Af Eskil Sørensen, 01/04/20
FBI og andre aktører advarer nu om risikoen for, at Zoom-møder kan forstyrret af fremmede, hvis man ikke har taget en række simple forholdsregler. FBI har flere rapporteringer om, at det der kaldes hijackers forstyrrer konferencemøder med pornografisk materiale, hate speech eller truende sprogbrug over for mødedeltageren. Det skriver Bleeping Computer.
Blandt forholdsreglerne er følgende:
- Undlad at gøre møderne offentlige ved at anmode om et kodeord til mødet, eller brug featuren waiting room og hold øje med antallet af deltagere
- Del ikke links til Zoom-møderne på offentligt tilgængelige sociale medier. Send dem direkte til mødedeltagerne i stedet.
- Ændr skærmdeling til ”Host only”
- Hold Zoom-software opdateret med seneste version.
Særligt det sidste er interessant, da Zoom så sent som i januar sendte en opdatering på gaden. En opdatering, der bl.a. gør passwords til møder default, ligesom det ikke længere er muligt udefra at søge efter tilfældige møder, man kan deltage i.
Endelig anbefaler FBI også, at man sikrer, at virksomhedens informationssikkerhedspolitik adresserer spørgsmålet om onlinemøder, så medarbejderne har mulighed for at kende reglerne.
Anbefalingerne er rettet specifikt mod Zoom-mødeplatformen, men er givetvis også relevante for andre mødeplatforme.
Videomøder stiger i antal
I denne tid, hvor brugen af Zoom og andre tjenester til onlinemøder eksploderer, er de blevet et oplagt angrebsmål for kriminelle aktører til at få fat i fortrolige informationer ved at lytte med eller blot sabotere møderne. Det har også fået en masse folk til at skrive artikler på Linkedin og i blogs med råd om, hvordan man holder det gode Zoom-møde, fx ved at huske at kigge ind i kameraet, smile, bruge kropssproget til at signalere aktiv lytten, slukke for mikrofonen når man ikke taler, stryge skjorten inden mødet osv.
Populariteten har fået flere sikkerhedsanalytikere til at kigge nærmere på tjenesten, og det er der kommet andre interessante iagttagelser ud af. Tech Crunch skriver fx henvisning til The Intercept, at Zoom-møderne ikke er krypteret, selv om Zoom hævder, at de er det. Ifølge et andet medie, Motherboard, skulle der angiveligt være lækket Zoom-brugeres emailadresser. Og selveste den offentlige anklager i New York har sendt en række spørgsmål til Zoom om, hvilke sikkerhedsforanstaltninger der er taget for at imødegå privacy issues og den øgede trafik.
Uanset hvordan virksomheden bag Zoom-tjenesten arbejder på at håndtere alverdens opmærksomhed, er det ikke alene vigtigt at huske de gode råd om, hvordan videomødet bliver næsten lige så godt som det analoge, rigtige møde, men også at tænke over, om platformen har et tilstrækkeligt sikkerhedsniveau i forhold til mødets indhold.
Også af den grund er informationssikkerhedspolitikken vigtig, så man har et udgangspunkt at lave sin risikovurdering ud fra.
Links:
https://techcrunch.com/2020/03/31/zoom-at-your-own-risk/
https://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html
https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos