Etikett: Zoom

Under den senaste tiden har användningen av olika samarbetsverktyg ökat markant. De flesta av dem är också så kallade “onlinetjänster”, eller “mjukvara som tjänst” om man översätter frasen Software as a Service ordagrant från engelska. Det är just det som flera idag populära verktyg är.

För att nämna några så kan jag ju ta upp exempelvis Microsoft Teams eller Zoom. Dessa har idag blivit populära verktyg att nå andra människor. Däremot finns det några frågetecken som man bör räta ut först:

• Var någonstans sparas datan?
• Vilka har tillgång till datan?
• Hur säkra är programmen?

Äger man själv hårdvaran, och innehar programvaran i sina egna system, så har man större möjlighet att svara på frågeställningarna.

Säkerhet alltid en viktig aspekt

Om vi riktar in oss på Zoom, så har det dykt upp några säkerhetsincidenter på sistone. De ska visserligen arbeta för att lösa dem – om dessa inte redan är lösta i redan. Insikten bör dock vara en väckarklocka även om utvecklarna har lovat att arbeta mer med säkerheten i Zoom.

Något jag också undrar är om det finns oberoende kodgranskare. Det är nämligen en sak att utveckla ett verktyg, och själva testa så att koden är säker. Det är inte riktigt samma som att låta någon annan testa efter sårbarheter. Som utvecklare kan man förstås använda “defensive programming”. I stort handlar det om att göra kod läsbar, ha hög kvalité och att även ge programmet instruktioner om att bete sig någorlunda förutsägbart vid situationer det står inför oförutsedda händelser.

Nyhetsrapporteringen har ju även tidigare beskrivit Snapchats hantering av användardata hos dem. Mer specifikt hur de anställda hanterar användarnas (okrypterade) data. Nyhetssidor såsom Vice, Macrumors och CNET har berättat om dessa incidenter.

Allra bäst approach är nog att anta att programmen redan är hackade. Även om man gör program så säkra som möjligt utifrån de erfarenheter som man har samlat på sig idag, så kommer det alltid att finnas dem som söker efter nya vägar att ta del av hemlig information.

Alternativa, säkrare verktyg

Säkerhet är i och för sig ett subjektivt ämne. Mycket är möjligt att “komma runt”. I vissa fall kan det kräva djupare teknisk “know-how” för att ta del av den information som man vill komma åt. I andra fall kan en så kallad “script kiddie” komma runt säkerheten. Idag är dock program oftast såpass säkra att “social engineering” är mer populärt hos illasinnade hackare. Då behöver de nämligen inte ha samma tekniska kunskap, utan behöver vara bättre på att känna av människor.

Jag själv har en förkärlek till “open source”. Detta av lite olika anledningar – men kanske främst att koden kan granskas av oberoende. Dessutom kan man ofta hämta hem dessa verktyg och använda dem eller själv vara värd för dem. Det senare alternativet kan visserligen kräva lite mer teknisk “know-how”, men jag tycker att man vinner mycket på om man kan göra det.

Dock är inte verktyg säkra enbart för att de är baserade på öppen källkod. Det har ju funnits incidenter där sådana verktyg har haft sårbarheter också. Ett sådant var Heartbleed, vilket inträffade 2014. Då upptäcktes en bugg i biblioteket OpenSSL, vilket påverkade webbplatser som använde kryptering. Sårbarheten innebar att illvilliga hackare kunde komma åt webbservrars privata krypteringsnycklar, vilket innebar att krypterad kommunikation mellan en dator och en server skulle kunna avlyssnats, utan kännedom för de påverkade.

Fördelen mot proprietära verktyg, eller program som inte är open source, är att man här kan få “gratis” kodgranskare. Dessutom kan man även granska den kod av det program som man vill installera på sina system.

Samarbetsverktyg

Det finns lite olika samarbets- och/eller sociala verktyg med tanke på vad man vill göra. Ett exempel som jag kan tänka på är NextCloud Hub. Systemet fungerar dels som en fillagringsplats – men även som samarbetsverktyg. Man skulle kunna säga att NextCloud Hub fungerar ungefär som Microsofts “Office 365”, eller Googles “G Suite”.

Via NextCloud Hub kan man även köra videokonferenser, om man har appen “NextCloud Talk” installerad. Ibland kräver denna app mer handpåläggning, men det är helt upptill hur servern är konfigurerad. Av egen erfarenhet så har jag fått söka efter information om vissa inställningar som inte klart stod med i dokumentationen av NextCloud. Visserligen kan jag vara bortskämd med andra program som i mångt och mycket är “plug and play”.

Är man enbart ute efter videokonferenser kanske Jitsi Meet kan vara något. Själv har jag provat på verktyget, dock inte fullt it. Om man vill, så kan man också prova skapa ett mötesrum utan att ange namn eller e-postadress via instansen meet.jit.si. Det enda instansen ber om är att namnge mötesrummet. Man kan däremot efter skapandet av mötesrummet även göra det lösenordsskyddat.

Jag har däremot lyssnat en del på YouTube-kanalen “Nerd on the Street – Tech”. Skaparen av den kanalen har bland annat gjort en videoguide om att skapa en Jitsi-instans (på engelska). Som det förklaras i videon kan man även göra Jitsi-instansen helt lösenordsskyddad. Jag har själv (ännu) inte sett någon officiell dokumentation om hur man på bästa sätt konfigurerar skyddade möten. Eventuellt kan jag ha missat den delen från dokumentationen. Helt klart intressant i varje fall.

Säkerhet ska vara ett helhetstänk

Hur tråkigt än “säkerhet” kan låta så är det viktigt att det finns ett helhetstänk här. Oavsett hur många säkerhetsprogram eller prylar man köper, så är frågan i slutändan hur man använder dem, hur tänket kring säkerhet är annars och om dessa instanser är säkra till en början?

Ett exempel: Ett företag har ett passerkortssystem där samtliga besökare skall använda sig av passerkorten. Råkar någon säga sig vara anställd, utan att vara det, men ha “glömt” passerkortet kanske denne blir insläppt av en intet ont anande person som har passerkort. Där fallerade skalskyddet.

Ett annat exempel är mejl som informerar att “man måste återge sina användaruppgifter på tjänst X”. Detta är en vanlig variant av “phising”, där illasinnade personer använder sig av dessa mejl för att få tag på kontouppgifter.

Ett tredje exempel skulle kunna vara “smarta enheter” som man ansluter till hemmet.

På första exemplet bör man inte släppa in personer där besökare skall använda sig av passerkort. I andra exemplet ska man ta bort mejlet och inte ange några kontouppgifter över huvud taget. Vad gäller tredje exemplet så bör man tänka efter om man har behov av dessa. Vidare bör man även undersöka om enheterna använder sig av standardlösenord av tillverkaren och gärna ändra dessa. Jag kan rekommendera att läsa PC för allas artikel “hoten mot ditt smarta hem – och så säkrar du det” för tips.

För att inte bli ett för långt inlägg så tänker jag runda av här. Många smarta hem använder sig av ett moln varför det också inkluderades i slutet av detta inlägg.