בחסות משבר הקורונה צמחה פלטפורמת זום למימדי ענק: כולם משתמשים בה - לפגישות צוות וישיבות מרחוק בעבודה, למפגשים כיתתיים, להתעדכן עם החברים, לקיים אימוני כושר מהבית, ומיטיבי הלכת גם דורשים כך בשלום סבתא. את הפופולריות של זום אפשר לראות ברשימות האפליקציות המובילות, והרבה מאוד משתמשים חינמיים ממשיכים להצטרף לפלטפורמה עם כל יום של איסור על יציאה מהבית.
אבל, כמו בכל פלטפורמה אחרת - גם זום מייצרת שורה של סיכונים חדשים שכדאי להיות ערים להם בעת השימוש. רק לפני כחודשיים פרסמה חברת אבטחת המידע הישראלית צ'ק פוינט, חולשת אבטחה לפיה האקרים ותוקפים יכלו להצטרף לשיחות וידאו גם בלי שהוזמנו, לצותת לנעשה בהן ואף לגשת לקבצים המועברים באמצעותן. החולשה הספציפית הזו תוקנה כבר בשנה שעברה, אבל עדיין יש מקום לדאגה.
תופעה חדשה יחסית - שצוברת תאוצה ככל שמצטרפים משתמשים חדשים אל הפלטפורמה, היא ה"זוםבומבינג". היא מנצלת את האפשרות לשיתוף מסכים בשיחות וידאו מרובות משתתפים - כאלה שנפתחות כדיונים פומביים ומזמינות משתמשים ללא הבחנה באמצעות פרסום קישור ייעודי לשיחה. כך קורה שטרולים ומשועממים אחרים מנצלים את הפונקציה כדי לשתף סרטוני זוועות, אלימות קשה או פורנוגרפיה ולהקרין אותם אל יתר המשתתפים בשיחה.
"כמו בכל טכנולוגיה אופנתית, לצד היתרונות הברורים מגיעות גם הסכנות, ואכן אנו שומעים יותר ויותר על שימוש לרעה באפליקציה", אומר עמרי הרשקוביץ, מנהל צוות מחקר חולשות בצ'ק פוינט. "סכנה יכולה להתעורר כשגורמים חיצוניים פולשים לשיחות פרטיות ומציגים במסגרתן חומרים פוגעניים כמו אלימות ופורנוגרפיה. כמו כן, קיימת סכנה של האזנת סתר מצד גורמים עוינים למטרות ריגול עסקי". שמירה על העקרונות הבאים תסייע לכם בהגנה בעת שימוש בזום.
עדכוני אבטחה
כלל המפתח של אבטחת המידע הוא להקפיד על שימוש באפליקציות מעודכנות. עדכוני אבטחה מתייחסים לפרצות וחולשות שהתגלו בפלטפורמה - ופותרים אותן. "חשוב להבין שבניגוד למחשבה הרווחת, חלון ההזדמנויות של התוקפים לא נסגר לאחר תיקון פרצת האבטחה, אלא רק לאחר שהמשתמשים הריצו עידכון תוכנה וקיבלו את התיקונים שערכה החברה במוצר. לאחר גילוי הבעיה, פרצת האבטחה מפורסמת ברבים ומגיעה לידיהם של תוקפים רבים, ועל אף שהחברה כבר תיקנה את הפירצה, רק המשתמשים שעידכנו את התוכנה יהיו מוגנים מפניה, מה שמותיר את שאר המשתמשים, שלא עידכנו בזמן את התוכנה, פגיעים במיוחד", אומר הרשקוביץ.
עומדים בדלת
יש מספר דרכים להזמין משתתפים אל שיחת הזום שלכם. לא משנה כמה היא גדולה או מרובת משתתפים - כדאי לוודא שאתם לא מסתפקים בקישור הזמנה לשיחה או במספר השיחה בלבד, אלא מצמידים אליהם גם סיסמה שתחייב את המצטרפים. אם מדובר בפגישה מתוזמנת תידרשו להזין סיסמה בצורה אוטומטית, אולם אם אתם יוצרים שיחה ספונטנית תצטרכו להגדיר את הצורך בהזנת סיסמה בעצמכם. "אפשרות נוספת לשלוט בזהות המשתתפים בשיחה, היא אופציית ה-Waiting Room, חדר ההמתנה, בו מנהל שיחה מייצר חדר ייעודי אליו המשתתפים מתחברים. בחדר הזה הוא יכול לאשר אותם אחד-אחד או במכה. ניתן לעשות זאת בתפריט האפשרויות המתקדמות הנפתח כשמבקשים לתזמן שיחה מראש".
הרשאות ושיתוף
בזום יש כלים מתקדמים לשיתופי פעולה, והם כוללים הרשאות ייחודיות. כמנהלי השיחה, כדאי לקחת רגע ולעבור על מגוון האפשרויות, ולנטרל את מה שלא רלוונטי לכם. כדאי לזכור שזום היא, בייסודה, פלטפורמה פנים-ארגונית, כך שהיא מראש לוקחת בחשבון שהמשתתפים בשיחה הם אנשים שמכירים זה את זה. רמת הסיכון עולה דווקא בימי הקורונה, כשיותר ויותר משתמשים חדשים מצטרפים לפלטפורמה ועושים בה שימוש קצת אחר.
כמנהלי שיחה בזום, מומלץ להשתמש בכלי ניהול המשתתפים, ולהגדיר בעצמכם מי מקבל הרשאות לשימוש במיקרופון ובמצלמה. תוכלו לנטרל את האופציה "להצטרף לשיחה לפני המארח" - כך שהפגישה לא תתחיל לפני שאתם מחוברים. אם אין צורך בכך - נטרלו את אופציית שיתוף הקבצים כדי למנוע הפצה של קבצים זדוניים. מומלץ גם לנטרל את ההרשאה שמאפשרת למשתתפים שהוסרו מהשיחה - לחזור אליה בלי אישור מיידי שלכם.
כלי משמעותי נוסף שעומד לרשותכם הוא הקלטה וייצוא של השיחה כולה - כך שמי שלא יכול היה להשתתף יקבל הזדמנות להתעדכן, או לצורכי יצירת פרוטוקול ישיבה. "הבעיה האבטחתית הנובעת מהשימוש בכלי זה היא כמעט מובנת מאליה: קשה מאוד לשלוט בקובץ ההקלטה שהמשתתפים בשיחה יכולים לייצא, והוא למעשה יכול למצוא את דרכו לידיים זדוניות", מסביר הרשקוביץ. לכן, ההמלצה היא להגדיר מראש מספר מועט של משתתפים שרשאים להקליט את השיחה באמצעות תפריט ניהול המשתתפים.
"חשוב להבהיר כי גם במידה והאישור לא ניתן, המשתתף יכול להקליט את השיחה באמצעות תוכנה חיצונית להקלטת המסך", מזכיר הרשקוביץ. "לכן, רצוי להניח תמיד שאתם עלולים להיות מוקלטים, ולנהוג בהתאם. לאחר השיחה, במידה והקלטתם אותה, ודאו כי אינכם מעלים אותה לפלטפורמה משותפת כמו ענן שיתוף מידע הפתוח לגורמים נוספים".
מי עוקב אחריי?
בחברת אבטחת המידע ESET מבקשים להסב את תשומת הלב לאחר הפיצ'רים היותר שנויים במחלוקת בפלטפורמה - כלי למעקב אחר תשומת-הלב של המשתתפים, הידוע גם כ-Attention Tracking. מדובר בפונקציה שמסמנת למנהל השיחה מי מהמשתתפים לא נמצא בקשב - וההגדרה הטכנית אומרת שהוא יצא מחלון השיחה למשך יותר מ-30 שניות. אם זה קרה, ליד שם המשתתף יופיע סמל קטן של שעון, שמתריע למארח כי המשתתף עבר לחלון אחר.
ב-ESET ממליצים לנטרל את אפשרות המעקב הזו: היכנסו להגדרות הזום, ומשם לתפריט ההגדרות מצד שמאל. גללו עד לאפשרות של Attention Tracking, וכבו אותה. יש גם מקרים שבהם מנהל השיחה הגדיר מראש את הפעלת המעקב אחר המשתתפים. אז תראו סמל קטן של מנעול ליד ההגדרה הזו, ולא תוכלו לכבות אותה.