!Secure your Zoom Meetings

Security Tips for your safety

05/10/2020
CVE
חשיבות
מושפעים מרכזיים
Zoom application

המלצה:

כוונו את הגדרות ברירות המחדל של אפליקציית ה- ZOOM באופן מאובטח. במקביל, הפעילו תכונות אבטחה תוך כדי השיחות על מנת להימנע מטעויות ומפגיעויות מכוונות.

מידע כללי והרחבות:

רלוונטי לארגונים ולאנשים פרטיים
במצב המוזר שאליו נקלענו, כולנו משתמשים באפליקציית Zoom.
בחודשים האחרונים אפליקציית Zoom הפכה להיות חלק בלתי נפרד בחיינו הפרטיים, בפגישות עבודה ואפילו בקרב סטודנטים ותלמידי בית הספר.
כולנו משתמשים אך מעטים מכירים את משמעות ההגנה בפלטפורמה השכיחה הזו.

לא מזמן, בתחילת תקופת הקורונה, אתרי אבטחה רבים פרסמו פעולות "האקרים" (ואני בכוונה שם בגרשיים, כי המניפולציה הזאת ניתנת למימוש בקלות אפילו באמצעות מכשיר סלולרי סטנדרטי) אשר ניצלו חור אבטחה באפליקציה, בכך שיצרו משתמשים פיקטיביים והתחברו לשיחות בכל העולם מבלי שאושרו לכך. אתן דוגמא:
כתובת שיחת Zoom סטנדרטית הינה: https://us04web.zoom.us/j/123456789

כל שינוי של אחת מהספרות האחרונות בכתובת הURL, הוביל אותי לשיחה אחרת באופן אקראי. כך פעלו אותם "האקרים" שונים ברחבי העולם וגרמו לנזקים רבים בארגונים שונים.
בעקבות כך, חברת Zoom פרסמה עדכון גרסה המחייבת שימוש בסיסמא בעת התחברות לשיחה קיימת. אחרת, לא נוכל להצטרף. בפועל זה בא לידי ביטוי כך – כתובת השיחה: https://us04web.zoom.us/j/123456789
הפכה להיות, לאחר עדכון האפליקציה:
https://us04web.zoom.us/j/123456789?pwd=enMxUQUd3WXI0RGSH7Hs09

שימו לב לפרמטר שהתווסף בסוף כתובת הURL שלנו – "pwd" המסמל קיצור למילה Password.
עם זאת, ולמרות שנוספה שכבת ההגנה לשימוש בסיסמא בשיחות הבעיה נותרה בעינה.

הרי לא פעם אנחנו מפרסמים את כתובת השיחה (הטומנת בחובה את הסיסמא) בערוצים פתוחים וציבוריים (WhatsApp, Telegram, או אתרי שיתוף כמו Meetup ודומיו) ובכך חושפים את כתובת השיחה לאנשים לא בהכרח רצויים.
אוקי, אם כך איך בכל זאת נשתמש באפליקציה בצורה מאובטחת?

אחלק את ההמלצות לכך ב2 חלקים נפרדים. הפעולות הנכונות לביצוע טרם תחילת השיחה, והתאמות מומלצות לביצוע בזמן השיחה.

טרום ביצוע השיחה, וודאו את הדברים הבאים:

1. הפעילו את פונקציית - Waiting Room (למשתמשים ארגוניים בעיקר) – הפעילו את שירות הWaiting Room אשר בעזרתו תוכלו לעקוב במהלך השיחה על המשתמשים אשר מבקשים גישה לשיחה שלכם. אציין כי האופציה הזו מופעלת כברירת מחדל אצל משתמשים פרטיים. למידע נוסף על אופן ההפעלה.

2. שימוש בקוד גישה - הגדירו שימוש בקוד גישה לכל שיחה/וובינר שאותם תיצרו בעתיד. וודאו שקוד הגישה מכיל מורכבות ולפחות 12 תווים בכדי להקשות על ניסיונות התחברות בלתי רצוניים. למידע נוסף על הפעלת קוד גישה.

3. הצטרפות לשיחה לפני המארח – בכדי למנוע התחברות משתמשים לא רצויים מנעו את האפשרות שלהם להיכנס לשיחה לפניכם (לפני מארח השיחה).
לחצו כאן כדי לדעת איך ניתן להגדיר את שירות הJoin Before Host.

4. שימוש במזהה האישי שלכם – לכל משתמש יש מזהה משלו בשיחה (Personal Meeting ID - PMI). מזהה זה אינו משתנה לעולם (אלא אם בחרתם לשנות אותו), כל זאת בכדי לאפשר למשתמשים מוכרים לפנות אליכם באופן ישיר. אך שימו לב! שימוש במזהה האישי שלכם לשיחות ציבוריות אינו מומלץ ולכן, נכון לתזמן מזהה רנדומאלי לפגישות חוץ ארגוניות. למידע נוסף על שימוש במזהה רנדומלי.

5. אישור משתמשים מאומתים להצטרפות לשיחה (למשתמשים ארגוניים בלבד) – בכדי למנוע מארגונים לא מוכרים או אנשים פרטיים להתחבר לשיחות הארגוניות שלכם. וודאו כי רק משתמשים מאומתים מדומיין מוכר ומאומת, יכולים להצטרף לשיחות שלכם. למידע נוסף עבור שירות ה Require attendees to register.

בזמן השיחה:

6. וידוא משתמשים - וודאו כי כל מי שאתם מאשרים להיכנס לשיחה, הינו משתמש שאתם מכירים ויודעים שהוא לא הגיע לכאן "ללא כוונה" – אחרת אל תאפשרו למשתמשים שאתם לא מכירים להיכנס לשיחה שלכם!

7. נעילת ההצטרפות לשיחה – לאחר ווידוא כלל המשתתפים לשיחה, ניתן לבצע נעילת גישה למשתמשים חדשים. רק לפני שאתם עושים זאת, שימו לב שכולם בפנים, שלא תנעלו מישהו בחוץ 😊. למידע נוסף על הגדרת Lock Down לשיחות.

8. ביטול שיתוף מסך/חסימת אודיו – באפשרותכם לבטל את אפשרות המשתמשים המשתתפים בשיחה להפעיל אודיו ולהתפרץ במהלך הפגישה או להציג מסך בזמן השיחה. תוכלו לאפשר כמובן את האופציות השונות באופן אינדיווידואלי עבור משתתפים ספציפיים כאוות נפשכם. אופציה זאת מוסיפה לכם את האפשרות להיות בבקרה על השיחה שלכם בארגון ובכלל.

אחרונה חביבה, המלצה כללית - כמו כל אפליקציה וודאו תמיד שהאפליקציה שלכם מעודכנת לגרסת היצרן האחרונה. לא תמיד אנחנו חשופים לחולשות שנמצאו במערכות השונות, ועדכוני התוכנה לאפליקציות השונות מטרתם העיקרית היא לשמור עלינו ועל המידע האישי שלנו בפני אירועים וחולשות קיימות.

לסיכום, במאמר לעיל פירטתי את הנקודות המרכזיות שאני רואה לנכון לשים לב אליהם, קיימות, כמובן, הגדרות ויכולות נוספות שניתן לשפעל באפליקציית הZoom שלנו.
מקווה ומאמין שחידשתי לכם משהו במאמר. מטרתי העיקרית היתה להביא בפניכם את הדברים שאנחנו לא תמיד חשופים אליהם. כל שינוי קטן שלנו - בין אם במודעות לאירועי סייבר ובין אם "בפעולות בשטח" על המערכות עצמן, מבורך!
אל תהיו אלה שלפעמים חוטאים או/וגם מעלימים עין ואומרים – "לי זה לא יקרה.." או "למה דווקא אני?".
אל תהיו הטרף הקל של האקרים המודרניים!

מקור פרסום החולשה:

Zoom
נכתב ע״י Shlomi Halif

Security Engineer

פוסטים נוספים

12/04/2021
Privilege escalation vulnerability in Azure Function

בעזרת מניפולציות בסיסיות ושימוש בכלים סטנדרטיים המורשים לכל חשבון בעל הרשאות נמוכות
(non-privileged accounts) במערכת ההפעלה, ניתן לבצע הזרקה של תוכן זדוני אשר יכול להשפיע באופן נרחב על ה-Docker כולו, וכל זאת ללא ידיעת מנהלי האבטחה בארגון.

30/03/2021
GDPR UNSECURE IMPLEMENTATION

GDPR (General Data Protection Regulation) הינה רגולציית ההגנה על הפרטיות של האיחוד האירופאי, המחייבת ארגונים להגן על מידע אישי שברשותם. במאמר זה נתרכז בבקרה המחייבת חברה לאפשר לאזרח (נשוא המידע) לאחזר את כל המידע שהיא מאחסנת עליו. ובשפת התקן – DSAR (Data Subject Access Request) ועל חולשות שהתגלו בתהליך זה.

08/03/2021
HAFNIUM targeting Exchange servers with Zero-day exploits

מתקפה ושימוש בפרצות אלו מיוחסים על ידי מייקרוסופט ברמת ודאות גבוהה מאוד לקבוצת HAFNIUM (קבוצת ריגול סינית אשר נהגה לתקוף ארגונים בארצות הברית כגון מוסדות השכלה גבוהה, משרדי עורכי דין ועוד).

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram