روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ #stayhome یا #در_خانه_بمانیم این روزها فقط هشتگ محبوبِ شبکههای اجتماعی نیست بلکه همچنین واقعیتی است محض برای کسب و کارها؛ کسب و کارهایی که پاندمی ویروس کرونا مجبورشان کرده به دورکار کردن کارمندان خود. اکنون جلسات حضوری به ویدیو کالها تغییر ماهیت داده است. قطعاً که در کنفرانسهای سازمانی در مورد آب و هوا و این جورچیزها صحبت نمیشود؛ پس باید قبل از اجرای اپ ویدیو کنفرانس کمی وقت بگذارید و با مکانیزم حفاظت دادهای کار کنید. از این رو قصد داریم در این خبر کمی با شما از معضلات پیرامون اپهای ویدیو کنفرانس بگوییم. با ما همراه باشید.
Google Meet و Google Duo
گوگل دو سرویس تماس ویدیویی به نامهای Meet و Duo ارائه میدهد. اولی اپیست که با سایر سرویسهای گوگل (G Suite) یکپارچه میشود. اگر شرکتتان از آنها استفاده میکند، Hangouts Meet بخوبی با آن سازگار خواهد بود.
امنیت- Google Meet
از میان کلی مزایای Meet میتوان به زیرساخت قابلاطمینانِ پردازش اطلاعات، رمزگذاری (هر چند پایان به پایان[1]) و مجموعه ابزار محافظتی (همگی به طور پیشفرض فعال) اشاره نمود. مانند بیشتر محصولات کسب و کار، G Suite–شامل گوگل میت- با استانداردهای پیشرفته امنیتی تطابق داشته و گزینههای تنظیماتی و مدیریت دسترسی به حقوق ارائه میدهد (البته کلی قابلیتهای دیگر نیز دارد).
امنیت- Google Duo
اپ موبایل Duo–از طرفی دیگر- با استفاده از رمزگذاری پایان به پایان از اطلاعات حراست میکند. با این حال، این اپلیکیشنی است طراحیشده برای کاربران خصوصی نه برای کسب و کارها. کنفرانسهای آن میتوانند تنها 12 شرکتکننده را در خود جای دهند.
آسیبپذیریها و ایرادها
جدا از برخی پیامها که ما را یاد ماجرای اطلاعات جمع کردنِ گوگل میاندازد و بنابراین میتواند تهدیدی باشد برای اسرار تجاری (اینکه ما قادر نیستیم اطلاعات متقنی در مورد عملکرد امنیتی این اپها بدست آوریم) به طورکلی عملکرد امنیتی گوگل در سرویسهایش خوب است؛ نه که گوگل بینقص باشد ولی تیم امنیتی کار کشتهای پشت سرویسهای آن است که قبل از هر دردسری مسائل را رفع و روجوع میکنند.
Slack
در Slack شما میتوانید برای تیمها، فضاهای مختلف چت درست کنید؛ هر یک از اینها به طور مناسبی در یک پنجره جای داده میشوند و افزون بر این کانالهای داخل هر فضای کاری به پروژههای گوناگونی نیز اختصاص پیدا میکند. کنفرانسها در این برنامه تا سقف 15 نفر است.
امنیت
Slack با مجموعهای از استانداردهای بینالمللیِ امنیتی شامل SOC 2 سازگاری دارد. این سرویس میتواند طوری تنظیم شود که با اطلاعات پزشکی و مالی همگام بوده و به شرکتها اجازه میدهد برای ذخیره اطلاعات منطقهای را انتخاب کنند. و پیوستن به فضای کار Slack یا مستلزم دعوت است و یا آدرس ایمیل (با استفاده از دامنه سازمانی). Slack همچنین به مشتریان خود ابزارهای منعطف مدیریت خطر، راهکارهای DLP[2] و ابزارهای کنترل دسترسی به اطلاعات نیز ارائه میدهد. برای مثال، ادمینها میتوانند استفاده Slack را از دستگاههای شخصی و کپی کردن اطلاعات از کانالهای آن را محدود کنند.
آسیبپذیریها و ایرادها
طبق گفتههای توسعهدهندگان Slack تنها تعداد محدودی از کسب و کارها در واقع به رمزگذاری پایان به پایان نیاز دارند و پیادهسازی این قابلیت میتواند سطح کارایی را محدود کند. بنابراین، ظاهراً Slack برنامهای برای افزودن رمزگذاری پایان به پایان ندارد. این برنامه همچنین به شما اجازه میدهد تا اپهای طرفسوم را –که امنیتشان در حوزه وظایف Slack نیست- یکپارچهسازی کنید. همچنین محققین به وجود آسیبپذیریهایی جدی در Slack پی بردهاند. Slack موارد زیر را پچ کرده است: باگی که به مهاجمین اجازه میداد تا اطلاعات را سرقت کنند و البته باگ دیگری که نفوذ به سشن کاربری را ممکن میساخت.
Teams
Microsoft Teams با آفیس 365 یکپارچه میشود؛ این برای یک کاربر سازمانی اصلیترین مزیت حساب میشود. مایکروسافت در واکنش به افزایش تقاضا برای دورکاری اکنون تعرفه رایگان شش ماههای برای Microsoft Teams ارائه میدهد. اما کاربران آزاد قادر نخواهند بود به تنظیمات و خطمشیهای کاربری دست بزنند (احتمال دستکاری امنیتی وجود دارد).
امنیت
Teams با تعدادی استانداردهای بینالمللی سازگاری دارد و میتواند طوری تنظیم شود که با دادههای محرمانه پزشکی کار کرده و دارای گزینههای مدیریت منعطف امنیتی باشد. ابزاری دیگری نیز تحت همین برنامههای خدماتی –نظیر DLP یا اسکن فایلهای خارجی- میتوانند در Teams ادغام شوند. راهکار ما برای محافظت از MS Office 365 اطلاعاتی را که –برای جلوگیری از انتشار بدافزار میان شبکه سازمانی - از طریق Teams تبادل شده بودند اسکن میکند. دادههای ارسالشده به سرور خواه چت باشد خواه تماس ویدیویی رمزگذاری میشود. ین اطلاعات هرگز منطقهای را که شرکت شما عملیاتهای خود را انجام میدهد ترک نمیکند.
آسیبپذیریها
نظارت آسیبپذیریها در Teams ایدهی خوبیست. مایکروسافت معمولاً به سرعت نسبت به پچ آسیبپذیریها اقدام میکند اما این آسیبپذیریها مدام سر و کلهشان پیدا میشود. برای مثال، محققین اخیراً آسیبپذیریای (از زمان پچ شدنش) پیدا کردند که تصاحب اکانت را موجب شده است.
Skype for Business
نسخهی کلود Skype for Business–قبل از Teams در آفیس 365- به تدریج دارد منسوخ میشود اما هنوز میتوانید آن را به طور محلی یا داخلی نصب کنید. برخی از کاربران کاربرد آن را از Teams راحتتر میدانند و مایکروسافت نیز همچنان پشتیبانی از نسخه لوکال Skype را تا چند سال آینده ادامه خواهد داد.
امنیت
Skype for Business اطلاعات را رمزگذاری میکند اما نه به صورت پایان به پایان. این محافظت سرویس قابل تنظیم است. همچنین از نرمافزارهای لوکال سرور نیز استفاده میکند تا تماسهای ویدیویی و سایر دادهها هرگز از شبکهی سازمانی به بیرون درز نکنند (مزیتی آشکار).
آسیبپذیریها و ایرادها
این محصول برای همیشه مورد پشتیبانی قرار نخواهد گرفت؛ مگر آنکه مایکروسافت بخواهد برنامههای خود را تغییر دهد (چون قرار است تا آخر جولای 2021 به پشتیبانی آن خاتمه دهد). Skype for Business Server 2019 تا 14 اکتبر 2025 مشمول این پشتیبانی گسترده خواهد بود.
WebEx Meetings و WebEx Teams
Cisco WebEx Meetings سرویسی است با تمرکز واحد روی ویدیو کنفرانسها. Cisco WebEx Teams نیز سرویس همکاری تمامعیاریست که از بین کلی ویژگیهایش میتوانیم به پشتیبانی آن از تماسهای ویدیویی اشاره کنیم. تا همین لحظه که این خبر را نشر دادیم تفاوت این برنامه در رویکرد رمزگذاریاش است.
امنیت
Cisco WebEx Meetings شامل خدمات سطح تجاری و رمزگذاری پایان به پایان میشود (این گزینه به طور پیشفرض خاموش است)؛ اما ارائهدهنده به درخواست کاربر آن را فعال خواهد کرد. این کار یکجورهایی کارایی این ابزار را محدود میکند اما اگر کارمندان در جلسات با اطلاعات محرمانه سر و کار دارند این کار توصیه میشود. Cisco WebEx Teams تنها برای مکاتبات و داکیومنتها رمزگذاری پایان به پایان ارائه میدهد؛ درحالیکه تماسهای صوتی و ویدیویی در سرورهای سیسکو رمزگشاییشده هستند.
آسیبپذیریها و ایرادها
درست همین مارس بود که این فروشنده دو آسیبپذیری WebEx Meetings–که اجرای کد ریموت را به خطر انداخته بود- پچ کردند. اوایل سال گذشته نیز باگی در کلاینت WebEx Teams پیدا شد. این باگ اجازه میداد تا فرمانها با مزایای کاربر فعلی اجرا شود. سیسکو معروف است به جدی گرفتن بحث امنیت و آپدیت کردن سریع سرویسهای خود.
WhatsApp
واتساپ برای ارتباط اجتماعی ساخته شده است و نه کارهای تجاری اما این اپ رایگان میتواند نیازهای ویدیو کنفرانس را برای شرکتهای کوچک یا تیمها برآورده کند. این برنامه مناسب سازمانهای بزرگ نیست؛ ویدیو کنفرانس تنها 4 شرکتکننده را در آن واحد در خود جای میدهد.
امنیت
واتساپ مزیتش در این است که به طور جدی و حقیقی رمزگذاری پایان به پایان دارد. این یعنی نه طرفسومها و نه کارمندان واتساپ نمیتوانند تماسهای ویدیویی شما را ببینند. اما برخلاف اپهای تجاری، واتساپ هیچ گزینه مدیریت امنیت تماس یا چپ ارائه نمی دهد (دستکم نه چیزی که به صورت درونسازهای تعبیه شده باشد).
آسیبپذیریها و ایرادها
درست سال گذشته بود که مهاجمین جاسوسافزار پگاسوز را از طریق تماسهای ویدیویی واتساپ توزیع کردند. این باگ فیکس شد ولی یادتان باشد این اپ کارش ارائه محافظت سطح تجاری نیست؛ بنابراین دستکم کاربران باید اخبار امنیت سایبری را به دقت دنبال کنند.
Zoom
این پلتفرم ویدیو کنفرانس مبتنی بر کلود از اوایل پاندمی ویروس کرونا سر زبانها افتاد. هم قیمتش خوب است (40 دقیقه کنفرانس رایگان با سقف 100 شرکتکننده) و هم کاربرپسند است. اما به همان اندازه هم نقاط آسیبپذیری دارد و از این بعد هم نگاه کنیم زیاد معروف شده است.
امنیت
این سرویس با استاندارد امنیتی بینالمللی SOC 2 سازگاری داشته و تعرفه جداگانه HIPAA برای ارائه دهندگان مراقبت بهداشتی ارائه میدهد (که تنظیمات انعطافپذیری هم دارد). ساماندهندگان سشن میتوانند شرکتکنندگان را در صورتیکه حتی اگر هایپرلینک و رمزعبور درست هم داشته باشد بلاک کرده، ضبط را ممنوع شمرده و کلی کارهای دیگر انجام دهد. زوم اگر ضرورت داشته باشد میتواند طوری تنظیم شود که هیچ ترافیکی از شبکه سازمانی خارج نشود. زوم به طور فعالانهای دارد آسیبپذیریهای گزارششده را تحت بررسی قرار میدهد. این شرکت میگوید قصد دارد امنیت محصول را بر افزودن قابلیتهای جدید مقدم بشمارد.
آسیبپذیریها و ایرادها
زوم ادعا میکند رمزگذاری پایان به پایان دارد اما هنوز صحت این ادعا مشخص نشده است. با رمزگذاری پایان به پایان هیچکس غیر از فرستنده و گیرنده نمیتواند دادههای انتقال دادهشده را بخواند و این درحالیست که زوم دادههای ویدیویی را روی سرورهای خود رمزگشایی میکند. آسیبپذیریهایی با درجه وخامت مختلف در اپهای زوم پیدا شده است. همچنین گزارش شده که در ویندوزهای زوم و کلاینتهای macOS نیز آسیبپذیری پیدا شده است؛ آسیبپذیریهایی که به هکرها اجازه دادهاند بتوانند دادههای اکانت را از کامپیوتر کاربر سرقت کنند. دو باگ دیگر هم در اپ macOS شناسایی شده که است به طور بالقوه به مهاجمین اجازه میدهند تا تماماً کنترل دستگاه را در دست گیرند. افزون بر این، بسیاری هم از وجود ترولهای اینترنتی در این برنامه خبر دادهاند؛ ترولهایی که به کنفرانسها سر میزنند (کنفرانسهایی که با رمزعبور محافظت نشدهاند) تا کامنتهای مشکوک گذاشته و با محتواهایی زشت و ناپسند نمایشگرها را به اشتراک بگذارند.
به طور کلی، شما میتوانید با تنظیم درست کنفرانس خود این مشکل را حل کنید اما زوم همچنین برای رعایت جانب امنیت، محافظت رمزعبور را به صورت پیشفرض افزوده است. در حقیقت همهی سرویسها یک سری آسیبپذیری دارند اما زوم به دلیل عالمگیری ویروس کرونا بیشتر از بقیه سر زبانها افتاد و از این رو ضعفهایش هم بیش از بقیه برجسته شد.
اپی را انتخاب کنید که بیشتر از همه به دردتان میخورد
نمیشود گفت فلان اپِ ویدیو کنفرانس بینقص است. برای همین باید اپی را انتخاب کنید که بیش از بقیه به کارتان بیاید:
- برای تنظیم درست سرویس وقت بگذارید. تنظیماتی که اجازه دسترسیهای زیادی میدهد باعث نشتی میشود.
- برای پنهان کردن آسیبپذیریها تا حد امکان اپهای خود را زود به زود آپدیت کنید.
- مطمئن شوید کارمندان شما دستکم مهارتهای پایهای در راستای رفتار اینترنتی دارند. اگر نه، سعی کنید به طور ریموت آنها را حول محور این موضوع آموزش دهید. پلتفرم آگاهی خودکار امنیت کسپرسکی ما دقیقاً همین کار را برایتان انجام میدهد.
[1] end-to-end encryption
[2] Data Loss Prevention
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.