居家辦公小妙招!如何安全地使用Zoom,Slack和其他遠程軟體!
Zoom是一款多人手機雲視頻會議軟體,為用戶提供兼備高清視頻會議與移動網路會議功能的免費雲視頻通話服務。用戶可通過手機、平板電腦、PC與工作夥伴進行多人視頻及語音通話、屏幕分享、會議預約管理等商務溝通。
slack (聊天群組)是聊天群組 大規模工具集成 文件整合 統一搜索。截至2014年底,Slack 已經整合了電子郵件、簡訊、Google Drives、Twitter、Trello、Asana、GitHub 等 65 種工具和服務,可以把各種碎片化的企業溝通和協作集中到一起。
由於當前冠狀病毒大流行,遠程辦公已成為不可逆轉的趨勢,有網路安全研究機構最近發布了有關如何 「安全遠程辦公」的報告,其中說明了可能導致終端和公司網路被攻擊的常見錯誤。在這篇文章中,我們列舉了一些流行的遠程辦公軟體,並強調一些需要注意的隱私和安全問題。
保護Slack和微軟團隊免受惡意行為者的攻擊
Slack和微軟團隊等工作場所聊天應用每天的用戶可能超過6000萬,隨著冠狀病毒的流行迫使大多數企業儘可能地轉移到遠程辦公,目前這兩個平台的用戶都出現了增長。這類應用程序在當今的數字化、分散式工作環境中至關重要,但是CISO和安全團隊需要意識到使用此類軟體的安全隱患。
對於旨在攻擊計算機的攻擊者來說,竊取用戶的全部Slack工作空間、聊天消息、文件和歷史記錄都比較簡單。更糟糕的是,攻擊者可以通過竊取用戶計算機上存儲的會話Cookie來獲得當前對工作區的訪問許可權。正如研究人員本月早些時候指出的那樣,攻擊者在Mac上要做的所有工作都是複製整個目錄,該目錄位於~/Library/Application Support/Slack或使用App Store版本的沙盒化的~/Library/Containers/com.tinyspeck.slackmacgap/Data/Library/Application Support/Slack。在Windows上,可以在%AppData%\Roaming\Slack中找到相同的數據。
獲得數據後,攻擊者可以啟動一個虛擬機實例,安裝Slack應用程序,並將竊取的數據複製到VM上的相同位置(用戶名不必相同)。然後,啟動Slack將使攻擊者登錄用戶的工作區,並為他們提供完整的實時訪問許可權。儘管此活動將記錄在伺服器端的工作區「訪問日誌」中,但除非攻擊者主動嘗試在工作區中模擬用戶,否則它對用戶而言並不明顯。
由於用戶計算機上的Slack數據會暴露給以登錄用戶身份運行的任何未沙盒化進程,因此惡意應用可能會在受害者不知情的情況下泄露這些數據。
儘管Slack的開發人員已經意識到了這個問題,但它們的官方回應是,這對他們而言目前不是緊迫的問題,因此安全團隊將需要採取自己的步驟來確保公司的工作區是否安全。首先,要確保所有公司設備都有一個良好的EDR解決方案,以防止惡意軟體從一開始就感染系統。其次,要求用戶和IT管理員定期退出其他設備。根據你的工作空間設置,需要也可能不需要密碼。
第三,與所有受密碼保護的帳戶一樣,提醒用戶定期更改密碼並為Slack設置雙因素身份驗證。使用像Slack這樣的工作平台,更改密碼很容易被忽視。工作區所有者和用戶可以查看訪問日誌,以檢查是否有任何未知的設備已經登錄到帳戶中。
微軟團隊的應用,Slack的主要競爭對手,在過去的9到10個月里也面臨著安全問題。去年6月,該團隊的Windows桌面應用程序被發現容易受到依賴項Squirrel框架的漏洞的攻擊,該框架可能允許任意代碼執行、惡意下載和許可權升級。去年9月,研究人員發現團隊應用程序容易受到跨站點腳本(XSS)和客戶端模板注入的攻擊。目前,這些漏洞已在Teams.app的最新更新中得到解決,因此IT管理員確保用戶及時更新這些應用程序至關重要。
無論使用哪種平台,請確保對於重要會議都制定了備份計劃。微軟團隊在2月份曾發生過一次3小時的宕機,原因是微軟竟然忘記了更新一個重要的安全證書。這對微軟來說是一次相當尷尬的故障,畢竟該公司還開發並銷售用於監控安全證書過期之類的工具,以便這類問題根本不會發生。無論如何,微軟肯定會進行一番徹底的調查,以確保這種情況不再發生。Microsoft Teams目前正與Slack Technologies Inc.展開較量,以贏得企業用戶的青睞,而像這種本可以阻止的故障勢必不會給它幫忙。
我們的在線數字世界可能比以往任何時候都更容易受到攻擊,如果服務不可用,則可能需要從電子郵件到電話的常規通信渠道進入服務。這些,尤其是電子郵件,當然也面臨著自身的安全挑戰,包括網路釣魚和SIM交換。
使用視頻會議軟體時的安全性和隱私
Zoom和Skype是舉行從小型團隊到數萬人的會議的好方法,但這些應用程序也涉及安全和隱私問題。
首先,確保你自己的身體空間適合開會。上一兩周的社交媒體令人不寒而慄,他們的照片讓人有些尷尬,他們在家中從事工作而又不考慮周圍環境。從配偶穿著內衣走來走去,到一名員工在電話會議中將智能手機帶到浴室後不經意間透露了比同事想要看到的更多東西,始終確保你的環境可以是工作的。
以下是一些個人經驗:向後看並檢查相機可以看到的內容,當你在工作的時候,一定要讓你的家人和和你住在一起的人知道。無論是狂吠的狗還是家庭爭吵,不必要的背景噪音都會讓其他與會者感到不安和尷尬。另外,在屏幕共享時要小心。確保沒有應用程序、圖像或視頻可見,可能屬於不安全工作(NSFW)類別,或可能暴露個人或機密的業務數據。檢查瀏覽器頂部欄中哪些標籤是可見的,以及你是否會不小心泄露你最近訪問過的網站。
其次,了解你所使用的軟體的隱私政策和特性。Zoom有一些有趣的功能,比如注意力跟蹤和一些關於數據收集和共享的「應該知道」政策。
關於安全性,視頻會議軟體需要注意許多問題,特別是如果你要像新手一樣使用Zoom的話。值得在這裡查看Zoom的有用指南,以獲取有關如何防止「 Zoom pirates」和「 Zoom bombing」之類的基本提示的技巧,在這種情況下,不需要的參與者通過公開或猜測的會議ID加入通話並通過共享屏幕上的圖像來接管會議。作為主持人,你可以管理參與者,並通過正確配置帳戶設置來確保不會失去對會議的控制權。開啟2FA並要求使用授權的電子郵件地址是任何內部會議的基本預防措施。
除了將會議程序鎖定在授權的參與者之外,還有其他選項可用於允許你未經許可限制屏幕共享,從Zoom會議中刪除不需要的或破壞性的參與者,使參與者靜音或關閉其視頻。其他電話會議軟體應具有類似的設置,因此,如有必要,請檢查文檔,並確保你知道如何控制意外事件。
確保會議不受電話外人員的影響也很重要。客戶經理應確保啟用端到端加密,以防止流量監聽,尤其是在遠程工作人員從公司安全VPN網路外部連接到會議的情況下。
請記住,任何與會者都可以錄製視頻會議,這會帶來保密性和泄露性問題。記錄存儲在本地用戶設備上。例如,使用Zoom可以在Mac上的?/ Documents / Zoom和Windows上的\ Users / Users \ Documents \ Zoom中找到它們。如果該設備受到攻擊,則這些記錄很容易被泄漏和利用。勒索和暴露受害者是一種在某些攻擊者中越來越受歡迎的技術,例如勒索軟體開發人員Maze和DoppelPaymer。
Maze勒索軟體這種惡意軟體背後的團伙會將一種類似的威脅堅持到底,在公共互聯網上建立了一個網站,列出了那些不交贖金受害者的名字,並附上從決定不支付贖金的受害者那裡竊取的敏感文件的樣本。
DoppelPaymer勒索軟體的運營商啟動了一個站點,他們將使用該站點用來羞辱那些不支付贖金的受害者,並發布在加密受害者計算機之前盜取的所有文件。
這是由Maze 勒索軟體啟動的一種新的勒索方法,在加密文件之前先竊取文件,然後利用它們作為使受害者支付贖金的手段之一。
如果受害者沒有支付贖金,則勒索軟體運營商會在公共「新聞」站點上釋放被盜文件,讓受害者面臨數據泄露帶來的威脅:政府罰款、訴訟以及網路攻擊。
Maze 採取這種策略後不久,其他勒索軟體家族(包括Sodinokibi,Nemty和 DoppelPaymer)也開始了這種做法。
今年早些時候,研究人員發現Zoom有一個漏洞,可以找出哪些隨機數是有效的Zoom調用。然後,研究人員便可以使用這些號碼進行電話監聽。這一漏洞是在Zoom和其他一些視頻會議應用程序被發現包含一個軟體漏洞後不久發現的,該漏洞可能導致任何macOS設備上的遠程命令執行(RCE),即使Zoom應用程序已經被卸載。在這種情況下,蘋果迅速採取行動,更新了自己的內部安全軟體,以消除漏洞。目前,這兩個漏洞都在Zoom的最新版本中得到了修補。
與工作場所聊天應用程序一樣,遠程會議軟體也是如此,確保在更新可用後立即對用戶進行修補,並確保端點受到安全平台的保護,該平台可以防禦惡意軟體、惡意設備和網路入侵。
總結
眾所周知,所有的軟體都有缺陷。且大多數漏洞都是瑣碎的,從來沒有被用戶注意到,有些是零日漏洞,直到他們被野外修補或利用後,我們才知道。而另一些則是關鍵的,我們會及時進行修補。不過在兩個漏洞之間還存在另一類漏洞,就是開發人員已被告知,但漏洞仍未得到解決,這可能是因為供應商不同意安全風險的嚴重性,或者認為這不是他們要解決的錯誤,或者供應商根本找不到技術解決方案。最重要的是,一些安全和隱私問題不是由程序缺陷引起的,而是由我們使用這些程序的方式引起的,例如在電話會議中不了解我們的運行環境。
參考及來源:https://www.sentinelone.com/blog/working-from-home-how-to-use-zoom-slack-and-other-remote-software-safely/
