Корпоративные Интернет-конференции уязвимы для хакеров
Разумеется, современные системы конференц-связи предлагают пользователям неплохой арсенал защитных механизмов, от современных алгоритмов шифрования данных до блокировки движения камер. Однако, как показывает практика, многие предприятия пренебрегают предоставляемыми средствами защиты. ИТ-администраторы нередко выполняют развертывание систем за пределами корпоративного межсетевого экрана.
Еще одной весьма распространенной ошибкой является включение функции автоматического приема входящих звонков, благодаря которой организаторам совещания не нужно подтверждать подключение каждого пользователя. Как следствие, любой желающий может присоединиться к проводимой в онлайне конференции и услышать информацию, не предназначенную для чужих ушей.
С помощью специальной программы Мур и Тучен провели сканирование Интернет-пространства в поисках систем видеоконференций, расположенных за охраняемым сетевым периметром и допускающих автоматическое подключение пользователей. Менее чем за два часа специалистами было обнаружено более 5 000 плохо защищенных систем. В частности, исследователям удалось «пробраться» в помещения, которые должны быть надежно защищены от посторонних, например, в тюремную камеру, используемую для встреч адвокатов с заключенными, в операционную университетской клиники, а также в переговорную венчурного фонда, где соискатели проводят презентации собственных проектов.
В отчете эксперты также отмечают, что в результате подобного беспечного поведения организации могут подставить и своих партнеров, не обнаруженных в процессе сканирования. К примеру, получив доступ к коммуникационной системе юридической фирмы, Мур смог изучить содержимое адресной книги и узнать телефонные номера конференц-залов других компаний. Именно так исследователям удалось выйти на зал заседаний совета директоров банка Goldman Sachs, правда, эксперты подчеркивают, что не стали переходить границу и отказались от попытки вторжения в «святая святых» одного из крупнейших в мире банков.
На данный момент не совсем ясно, подпадает ли подобная активность под действие антихакерского закона. Напомним, что в большинстве случаев организаторы видеоконференций добровольно отказываются от защиты сеансов связи. Тем не менее, Эйч Ди Мур и Майк Тучен советуют руководству компаний не забывать хотя бы об элементарных мерах предосторожности и поплотнее закрывать двери конференц-залов.
По материалам сайта Wired.