آخر تحديث: الجمعة | التاريخ: 2020/11/20

نقاط الضعف والقوة والأمان في تطبيقات مؤتمرات الفيديو

نقاط الضعف والقوة والأمان في تطبيقات مؤتمرات الفيديو

لم يعد #البقاء_في_المنزل وسمًا (هاشتاج) شائعًا على شبكات التواصل الاجتماعي هذه الأيام، بل أيضًا حقيقة قاسية للشركات التي أجبرتها جائحة فيروس كورونا على إبقاء معظم موظفيها في منزلهم للعمل عن بُعد. واستبدال الاجتماعات المباشرة بمكالمات الفيديو. لكن الشركات لا تعقد مؤتمرات لمناقشة صغائر الأمور، لذا فعليك قبل الشروع في استخدم أحد تطبيقات مؤتمرات الفيديو أن تلقي نظرة على آليات حماية البيانات في هذا التطبيق.  ونوضح بداية (كاسبرسكي) أننا لم نجرِ اختبارًا معمليًا لهذه التطبيقات؛ بل استعرضنا المصادر المتاحة علنًا للحصول على معلومات حول المشكلات المعروفة في البرنامج الأكثر استخدامًا.

Google Meet وGoogle Duo

تعرض Google خدمتين لمكالمات الفيديو: Meet وDuo. فالأول تطبيق يتكامل مع خدمات Google الأخرى (حزمة G Suite). فإذا كانت شركتك تستخدم تلك التطبيقات، فسيعمل Hangouts Meet معها بشكلٍ جيد.

الأمان — Google Meet

من ميزات Meet، التي يشير إليها المورّد توفر بنية أساسية موثوقة لمعالجة البيانات، والتشفير (غير الشامل)، مع مجموعة من أدوات الحماية، وجميع الميزات نشطة بشكلٍ افتراضي. وكما هو الحال مع سائر منتجات الشركات الأخرى، فإن G Suite التي تشمل Google Meet تتوافق مع معايير الأمان المتطورة وتتيح خيارات التكوين وإدارة حقوق الوصول، بين ما تقدمه من ميزات.

الأمان — Google Duo

على الجانب الآخر، يقدم تطبيق الأجهزة المحمولة Duo حماية للبيانات باستخدام التشفير الشامل. إلا أنه تطبيق مصمم للاستخدام من قبل الأفراد وليس الشركات. حيث تسع مؤتمراته ما يصل إلى 12 مشاركًا فقط.

نقاط الضعف والسلبيات

باستثناء بعض الرسائل التي تذكّرنا جميعًا بأن Google تجمع بيانات المستخدمين، مما قد يشكل تهديدًا للأسرار التجارية، لم نعثر على معلومات محددة بشأن أداء هذه التطبيقات في جانب الأمن. وهذا لا يعني أن خدمات Google لا تشوبها شائبة، لكنها مدعومة بفريق أمان قوي للغاية، يعمل على إصلاح المشكلات قبل أن تسبب أي متاعب.

Slack

يمكن في تطبيق Slack إنشاء مساحات عمل متعددة لمحادثات الفرق، والتي تُعرض بصورة مريحة في نافذة واحدة، بالإضافة إلى القنوات داخل مساحة العمل المخصصة لمختلف المشروعات. ويقتصر العدد المسوح به في المؤتمرات على 15 مشاركًا.

الأمان

يمتثل Slack لمجموعة من معايير الأمان العالمية، وتشمل SOC 2. يمكن تكوين إعدادات الخدمة بحيث تتعامل مع البيانات المالية والطبية، بما يتيح للشركات اختيار منطقة لتخزين البيانات. كما أن الانضمام إلى مساحة عمل في Slack يتطلب إما تلقي دعوة أو توفر عنوان بريد إلكتروني يضم مجال الشركة.

يوفر Slack أيضًا لعملائه أدوات مرنة لإدارة المخاطر والتكامل مع حلول مع منع فقدان البيانات (DLP)، وأدوات التحكم في الوصول إلى البيانات. فمثلًا، يستطيع المسؤولون تقييد استخدام Slack على الأجهزة الشخصية ونسخ المعلومات عبر قنواته.

نقاط الضعف والسلبيات

ووفقًا لمطوري Slack، فإن عددًا محدودًا من الشركات هو من يحتاج حقًا إلى تشفير شامل، ومن شأن تطبيق هذه الميزة أن يقلص وظائف التطبيق. ومن ثم، فيبدو أنه ليس لدى القائمين على Slack خطط لإضافة التشفير الشامل.

يتيح Slack أيضًا إمكانية التكامل مع تطبيقات أخرى لا يقع الأمان فيها ضمن مسؤوليته.

وقد وجد الباحثون نقاط ضعف – جسيمة حقًا – في Slack. أصلح Slack الخطأ التالي والذي سمح للمهاجمين بسرقة البيانات، وخطأ آخر أتاح اعتراض جلسة المستخدم.

Teams

يتكامل تطبيق Teams من Microsoft مع حزمة Office 365، وتلك ميزته الأساسية لمستخدميه في الشركات. واستجابة منها للطلب المتزايد على أدوات العمل من المنزل، تقدم Microsoft الآن تجربة مجانية لتطبيق Teams لدة ستة أشهر، على أن مستخدمي التطبيق مجانًا لن يستطيعوا تكوين إعدادات المستخدم وسياساته – مما قد يمثل تهديدًا أمنيًا.

الأمان

إن Teams يمتثل لعدد من المعايير الدولية، ويمكن إعداده للتعامل مع بيانات طبية سرية، ويفاخر القائمون عليه بتوفر خيارات لإدارة مرنة للأمان. ووفقًا لبعض خطط الخدمات، يمكن إدماج أدوات إضافية في Teams مثل DLP أو مسح الملفات الصادرة. والحل الذي نقدمه يوفر الحماية في MS Office 365 عبر مسح البيانات المتبادلة من خلال Teams لمنع البرامج الضارة من الانتشار على شبكة الشركة.

يتم تشفير البيانات المرسلة إلى الخادم، سواء كانت محادثات أم مكالمات فيديو، إلا أننا نؤكد من جديد أننا <em>لا</em> نتحدث عن التشفير الشامل. وفيما يخص التخزين والمعالجة، لا تغادر المعلومات أبدًا المنطقة التي تعمل فيها الشركة.

نقاط الضعف

من المستحسن الانتباه إلى نقاط الضعف في Teams. تعمل Microsoft عادة على إصلاح نقاط الضعف بسرعة، إلا أنها تظهر من حين لآخر. فمثلًا، عثر الباحثون حديثًا على نقطة ضعف تتيح إمكانية السيطرة على الحساب (منذ إصلاحها).

Skype for Business

النسخة السحابية من Skype for Business — وهي الإصدار السابق على Teams في Office 365، آخذة في التحول إلى شيء من الماضي، إلا أنه لا يزال بإمكانك تثبيتها محليًا على جهازك. ويجدها بعض المستخدمين أكثر ملاءمة من Teams، وستستمر Microsoft في دعم النسخة المحلية من Skype لعامين قادمين.

الأمان

يقوم تطبيق Skype for Business بتشفير المعلومات إلا أنه ليس تشفيرًا شاملاً، كما أن إعدادات حماية الخدمات قابلة للتكوين. إلى جانب هذا، يستخدم التطبيق برنامج الخادم المحلي فلا تغادر مكالمات الفيديو وغيرها من البيانات شبكة الشركة، وهي ميزة حقيقية.

نقاط الضعف والسلبيات

لن يتم دعم المنتج لأمد طويل. وما لم تغير Microsoft خططها، فسينتهي دعم التطبيق في يوليو 2021 وسيستمر دعم Skype for Business Server 2019 حتى 14 أكتوبر 2025. 

WebEx Meetings وWebEx Teams

تعد WebEx Meetings من Cisco خدمة محدودة النطاق لمؤتمرات الفيديو.  بينما WebEx Teams من Cisco خدمة كاملة الميزات للعمل الجماعي، تدعم مكالمات الفيديو ضمن إمكانات أخرى. وحتى لا نتجاوز نطاق المنشور الحالي، فإن الاختلاف يكمن في طريقة التشفير.

الأمان

تشمل WebEx Teams من Cisco خدمات مخصصة للشركات وتشفيرًا شاملاً. (يكون الخيار متوقفًا بشكلٍ افتراضي، لكن يقوم موفر الخدمة بتنشيطه عند الطلب. يؤدي هذا إلى حد ما إلى تقليص وظائف الأداة، ولكن إذا كان الموظفون يتداولون معلومات سرية في الاجتماعات، فمن المؤكد أنه خيار جيد للأخذ في الاعتبار.) يوفر WebEx Teams من Cisco تشفيرًا شاملًا للمراسلات والمستندات فقط، حيث يتم تشفير مكالمات الفيديو والمكالمات الصوتية على خوادم Cisco.

نقاط الضعف والسلبيات

فقط في مارس من هذا العام، أصلح المورّد اثنتين من نقاط الضعف في WebEx Meetings كانتا تمثلان تهديدًا بتنفيذ تعلميات برمجية عن بُعد. وفي أوائل العام الماضي، عُثر على خطأ خطير في عميل WebEx Teams. وكان يسمح بتنفيذ أوامر بامتيازات المستخدم الحالي. ومن المعروف أن Cisco تتعامل مع مسألة الأمان بجدية وأنها تحدث خدماتها بسرعة.

WhatsApp

تم تصميم WhatsApp للتواصل الاجتماعي وليس للشركات، إلا أن التطبيق المجاني يمكن أن يغطي احتياجات الشركات وفرق العمل الصغيرة بشأن مؤتمرات الفيديو. والبرنامج غير مناسب للشركات الكبيرة، فمؤتمرات الفيديو متاحة لما يصل إلى أربعة مشاركين فقط في المرة.

الأمان

يشتمل WhatsApp على ميزة لا جدال فيها وهي التشفير الحقيقي الشامل. وهذا يعني أنه لا يمكن لطرف ثالث، ولا حتى لموظفي WhatsApp، الاطلاع على مكالمات الفيديو الخاصة بك. ولكنه يختلف عن تطبيقات الشركات في أنه لا يكاد يوفر أية خيارات لإدارة أمان المحادثات والمكالمات، باستثناء ما هو مضمن فيه.

نقاط الضعف والسلبيات

في العام الماضي قام مهاجمون بتوزيع برنامج التجسس Pegasus من خلال مكالمات الفيديو على WhatsApp. وقد تم إصلاح المشكلة، لكن يجب ألا نغفل أن التطبيق ليس مجهزًا بإمكانات حماية لفئة الشركات، فيتعين على المستخدمين – بالحد الأدنى – متابعة أخبار الأمان الإلكتروني بعناية.

Zoom

تصدّرت منصة Zoom السحابية والمخصصة لمؤتمرات الفيديو الأخبار منذ بداية الجائحة الحالية. فقد جذب تسعيرها المرن (إضافة إلى المؤتمرات المجانية التي تبلغ 40 دقيقة لما يصل إلى 100 مشارك) وسهولة استخدامها أعدادًا هائلة من المستخدمين، ولكن عيوبها كانت محط الكثير من الانتباه أيضًا.

الأمان

تمتثل الخدمة لمعيار الأمان الدولي SOC 2 حيث تقدم خطة خدمة منفصلة متوافقة مع قانون التأمين الصحي وقابلية التأمين HIPAA لمقدمي الرعاية الصحية، كما تمتاز بتكوين مرن. يمكن لمنظمي الجلسة حظر المشاركين حتى إذا كان لديهم ارتباط تشعبي وكلمة مرور صحيحان، وكذلك حظر تسجيل الجلسة والمزيد من الخيارات. وإذا لزم الأمر، يمكن إعداد منصة Zoom بحيث لا تتم حركة البيانات عليها خارج الشركة.

تعمل Zoom بدأب على معالجة نقاط الضعف التي تم الإبلاغ عنها، وتقول الشركة إنها تخطط لجعل أولوية أمان المنتج سابقة على إضافة المزيد من الميزات.

نقاط الضعف والسلبيات

تدّعي Zoom أنها قد طبقت تشفيرًا شاملًا، لكن لا يوجد دليل وافٍ على هذا الأمر. فمع التشفير الشامل، لن يكون بوسع أحد بخلاف المرسل والمستلم قراءة البيانات المنقولة، بينما تقوم Zoom بفك تشفير بيانات الفيديو على خوادمها ولا يتم ذلك دائمًا في دولة مقر الشركة.

تم اكتشاف نقاط ضعف متباينة الخطورة في تطبيقات Zoom. كما ورد أن برامج Zoom العميلة على نظام Windows وmacOS تحتوي على مشكلات (تم إصلاحها بالفعل) تسمح للقراصنة بسرقة بيانات حساب الكمبيوتر. كما أن هناك مشكلتين أخريين في تطبيق ‏macOS من المحتمل أن تسمح للمهاجمين بالسيطرة الكاملة على الجهاز.

بالإضافة إلى ذلك، ظهرت العديد من التقارير حول المتصيدين على الإنترنت الذين يزورون المؤتمرات المفتوحة دون حماية بكلمات المرور لنشر التعليقات المريبة ومشاركة الشاشات ذات المحتوى الفاحش. وإجمالًا يمكنك حل المشكلة عن طريق تكوين الاجتماع بشكلٍ صحيح لكن Zoom أيضًا قد أضافت حماية افتراضية لكلمات المرور لتكون في أمان.

وسط تلك الأنباء عن المشكلات الأمنية في Zoom، راح اللاعبون الكبار في هذا المجال يحقرون من شأن الخدمة. لكن جميع الخدمات بها نقاط ضعف، وفي حالة Zoom كان لشعبيتها الجارفة أثر كبير في إجراء تدقيق هائل لآليات عملها.

اختيار التطبيق الأنسب لاحتياجاتك

لا يوجد تطبيق لمؤتمرات فيديو آمن تمامًا، وليس هناك من تطبيق مماثل في أي مجال آخر. فعليك باختيار خدمة لا تشكل سلبياتها مشكلة لك في العمل. وتذكر أن اختيار التطبيق المناسب ليس سوى الخطوة الأولى.

  • خذ الوقت الكافي لتكوين إعدادات الخدمة على نحو صحيح. ذلك أن الإعدادات المتساهلة أدت للكثير من حالات تسرب البيانات.
  • قم بتحديث تطبيقاتك على الفور لسد الثغرات الأمنية في أقرب وقت ممكن.
  • تأكد من اكتساب موظفيك للمهارات الأساسية على الأقل للتصرف بشكل آمن على الإنترنت.

مقالات ذات صله