NCKB SK-CERT odporúča vyhnúť sa používaniu rizikových platforiem na uskutočňovanie videohovorov

Šírenie ochorenia COVID – 19 prinútilo mnohé spoločnosti a organizácie v snahe udržať bežnú prevádzku k práci na diaľku. Tento preventívny krok je síce dobrým opatrením pre starostlivosť o zdravie zamestnancov pri zachovaní produktivity práce, ale zároveň otvára kybernetickým útočníkom viacero možností pre úspešné útoky.

Spôsobov zneužitia súčasnej situácie je viacero:

  • Neoprávnený prístup a narúšanie priebehu konferencií (tzv. Bombing)
  • Zneužitie zraniteľností v konferenčnom softvéri
  • Slabiny a chyby spôsobené zavádzaním a prevádzkou konferenčného softvéru
  • DoS a DDoS útoky na prebiehajúce videokonferencie

Bombing a odpočúvanie

Americká FBI varovala pred útočníkmi, ktorý sa pripájali k videokonferenciám, ktoré sa využívali na online výučbu alebo obchodné stretnutia s cieľom narušiť ich. Zatiaľ, čo niektoré konferencie boli prerušené len žartovným obsahom, v iných sa vyskytoval pornografický alebo nenávistný obsah zahrňujúci vyhrážky a slovné útoky. Takéto incidenty zaznamenali aj americké stredné školy, pri ktorých sa neznámy útočník pripojil k telekonferenčnej online výučbe prostredníctvom platformy Zoom a narúšal tak chod celej výučby.

Moderné videokonferenčné platformy často umožňujú anonymné pripojenie bez uvedenia mena, s vypnutou kamerou a mikrofónom, či pripojenie spôsobom Dial in, čiže z verejnej telefónnej siete. Takíto účastníci môžu v početnejších videokonferenciách bez povšimnutia odpočúvať komunikáciu.

Zneužitie zraniteľností

Zraniteľnosti sa nevyhýbajú ani videokonferenčným platformám a zásady bezpečného používania softvéru, ako je napríklad promptná inštalácia bezpečnostných záplat, platia aj tu.

Napríklad marcové a aprílové aktualizácie populárneho videokonferenčného riešenia Zoom odstraňujú hneď niekoľko závažných zraniteľností, ktorých zneužitie by mohlo viesť k viacerým možnostiam pre útočníkov. Zraniteľnosti umožňovali:

  • odpočúvať videokonferenciu bez vedomia jej účastníkov vďaka zlej implementácii end-to-end šifrovania
  • exfiltrovať heslá z prostredia operačného systému Windows smerom k útočníkovi
  • obchádzať privilégiá v rámci operačných systémov pri inštalácii aplikácie
  • neoprávnene inštalovať škodlivý kód

Aj napriek tomu, že na platformu Zoom boli vydané opravy zraniteľností, útoky neustále pretrvávajú, nakoľko veľa používateľov si aplikáciu neaktualizovalo.

Slabiny a chyby spôsobené zavádzaním a prevádzkou konferenčného softvéru

Zavádzanie každej novej technológie, ktorá má byť prístupná z vonkajšieho prostredia do organizácie, so sebou prináša aj zmeny v konfigurácii a nastaveniach infraštruktúry. Najvýznamnejšie zmeny prebiehajú na perimetri organizácie vo firewalloch a iných ochranných prvkoch. Administrátori častokrát povoľujú výnimky v pravidlách, ktoré idú na úkor bezpečnosti. Otváranie špecifických portov, ako aj bežných protokolov ako RDP (kde v posledných týždňoch pozorujeme nárast otvorených RDP protokolov) a VNC a ich nedostatočné zabezpečenie otvárajú cestu útočníkovi do vnútra organizácie. Slabiny môžu vzniknúť aj chybnou implementáciou samotného videokonferenčného riešenia, inštaláciou neaktualizovaných verzií alebo nedostatočným zabezpečením servera, čo môže viesť nie len k jeho kompromitácii, ale aj k prieniku útočníka do ostatnej infraštruktúry spoločnosti. 

Administrátori si takisto často uľahčujú implementáciu tým, že otvoria komunikáciu na IP adresu na všetky porty, na ktorej je umiestnené videokonferenčné riešenie, aby nemuseli hľadať špecifické porty, cez ktoré riešenie komunikuje. Takýto postup dokonca niektoré riešenia priamo vyžadujú. To však vedie k veľkému riziku a pri implementácii by sa to nemalo nikdy stať – či už otvárať všetky porty alebo implementovať riešenie, ktoré vyžaduje otvorenie veľkého množstva portov.

DoS a DDoS útoky

Ďalším spôsobom, ako narušiť alebo úplne zamedziť priebehu videokonferenčného hovoru, je útok na samotnú prevádzku prebiehajúceho videokonferenčného hovoru. Útočník môže zvoliť viaceré možnosti – útočiť na infraštruktúru obete priamo alebo útočiť na infraštruktúru poskytovateľa internetu, na ktorej videokonferenčný hovor prebieha.

Cloudové riešenia

Väčšina aplikácií, ktoré slúžia na videokonferenčné hovory (napr. Zoom, Webex, Skype), poskytujú vo väčšine len možnosť cloudovej prevádzky, teda bez nutnosti vlastniť infraštruktúru na prevádzkovanie takejto služby. Cloudové riešenie videokonferenčných hovorov je veľkým lákadlom, nakoľko z prevádzkového hľadiska ide o lacné riešenie, z pohľadu používateľa je výhodou rýchlosť a jednoduchosť používania. Cloudový spôsob prevádzky však má aj svoje značné nevýhody – diskrétnosť rozhovorov nemôže byť nikdy zaručená, nakoľko prevádzku zabezpečuje externý prevádzkovateľ, ktorý môže jednotlivé hovory nahrávať a ukladať. Útoky na cloudové služby nie sú takisto ničím výnimočným – čím je služba používanejšia, tým je lákavejším cieľom pre útočníkov.

Odporúčania pre bezpečnosť videokonferencií

Videokonferenčné systémy uľahčujú prácu a môžu byť vhodným nástrojom na udržanie efektivity práce. Avšak nezabezpečené videokonferencie na rizikových platformách so sebou prinášajú veľké bezpečnostné riziko. Preto Národné centrum kybernetickej bezpečnosti SK-CERT odporúča:

  • Na videokonferenčné hovory používajte známy softvér s dobrou reputáciou a s adekvátnymi prvkami bezpečnosti, ako je napríklad šifrovanie sieťovej komunikácie, dvojfaktorové overenie totožnosti pri prihlasovaní a podobne
  • Najmä v prípade verejnej správy neodporúčame používať aplikáciu Zoom. Odporúčame použiť iné, bezpečnejšie alternatívy
  • Používajte len aktualizovaný softvér a v prípade vydania bezpečnostných aktualizácií neodkladajte ich inštaláciu
  • Svoje konto do softvéru chráňte komplexným heslom a ak je to možné, aj viacnásobnou autentifikáciou (vyhnite sa autentifikáciou prostredníctvom SMS)
  • Každý videokonferečný hovor chráňte komplexným a ťažko uhádnuteľným heslom. Nepoužívajte rovnaké heslo vo viacerých videokonferenčných hovoroch
  • Overujte každého účastníka videokonferencie, najlepšie kontrolovaním a riadením vstupov do prostredia videokonferencie (funkcia „čakárne“)
  • Videokonferencie nastavujte ako súkromné a nie verejné
  • Nezdieľajte odkaz na videokonferenciu verejne prostredníctvom sociálnych sietí a podobne, odkaz zdieľajte iba s konkrétnymi ľuďmi, ktorí sa majú videokonferencie zúčastniť
  • Ak chcete s účastníkmi telekonferencie komunikovať citlivé údaje, robte to tak, aby ste časti informácií rozdelili a časť povedali počas hovoru a druhú časť odoslali v správe cez inú aplikáciu
  • Ak máte akékoľvek podozrenie na kompromitáciu videokonferencie, prípadne sa vaše zariadenie správa zvláštne, bezodkladne o tom informujte svojho zamestnávateľa a osobu, ktorá je vo vašej organizácii zodpovedná za kybernetickú a informačnú bezpečnosť

Vzhľadom na fakt, že nie všetky spoločnosti mali zavedenú prácu z domu, nemajú ani vypracované bezpečnostné smernice a nariadenia, ako k home office pristupovať z bezpečnostného hľadiska. Aj z týchto dôvodov vydalo Národné centrum kybernetickej  bezpečnosti SK-CERT 30. marca 2020 odporúčania pre zamestnávateľov, ako bezpečne nastaviť prácu z domu:

https://www.sk-cert.sk/sk/narodne-centrum-kybernetickej-bezpecnosti-sk-cert-odporuca-zamestnavatelom-ako-bezpecne-nastavit-pravidla-prace-z-domu/index.html


« Späť na zoznam