Безопасные видеозвонки — можно ли обеспечить шифрование видеозвонков

Все более расширяющееся использование видеосвязи красноречиво говорит о немалой эффективности подобного способа коммуникации. Бизнес использует ее для следующих целей:

• Проведение видеоконференций с сотрудниками компании. Это очень важное преимущество, которое дарит использование видеозвонков бизнесу. Вместо того, чтобы тратить время на долгий набор текста или же «живую встречу», сотрудники компании получают возможность эффективной коммуникации, находясь на расстоянии в тысячи километров.

Видеозвонки стали важным инструментом для бизнеса. Теперь это не вспомогательное, а одно из основных средств коммуникации.

Безопасность видеозвонков — это камень преткновения IT-специалистов. Не так давно Агентство национальной безопасности провело исследование основных игроков рынка видеосвязи. При проверке учитывались следующие критерии:

• использование многофакторной аутентификации;
• применение сквозного шифрования для исключения риска перехвата информации сторонними пользователями;
• наличие обмена данными между приложением для видеозвонков и третьими лицами;
• наличие возможности экстренного удаления всех данных из сервиса и с сервера.

Проведя исследование, АНБ пришло к выводу, что у ряда известных приложений для видеозвонков есть немалые проблемы с безопасностью по некоторым указанным выше позициям.

Нередко защита видеозвонков и видеоконференций от утечек ложиться на самого пользователя, поскольку от его поведения непосредственно зависит сохранность информации. Добиться максимума защиты можно, следуя определенным правилам.

Самые безопасные видеозвонки совершаются в приложениях, в которых большое внимание уделяется защите данных. Функционирование подобных программ должно соответствовать ряду аспектов безопасности:

• Использование сквозного шифрования. Оно надежно обеспечивает защиту видеозвонка, предоставляя доступ к нему только соответствующим пользователям.
• Отсутствие риска перехвата и записи видеозвонков. Для этого в приложении должны использоваться современные алгоритмы шифрования.
• Хранение данных на смартфоне или на сервере. Вы, как пользователь, должны обладать возможностью быстро удалять все данные, связанные с совершением звонков, с сервера.
• Объем данных, необходимых для регистрации. Приложение для видеозвонков может затребовать личные данные для регистрации. Насколько они защищены после ввода — вопрос открытый и спорный. Качественные сервисы не будут запрашивать большой объем личной информации.

Примером качественного приложения для совершения безопасных видеозвонков является Anwork — коммуникатор, специально разработанный для B2B-сегмента. Он обладает рядом преимуществ, обеспечивающих защиту коммуникации:

• Все данные о совершаемых звонках хранятся не на серверах разработчика, а на устройстве пользователя ограниченное количество времени.
• В коммуникаторе реализована функция автоматического удаления всех данных (и метаданных) чата спустя определенное время.
• Anwork не требует регистрации — пользователь попадает в чат по приглашению и после ввода пароля, тем самым исключается возможность взлома аккаунта и доступа к телефонной книге.
• Звонки в приложении выполняются при помощи P2P-соединения.

Видеозвонки — это возможность, которую необходимо использовать. С их помощью вы значительно ускорите развитие бизнеса и станете доступнее для своих клиентов.

Выбирая сервис для безопасных видеозвонков, ориентируйтесь на предоставленную нами информацию. Вы точно выберете подходящую платформу исключите риск утраты важной информации.

Популярность сервиса для видеосвязи совсем не означает его полную безопасность и качественную защиту данных. Рассмотрим наиболее яркие примеры.

ZOOM быстро стал популярным во время пандемии. Сервис занял лидирующие позиции и по количеству использований, и по количеству проблем с безопасностью.

• Сервис использует сквозное шифрование, однако часть серверов управления ключами расположена в Китае. Они выдают ключи даже в том случае, когда все участники конференции находятся в других странах. Есть опасения, что правительство КНР перехватит зашифрованный трафик и расшифрует его при помощи ключей, находящихся на серверах внутри страны.
• ZOOM декларирует использование 256-битных ключей AES. Однако их фактическая длина составляет 128 бит. Сам алгоритм работает в режиме ECB, который частично сохраняет структуру исходных данных в процессе шифрования.
• Любой желающий может получить список пользователей сервиса, относящихся к любому домену, сформировав специальный XMPP-запрос.
• В macOS были обнаружены две уязвимости: любой злоумышленник мог внедрить в инсталлятор вредоносный код и получить доступ к камере и микрофону.
• В интернете появлялись записи личных видеозвонков. Утечка стала возможной из-за того, что сервис присваивал видеоконференциям открытые идентификаторы, а организаторы не защищали доступ паролем.
• Апогеем проблем стал зумбомбинг. Во встречи, не защищенные паролем, врывались пранкеры и начинали издеваться над ее участниками. Были испорчены как онлайн-уроки, так и корпоративные совещания, публичные мероприятия.

Разработчики заявили, что провели работу над ошибками, улучшили AES-шифрование и внедрили большое количество других доработок, связанных с безопасностью. Однако репутация ZOOM восстановлена не до конца.

Долгое время Skype не участвовал в крупных скандалах, связанных с безопасностью функционирования. Однако гром грянул в конце лета 2023 года.

Было установлено, что в мобильной версии достаточно отправить любую ссылку — и IP-адрес станет известен сразу после отправки сообщения. На ссылку не нужно даже кликать. Microsoft, которой принадлежит сервис для видеообщения, заявила, что выпустит специальный патч, исправляющий данную ошибку.

Сквозное шифрование нужно только лишь определенному количеству организаций — это мнение создателей сервиса. Поэтому сквозного шифрования в Slack нет. Это первая проблема безопасности приложения.

Второй проблемой является возможность интеграции сторонних приложений, за безопасность разработки которых создатели Slack не несут какой-либо ответственности.

Также неоднократно были установлены и не менее серьезные проблемы. В работе приложения был баг, позволявший воровать данные, и уязвимость, приводившая к перехвату сессии пользователя. Они исправлены, однако сам факт их обнаружения свидетельствует о том, что у сервиса проблемы с безопасностью есть.

Microsoft традиционно уделяет много внимания безопасности своей продукции, и MS Teams не исключение. Однако уязвимости были обнаружены и оперативно исправлены:

• Уязвимость, связанная с возможностью подсунуть пользователю вредоносную DLL и получить таким образом права в целевой системе.
• Возможность получить полный контроль над учетной записью пользователя.
• Уязвимости в компоненте для отправки открыток позволяли внедрить код для хищения учетных данных пользователя.

Пользователи продолжают выявлять уязвимости. Так, хакеры могут воспользоваться проблемами с безопасностью и совершить кражу IP-адресов или фишинговую атаку.

В работе сервисов были проблемы, связанные с удаленным выполнением кода. Также был баг, который позволял злоумышленникам изменять привилегии текущего пользователя, если тот перейдет по вредоносной ссылке.

Несмотря на то, что мессенджер создавался для обычного общения, а не для использования в бизнес-целях, многие компании им все-таки пользуются.

Несмотря на сквозное шифрование, проблем с безопасностью у WhatsApp хватает. Так, недавно была обнаружена уязвимость, которая позволяла поисковикам индексировать приватные групповые чаты.

Яндекс Телемост называли убийцей Skype и ZOOM. Однако специалисты по безопасности утверждают, что использование данного браузерного решения может привести к утечкам конфиденциальных данных, а отсутствие такой важной функции, как подключение по PIN-коду, делает платформу сомнительной для качественных бизнес-коммуникаций.

Абсолютно безопасного приложения для проведения видеоконференций не существует. Поэтому нужно выбрать ту программу, проблемы которой для конкретно вашей компании не являются критичными. После установки приложения помните о следующем:

• Настройте выбранный вами сервис. Многие уязвимости возникают из-за того, что администратор разрешил лишнее.
• Вовремя обновляйте ПО. В обновлениях устраняют уязвимости.
• Убедитесь, что сотрудники имеют базовые навыки безопасной работы в интернете.

Изображения разработаны Freepik