Zoom je postal svetovna uspešnica, a tudi tarča zlorab

Svetovna karantena zaradi koronavirusa je pričakovano izjemno povečala interes javnosti za videokonferenčne programe. Pandemija je med trenutne zvezde povzdignila predvsem spletno storitev Zoom, ki jo uporablja staro in mlado, med drugim na tisoče učencev, dijakov, študentov, učiteljev po celi Sloveniji.

Sodeč po raziskavi družbe Priori Data, ki upravlja portal za statistiko rabe spletnih storitev Statista, je Zoom od januarja do konca marca zabeležil neverjetno rast – število novih uporabnikov in prenosov odjemalcev se je povečal za več kot 13-krat! Januarja so imeli zabeleženih 2,1 milijona prenosov odjemalca Zoom, v marcu pa je bilo prenosov kar 27 milijonov. Zanimivo, da se med tem število novih prenosov drugih priljubljenih platform za sporočanje povečal z enako hitrostjo. V primeru programa Skype se je celo zmanjšal.

Res pa je tudi, da je Skype še vedno za red velikosti pred vsemi tekmeci, kar se tiče števila aktivnih uporabnikov, torej tistih, ki so storitev redno ali občasno uporabljali že v preteklosti. Skype je tako v marcu 2020 redno uporabljalo nekaj čez 59 milijonov uporabnikov, Zoom pa »komaj« 4,3 milijonov uporabnikov.

Toda analitiki so mnenja, da je Zoomu uspel veliki met in je v času krize najbolje izkoristil priložnosti in pomanjkljivosti, ki jih tekmeci niso znali ali mogli premostiti. Microsoft je sicer spel močno povečati število uporabnikov programa Teams, vendar predvsem pri poslovnih uporabnikih, precej manj pa pri domačih.

Zoom je dosegel ravno obratno, čeprav spletno storitev uporabljajo tudi številna zelo velika podjetja in kot že rečeno, izobraževalne ustanove. Najbolj znameniti primer rabe je bil zagotovo video posnetek britanskega premierja Borisa Johnsona, ki je prikazoval, da v času samoizolacije (staknil je okužbo s koronavirusom) s sodelavci komunicira prav prek spletne storitve Zoom.

Praktično sočasno pa na dan prihajajo številne pritožbe, ki nakazujejo na resne varnostne pomanjkljivosti in ranljivosti platforme Zoom, pa tudi nekatere sporne poteze, ki jih je podjetje naredilo glede osebnih podatkov, ki so jih pridobili z milijoni novih uporabnikov.

Začelo se je z novico, da je Zoom z omrežjem Facebook delil podatke o uporabnikih brez njihove privolitve. To je veljalo predvsem za uporabnike, ki so Zoom uporabljali kot aplikacijo na napravah z iOS. Skoraj takoj, ko se je razvedelo za to težavo, je Zoom objavil novo različico programa in umaknil sporno kodo. Dokazali so, da se da to hitro narediti, če je treba! So si pa zaradi tega v ZDA naprtili nekaj tožb razjarjenih uporabnikov, ki se čutijo v krizi opeharjeni.

Naslednji škandal je dobil kar ime: »Zoombombing«. Zaradi izjemnega števila konferenc se je začelo dogajati, da so se v nekaterih konferencah preprosto pojavili nepovabljeni gosti, ki so tako ali drugače motili dogajanje nič hudega slutečih udeležencev. Vrhunec je menda bila skupinska molitev judovske skupnosti v Londonu, kjer je bilo prvotno priključenih 205 članov lokalne skupnosti, večinoma družin z otroki. Nenadoma se je število udeležencev povečalo na 243, neznanci pa so začeli pisati rasistične in antisemistične fraze.

Od drugod poročajo, da so številne konference motili neznanci, ki so v pogovor vnesli svoje posnetke, celo beli šum, da bi zmotili potek dogajanja v konferenci. Pritožb uporabnikov je vsak dan več. Prišlo je že do te mere, da se je v preiskavo dogajanja vmešal ameriški FBI, glavni tožilec v New Yorku pa je celo odprl kazensko preiskavo na temo vdorov v videkonference.

Zaplet za družbo Zoom se nato stopnjuje z razkritjem, da program ne podpira šifriranja video povezav od uporabnika do uporabnika (end-to-end) in to kljub temu, da je Zoom to oglaševal na svoji spletni strani. Po pritisku strokovne javnosti so priznali, da tovrstnega šifriranja ne uporabljajo, podpirajo pa šifrirano povezav od uporabnika do strežnikov družbe Zoom prek uporabe povezave TLS (Transport Layer Security). To seveda ni isto, saj imajo uslužbenci Zoom na ta način dostop do vseh video posnetkov, ki tečejo preko strežnikov.

Zaradi vsega ugotovljenega v zvezi s programom Zoom in morda odkritja še kakih novih ranljivosti, velja upoštevati priporočila, kako uporabljati storitev Zoom, veliko od tega pa velja tudi za druge videokonferenčne storitve:

1. Kjer se le da, ne deliti podatke (ID-je, povezave) na spletne konference na javnih konferencah, kot so forumu, družabna omrežja in podobno lahko dosegljivi viri.
2. Nikoli ne uporabljajte osebni ID za organizacijo sestanka, ki ga Zoom dodeli vsakemu registriranemu uporabniku. Izberite možnost naključnega generiranja identifikacijske številke sestanka.
3. Sestanek zaščitite z geslom, geslo pa posredujte povabljencem prek ločenega (varnega) komunikacijskega kanala
4. Nastavite konference na način, da lahko zaslon deli samo gostitelj sestanka (host only). Če želite omogočiti kasnejšo delitev posamezniku na sestanku, naredite to eksplicitno znotraj sestanka.
5. Onemogočite prenos datotek uporabnikom, saj na ta način vdiralci ne morejo nalagati v konference sovražnih in neželenih vsebin.
6. Izklopite možnost, da lahko udeleženci v konferenco vstopijo pred gostiteljem (join before host), saj s tem jamčite, da se udeleženci ne bodo sprli še pred vašim prihodom.
7. Onemogočite, da se se udeleženci, ki jih izključite iz sestanka (to program omogoča) lahko samodejno ponovno prijavijo v sestanek.