Как и почему мы отказались от Zoom
Коронавирус COVID-19 вместе с кучей проблем породил много новых слов и явлений. Чего только стоят карантикулы, ковидарность и ковидиот. Не «зумятся» сейчас разве что ленивые, а дистанционка и удаленка перестали быть уделом только фрилансеров.
Популярный видеосервис Zoom вызвал большую волну зумбомбинга (от англ. Zoom bombing). Слышали о таком? А может, сталкивались, но не знали названия? Если нет, считайте, что вам повезло.
Эта статья будет полезна руководителям и линейным сотрудникам, которые хотят защитить свою компанию и личные данные от кибератак, а также тем, кто желает быть в курсе цифровых трендов и знать, как и где их применять.
О чем речь?
Вот представьте, вы с командой и заказчиком обсуждаете важный проект в зум-конференции и вдруг начинается трансляция порноролика. Все смущены, обескуражены — считайте, презентация сорвана. Что произошло? Вы стали очередной жертвой зумбомбинга. Это когда неизвестные личности вмешиваются в чужие онлайн-встречи и хулиганят: направляют участникам файлы неприличного содержания, пишут гадости в чате или включают кино для взрослых.
Ладно бы только это! Наверняка вы слышали про недавний скандал с Zoom, когда в открытый доступ попали тысячи видео рабочих конференций, а корпоративные и личные данные утекли в Facebook, где потом использовались в рекламных целях. Чудовищно, что конфиденциальная информация вашей компании оказывается в чужих руках, а вы становитесь заложником неадекватных личностей. Но есть и хорошая новость: от них можно защититься и даже вовсе избавиться, но для этого нужно вернуться к истокам.
Как появился зумбомбинг
До пандемии Zoom был просто одной из программ для видеозвонков, которой пользовались около 10 млн человек. Весной ее аудитория выросла до 300 миллионов: жизнь сотрудников многих компаний превратилась в череду зум-конференций. И этим не преминули воспользоваться токсичные личности: скучающие бездельники, пранкеры и интернет-тролли. Эти люди намеренно создают конфликтные ситуации, получая удовольствие от ответного возмущения, и потом с гордостью выкладывают видео своих «достижений» в соцсети.
Зумбомбинг уже стало сложно маскировать под безобидные шутки. Злоумышленники выкладывают в сеть личные данные участников встреч и даже угрожают расправой. Последние громкие выходки разжигали расизм, антисемитизм и гомофобию. Во всем цивилизованном мире такие вещи преследуется по закону. Но в интернете профессиональных зумбомберов вычислить сложно, потому что они тщательно скрывают свои IP-адреса. Но несколько громких дел с их участием на скамье подсудимых уже состоялись.
Не последнюю роль в появлении зумбомбинга сыграли проблемы с безопасностью самого Zoom. Дело в том, что видеозвонки там защищены не сквозным шифрованием (E2E), а транспортным (TLS). При таком типе шифрования контент встреч оказывается доступным для владельцев платформы, а значит, для кого угодно. Недаром сотрудникам Google, SpaceX и Apple запрещено устанавливать Zoom на рабочих компьютерах. Но было бы неправильно думать, что зумбомбинг — больное место только одного видеосервиса. Пользователи любой публичной «видеозвонилки» рискуют стать жертвами киберпреступников. Тем не менее эти риски можно свести к минимуму, если выполнять несложные правила.
Под запретом
1. Делать конференции публичными, то есть разрешать вход без пароля. Более того, пароль лучше выслать на почту участникам, а не выкладывать в открытый доступ.
2. Использовать свой идентификатор конференции вместо уникального. Последний генерируется случайно отдельно для каждой встречи.
3. Оставлять встречу открытой. Если все участники собрались, воспользуйтесь функцией Lock Meeting, чтобы закрыть ее для других.
4. Включать совместный доступ к экрану. Именно этой возможностью пользуются злоумышленники, когда демонстрируют фотографии, видео или оскорбительные надписи.
5. Оставлять возможность передавать файлы и писать комментарии. Если она открыта, зумбомберы могут легко отправлять непристойные сообщения и картинки участникам конференции.
Это, конечно же, меры профилактики, которые не гарантируют безопасность на 100%. Ну а мы в Мегаплане нашли свой способ никогда не сталкиваться с зумбомбингом — запустили в своей CRM-системе видеочаты. Мы специально не шли путем интеграций с видеосервисами (что было бы проще и быстрее), а с нуля разработали собственный функционал.
Свои видеочаты вместо зум-конференций
Примерно месяц после перехода на удаленную работу сотрудники Мегаплана еще пользовались Zoom и Skype. Сервисы работали со сбоями, видимо вызванными большим наплывом пользователей. Довольно скоро мы устали от «зависаний», а после скандалов с утечкой данных решили не рисковать сами и помочь нашим пользователям организовать безопасную видеосвязь таким образом, чтобы им даже не пришлось выходить из Мегаплана.
Конечно, мы и раньше делали подходы к внутренней видеосвязи, но аналитика показывала невостребованность у пользователей. А удаленка, несомненно, стала катализатором: нам пришлось ускориться и наконец сделать видеосвязь. Когда люди закрылись в квартирах, им стало очень не хватать визуального контакта с собеседником.
Так выглядел наш первый корпоративный мегаплан-колл (да-да, были и приглашенные спикеры):
Так как изоляция к нам всем пришла стремительно, пришлось срочно вспоминать прежние наработки и в рекордные сроки их реализовывать. Первоначальный вариант без функции входящего вызова был собран за три дня, то есть практически в режиме стартапа. За основу мы взяли открытые технологии. Для старта это был самый быстрый вариант. 30 апреля состоялся первый мегаплан-колл внутри нашей компании. Потом мы занимались исправлением багов и дополняли интерфейс. В июне проходило финальное бета-тестирование, и вот видеосвязь уже включена всем нашим пользователям.
Своя инфраструктура
Видеосерверы Мегаплана находятся в России, и трафик до них шифруется. Всё сконструировано с прицелом на безопасность и непубличность, поэтому несанкционированно подключиться к чьему-то чату даже внутри одного аккаунта невозможно.
Так как мы не пользуемся услугами третьих лиц – провайдеров видеосервиса, все данные остаются в Мегаплане. Для передачи видеосигналов используется стандартный протокол WebRTC. Он сам по себе всегда зашифрован и по-другому не работает. Перехватывать его бесполезно. Мы изначально поддерживаем для Мегаплана сквозное шифрование данных. В отличие от Zoom и Skype, у нас нет публичных сессий, к которым можно подключиться без пароля.
Если вы пользуетесь Мегапланом, вам не нужно устанавливать и настраивать никакие сторонние программы или открывать дополнительные вкладки. Всё уже готово к использованию. Вы просто нажимаете на кнопку и звоните нужным сотрудникам. Видеозвонки работают в веб-версии и в мобильном приложении: можно пользоваться там, где это делать удобнее. Мы не стали, как в Zoom, ограничивать длительность сессий и количество участников, а скоро добавим возможность записывать видео.
Мы гордимся, что за такой короткий срок сделали видеозвонки, но гордость не повод для остановки. Мы продолжим его дополнять: сделаем чат внутри конференции, добавим роль модератора, режим вебинара, совместную доску для рисований и демонстрации материалов в виде слайдов, размытие фона и другие полезные «фичи».
Подводим итоги
- Подключаясь к популярным интернет-сервисам, помните о рисках кибератак
- Выбирайте приложения, которые используют сквозное шифрование
- Собирая конференцию, не выкладывайте данные для входа в общий доступ
- Изучите возможности безопасного соединения, которые предлагает сервис
- Попробуйте видеочаты в Мегаплане: для этого не нужно скачивать и настраивать никакое внешнее приложение
Послесловие
Сергей Козлов, генеральный директор Мегаплана
Когда в марте пришлось реанимировать на телефонах и ноутбуках давно похороненный Skype, было много неожиданностей. Началось с того, что сами никнеймы были у всех работников личные, еще из прошлой жизни. И тут не обошлось без NatashNeNasha, MachoMen1980 и Sherminator. Хуже всего было при общем звонке вспоминать, кого и как в Skype зовут. Некоторые скрытные личности имели по 2-3 «учетки». Один раз подключили не ту Ангелину к совещанию. Фото тоже не помогали, ведь за 8-10 лет люди сильно изменились. В общем, было дико неудобно. Пока в апреле не появились наши собственные видеозвонки в Мегаплане. Тут тебе и знакомая аватарка, и имя-фамилия как положено. Кстати, у нас в Мегаплане принято оставлять в скобках девичью фамилию, если сотрудница выходит замуж. Ибо кем ты явился пришел в нашу компанию, тем для нас и останешься.
Ещё одни кто сумел в jitsu meet, чем вы лучше десятков других ?
Присутствовал на zoom-конференции одного акселератора, когда внезапно попал на трансляцию порно) теперь хоть буду знать, что это был "zoom-бомбинг".
Сам не был, но много слышал))
Настрогал статью в которой не рассказал про обновление Zoom до 5.х где все эти ПРАВИЛА, РЯЯЯ не нужны, зато оставшее ся место залито тоннами воды про свой сервис, да.
К сожалению, пока строгаются обновления и закрываются дыры, в сеть утекает много корпоративных данных. Мне кажется, безопасность - это то, о чем нужно думать в первую очередь, а не ждать до обновления 5.x!
Основная проблема не в ZOOM, а в людях не соблюдающих простые правила безопасности - пароль, лок, запрет на скриншар. Особенно это касается корпоратива, где о безопасности должны думать в первую очередь.
Согласна с вами, Андрей! Люди настолько халатно относятся к вопросам безопасности, что и иногда диву даёшься! Но полностью снимать ответственность с разработчиков сервисов тоже не стоит. Если ты предлагаешь какой-то инструмент, потрудись сделать так чтобы "дыры" были закрыты по умолчанию. Имхо, лучше сразу установить максимум фильтров, а если пользователю покажется, что их много, постепенно снимать, а не наоборот.