Блог

08.07.2020 206

Как и почему мы отказались от Zoom

Коронавирус COVID-19 вместе с кучей проблем породил много новых слов и явлений. Чего только стоят карантикулы, ковидарность и ковидиот. Не «зумятся» сейчас разве что ленивые, а дистанционка и удаленка перестали быть уделом только фрилансеров. Популярный видеосервис Zoom вызвал большую волну зумбомбинга (от англ. Zoom bombing). Слышали о таком? А может, сталкивались, но не знали названия? Если нет, считайте, что вам повезло.

Эта статья будет полезна руководителям и линейным сотрудникам, которые хотят защитить свою компанию и личные данные от кибератак, а также тем, кто желает быть в курсе цифровых трендов и знать, как и где их применять.


О чем речь?

Вот представьте, вы с командой и заказчиком обсуждаете важный проект в зум-конференции и вдруг начинается трансляция порноролика. Все смущены и обескуражены — считайте, презентация сорвана. Что произошло? Вы стали очередной жертвой зумбомбинга. Это когда неизвестные личности вмешиваются в чужие онлайн-встречи и хулиганят: направляют участникам файлы неприличного содержания, пишут гадости в чате или включают кино для взрослых.

Ладно бы только это! Наверняка вы слышали про недавний скандал с Zoom, когда в открытый доступ попали тысячи видео рабочих конференций, а корпоративные и личные данные утекли в Facebook, где потом использовались в рекламных целях. Чудовищно, что конфиденциальная информация вашей компании оказывается в чужих руках, а вы становитесь заложником неадекватных личностей. К слову, в нашем блоге мы уже рассказывали про другой интернет — даркнет с его опасностями и перевернутыми законами. Но есть и хорошая новость: от хакеров можно защититься и даже вовсе избавиться, но для этого нужно вернуться к истокам.


Как появился зумбомбинг

До пандемии Zoom был просто одной из программ для видеозвонков, которой пользовались около 10 млн человек. Весной ее аудитория выросла до 300 миллионов: жизнь сотрудников многих компаний превратилась в череду зум-конференций. И этим не преминули воспользоваться токсичные личности: скучающие бездельники, пранкеры и интернет-тролли. Эти люди намеренно создают конфликтные ситуации, получая удовольствие от ответного возмущения, и потом с гордостью выкладывают видео своих «достижений» в соцсети.

Зумбомбинг уже стало сложно маскировать под безобидные шутки. Злоумышленники выкладывают в сеть личные данные участников встреч и даже угрожают расправой. Последние громкие выходки разжигали расизм, антисемитизм и гомофобию. Во всем цивилизованном мире такие вещи преследуется по закону. Но в интернете профессиональных зумбомберов вычислить сложно, потому что они тщательно скрывают свои IP-адреса. Но несколько громких дел с их участием на скамье подсудимых уже состоялись.

Не последнюю роль в появлении зумбомбинга сыграли проблемы с безопасностью самого Zoom. Дело в том, что видеозвонки там защищены не сквозным шифрованием (E2E), а транспортным (TLS). При таком типе шифрования контент встреч оказывается доступным для владельцев платформы, а значит, для кого угодно. Недаром сотрудникам Google, SpaceX и Apple запрещено устанавливать Zoom на рабочих компьютерах.

Но было бы неправильно думать, что зумбомбинг — больное место только одного видеосервиса. Пользователи любой публичной «видеозвонилки» рискуют стать жертвами киберпреступников. Тем не менее эти риски можно свести к минимуму, если выполнять несложные правила.




Под запретом

  • Делать конференции публичными, то есть разрешать вход без пароля. Более того, пароль лучше выслать на почту участникам, а не выкладывать в открытый доступ.
  • Использовать свой идентификатор конференции вместо уникального. Последний генерируется случайно отдельно для каждой встречи.
  • Оставлять встречу открытой. Если все участники собрались, воспользуйтесь функцией Lock Meeting, чтобы закрыть ее для других.
  • Включать совместный доступ к экрану. Именно этой возможностью пользуются злоумышленники, когда демонстрируют фотографии, видео или оскорбительные надписи.
  • Оставлять возможность передавать файлы и писать комментарии. Если она открыта, зумбомберы могут легко отправлять непристойные сообщения и картинки участникам конференции.

Это, конечно же, меры профилактики, которые не гарантируют безопасность на 100%. Ну а мы в Мегаплане нашли свой способ никогда не сталкиваться с зумбомбингом — запустили в своей CRM-системе видеочаты. Мы специально не шли путем интеграций с видеосервисами (что было бы проще и быстрее), а с нуля разработали собственный функционал.


Свои видеочаты вместо зум-конференций

Примерно месяц после перехода на удаленную работу сотрудники Мегаплана еще пользовались Zoom и Skype. Сервисы работали со сбоями, видимо вызванными большим наплывом пользователей. Довольно скоро мы устали от «зависаний», а после скандалов с утечкой данных решили не рисковать сами и помочь нашим пользователям организовать безопасную видеосвязь таким образом, чтобы им даже не пришлось выходить из Мегаплана.

Конечно, мы и раньше делали подходы к внутренней видеосвязи, но аналитика показывала невостребованность у пользователей. А удаленка, несомненно, стала катализатором: нам пришлось ускориться и наконец сделать видеосвязь. Когда люди закрылись в квартирах, им стало очень не хватать визуального контакта с собеседником.

Так выглядел наш первый корпоративный мегаплан-колл (да-да, были и приглашенные спикеры):


Рассказывает Михаил Пирогов, руководитель отдела эксплуатации и администрирования Мегаплана:

— Так как изоляция к нам всем пришла стремительно, пришлось срочно вспоминать прежние наработки и в рекордные сроки их реализовывать. Первоначальный вариант без функции входящего вызова был собран за три дня, то есть практически в режиме стартапа. За основу мы взяли открытые технологии. Для старта это был самый быстрый вариант. 30 апреля состоялся первый мегаплан-колл внутри нашей компании. Потом мы занимались исправлением багов и дополняли интерфейс. В июне проходило финальное бета-тестирование – и вот видеосвязь уже включена всем нашим пользователям.


Своя инфраструктура

Видеосерверы Мегаплана находятся в России, и трафик до них шифруется. Всё сконструировано с прицелом на безопасность и непубличность, поэтому несанкционированно подключиться к чьему-то чату даже внутри одного аккаунта невозможно.

Михаил Пирогов:

— Так как мы не пользуемся услугами третьих лиц – провайдеров видеосервиса, все данные остаются в Мегаплане. Для передачи видеосигналов используется стандартный протокол WebRTC. Он сам по себе всегда зашифрован и по-другому не работает. Перехватывать его бесполезно. Мы изначально поддерживаем для Мегаплана сквозное шифрование данных. В отличие от Zoom и Skype, у нас нет публичных сессий, к которым можно подключиться без пароля.

Если вы пользуетесь Мегапланом, вам не нужно устанавливать и настраивать никакие сторонние программы или открывать дополнительные вкладки. Всё уже готово к использованию. Вы просто нажимаете на кнопку и звоните нужным сотрудникам. Видеозвонки работают в веб-версии и в мобильном приложении: можно пользоваться там, где это делать удобнее. Мы не стали, как в Zoom, ограничивать длительность сессий и количество участников, а скоро добавим возможность записывать видео.



Мы гордимся, что за такой короткий срок сделали видеозвонки, но гордость не повод для остановки. Мы продолжим их дополнять: сделаем чат внутри конференции, добавим роль модератора, режим вебинара, совместную доску для рисований и демонстрации материалов в виде слайдов, размытие фона и другие полезные «фичи». Читайте в нашем блоге, как сделать видеоконференции лучше.


Подводим итоги

  • Подключаясь к популярным интернет-сервисам, помните о рисках кибератак
  • Выбирайте приложения, которые используют сквозное шифрование
  • Собирая конференцию, не выкладывайте данные для входа в общий доступ
  • Изучите возможности безопасного соединения, которые предлагает сервис
  • Попробуйте видеочаты в Мегаплане: для этого не нужно скачивать и настраивать никакое внешнее приложение


P.S. Мы подготовили для вас полезный чек-лист, который поможет подготовиться к видеосовещанию, организовать его и быстро получить необходимые результаты. Вы можете сохранить его в избранном, распечатать или поделиться с коллегами. Отличных вам видеоконференций!


Текст: Наталия Тылинская, Фото: Michael Geiger on Unsplash



Мнение экспертов

Сергей Козлов
Генеральный директор Мегаплана

Когда в марте пришлось реанимировать на телефонах и ноутбуках давно похороненный Skype, было много неожиданностей. Началось с того, что сами никнеймы были у всех работников личные, еще из прошлой жизни. И тут не обошлось без NatashNeNasha, MachoMen1980 и Sherminator. Хуже всего было при общем звонке вспоминать, кого и как в Skype зовут. Некоторые скрытные личности имели по 2-3 «учетки». Один раз подключили не ту Ангелину к совещанию. Фото тоже не помогали, ведь за 8-10 лет люди сильно изменились. В общем, было дико неудобно, пока в апреле не появились наши собственные видеозвонки в Мегаплане. Тут тебе и знакомая аватарка, и имя-фамилия как положено. Кстати, у нас в компании принято оставлять в скобках девичью фамилию, если сотрудница выходит замуж. Ибо кем ты явился пришел в нашу компанию, тем для нас и останешься.