Objavljeno: 29 aprila, 2020
Zoom je hitro postal del našega vsakdana. V času epidemije koronavirusa smo bili primorani spremeniti naše komunikacijske navade in celo izobraževalni proces. In tu Zoom ponuja zelo preprosto rešitev, ki jo uporabljamo prav vsi. Vendar pa eleganten uporabniški vmesnik, preprosta uporaba in dobra uporabniška izkušnja s seboj na žalost prinašajo varnostni pomislek.
Kot pri vsakem kosu programske opreme, je potrebno Zoom uporabljati previdno. Če ga uporabljate in se iz različnih razlogov težko odločite za alternativno orodje, preberite, na kaj morate biti pozorni in kako se lahko ob uporabi zavarujete. Ne pozabite – previdnost tudi na spletu ni odveč.
Kaj je Zoom?
Priznajmo si – vsi ga uporabljamo! Zoom je program za spletno video komuniciranje, ki na zelo enostaven način omogoča izvedbo skupinskih spletnih sestankov, izobraževanj, spletnih seminarjev na različnih napravah. V času, ko ostajamo doma in sta se delo in izobraževalni proces premaknila v domače dnevne sobe, je Zoom postal eno izmed nujnih orodji. Pa vendar – zakaj nas je tako prevzel?
Poznamo več spletnih orodij, storitev in programske opreme, ki omogočajo izvedbo video konferenc in skupinskih klicev. Video konferenca je virtualni sestanek, kjer se udeleženci »zberejo« na istem virtualnem prostoru in s pomočjo spletne kamere ter mikrofona komunicirajo med seboj kot bi sicer. V času epidemije koronavirusa poskušamo poustvariti občutek normalnega življenja in s tem tudi občutek (vsaj virtualnega) človeškega stika. Za dosego tega imamo na voljo vrsto orodij, med katerimi včasih težko izbiramo. Med najbolj poznanimi in uporabljenimi orodji so Skype, Google Hangouts in Facebook Messenger (s funkcionalnostjo skupinskega klica). Kaj nas je prepričalo, da smo se odločili za Zoom, ki je v primerjavi s prej omenjenimi servisi precej neznan?
Preprosta uporaba na račun varnosti
Zoom nas je prepričal s svojo preprosto uporabo. V zadnjih tednih pa so na dan prišle podrobnosti o ceni, ki jo uporabniki plačujemo za to. Ta cena so varnostne luknje, ki ogrožajo našo zasebnost na spletu.
Zoom je zaradi svoje priljubljenosti (še posebej v izobraževalnem sektorju) postal tarča spletnih vdorov. Nič nenavadnega ni, da priljubljena orodja in spletne storitve postanejo tarče spletnih hekerjev. Podjetja pogosto najemajo hekerje za odkrivanje varnostnih lukenj.
Nobeno orodje ni povsem imuno na vdore hekerjev, je pa zelo pomembno, kako dolgo le-ti potrebujejo za uspešen vdor. In tu je Zoom doživel poraz na celi črti, saj je bilo presenetljivo lahko vdreti v račune uporabnikov in pridobiti njihove podatke. Marsikdo je ob tem pomislil »ah, pa saj je samo Zoom račun, nimam nobenih podatkov na njem«. Pazljivo, ljudje smo predvidljiva bitja in tudi naši najbolj »čisti« računi nosijo veliko podatkov o nas.
Ogrožena zasebnost
Vdor v Zoom je bil v prvi vrsti mogoč zaradi slabe zaščite uporabniških računov in prijavnih strani, ki je bila posledica uporabe zgolj 128-bitne enkripcije in uporabe strežnikov na Kitajskem. V Evropski Uniji smo navajeni visokih standardov varovanja zasebnosti in osebnih podatkov – tudi na spletu. Na Kitajskem so ti standardi drugačni, kar poenostavljeno pomeni, da je mogoče, da nekdo prisluškuje vašemu pogovoru. Marsikoga, ki zgolj klepeta s svojimi prijatelji, to ne skrbi, a v ozadju so dodatni varnostni pomisleki.
Hekerji so z naključnim generiranjem številk pridobili identifikator (ID) posameznega sestanka. Prednost Zooma je ravno v identifikatorjih sestankov oziroma spletnih sej. Zoom je bil ustvarjen za veliko število udeležencev v isti spletni seji. Ti identifikatorji omogočajo uporabnikom hitro udeležbo točno določenega sestanka, kar pohitri samo organizacijo in izvedbo sestanka. V primerjavi z ostalimi orodji je ta postopek daljši, saj mora vsak udeleženec ustvariti račun, kot organizator sestanka pa morate poskrbeti za razpošiljanje vabil vsakemu posebej. Zoom to olajša z idejo odprtih sestankov, do katerih dostopamo prek identifikatorja. Ta prednost pa je hkrati slabost, saj se lahko našega sestanka udeleži kdorkoli, ki ugotovi ta identifikator.
Največjo varnostno luknjo pa povzročamo uporabniki sami. Pridobivanje prijavnih podatkov v Zoom uporabniški račun, je lažje kot se zdi. Čeprav Zoom od uporabnika zahteva kompleksno (in s tem bolj varno) geslo za prijavo, uporabniki to izničimo s tem, ko uporabimo eno izmed kompleksnih gesel, ki ga že uporabljamo pri nekem drugem računu. In v čem je problem? Ni prav težko ugotoviti identiteto imetnika e-naslova in poiskati njegove uporabniške račune na drugih spletnih servisih. Nato pa je za prijavo potrebno uporabiti le še pridobljeno geslo in z malo sreče imamo dostop do tujega računa.
Kaj lahko storite?
V kolikor je mogoče, poskusite uporabljati varnejšo storitev. V kolikor pa to ni mogoče, pa sami poskrbite za čim višjo varnost.
- Zoom prenesite le z uradne spletne strani zoom.us.
- Za ustvarjanje računa uporabite e-naslov in geslo, ki ju nikjer drugje ne uporabljate.
- Pri uporabi spletne kamere poskrbite, da v ozadju prikazujete čim manj osebnih informacij (kot so npr. fotografije družinskih članov). V pomoč pri tem smo pripravili navodilo, kako nastaviti Zoom virtualno ozadje.
- Svoj sestanek zaščitite z geslom.
- Ko so vsi udeleženci prisotni, onemogočite možnost vstopa novim udeležencem.
Dolžnost programerjev je, da ustvarjajo za uporabnike varne programske rešitve. Dolžnost uporabnikov pa je, da navkljub varnostnim zagotovilom sami sprejmemo kakšen dodaten ukrep.