IT Biztonsági hírek

A hét IT biztonsági tanácsa

 

A Zoom videokonferencia platform népszerűségének robbanásszerű növekedése közepette több súlyos sérülékenység és biztonsági hiányosság is napvilágra került az elmúlt hónapok során. Habár a cég ezekre – jórészt – már talált megoldást, a felhasználók számára nem árt némi extra óvatosság a Zoom használatakor. A Kaspersky Lab blogján az alábbiakat javasolja:

Védjük a fiókunkat!

A Zoom felhasználói fiók épp olyan, mint bármely más szolgáltatásé, tehát az alapvető fiókvédelmi elvek itt is érvényesek, vagyis alkalmazzunk erős jelszót és kétfaktoros hitelesítést. A regisztrációkor kapott személyes azonosítót (Personal Meeting ID – PMI) pedig ne hozzuk nyilvánosságra, mert a platformon ezzel bárki számára lehetőség nyílik nyilvános meetingeket indítani.

Vigyázzunk a hamis Zoom alkalmazásokkal!

Kizárólag a hivatalos forrásokból töltsük le a Zoom-ot: az asztali verziót a https://zoom.us/ weboldalról, a mobil verziókat pedig az App Store vagy Google Play Store alkalmazásboltokból.

Ne használjuk a közösségi média oldalakat a konferencia hivatkozások megosztására!

Előfordulhat, hogy nyilvános meetinget szervezünk, így vonzó ötletnek tűnhet a közösségi oldalak promóciós célú felhasználása, azonban fontos tisztában lennünk azzal, hogy a nyilvános videokonferenciákat megzavaró “Zoomboomerek” elsősorban innen tájékozódnak. Ha valamilyen okból mégis közösségi oldalon hozzuk nyilvánosságra a meeting linkjét, ügyeljünk rá, hogy a “Use Personal Meeting ID”  opció ne legyen bekapcsolva.

Minden meetinget védjünk jelszóval!

Szerencsére a meetingek jelszóval történő védése már alapértelmezett beállítás a Zoomban. Ügyeljünk azonban arra, hogy ez a jelszó ne legyen azonos a Zoom fiókhoz beállított jelszóval, illetve sose posztoljuk a jelszót közösségi oldalakon!

Használjuk a várószobát (waiting room)!

Szintén alapértelmezett funkció: a meeting szervezője ennek segítségével egyenként hívhatja “élesbe” a résztvevőket, ami lehetőséget ad az esetlegesen becsatlakozó illetéktelen személyek előszűrésére.

Ügyeljünk a képernyőmegosztás funkciókra!

Hasonlóan más videokonferencia alkalmazásokhoz, a Zoom is lehetőséget kínál a képernyőmegosztásra, azonban érdemes ezt a funkciót kizárólag a gazdagépre, illetve a beszélgetésben résztvevőkre korlátozni.

Alkalmazás helyett használjuk inkább a webes felületet!

Az alkalmazások valószínűleg jóval sebezhetőbbek, mint a Zoom webes felülete, hiszen utóbbi a böngészők egy védett sandbox környezetében fut és kevesebb hozzáférési engedélyt kér, mint az alkalmazásbeli verziók. Előfordulhat, hogy a meetingen való részvétel kizárólag az alkalmazás telepítésével oldható meg, ehhez azonban javasolt egy olyan másodlagos eszköz (okostelefon, laptop) használata, amelyen nem tárolunk érzékeny adatokat.

Ne bízzunk vakon a végpontól végpontig terjedően titkosított beszélgetésekben!

Bár a Zoom nemrégiben jelentette be, hogy minden felhasználójuk számára elérhetővé teszi a a végponttól végpontig tartó titkosítást (end-to-end encryption – E2EE), biztonsági kutatók rámutattak, hogy mindez nem megvalósítható, ugyanis videóhívások esetén a másik végpont a Zoom szervere, amihez a cég alkalmazottai és akár a bűnüldőző hatóságok is hozzáférhetnek.

Gondoljuk át mit láthatnak, vagy hallhatnak a ,,túloldalon”!

Ez minden videokonferencia szolgáltatásra vonatkozik, nem csupán a Zoomra. Mielőtt egy híváshoz csatlakozna, szánjon egy percet arra, hogy átgondolja, mit láthatnak vagy hallhatanak a meeting resztvevői. Gondoskodjunk a megfelelő öltözékről és az ideális környezetről, ami tiszta, kényelmes és csendes egy videóhívás lebonyolításához. Hasonlóan járjunk el a képernyőmegosztás előtt is, zárjunk be minden olyan programot és ablakot, amelyet nem szeretnénk, hogy mások lássanak.

Forrás: kaspersky.com

Segíthetünk? Lépjen kapcsolatba velünk!

Hatósági bejelentés

Nemzeti Kibervédelmi Intézet Hatósági Főosztály
Székhely: 1022 Budapest, Törökvész út 32-34.
Levelezési cím: 1399 Budapest 62. Pf. 710/37.
Telefon: +36 (1) 206-9320
Fax: +36 (1) 206-9329
E-mail: info@nki.gov.hu
Hivatali kapu rövid neve: NBSZ (KRID: 427386978)
Intézetvezető: dr. Bencsik Balázs

Incidens bejelentés

Incidens bejelentéshez kattintson a következő gombra:

Incidens bejelentés

Incidens bejelentés anonim módon

Anonim incidens bejelentéshez kattintson a következő gombra:

Anonim incidens bejelentés

NKI által kezelt incidensekre vonatkozó statisztikai adatok

Támadástípusok eloszlása 2020.10.16. - 2020.10.21.

Incidensek eloszlása kockázati besorolás szerint 2020.10.16. - 2020.10.21.