我们还提供安全的视频和视频会议。 http://meet.globalexpo.online 上的 GLOBALEXPO 解决方案在安全的 Jitsi Meet 平台上为您提供 100%相信没有人可以访问您的数据,无需注册或安装任何东西。如果你对这个问题比较感兴趣,还有一篇文章 ,我们在这里比较了一些视频会议和视频通话工具。


GLOBALEXPO 作为 倡议的一部分 #POMAHAME" href="http://www.pomahame.eu/"> #POMAHAME 为每家公司提供在线展览中展示自己的机会,甚至有机会完全免费地进行简短的在线视频聊天和视频会议,可以安全地使用密码,无需注册,没有任何限制。 参展商注册包括简单的步骤,每个人都可以做到。 在此注册中投入 5 分钟,并在此处注册我们的在线展览之一 :


参展商登记





  • 未经授权的访问和轰炸
  • 会议软件漏洞
  • 会议软件的实现和运行带来的弱点和错误
  • 对正在进行的视频会议的 DoS 和 DDoS 攻击


轰炸和窃听



美国 FBI 已警告攻击者加入已用于在线培训或商务会议的视频会议以扰乱他们。虽然一些会议仅被幽默内容打断,但其他会议包含涉及威胁和口头攻击的色情或仇恨内容。此类事件也记录在美国高中,在 未知攻击者通过Zoom平台加入了电话会议在线培训,扰乱了整个培训。


现代视频会议平台通常允许匿名连接没有姓名、关闭摄像头和麦克风、或拨入或来自公众电话网络。这样的参与者可以窃听大型视频会议中的通信。


漏洞滥用



视频会议平台也无法避免漏洞,及时安装安全补丁等软件安全策略也适用于此。例如,流行的 Zoom 视频会议解决方案的 3 月和 4 月更新立即解决了几个可能导致滥用的严重漏洞。 攻击者的机会。 漏洞已启用:


  • 由于端到端加密实施不佳,在参与者不知情的情况下收听视频会议
  • 过滤来自 Windows 环境的密码对攻击者
  • 安装应用时绕过操作系统权限
  • 未经授权安装恶意代码

虽然 Zoom 平台上的漏洞已经修复,但由于许多用户没有更新应用程序,攻击仍然存在。


会议软件的实现和运行带来的弱点和错误

加载每个 可以从外部环境访问组织的技术也带来了基础设施配置和设置的变化。最重要的变化发生在组织周边的防火墙和其他安全功能中。管理员通常允许有损于安全性的规则例外。特定端口的开放,以及 RDP(最近几周我们看到开放的 RDP 协议有所增加)和 VNC 等通用协议的开放,以及它们缺乏安全性为组织内部的攻击者开辟了道路。弱点也可能是由于视频会议解决方案本身的错误实施、安装过时的版本或服务器的安全性不足,这不仅可能导致其受到危害,而且还可能导致攻击者侵入其他公司


管理员也让事情变得更容易 通过打开与视频会议解决方案所在的所有端口的 IP 地址通信,这样他们就不必寻找解决方案通信的特定端口。一些解决方案甚至直接需要这样的过程。但是,这会带来很高的风险,并且在实施过程中绝不应该发生——无论是打开所有端口还是实施需要打开大量端口的解决方案。


DoS 和 DDoS 攻击


另一种破坏或完全阻止视频电话会议的方法是攻击正在进行的视频电话会议的实际操作。攻击者可以从多种选项中进行选择,直接攻击受害者的基础设施或攻击进行视频电话会议的 ISP 的基础设施。





大多数使用视频会议的应用程序(例如 Zoom、Webex、Skype)通常只提供云流量,不需要自己的基础设施来运行这样的服务。视频会议通话的云解决方案是一个很大的吸引力,因为从运营的角度来看它是一个便宜的解决方案,从用户的角度来看,优势是速度和易用性。然而,云操作模式也有其显着的缺点 - 对话的机密性永远无法保证,因为操作是由可以记录和存储个人呼叫的外部运营商提供的。对云服务的攻击也没有什么特别之处——服务使用的越多,攻击者的目标就越有吸引力。


视频会议安全建议

视频会议系统使工作更轻松,是保持工作效率的好工具。然而,在有风险的平台上进行不安全的视频会议具有很高的安全风险。因此,国家网络安全中心SK-CERT建议:


  • 使用知名软件进行视频会议,如网络通信加密、登录时双因素验证等安全功能充足的知名软件
  • 特别是对于政府,我们不建议使用 Zoom。我们建议使用其他更安全的替代品
  • 仅使用更新的软件,如果发布了安全更新,请不要延迟安装
  • 使用全面的、难以猜测的密码保护每个视频电话会议。不要在多个视频会议通话中使用相同的密码
  • 验证每个视频会议参与者,最好通过检查和管理视频会议环境条目(“等待”功能)
  • 将视频会议设为私密,而非公开
  • 请勿通过社交网络等公开分享视频会议链接,仅将链接分享给应参加视频会议的特定人员
  • 如果您想通过电话会议传达敏感数据,请这样做以使您成为信息的一部分 一部分在通话中说,另一部分通过另一个应用程序发送到消息中
  • 如果您怀疑会影响视频会议,或者您的设备行为异常,请立即通知您的雇主和您所在组织的网络安全负责人。/>

由于并非所有公司都已在家办公,因此他们甚至没有制定从安全角度来看如何接近家庭办公室的安全指南和法规.
来源: SK-CERT,国家安全局 ,11.4.2020
Späť na blog