وبلاگ کسپرسکی آنلاین | 10 توصیه برای امنیت و حریم خصوصیِ Zoom

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به محض اجرای قرنطینه و فاصله‌‌گذاری اجتماعی در راستای انهدام ویروس کرونا (در سراسر جهان)، افراد به منظور تعامل با همدیگر بلافاصله سراغ کارامدترین ابزار ارتباطی آمدند. برنامه‌ی Zoom با توجه به گزارشاتی که حاکی از کارکرد راحت و قیمت خوبش است به سرعت میان مردم محبوب شد و خیلی زود افراد متوجه شدند که توسعه‌دهندگان Zoom خود را برای این حجم از موشکافی و تحلیل کاربری آماده نکرده‌اند. برای همین با کمی استفاده از آن، ایرادها و نقایص اپ کاملاً مشهود شد. این شرکت افزایش بی‌سابقه‌ی حجم‌کار را به طور یکپارچه‌ای مدیریت نمود و بلافاصله به اکتشافات محققین امنیتی واکنش نشان داد. با این حال، درست مانند هر سرویس دیگری، آپدیت‌های کد پاسخگوی همه‌ی شکایات نیستند. اما برخی مشکلات ارزش گوشزد کردن دارد. در ادامه با ما همراه شوید تا 10 توصیه در راستای امنیت و حریم خصوصی برنامه Zoom خدمتتان ارائه دهیم.

1. محافظت از اکانت

اکانت زوم، اکانتی جداگانه است و برای راه‌اندازی‌اش باید اصول اولیه‌ی محافظت از اکانت را رعایت کنید. از رمزعبوری قوی و منحصر به فرد استفاده نموده، با احراز هویت دو عاملی از اکانت خود محافظت کنید؛ بدین‌ترتیب هک کردن اکانت شما برای مجرمان سایبری سخت‌تر خواهد شد و حتی اگر داده‌های اکانت شما نشت هم پیدا کند باز می‌شود خیلی بهتر آن را محافظت کرد.

بعد از ثبت‌نام، علاوه بر لاگین و پسورد، یک شناسه‌ی جلسه شخصی هم دریافت می‌کنید (Personal Meeting ID). نگذارید این شناسه، عمومی شود. و از آنجایی که Zoomگزینه‌ای برای درست کردن جلساتی عمومی با آی‌دی جلسه شخصی‌تان ارائه می‌دهد پس خیلی راحت می‌شود این شناسه را هک کرد. اگر دست به چنین کاری زدید، پس هر کسی که PMI شما را بداند می‌تواند در هر جلسه‌ای که میزبانی‌اش را بر عهده دارید شرکت کند.

2. استفاده از ایمیل کاری برای ثبت‌نام در Zoom

گیر عجیب و غریب Zoom (که تا زمان نوشتار این مقاله هنوز برطرف نشده است) باعث می‌شود سرویس بنا را بر این بگذارد که ایمیل‌های دامنه‌ای یکسان همه به یک شرکت تعلق دارند برای مثال، چنین بلایی سر کاربرانی آمد که برای ثبت‌نام در اکانت Zoom از ایمیل‌هایی استفاده کردند که با @yandex.kz تمام می‌شد؛ چیزی که در کشور قزاقزستان یک سرویس ایمیل عمومی محسوب می‌شود و ممکن است باری دیگر این بالا سر آدرس ایمیل‌های متعلق به ارائه‌دهندگان ایمیل عمومیِ کوچکتر بیاید.

بنابراین، برای ثبت‌نام در Zoom از ایمیل کاری خود استفاده نمایید. اشتراک‌گذاری جزئیات کانتکت کاری شما با همکارات واقعی‌تان شاید چیز مهمی نباشد. اگر ایمیل کاری ندارید با دامنه‌ی عمومی سرشناس یک برنر اکانت بسازید تا جزئیات کانکت شخصی‌تان محرمانه باقی بماند.

3. فریب اپ های جعلی Zoom را نخوردن

با توجه به کشف دنیس پارینوف، محقق امنیتی کسپرسکی، مارس جاری تعداد فایل‌های آلوده شامل نام سرویس‌های محبوب ویدیو کنفرانس (Webex، GoToMeeting، Zoom و غیره) در فایل‌نیم‌هایشان در مقایسه با تعدادی که او ماه به ماه در طول سال گذشته به آن‌ها برخورد افزایشی سه برابر پیدا کرده است. این احتمالاً بدین‌معناست که مهاجمین دارند از محبوبیت Zoom و سایر اپ‌های این نوع نهایت سوءاستفاده را می‌کند و در حقیقت سعی دارد از کلاینت‌های ویدیو کنفرانس به عنوان پوششی برای بدافزار خود استفاده نمایند.

فریب نخورید! برای دانلود مطمئن Zoom برای مک و پی‌سی از وبسایت رسمی Zoom که zoom.us باشد استفاده کرده و برای دستگاه‌های موبایل نیز به اپ‌استور یا گوگل‌پلی سر بزنید.

4. استفاده نکردن از رسانه‌های اجتماعی برای اشتراک‌گذاری لینک‌های کنفرانس

برخی‌اوقات می‌خواهید میزبان رویدادهای عمومی باشید و در بسیاری از مکان‌ها، رویدادهای آنلاین تنها نوعِ رویدادهای عمومی هستند که این روزها موجودند؛ بنابراین Zoom دارد بیش از هر زمان دیگری افراد را به سمت خود جذب می‌کند. اما حتی اگر رویداد شما به روی همم هم باز باشد باز هم نباید لینک را روی رسانه‌های اجتماعی به اشتراک بگذارید.

اگر پیش از خواندن این مقاله در مورد Zoom می‌دانستید شاید در مورد Zoombombing هم چیزهایی بدانید: واژه‌ایست که جاش کنستین، خبرنگار تک‌کرانچ اولین بار برای توصیف ترول‌هایی که نشست‌های Zoom را –با محتواهایی توهین‌آمیز- خراب می‌کنند استفاده کرد. در حال حاضر چندین چت روی Discord و رشته‌هایی روی Chan4 برای شورش‌های بعدش‌شان از الان در مورد هدف‌ها بحث می‌کنند.

ترول‌ها از کجا در مورد رویدادهای آتی اطلاعات کسب می‌کنند؟ بله، درست است؛ آن‌ها را از روی رسانه‌های اجتماعی پیدا می‌کنند. بنابراین، از پست کردن عمومی لینک‌ها در نشست‌های Zoom، خودداری کنید. اگر به هر دلیلی هنوز هم می‌خواهید چنین کاری را انجام دهید، مطمئن شوید گزینه‌ی Use Personal Meeting ID فعال نیست.

5. محافظت از هر نشست و جلسه با یک رمزعبور

راه‌اندازی رمزعبور برای جلسه‌تان بهترین ابزار تضمین اس؛ تضمین اینکه تنها افرادی که خودتان می‌خواهید در جلسه شما حضور پیدا کنند، می‌توانند باشند. اخیراً Zoom به صور پیش‌فرض محافظت پسورد را روشن گذاشته است- حرکت پسندیده‌ایست. با این کار دیگر رمزعبور جلسه را با رمزعبور اکانت Zoom اشتباه نخواهید گرفت. و در ست مانند لینک‌های جلسه، رمزعبورهای جلسه هم نباید هیچگاه روی رسانه‌های اجتماعی یا کانال‌های عمومی به اشتراک گذاشته شوند؛ در غیر این صورت تمام تلاش‌هایتان در راستای محافظت بی‌ثمر خواهد بود.

6. فعالسازی اتاق انتظار

تنظیمات دیگری که باعث می‌شود کنترل بیشتری روی جلسه داشته باشید، Waiting Room است؛ این قابلیت اخیراً به طور پیش‌فرض فعالسازی شده است: شرکت‌کنندگان را در جایی به نام اتاق انتظار نگه می‌دارد تا میزبان هر یک را تأیید نماید. این به شما اجازه می‌دهد تا هر کسی که به جلسه ملحق می‌شود مورد تأیید خود قرار داده و روی حاضرین نظارت کامل داشته باشید. همچنین شما را قادر می‌سازد تا فردی را که ناخواسته و بی‌اجازه وارد جلسه شده را بیرون بیاندازید (او را وادار کنید برود در اتاق انتظار). توصیه ما به شما این است که این کادر را تیک‌شده بگذارید.

7. توجه به قابلیت‌های اشتراک صفحه نمایش

هر اپ نرمال ویدیو کنفرانسی اشتراک صفحه نمایش را ارائه می‌دهد- قابلیت فرد حاضر در جلسه برای نمایش نمایشگرش به دیگران. Zoom هم از این قاعده مستثنی نیست. برخی تنظیمات که نگاه کردن بهشان خالی از لطف نیست عبارت‌اند از:

محدودسازی قابلیت اشتراک نمایشگر به میزبان یا بسط دادن آن به هر کسی که روی خط است. اگر برای به اشتراک گذاشتن صفحه نمایش افراد دیگر نیازی ندارید می‌دانید که باید چه گزینه‌ای انتخاب شود.

اجازه دادن به چند شرکت‌کننده برای اشتراک‌گذاری همزمانِ صفحه نمایششان. اگر نمی‌توانید بلافاصله متوجه شوید چرا نشست‌هایتان به این قابلیت نیاز دارند شاید هرگز سر و کارتان بدان نیافتد. فقط صرفاً آن را در ذهن داشته باشید تا اگر موقعیتش پیش آمد بتوانید آن را فعال کنید.

8. تا حد امکان متعهد به کلاینت وبی بودن

اپ‌های مختلف کلاینت Zoom انواعی از نقایص را در خود دارند. برخی نسخه‌ها به هکرها اجازه می‌دهند تا به میکروفون یا دوربین دستگاه دسترسی داشته باشند؛ برخی‌دیگر به وبسایت‌ها اجازه می‌دهند تا کاربران را برای تماس Add کنند؛ آن هم بدون رضایتشان. Zoom اما مشکلاتی که پیشتر اشاره کردیم را برطرف کرده است (تا جای امکان)؛ همچنین مشکلت مشابه نیز برطرف شده و البته اشتراک‌گذاری داده‌ها با فیسبوک و لینکدین هم متوقف گشته. با این حال، با توجه به نبود ارزیابی درست امنیتی، اپ‌های Zoom شاید همچنان آسیب‌پذیر باقی بمانند و شاید همچنان با طرف‌سوم‌هایی اقدام به اشتراک‌گذاری داده‌ها کنند.

به همین منظور توصیه‌ی ما به شما این است که به جای نصب اپ روی دستگاه خود (در صورت امکان) از رابط وبی Zoomاستفاده کنید. نسخه‌ی وبی در یک سندباکس داخل مرورگر می‌نشیند و مجوزهایی که اپ نصب‌شده دارد ندارد و همین احتمال آسیب‌رسانی را کمتر می‌کند.

اما در برخی موارد، حتی اگر می‌خواهید از رابط وبی هم استفاده کنید شاید متوجه شوید که Zoom پیش‌پیش installerرا دانلود کرده است و دیگر هیچ گزینه‌ای برای وصل شدن به جلسه وجود ندارد جز نصب کلاینت. در این موقعیت، دست کم می‌توانید تعداد دستگاه‌هایی را رویشان Zoom نصب است محدود کنید. بگذارید دستگاه، همان اسمارت‌فونی باید که زیاد با آن سر و کار ندارید یا آن لپ‌تاپی باشید که آن گوشه بلااستفاه مانده و هیچ اطلاعاتی داخلش ندارید: شاید کمی ماجرا روان‌پریش به نظر بیاید اما به هر حال جانب امنیت رعایت شده است!

به هر روی، اگر شرکت شما همین الانش هم برای امور سازمانی از اسکایپ استفاده می‌کند، پس هنوز گزینه‌ای برایتان باقی مانده است: Skype for Business با Zoomسازگاری داشته و می‌تواند تماس‌های کنفرانس Zoom را بدون نقایص ذکر شده در فوق مدیریت کند.

9. اعتقاد نداشتن به رمزگذاری end-to-end تبلیغ‌شده در Zoom

Zoom سهم بازار خود را نه تنها برای قیمت و مجموعه قابلیت‌هایش بدست‌آورده است که همچنین چون به رمزگذاری end-to-end مجهز است. با رمزگذاری end-to-end تمامی ارتباطات بین شما و افرادی که با آن‌ها تماس می‌گیرید طوری رمزگذاری می‌شود که فقط خود شما و آن افراد می‌توانید آن‌ها را رمزگشایی کنید. سایر طرف‌ها از جمله ارائه‌دهندگان سرویس این قدرت را نخواهند داشت.

به نظر عالی می‌آید اما محققین امنیتی می‌گویند این محال است! Zoom باید در این مورد اعترافی بکند: یک سر آن به خود سرور Zoom می‌رسد- یعنی ویدیو رمزگذاری می‌شود ولی کارمندان Zoom و به طور بالقوه آژانس‌های اجرای قانون همچنان دسترسی خواهند داشت. با این حال به نظر می‌رسد متن داخل چت‌ها واقعاً رمزگذاری پایان به پایان شده است. شاید این عوام‌فریبی در خصوص رمزگذاری پایان به پایان دلیل قانع‌کننده‌ای برای خداحافظی با Zoom نباشد زیرا سایر سرویس‌های محبوب ارائه دهنده‌ی ویدیو کنفرانس هم همین ایراد را دارند. فقط باید آگاه باشید و در مورد رازهای تجاری یا امور شخصی‌تان روی Zoom چیزی نگویید.

10. آگاه بودن به آنچه افراد در ویدیو می‌بینند و در تماس می‌شنوند

این روی همه‌ی سرویس‌های ویدیو کنفرانس کاربرد دارد نه فقط Zoom. قبل از شروع تماس، لحظه‌ای صبر کنید ببینید وقتی به جلسه ویدیویی یا تلفنی ملحق می‌شوید افراد قادرند چه چیزهایی از شما را ببینند یا بشنوند. حواستان به چیزهایی که در کادر نشان داده می‌شود و سر و وضع ظاهری‌تان باشد. اگر قرار است صفحه‌نمایش خود را به اشتراک هم بگذارید باید این مسئله رعایت شود. هر گونه پنجره را که دوست ندارید بقیه ببینند ببندید حالا چه هدیه‌ی غافلگیرکننده‌ای باشد که دارید برای فرد دیگری در Zoom به صورت آنلاین خرید می‌کنید و چه جست‌وجوی شما برای استخدام در جایی دیگر (چیزی که حتماً بهتر است رئیستان بو نبرد).

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.