ITanalyze

#stayhome یا #در_خانه_بمانیم این روزها فقط هشتگ محبوبِ شبکه‌های اجتماعی نیست بلکه همچنین واقعیتی است محض برای کسب و کارها؛ کسب و کارهایی که پاندمی ویروس کرونا مجبورشان کرده به دورکار کردن کارمندان خود. اکنون جلسات حضوری به ویدیو کال‌ها تغییر ماهیت داده است. قطعاً که در کنفرانس‌های سازمانی در مورد آب و هوا و این جورچیزها صحبت نمی‌شود؛ پس باید قبل از اجرای اپ ویدیو کنفرانس کمی وقت بگذارید و با مکانیزم حفاظت داده‌ای کار کنید. از این رو قصد داریم در این خبر کمی با شما از معضلات پیرامون اپ‌های ویدیو کنفرانس بگوییم. با ما همراه باشید.

Google Meet و Google Duo
گوگل دو سرویس تماس ویدیویی به نام‌های Meet و Duo ارائه می‌دهد. اولی اپیست که با سایر سرویس‌های گوگل (G Suite) یکپارچه می‌شود. اگر شرکتتان از آن‌ها استفاده می‌کند، Hangouts Meet بخوبی با آن سازگار خواهد بود.

• امنیت- Google Meet

از میان کلی مزایای Meet می‌توان به زیرساخت قابل‌اطمینانِ پردازش اطلاعات، رمزگذاری (هر چند پایان به پایان[1]) و مجموعه‌ ابزار محافظتی (همگی به طور پیش‌فرض فعال) اشاره نمود. مانند بیشتر محصولات کسب و کار، G Suite–شامل گوگل میت- با استانداردهای پیشرفته امنیتی تطابق داشته و گزینه‌های تنظیماتی و مدیریت دسترسی به حقوق ارائه می‌دهد (البته کلی قابلیت‌های دیگر نیز دارد).

• امنیت- Google Duo

اپ موبایل Duo–از طرفی دیگر- با استفاده از رمزگذاری پایان به پایان از اطلاعات حراست می‌کند. با این حال، این اپلیکیشنی است طراحی‌شده برای کاربران خصوصی نه برای کسب و کارها. کنفرانس‌های آن می‌توانند تنها 12 شرکت‌کننده را در خود جای دهند.

• آسیب‌پذیری‌ها و ایرادها

جدا از برخی پیام‌ها که ما را یاد ماجرای اطلاعات جمع کردنِ گوگل می‌اندازد و بنابراین می‌تواند تهدیدی باشد برای اسرار تجاری (اینکه ما قادر نیستیم اطلاعات متقنی در مورد عملکرد امنیتی این اپ‌ها بدست آوریم) به طورکلی عملکرد امنیتی گوگل در سرویس‌هایش خوب است؛ نه که گوگل بی‌نقص باشد ولی تیم امنیتی کار کشته‌ای پشت سرویس‌های آن است که قبل از هر دردسری مسائل را رفع و روجوع می‌کنند.

Slack
در Slack شما می‌توانید برای تیم‌ها، فضاهای مختلف چت درست کنید؛ هر یک از اینها به طور مناسبی در یک پنجره جای داده می‌شوند و افزون بر این کانال‌های داخل هر فضای کاری به پروژه‌های گوناگونی نیز اختصاص پیدا می‌کند. کنفرانس‌ها در این برنامه تا سقف 15 نفر است. 

• امنیت

Slack با مجموعه‌ای از استانداردهای بین‌المللیِ امنیتی شامل SOC 2 سازگاری دارد. این سرویس می‌تواند طوری تنظیم شود که با اطلاعات پزشکی و مالی همگام بوده و به شرکت‌ها اجازه می‌دهد برای ذخیره اطلاعات منطقه‌ای را انتخاب کنند. و پیوستن به فضای کار  Slack یا مستلزم دعوت است و یا آدرس ایمیل (با استفاده از دامنه سازمانی). Slack همچنین به مشتریان خود ابزارهای منعطف مدیریت خطر، راهکارهای DLP[2] و ابزارهای کنترل دسترسی به اطلاعات نیز ارائه می‌دهد. برای مثال، ادمین‌ها می‌توانند استفاده Slack را از دستگاه‌های شخصی و کپی کردن اطلاعات از کانال‌های آن را محدود کنند.

• آسیب‌پذیری‌ها و ایرادها

طبق گفته‌های توسعه‌دهندگان Slack تنها تعداد محدودی از کسب و کارها در واقع به رمزگذاری پایان به پایان نیاز دارند و پیاده‌سازی این قابلیت می‌تواند سطح کارایی را محدود کند. بنابراین، ظاهراً Slack برنامه‌ای برای افزودن رمزگذاری پایان به پایان ندارد. این برنامه همچنین به شما اجازه می‌دهد تا اپ‌های طرف‌سوم را –که امنیت‌شان در حوزه وظایف Slack نیست- یکپارچه‌سازی کنید. همچنین محققین به وجود آسیب‌پذیری‌هایی جدی در Slack پی برده‌اند. Slack موارد زیر را پچ کرده است: باگی که به مهاجمین اجازه می‌داد تا اطلاعات را سرقت کنند و البته باگ دیگری که نفوذ به سشن کاربری را ممکن می‌ساخت.

Teams
Microsoft Teams با آفیس 365 یکپارچه می‌شود؛ این برای یک کاربر سازمانی اصلی‌ترین مزیت حساب می‌شود. مایکروسافت در واکنش به افزایش تقاضا برای دورکاری اکنون تعرفه رایگان شش ماهه‌ای برای  Microsoft Teams ارائه می‌دهد. اما کاربران آزاد قادر نخواهند بود به تنظیمات و خط‌مشی‌های کاربری دست بزنند (احتمال دستکاری امنیتی وجود دارد).

• امنیت

Teams با تعدادی استانداردهای بین‌المللی سازگاری دارد و می‌تواند طوری تنظیم شود که با داده‌های محرمانه پزشکی کار کرده و دارای گزینه‌های مدیریت منعطف امنیتی باشد. ابزاری دیگری نیز تحت همین برنامه‌های خدماتی –نظیر DLP یا اسکن فایل‌های خارجی- می‌توانند در Teams ادغام شوند. راهکار ما برای محافظت از MS Office 365 اطلاعاتی را که –برای جلوگیری از انتشار بدافزار میان شبکه سازمانی - از طریق Teams تبادل شده بودند اسکن می‌کند. داده‌های ارسال‌شده به سرور خواه چت باشد خواه تماس ویدیویی رمزگذاری می‌شود. ین اطلاعات هرگز منطقه‌ای را که شرکت شما عملیات‌های خود را انجام می‌دهد ترک نمی‌کند.

• آسیب‌پذیری‌ها

نظارت آسیب‌پذیری‌ها در Teams ایده‌ی خوبیست. مایکروسافت معمولاً به سرعت نسبت به پچ آسیب‌پذیری‌ها اقدام می‌کند اما این آسیب‌پذیری‌ها مدام سر و کله‌شان پیدا می‌شود. برای مثال، محققین اخیراً آسیب‌پذیری‌ای (از زمان پچ شدنش) پیدا کردند که تصاحب اکانت را موجب شده است.

Skype for Business
نسخه‌ی کلود Skype for Business–قبل از  Teams در آفیس 365- به تدریج دارد منسوخ می‌شود اما هنوز می‌توانید آن را به طور محلی یا داخلی نصب کنید. برخی از کاربران کاربرد آن را از  Teams راحت‌تر می‌دانند و مایکروسافت نیز همچنان پشتیبانی از نسخه لوکال  Skype را تا چند سال آینده ادامه خواهد داد.

• امنیت

Skype for Business اطلاعات را رمزگذاری می‌کند اما نه به صورت پایان به پایان. این محافظت سرویس قابل تنظیم است. همچنین از نرم‌افزارهای لوکال سرور نیز استفاده می‌کند تا تماس‌های ویدیویی و سایر داده‌ها هرگز از شبکه‌ی سازمانی به بیرون درز نکنند (مزیتی آشکار).

• آسیب‌پذیری‌ها و ایرادها

این محصول برای همیشه مورد پشتیبانی قرار نخواهد گرفت؛ مگر آنکه مایکروسافت بخواهد برنامه‌های خود را تغییر دهد (چون قرار است تا آخر جولای 2021 به پشتیبانی آن خاتمه دهد). Skype for Business Server 2019 تا 14 اکتبر 2025 مشمول این پشتیبانی گسترده خواهد بود. 

WebEx Meetings و WebEx Teams
Cisco WebEx Meetings سرویسی است با تمرکز واحد روی ویدیو کنفرانس‌ها. Cisco WebEx Teams نیز سرویس همکاری تمام‌عیاریست که از بین کلی ویژگی‌هایش می‌توانیم به پشتیبانی آن از تماس‌های ویدیویی اشاره کنیم. تا همین لحظه که این خبر را نشر دادیم تفاوت این برنامه در رویکرد رمزگذاری‌اش است.

• امنیت

Cisco WebEx Meetings شامل خدمات سطح تجاری و رمزگذاری پایان به پایان می‌شود (این گزینه به طور پیش‌فرض خاموش است)؛ اما ارائه‌دهنده به درخواست کاربر آن را فعال خواهد کرد. این کار یک‌جورهایی کارایی این ابزار را محدود می‌کند اما اگر کارمندان در جلسات با اطلاعات محرمانه سر و کار دارند این کار توصیه می‌شود. Cisco WebEx Teams تنها برای مکاتبات و داکیومنت‌ها رمزگذاری پایان به پایان ارائه می‌دهد؛ درحالیکه تماس‌های صوتی و ویدیویی در سرورهای سیسکو رمزگشایی‌شده هستند.

• آسیب‌پذیری‌ها و ایرادها

درست همین مارس بود که این فروشنده دو آسیب‌پذیری WebEx Meetings–که اجرای کد ریموت را به خطر انداخته بود- پچ کردند. اوایل سال گذشته نیز باگی در کلاینت WebEx Teams پیدا شد. این باگ اجازه می‌داد تا فرمان‌ها با مزایای کاربر فعلی اجرا شود. سیسکو معروف است به جدی گرفتن بحث امنیت و آپدیت کردن سریع سرویس‌های خود.

WhatsApp
واتس‌اپ برای ارتباط اجتماعی ساخته شده است و نه کارهای تجاری اما این اپ رایگان می‌تواند نیازهای ویدیو کنفرانس را برای شرکت‌های کوچک یا تیم‌ها برآورده کند. این برنامه مناسب سازمان‌های بزرگ نیست؛ ویدیو کنفرانس تنها 4 شرکت‌کننده را در آن واحد در خود جای می‌دهد.

• امنیت

واتس‌اپ مزیتش در این است که به طور جدی و حقیقی رمزگذاری پایان به پایان دارد. این یعنی نه طرف‌سوم‌ها و نه کارمندان واتس‌اپ نمی‌توانند تماس‌های ویدیویی شما را ببینند. اما برخلاف اپ‌های تجاری، واتس‌اپ هیچ گزینه مدیریت امنیت تماس یا چپ ارائه نمی دهد (دست‌کم نه چیزی که به صورت درون‌سازه‌ای تعبیه شده باشد).

• آسیب‌پذیری‌ها و ایرادها

درست سال گذشته بود که مهاجمین جاسوس‌افزار پگاسوز را از طریق تماس‌های ویدیویی واتس‌اپ توزیع کردند. این باگ فیکس شد ولی یادتان باشد این اپ کارش ارائه محافظت سطح تجاری نیست؛ بنابراین دست‌کم کاربران باید اخبار امنیت سایبری را به دقت دنبال کنند.

Zoom
این پلت‌فرم ویدیو کنفرانس مبتنی بر کلود از اوایل پاندمی ویروس کرونا سر زبان‌ها افتاد. هم قیمتش خوب است (40 دقیقه کنفرانس رایگان با سقف 100 شرکت‌کننده) و هم کاربرپسند است. اما به همان اندازه هم نقاط آسیب‌پذیری دارد و از این بعد هم نگاه کنیم زیاد معروف شده است.

• امنیت

این سرویس با استاندارد امنیتی بین‌المللی SOC 2 سازگاری داشته و تعرفه جداگانه HIPAA برای ارائه دهندگان مراقبت بهداشتی ارائه می‌دهد (که تنظیمات انعطاف‌پذیری هم دارد). سامان‌دهندگان سشن می‌توانند شرکت‌کنندگان را در صورتیکه حتی اگر هایپرلینک و رمزعبور درست هم داشته باشد بلاک کرده، ضبط را ممنوع شمرده و کلی کارهای دیگر انجام دهد. زوم اگر ضرورت داشته باشد می‌تواند طوری تنظیم شود که هیچ ترافیکی از شبکه سازمانی خارج نشود. زوم به طور فعالانه‌ای دارد آسیب‌پذیری‌های گزارش‌شده را تحت بررسی قرار می‌دهد. این شرکت می‌گوید قصد دارد امنیت محصول را بر افزودن قابلیت‌های جدید مقدم بشمارد.

• آسیب‌پذیری‌ها و ایرادها

زوم ادعا می‌کند رمزگذاری پایان به پایان دارد اما هنوز صحت این ادعا مشخص نشده است. با رمزگذاری پایان به پایان هیچکس غیر از فرستنده و گیرنده نمی‌تواند داده‌های انتقال داده‌شده را بخواند و این درحالیست که زوم داده‌های ویدیویی را روی سرورهای خود رمزگشایی می‌کند. آسیب‌پذیری‌هایی با درجه وخامت مختلف در اپ‌های زوم پیدا شده است. همچنین گزارش شده که در ویندوزهای زوم و کلاینت‌های macOS نیز آسیب‌پذیری پیدا شده است؛ آسیب‌پذیری‌هایی که به هکرها اجازه داده‌اند بتوانند داده‌های اکانت را از کامپیوتر کاربر سرقت کنند. دو باگ دیگر هم در اپ macOS شناسایی شده که است به طور بالقوه به مهاجمین اجازه می‌دهند تا تماماً کنترل دستگاه را در دست گیرند. افزون بر این، بسیاری هم از وجود ترول‌های اینترنتی در این برنامه خبر داده‌اند؛ ترول‌هایی که به کنفرانس‌ها سر می‌زنند (کنفرانس‌هایی که با رمزعبور محافظت نشده‌اند) تا کامنت‌های مشکوک گذاشته و با محتواهایی زشت و ناپسند نمایشگرها را به اشتراک بگذارند.
به طور کلی، شما می‌توانید با تنظیم درست کنفرانس خود این مشکل را حل کنید اما زوم همچنین برای رعایت جانب امنیت، محافظت رمزعبور را به صورت پیش‌فرض افزوده است. در حقیقت همه‌ی سرویس‌ها یک سری آسیب‌پذیری دارند اما زوم به دلیل عالم‌گیری ویروس کرونا بیشتر از بقیه سر زبان‌ها افتاد و از این رو ضعف‌هایش هم بیش از بقیه برجسته شد.

اپی را انتخاب کنید که بیشتر از همه به دردتان می‌خورد
نمی‌شود گفت فلان اپِ ویدیو کنفرانس بی‌نقص است. برای همین باید اپی را انتخاب کنید که بیش از بقیه به کارتان بیاید:
•    برای تنظیم درست سرویس وقت بگذارید. تنظیماتی که اجازه دسترسی‌های زیادی می‌دهد باعث نشتی می‌شود.
•    برای پنهان کردن آسیب‌پذیری‌ها تا حد امکان اپ‌های خود را زود به زود آپدیت کنید.
•    مطمئن شوید کارمندان شما دست‌کم مهارت‌های پایه‌ای در راستای رفتار اینترنتی دارند. اگر نه، سعی کنید به طور ریموت آن‌ها را حول محور این موضوع آموزش دهید. پلت‌فرم آگاهی خودکار امنیت کسپرسکی ما دقیقاً همین کار را برایتان انجام می‌دهد.
[1] end-to-end encryption
[2] Data Loss Prevention
منبع: کسپرسکی آنلاین 

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)