Zoom – האם הוא באמת לא מאובטח ומסוכן לשימוש?

בדיוק כמו כולם גם אצלנו בבית ובעבודה יש שימוש מאסיבי בתוכנת Zoom. את Zoom אני מכיר כבר כמה שנים, לאור העובדה שלאחר הרכישה של Skype על ידי מיקרוסופט התוכנה הפכה מורכבת, מסורבלת וקשה מאוד לשימוש עוררה אותי לחפש פתרונות אלטרנטיביים וזולים, וזום מהר מאוד הפכה לתוכנה העיקרית שבה תקשרתי בחברות שבהן היה בכך צורך.

כיום כל העולם משתמש בזום, אם זה בשביל לארגן שיעורי ספורט בבית, שיעורי יוגה, בית ספר, חברים, פגישות משפחתיות ואת סדר הפסח ואפילו פגישות חברה מאסיביות (בחברה שלי, all hands ראשון בעת הקורונה מנה 97 איש בחדר זום אחד) – כולם בעזרת התוכנה. הפופולריות שלה היתה בעקבות העובדה שזה "פשוט עובד", ושכל מה שנדרש הוא לשתף לינק לפגישה והצד השני יוכל בקלות להתחבר בין אם יש לו את האפליקציה ואפילו דרך הדפדפן בעת הצורך.

בניגוד לסקייפ, פייסטיים או לווטאספ, החוזק של זום היה שתוכנן מראש בכך שהתמודד עם פגישות רבות משתתפים (ולא התחילו מפגישות אחד על אחד), כולל פגישות גדולות (וובינרים או כנסים עם מאות משתתפים) כאשר למשתמשים רגילים יש אפשרות ל-49 משתתפים, משתתפים עסקיים יכולים להרים חדרים עם 100 ויותר, ו-zoom rooms שיכולים להגיע ל-300 משתתפים וזה לפני חדרים "מיוחדים" לפי דרישה שגם יכולים להכיל מאות רבות של משתתפים.

אבל אז החלו הדיווחים על בעיות:

•  Zoom bombing – אנשים "מנחשים" את מספר הפגישה וחודרים לפגישות סגורות. הדבר החל באמת מתוך brute force attack וכיום מגיע לקונגרס ולסנאט כאשר אנשים ממש מצליחים לחדור לפגישות סגורות. 
• פורנוגרפיה בבית הספר – דיווחים רבים על וידאו פורנוגרפי שמשודר מגורמים לא ידועים בעיקר בכיתות, כולל בישראל.
• חדירות להקלטות – מתברר שאפשר להגיע להקלטות פרטיות של Zoom בגלל שיטת השמות של הקבצים
• קשרים מפוקפקים לסין – לחברה קשר לסין ושרתים שלהם גם נמצאים פיזית בסין, מה שמעמיד אותם אוטומטית בחשד שלהנהגה הסינית יש אפשרות לצפות בשידורים או בהקלטות מבלי שנדע על כך.
• הצפנה מקצה לקצה – מתברר שזום משתמשים בהצפנה חלשה למדי שניתן די בקלות לפרוץ אותה, מה שאומר שלא מומלץ להעביר מידע עסקי חשוב בשיחות זום מסכנת גילוי על ידי גופים מתחרים או אולי מהממשלה.

הראשונים שהכריזו על אי אמון בזום היו גוגל שהסירו באופן אקטיבי את התוכנה ממחשבי עובדי החברה, כולל עובדי Waze בארץ ובחו"ל. חברות נוספות הצטרפו לעניין, אבל כדאי לציין שגוגל עצמה משווקת לעסקים מוצר מתחרה (במקור Hangouts כיום Meet או "Hangouts meet") אשר משווק לחברות שמשתמשות ב-G-Suite חבילת העסקים הפופולרית של גוגל. כלומר, יש כאן חשד די ברור שהחברה מנצלת את ההזדמנות לקדם מוצר מבית על פני המוצר המתחרה.

חוץ מגוגל, המתחרות הגדולות האחרות הן מיקרוסופט (מעבר לסקייפ, יש להם את תוכנת Teams שמשלבת בין תכונות כמו זום וכן יכולות תקשור הדומות ל-slack או ווטסאפ), פייסבוק (מעבר לווטסאפ ומסנג'ר, החברה כנראה תתחיל בקרוב מאוד לשווק מוצרי וידאו לייב).

האם באמת צריך להרים ידיים ולוותר על זום?

זום לקחה מאוד ברצינות את הנושא ובקרוב מאוד צפויה לשחרר שדרוג מאסיבי של המוצר שממוקד באבטחה ובהגנה, הודות להקפאת פיתוח שהחברה הודיעה עליה מיד לאחר תחילת משבר הקורונה. גרסא 5 צפויה להיות משוחררת בשבוע או השבועיים הקרובים ויפתרו את בעיות ההצפנה של המוצר ולהביא אותו לרמה גבוהה משמעותית מכיום.

במקביל, החברה משדרגת את יכולות ה-security שלה, לא רק לחברות אלא גם לאנשים פרטיים. פגישות פרטיות מתאפשרות כעת עם סיסמא וזו גם ברירת המחדל. כלומר, עדיין ניתן לקיים שיחות ללא סיסמא, אך ברירת המחדל כעת היא עם סיסמא והדבר מומלץ בחום למי שחושש מפריצות לחדר. ניתן גם לסמן באיזה איזורים שרתי הזום שלכם ישבו, וכך בעצם לעקוף שרתים באזורים בעייתיים כמו סין. החברה כעת גם מאפשרת גישה מאובטחת בלבד למי שזקוק לשמור ולאבטח את ההקלטות שלהם.

בנוסף, ניתן להציב חדר waiting room אשר מונע כניסה של אנשים לתוך חדר הזום לפני שעברו וידוא ואישור של מנהל החדר. 

ניתן גם לשלוט מי יכול לשתף מסך (אם כי ניתן בעזרת תוכנות כמו Manycam ואפילו הוידאו רקע של זום עצמם) לשדר תכנים לא ראויים לתוך חדר. 

ניתן לשלוט אם כל אחד יכול להכנס או רק מישהו שזהותו אושרה, בין על ידי יוזר של זום ובין עם על ידי חשבון גוגל או חשבון מוכר אחר. ניתן גם להרחיק אנשים בעייתיים לצמיתות ולחסום כעת את החדר לכניסות נוספות ברגע שכל המשתתפים המתוכננים כבר הגיעו.

כמו כן, יש שליטה על תכני הצ'אט ומניעה של אפשרות לשתף קבצים או לינקים בתוך הצ'אט.

את מרבית היכולות הללו החברה איגדה דרך תפריט ה-security אשר הופיע בתחתית האפליקציה. 

מדוע יש כל כך הרבה פריצות לזום והאם צפוי להמשיך?

בתחילת הדרך חשבנו שהפריצות קורות בשל חדירות Brute force, כלומר שמספר החדרים הפעילים בזום עלה כל כך שהסיכוי לפגוש חדרי זום פעילים גדל דרמטית. אבל האמת? זה בכלל לא הסיפור

• מתברר שהפגישות של בכירים בממשל האמריקאי (שמראש לא היו אמורים להשתמש בזום) פורסמו בפורומים וברשתות החברתיות והם היו נטולות סיסמאות. ניתן היה למצוא חדרים פתוחים כאלה בחיפושים פשוטים של גוגל, פשוט כי חברות פרסמו אותן בעבר והשתמשו שוב ושוב באותם חדרים.
• במקום לייצר דינמית את קוד הפגישה, היה שימוש חוזר באותם חדרים שהיו פתוחים לציבור. ניתן להגדיר שכאשר מבקשים לייצר פגישה, שהוא לא ישתמש בלינק האישי שלכם אלא בלינק שמיוצר דינמית בכל פעם מחדש.
• מתברר שבבתי הספר לא ידעו להשתמש ב-zoom dashboard אשר מקליט ויודע בדיוק מי נכנס לחדר, מה שהיה מאפשר זיהוי של הגורמים העוינים (ככל הנראה סטודנטים או חברים של מי שבחדר שהיה בסוד העניינים) כולל זיהוי כתובת IP, סינון שלה או זיהוי שמדובר באותו סטודנט שנכנס דרך הלינק שקיבל רק דרך מכשיר נפרד. במקרה כזה, ברור לחלוטין שגם פתיחת סשנים חדשים לא פותרים את בעיית החדירה מכיוון שאותו משת"פ יספק שוב לגורם החודר את הלינק והסיסמא לחדר גם לאחר פתיחתו המחודש.

• לא היה שימוש בחדרי waiting room או בחסימת כניסות חדשות לאחר שכל התלמידים נכנסו לכיתה.
• לא עשו שימוש בחסימת וידאו ואודיו של מי שנכנס, שזה חשוב למניעת התקפות מסוג זה בפרט אחרי שאירוע כזה כבר התרחש.
• מתברר שגם לינקים להקלטות פורסמו בפומבי, מה שגרם להם להיות מופצות ללא שליטה.

נשמע שבעזרת כמה פעולות פשוטות ניתן כבר היום לפתור את הבעיות הללו

• עשו שימוש במספרי פגישות דינמיים ולא במספר או לינק חדר קבוע (אם יש לכם google calendar יש לו תוספים שמאפשרים יצירה דינמית כזו).
• השתמשו ככל הניתן בסיסמאות 
• אם מדובר בחדר סגור, פשוט הוסיפו חדר כניסה / לובי (waiting room בשפת זום)
• אחרי שכל המשתתפים הגיעו לחדר, נעלו את הפגישה לכניסה של אחרים
• לא מומלץ לפרסם בפומבי לינקים של חדרים ובוודאי לא של מספרי או לינקים של חדרים קבועים
• אם בכל זאת פלשו לכם לתוך החדר, עשו שימוש ב-Dashboard (במידה ואתם חברה ויש לכם את הפיצ'ר הזה) וכך קל מאוד לזהות במי מדובר.
• אם ניתן לחסום את הכניסה לפגישות למשתמשים מאומתים, עשו זאת.
• לגבי הקלטות – מומלץ להשתמש ביכולות הסיסמא גם על דפי הקלטות, ובמקרים שהתוכן יקר לכם מומלץ להקליט מקומית (יש אפשרות להפעיל יכולת זו על ידי מנהל החשבון). 
• אם אתם ראש ממשלה ומפחדים שהמידע מהפגישה תזלוג, מומלץ להשתמש בתוכנות ברמת אבטחה גבוהה מזו של זום (לפחות עד שגרסא 5.0 תגיע בקרוב).

בהצלחה!

לדיון בנושא: Zoom – האם הוא באמת לא מאובטח ומסוכן לשימוש?