Videoconferenties zijn een belangrijke factor geweest voor de groei van werken op afstand. Van een eenzame thuiswerker tot een onderneming met teams over de hele wereld, VC maakt echte face-to-face communicatie mogelijk. Maar brengt het een nieuw risico met zich mee voor het bedrijf?
We beschouwen VC-faciliteiten als vanzelfsprekend en streven naar betere audio, snellere graphics en betere teamwerktools, maar besteden we genoeg aandacht aan beveiliging? Platforms als FaceTime, WhatsApp en Skype maken gebruik van gangbare technologieën zoals WebRTC, dus wat als een hacker een kwetsbaarheid zou kunnen vinden en misbruiken?
We kijken hier kort naar recent uitgevoerd onderzoek naar kwetsbaarheden en hoe een hacker deze zou kunnen uitbuiten. Ten slotte kijken we naar de beste manieren om onze VC-oproepen te beschermen.
Wat is het risico?
Voor zakelijke VC-oproepen is er een aanzienlijk potentieel risico bij het vrijgeven van gevoelige informatie. Dit kunnen leidinggevenden zijn die financiële informatie bespreken of technologen die IP-gegevens delen. Gevoelige informatie is als een magneet voor hackers. Buiten het bedrijfsleven schuilt er waarde in gehackte gegevens van individuen, zoals hun Facebook- of WhatsApp-accounts.
Hoe zou het kunnen?
Natalie Silvanovich van Google's Project Zero-team heeft onlangs kwetsbaarheden ontdekt die kunnen worden misbruikt door een hacker (ze zijn inmiddels gepatcht). Web Real-Time Communication (WebRTC) is een veelgebruikte open-sourcetechnologie die real-time communicatie mogelijk maakt. Silvanovich vond verschillende kwetsbaarheden in WebRTC, ernstig genoeg om een ​​crash te veroorzaken met out-of-bounds- of overflow-fouten.
Hackers initiëren vaak geheugenheap-overflows als hun inbraaktool. Door een overflow op het apparaat van het doelwit te initiëren, kan een hacker hun account overnemen en de VC onderscheppen. Er zijn twee mogelijke methoden:
- De hacker start een VC-oproep met behulp van een malafide apparaat, brengt peer-to-peer-communicatie tot stand en activeert de kwetsbaarheid op het apparaat van het doelwit
- Met behulp van een phishing-techniek wordt het doelwit overgehaald om een ​​VC te starten, maar met behulp van een signaleringsserver die onder controle van de hacker staat. De hacker kan dan gemakkelijker een peer-to-peer-communicatie tot stand brengen met zijn malafide apparaat.
Zal dit gevolgen hebben voor de tarieven voor VoIP-afgifte op groothandelsniveau?
We hebben een toename gezien van telecomfraude die de inkomsten van operators aantast. Aanvallen zoals spraakfraude, sms-fraude en IPX-fraude richten zich zowel op operators als op de bedrijven die ze gebruiken. De voorbeeldhackmethoden die we beschrijven, zouden gevolgen hebben voor bedrijven en consumenten, hoewel we escalatie naar gerichte operators niet moeten uitsluiten.
Hoe kunnen we onszelf beschermen?
Silvanovich diende de kwetsbaarheden in als bugs, die vervolgens werden verholpen. Er is dus geen directe reden tot ongerustheid in het kader van deze specifieke gevallen. Waakzaamheid is echter, zoals altijd, essentieel om te voorkomen dat er risico's ontstaan ​​voor de bedrijfsvoering. Hier zijn drie suggesties om het risico te verminderen:
- Upgrade de VC-tool naar de nieuwste beveiligingspatch zodra deze beschikbaar is. Ontwikkelaars zijn constant bezig met het oplossen van kwetsbaarheden en het vrijgeven ervan, dus het is van cruciaal belang om up-to-date te blijven
- Train personeel om VC-oproepen van onbekende nummers niet te beantwoorden. Een inkomende oproep is het natuurlijke toegangspunt voor een hacker
- Gebruik een firewall om VC-communicatie te beschermen
Als je op zoek bent naar een veilige oplossing voor videoconferenties, probeer dan Huddle by Net2Phone. Huddle maakt veilige virtuele face-to-face communicatie mogelijk met mensen over de hele wereld.