Zoom Video, τι να προσέξετε και γιατί;

*του Φοίβου Πετρόπουλου

Αρχικά να ξεκαθαρίσουμε ότι δεν έχουμε καμία σχέση με τις πλατφόρμες/λογισμικά που θα αναφερθούν στο παρόν άρθρο και η όποια αναφορά, γίνεται ενδεικτικά.

Ενδέχεται μέχρι πρόσφατα να μην γνωρίζατε την ύπαρξη της πλατφόρμας επ’ ονόματι  Zoom και όχι άδικα, διότι η ανάγκη να #μένουμε σπίτι και να προστατευθούμε από την πανδημία, ήταν αυτή που πολλαπλασίασε τη χρήση των λογισμικών που δίνουν τη δυνατότητα στους χρήστες, να πραγματοποιούν βιντεοκλήσεις για να επικοινωνήσουν με αγαπημένα πρόσωπα, τηλεδιασκέψεις (video conferences) ή να δημιουργούν τηλεματικές τάξεις διδασκαλίας (e-classrooms) και ουσιαστικά εισήγαγε την έννοια της τηλεργασίας στην καθημερινότητά μας.

Ανάμεσα σε αυτές τις πλατφόρμες τύπου skype, hangouts κ.α. βρίσκεται και το zoom το οποίο γνωρίζει εξαιρετικά μεγάλη άνθηση αυτή την περίοδο.

Η δωρεάν χρήση του σε συνδυασμό με την απλότητα, ευκολία χρήσης και δυνατότητες που προσφέρει στους χρήστες, έφερε το zoom ανάμεσα στις κορυφαίες  αγαπημένες video εφαρμογές των χρηστών παγκοσμίως.

Δείκτης της τεράστιας επιτυχίας που γνώρισε είναι η αξία της μετοχής της εταιρίας, η οποία ενώ την περίοδο προ-covid19 ήτοι 12 Δεκεμβρίου 2019 άγγιζε μόλις τα 62,49 δολάρια, σε διάστημα μόνο 3 μηνών ήτοι την 23η Μαρτίου 2020 υπερδιπλασιάστηκε, με αποτέλεσμα να αξίζει 164,94 δολάρια στο δείκτη αξιών NASDAQ.

Έκτοτε παρατηρήθηκαν μια σειρά από φαινόμενα και ευπάθειες ασφάλειας οι οποίες επέφεραν μεγάλο πλήγμα την αξιοπιστία της εφαρμογής και κατ’ επέκταση στη μετοχή της εταιρίας, με αποτέλεσμα τις τελευταίες ημέρες όταν ανοίγει ο δείκτης Nasdaq, να βρίσκει την αξία της στα 118 δολάρια κατά μέσο όρο.

Όντας πλέον στο προσκήνιο η zoom τράβηξε την προσοχή όλων, αρχών, χρηστών αλλά και των hackers, με αποτέλεσμα η εταιρία να βρεθεί στο στόχαστρο πολλών τιτάνων βλ. Google, Facebook, Έλον Μάσκ (Tesla & SpaceX) κ.α. (και όχι αναίτια).

Ποια ήταν όμως αυτά τα φαινόμενα που ο κάθε χρήστης θα πρέπει πλέον να γνωρίζει προτού χρησιμοποιήσει το zoom και πως μπορεί να προφυλαχθεί από αυτά ;

  1. End to End Encryption : Με απλά λογία είναι η κρυπτογράφηση της επικοινωνίας από το χρήστη Α στο χρήστη Β. Πρακτικά αυτό σημαίνει ότι κανένας άλλος στο ενδιάμεσο δε θα μπορέσει να αποκτήσει πρόσβαση στο περιεχόμενο της συνομιλίας χωρίς να έχει τα κλειδιά αποκρυπτογράφησης. Εξαιρετικά σημαντική λειτουργία αν αναλογιστείτε ότι μέσω μιας πλατφόρμας τέτοιου είδους οι χρήστες μοιράζονται σκέψεις, συναισθήματα, ιδιωτικές στιγμές, επαγγελματικές προτάσεις, ιδέες και φυσικά Προσωπικά Δεδομένα. Συνοπτικά End to End Encryption = Ιδιωτικότητα.

Το πρόβλημα είναι ότι η Ζοοm υποστήριζε πως παρείχε τέτοιου είδους κρυπτογράφηση στις επικοινωνίες της και όταν η αναλήθεια του ισχυρισμού της ήρθε στην επιφάνεια ύστερα από έρευνα της Citizen Lab, ισχυρίστηκε με αρκετά αδέξιο τρόπο, ότι παρείχαν τέτοιου είδους κρυπτογράφηση άλλα όχι με τον τρόπο που ο υπόλοιπος κόσμος την αντιλαμβάνεται.

H Citizen Lab από την πλευρά της απέδειξε χρησιμοποιώντας την μέθοδο της Zoom σε μια απλή φωτογραφία, ότι μετά την ¨κρυπτογράφηση¨ όπως την εννοεί η Zoom η εικόνα παραμένει ορατή σε τρίτο.

Το πλήγμα ήταν μεγάλο για τη Zoom λαμβάνοντας υπόψη ότι μέχρι τον μήνα Μάρτιο 2020, επιχειρήσεις, κυβερνήσεις, οργανισμοί υγείας και το εν γένει σύνολο των χρηστών που ξεπερνούσε τα 200.000.000, χρησιμοποιούσαν την εφαρμογή για τηλεδιασκέψεις.

  1. Zoombombing: Μια εικόνα = 1000 λέξεις, εάν αυτές όμως είναι ακατάλληλες, τι γίνεται ; Παρόμοιο φαινόμενο με το γνωστό Photobombing όπου κάποιος τρίτος παρεμβαίνει στο πλάνο της φωτογραφίας σας. Φαινόμενο το οποίο παρατηρήθηκε ουκ ολίγες φορές είναι η παρεμβολή τρίτου στη συνομιλία, όπου δεν είχε κανένα λόγο να βρίσκεται.

Μερικά παραδείγματα όπου εκδηλώθηκε το εν λόγω φαινόμενο ήταν κατά την παρουσίαση διατριβής σε Πανεπιστήμιο, κατά τη διάρκεια μαθήματος διαμέσου εικονικής αίθουσας διδασκαλίας σε σχολείο όπου εισχώρησε στη συνομιλία τρίτος ο οποίος μπορούσε είτε να ελέγχει αυτό που προβάλλεται στους συμμετέχοντες είτε να παρουσιάζεται γυμνός είτε να προβάλει άσεμνο περιεχόμενο είτε να επιτίθεται με απρεπή σχόλια στους συμμετέχοντες.

Ο τρόπος με τον οποίο λειτουργεί η συγκεκριμένη ευπάθεια είναι ότι για κάθε συνάντηση το Zoom δημιουργεί έναν εννιαψήφιο κωδικό αριθμών, ο οποίος ύστερα μοιράζεται από αυτόν ο οποίος φιλοξενεί την συνάντηση (host) στα μέλη τα οποία αυτός θέλει να προσκαλέσει, τα οποία μπορεί να είναι μαθητές του, συνεργάτες, φίλοι, πελάτες κλπ. Δεδομένου ότι ο κωδικός αυτός αποτελείται μόνο από αριθμούς κάποιοι, είτε επειδή ανακάλυψαν μια αλληλουχία στους τυχαίους κωδικούς που δημιουργεί το Zoom είτε επειδή ο host είχε δημόσια ή αμελώς διαθέσει τον κωδικό, μπορούσαν να πάρουν τον έλεγχο μιας παρουσίασης ή να προβάλουν άσεμνο περιεχόμενο ή απλώς να συμμετέχουν έστω παθητικά σε ιδιωτικές συναντήσεις άλλων.

Μέχρι στιγμής δεν μπόρεσε κάποιος hacker ή troll να εισχωρήσει σε συγκεκριμένη ιδιωτική συνάντηση, που γνώριζε ότι λάμβανε μέρος ανάμεσα σε δύο ή περισσότερα άτομα. Φαίνεται δηλαδή ότι εάν δεν έχει κοινοποιηθεί αμελώς ο κωδικός, ο τρίτος μέχρι να «μαντέψει» τον εννιαψήφιο αριθμό δε γνωρίζει σε ποια συνάντηση θα επιτεθεί.

  1. Έλεγχος κάμερας και μικροφώνου από τρίτο:

Στο παρελθόν και συγκεκριμένα το 2019 είχε παρατηρηθεί ένα κενό ασφαλείας στην εφαρμογή το οποίο δυνητικά μπορούσε να δώσει πρόσβαση σε τρίτο στην κάμερα και το μικρόφωνο υπολογιστών Mac, η Zoom φαίνεται να μπάλωσε (patch) το κενό ασφαλείας και άλλαξε τον server στον οποίο είχε παρατηρηθεί το πρόβλημα αλλά δεν είναι γνωστό κατά πόσο αφαιρέθηκε σαν ευπάθεια από το λογισμικό.

  1. Κλοπή κωδικού Windows: Αν και οφείλεται κυρίως σε αμέλεια/άγνοια του χρήστη, παρατηρήθηκε από ερευνητές ασφαλείας ότι στο Chat του Zoom μπορεί κάποιος να εισάγει μια διεύθυνση url (www.example.com) την οποία η πλατφόρμα μετατρέπει σε hyperlink, δηλαδή σε ένα σύνδεσμο που χρειάζεται απλά ένα κλικ για να εκτελέσει τον περιηγητή και να μεταβεί στην αντίστοιχη διεύθυνση. Το φαινόμενο παρατηρήθηκε σε Δημόσιες συναντήσεις όπου σε αυτή την περίπτωση υπάρχει hacker ο οποίος θα εκμεταλλευθεί την μετατροπή του url σε hyperlink για να τρέξει τοπικά στον υπολογιστή σας και να εκθέσει πληροφορίες.

Συνοψίζοντας επειδή o σκοπός του συγκεκριμένου άρθρου δεν είναι η αποφυγή της χρήσης του Zoom, αλλά η ορθή χρήση της πλατφόρμας εκμεταλλευόμενοι ταυτόχρονα στο έπακρο τις δυνατότητές της παραθέτουμε μερικές χρήσιμες συμβουλές για να αφήσετε εκτός αδιάκριτα βλέμματα και απρόοπτες εκπλήξεις, σε περίπτωση που είστε εσείς ο host:

  1. Δημιουργήστε ξεχωριστό Password ανά συνάντηση το οποίο θα αποσταλεί με ασφαλή και όχι δημόσιο τρόπο στους συμμετέχοντες (email, sms)
  2. Επιλέξτε να έχει μόνο ο host τη δυνατότητα διαμοιρασμού οθόνης
  3. Δείτε που βρίσκεται η λειτουργία Mute ώστε να μπορείτε να αποκλείσετε τον ήχο από ανεπιθύμητους εισβολείς
  4. Δημιουργείστε λίστα αναμονής (waiting list) ώστε να έχετε απόλυτο έλεγχο πριν κάποιος μπορέσει να συμμετέχει στην τηλεδιάσκεψή σας
  5. Φροντίστε να έχετε την ενημερωμένη έκδοση του προγράμματος

Κλείνοντας, η Zoom κρατά μια αρκετά υπεύθυνη στάση ύστερα από όλα όσα είδαν το φως της δημοσιότητας, βάζοντας φρένο 3 μηνών στο development τμήμα της και επικεντρώνεται στο να λύσει τα θέματα τα οποία ανέκυψαν. Μέρος αυτής της στρατηγικής είναι η προσθήκη, του ελληνοαμερικανού Alex Stamos Ειδικού Κυβερνοασφαλείας, πρώην Chief Security Officer σε Facebook και Yahoo και καθηγητή στο Stanford, στην ομάδα ανθρώπων που θα την κατευθύνουν κατά την κρίσιμη αυτή περίοδο.

 

*Ο Φοίβος Πετρόπουλος είναι Δικηγόρος Κέρκυρας, Διαπιστευμένος Διαμεσολαβητής Ιταλίας και DPO (Glafkopis.eu)

 

Leave a reply