В январе этого года известный специалист, а также начальник службы безопасности в Rapid7 г-н Мур получил доступ к более чем 12 конференц-комнатам по всему земному шару, используя обычное оборудование для видео-конференц-связи (ВКС). Он сумел проникнуть в комнату для свиданий заключенных и адвокатов в тюрьме, в коммутаторный зал в университетском медицинском центре и даже на венчурное заседание, на котором увидел проецируемые на экране финансовые данные компании, и получил доступ к адресной книге и данным Goldman Sachs, одной из наибольших всемирных инвестиционных компаний. Среди систем видео-конференц-связи, которые попали в случайную выборку г-на Мура, были решения Polycom, Cisco, LifeSize, Sony и другие.
Проблема безопасности ВКС-систем скорее актуальна для Запада, чем для России, так как наш корпоративный пользователь предпочтет организовать закрытую сеть внутри предприятия. Западные же компании выбирают доступность. Но предприятия-филиалы на нашей территории, компании-партнеры также уязвимы перед этой угрозой.
Причин возникновения подобной "дыры" в системе безопасности было несколько: включенная (зачастую по умолчанию с завода производителя) функция автоответа на входящие вызовы в настройках системы ВКС, но основная причина иная. Это вынос используемой ВКС-системы за пределы безопасного периметра сети предприятия.
"На наш взгляд, именно сложность полноценной интеграции ВКС-систем в защищенные корпоративные сети вынуждает интеграторов выносить ВКС-системы за пределы файервола, - комментирует ситуацию Станислав Солдатов, технический директор TrueConf. - Это не банальная задача, так как ВКС-системы всегда взаимодействуют с внешними сетями, и в каждом случае, зачастую для каждого абонента, необходимо заводить свои правила и исключения. В этом контексте использование программных систем, требующих для работы открытия только одного сетевого порта, а не десятков, конечно, выглядит предпочтительней и с точки зрения простоты администрирования, и с точки зрения сетевой безопасности предприятия".
"Компании, которым действительно приходится беспокоиться о возможности взлома - например, министерство обороны, банки, - устанавливают системы в пределах защищенного периметра, - подчеркнула "РБГ" Ира Вайнштайн, старший аналитик в Wainhouse Research. - Но есть и исключения. Если вы поддерживаете связь с другими компаниями, вам приходится выбирать между доступностью и полной безопасностью. Я не могу выйти из дома и быть уверенной в своей абсолютной безопасности. Но я хочу оставаться доступной для общения. Людям приходится делать выбор".
Обезопасить оборудование для видео-конференц-связи возможно. Главное - придерживаться нескольких правил от специалистов:
- Как и любое другое IP-устройство, система ВКС должна быть в пределах защищенного файерволом периметра.
- Необходимо настроить ВКС-систему таким образом, чтобы она перенаправляла входящие звонки в meet-me комнаты по видеомосту. В результате вместо звонка в реальную конференц-комнату хакеры попадут в виртуальную видеоконференцию, в которой их присутствие легко можно будет обнаружить.
- Функцию "автоответ" надо оставить включенной, но не забыть выключить звук. Эта мера поможет сохранить приватность. Также необходимо использовать специальные крышки для объективов видеокамер, когда система ВКС не используется.
- И главное - использовать пароли. Эта простая мера помешает неавторизованным пользователям получить доступ к вашим каталогам.
Если вы действительно обеспокоены вопросом безопасности, то стоит обратиться за профессиональной оценкой уязвимости системы и обязательно повторять эту процедуру каждые 90 дней.