Khi đại dịch Covid-19 bùng phát, giá trị và lượt tải của các ứng dụng như House Party, Google Hangouts hoặc Zoom đến Webex của Cisco, Teams của Microsoft hoặc BlueJeans đã tăng vọt. Vậy bạn chọn ứng dụng hay loại hình nào để làm việc, học tập trực tuyến và những rủi ro của chúng là gì?
Các sự cố bảo mật xảy ra
Những lo ngại lớn được đăng tải nhiều trên các phương tiện truyền thông xã hội kể từ khi nhiều người trên thế giới phải ở nhà và thực hiện giãn cách xã hội. Nhiều người bắt đầu gỡ cài đặt Houseparty vào cuối tháng 3 sau khi các tin nhắn trao đổi và các ứng dụng khác trên điện thoại đã bị tấn công sau khi tải Houseparty.
Công ty đã từ chối các cáo buộc và đưa ra phần thưởng trị giá 1 triệu USD cho việc tìm ra "chiến dịch bôi nhọ" mình.
Ứng dụng hội nghị trực tuyến Zoom, trong vòng chưa đầy 3 tháng, đã tăng vọt lên 200 triệu người dùng hàng ngày từ con số 10 triệu người dùng trước đó. Đã có nhiều báo cáo về zoombombing như những người lạ xen vào các cuộc gọi riêng tư dù họ không được gọi mời hoặc tham gia cuộc họp. "Zoom bombing" là một thuật ngữ chỉ hành vi xâm nhập và phá hoại một cuộc họp nhóm trực tuyến, làm gián đoạn cuộc họp, hội nghị hay buổi học tập.
Thực tế Zoom không chỉ đơn thuần trở nên phổ biến hơn khi nhiều người ở nhà và làm việc/học tập từ xa, mà Zoom đã chuyển đổi từ một công cụ hội nghị truyền hình định hướng kinh doanh sang hangout video toàn cầu (nền tảng phương tiện truyền thông, bao gồm tin nhắn tức thời, video chat, SMS và VOIP).
Cựu Giám đốc an ninh của Facebook là Alex Stamos, hiện đang làm việc với Zoom với vai trò là một nhà cố vấn cho biết: Hiện tại, Zoom cho phép các tình huống như mời người lạ vào trò chuyện video. Điều này đã gây ra một số vấn đề lớn hơn khi các nhà nghiên cứu bảo mật phát hiện ra các lỗi về mã, chia sẻ dữ liệu người dùng với Facebook, thiếu mã hóa đầu cuối và định tuyến một số lưu lượng truy cập qua Trung Quốc.
Những mối đe doạ là thực tế?
Các nhà nghiên cứu bảo mật cho biết hầu hết những sự cố "zoombombing" có thể tránh được nếu các máy chủ cuộc họp thực hiện các bước đơn giản như yêu cầu mật khẩu khi đăng nhập trò chuyện (chat) và duy trì việc mời nhóm họp chặt chẽ hơn.
Zoom đã cập nhật phần mềm và cung cấp cho người chủ trì cuộc họp/buổi học khả năng khóa các cuộc họp, hạn chế một số tính năng mà người tham dự cuộc họp/buổi học trực tuyến có thể làm và loại bỏ người tham gia. Ứng dụng này khuyến nghị những người chủ trì phê duyệt từng người tham gia trước khi họ tham gia một cuộc trao đổi cụ thể và đã xóa quyền truy cập dữ liệu của Facebook.
Daniel Cuthbert, người đứng đầu bộ phận nghiên cứu an ninh mạng tại Grupo Banco Santander cho biết: "Những lỗ hổng là rất nghiêm trọng. Zoom đã hành động nhanh chóng và khắc phục các sự cố. Điều này nên được hoan nghênh".
Tuy nhiên, đối với các khách hàng doanh nghiệp, vấn đề mã hóa và lưu giữ thông tin hoặc có thể nghe cuộc gọi là điều quan trọng hơn, nên cần phải bảo vệ thông tin có giá trị của doanh nghiệp hoặc phải đáp ứng các yêu cầu bảo mật cho khách hàng.
Zoom đã mời những tên tuổi hàng đầu trong ngành để khắc phục các vấn đề về bảo mật và thực hiện các bước để cho phép người dùng loại trừ dữ liệu đi qua Trung Quốc. Zoom cũng thừa nhận rằng họ đã đánh lừa khách hàng bằng cách công bố rằng các cuộc hội thoại của họ đã được mã hóa từ đầu đến cuối.
Các nhà nghiên cứu cho biết điều này có thể là vấn đề cốt lõi dẫn đến lệnh cấm sử dụng Zoom tại một số tập đoàn và chính phủ trong tháng qua.
Theo Patrick Wardle, nhà nghiên cứu bảo mật của công ty phần mềm Jamf, người đã phát hiện hai lỗ hổng không được tiết lộ của Zoom, người dùng có thể trao đổi các hoạt động hàng ngày của họ với gia đình qua Zoom, nhưng ông khuyến cáo nên sử dụng các nền tảng được tạo ra bởi các công ty đã có tên tuổi.
Một phát ngôn viên của Zoom cho biết các công ty lớn và các cơ quan chính phủ trên toàn cầu đã thực hiện các đánh giá bảo mật toàn diện về nền tảng Zoom và nhiều người tiếp tục sử dụng Zoom.
Đánh giá việc mã hoá ứng dụng
Một số công ty sử dụng mã hóa đầu cuối dưới dạng tùy chọn nhưng khi được bật, một số tính năng như lưu dữ liệu phiên, thông tin cuộc gọi, ghi âm cuộc gọi và gọi từ điện thoại cố định không được hỗ trợ.
Cisco cho biết công ty này đã có 324 triệu người dùng nền tảng họp trực tuyến Webex trong tháng 3. Các phiên Webex đã được mã hóa.
"Chúng tôi không thể lấy dữ liệu của bạn hoặc phiên âm những gì bạn đang nói và chúng tôi không bán dữ liệu của bạn cho các cơ quan quảng cáo. Đây là một công cụ thích hợp để liên lạc an toàn", ông Jonathan Davidson, Phó chủ tịch cấp cao của Cisco cho biết.
Microsoft Teams, với 44 triệu người dùng và BlueJeans, có 15.000 khách hàng doanh nghiệp cũng đã thực hiện các tùy chọn mã hóa cho các nền tảng.
Symphony Communication, một dịch vụ nhắn tin được được các ngân hàng lớn ủng hộ, đang lên kế hoạch ra mắt vào đầu mùa hè một nền tảng hội nghị video có mã hóa đầu cuối, Giám đốc điều hành David Gurle nói.
Jonathan Knudsen, chiến lược gia bảo mật cao cấp tại Tập đoàn tích hợp phần mềm Synopsys cho biết: các công cụ hội nghị truyền hình và dữ liệu liên quan đến nội dung, người dùng phải được bảo vệ bằng cách mã hóa.
Lý tưởng là nội dung (video, âm thanh, văn bản, tệp) được mã hóa bởi mỗi người tham gia và được giải mã khi được gửi đến người tham gia khác. Điều này đảm bảo rằng không ai có thể nghe lén nội dung cuộc họp/buổi học được truyền tải qua mạng, ông Knudsen nói.
Ngoài ra, sự cẩn trọng giúp ích rất nhiều trong hội nghị truyền hình bảo mật. Đối với bản ghi cuộc họp, cần kiểm tra nếu công cụ hội nghị video mã hóa bản ghi và yêu cầu mật khẩu hoặc xác thực khác để có thể xem được.
Tự bảo vệ mình
Mặc dù các nền tảng hội nghị truyền hình đang cố gắng để đảm bảo an toàn cho các cuộc họp, nhưng chính người dùng có thể thiết lập các biện pháp để đảm bảo rằng cuộc họp không gặp phải các rủi ro bảo mật.
Jonathan Knudsen khuyến cáo người dùng phải đảm bảo rằng mật khẩu được nhập đúng chỗ. Đây là điều quan trọng nhất trong việc thiết lập một cuộc họp trực tuyến, giúp đảm bảo chỉ có những người được mời sẽ tham gia cuộc họp.
Bên cạnh đó, cần sử dụng một mật khẩu mạnh - gồm chữ cái, số và ký hiệu - đủ dài đến mức khó đoán. Người dùng cũng cẩn thận cũng về việc chia sẻ thông tin cuộc họp. Và cuối cùng, hãy theo dõi danh sách người tham dự trong cuộc họp để chắc chắn rằng bạn không thấy ai bất ngờ.
Về việc chia sẻ thông tin cuộc họp, Aaron Zander, trưởng phòng CNTT tại HackerOne, cảnh báo rằng việc chia sẻ ID hoặc URL cuộc họp có thể cho phép các cuộc hội thoại nhạy cảm bị nghe lén, giọng nói hoặc video của người tham gia bị ghi lại và cuộc họp bị xâm nhập.
Omer Dembinsky, người quản lý nghiên cứu không gian mạng tại Check Point cũng chia sẻ: Người dùng cũng nên cẩn trọng khi nhấp vào liên kết họp video.
