To main page
2 · Mar 26, 2021
Как Mind обеспечивает информационную безопасность организаций в видеоконференции
3 min reading
The most secure video conference service

Перечислим угрозы безопасности информации и объясним, как Mind защищает от них организации. Как злоумышленник может подсмотреть и подслушать видеоконференцию, прочитать чат? Основных способов 2:

  • Зайти с черного хода: перехватить видео и чат хакерскими инструментами – так, что вы и не узнаете
  • Зайти с парадного входа: залогиниться под кем-то из сотрудников, просмотреть записи конференций или подслушать онлайн переговоры, например, подключившись без видео

Как Mind защищает пользователей? Способы 1-3 для черного хода и 4-6 – для парадного.

1. Передаем данные по защищенному каналу – DTLS

Mind построен на технологии WebRTC. WebRTC пользуется браузером, чтобы доставлять видео и аудио. В браузеры встроен протокол DTLS. Он шифрует канал передачи данных и делает перехват очень сложным.

Допустим, я напишу вам письмо. Если я отправлю его почтой – не сложно вскрыть конверт и прочитать или подменить письмо. А если найму машину инкассации с охраной – сделать это будет гораздо сложнее.

2. Шифруем сами данные – AES-256 шифрование

На случай, если удастся перехватить данные, они зашифрованы. Похитивший письмо у инкассаторов должен знать код или угадать его, чтобы прочитать.

Как сделать, чтобы код не узнали – то есть не залогинились под вами – в пунктах 3-5.

Угадать – подобрать – код к данным, зашифрованным 256-разрядным шифрованием AES, считается задачей уровня спецслужб. В этой статье про AES-256 на 1 страницу А4 объясняется, почему AES – стандарт шифрования Правительства США.

AES встроен в WebRTC. Если разработчик видеоконференции включил это шифрование, все данные передаются в зашифрованном виде. Помимо этого, Mind поддерживает самую высокую надежность шифрования из доступных в WebRTC – 256-разрядную.

Преодолеть AES и DTLS сложно. Гораздо проще узнать или взломать пароль. Говорят, большинство хакерских атак получаются из-за стикера с паролем на мониторе секретарши. Вот что Mind делает, чтобы с вами такого не случилось.

3. Не заставляем устанавливать ПО

Установка любых приложений на компьютер или смартфон не безопасна. Потенциальные уязвимости можно найти даже в самом продвинутом ПО. Поэтому у Mind есть 2 версии: настольная, которую надо загружать и устанавливать, и веб – которую загружать не надо. Если работаете с компьютера, потерять данные с которого – трагедия, – не рискуйте, используйте веб-версию. Последствия использования скачиваемой версии – ваша ответственность

4. Не храним пароли

Чтобы авторизоваться на Mind, пароль не нужен. Держать его на своём сервере = давать возможность для угона аккаунта. Взламывают даже таких крупных и защищенных провайдеров, как Yahoo. Если все же хотите использовать пароль, заходите через Google – тогда Google и несет ответственность за безопасность.

5. Используем одноразовые ключи

Вместо пароля мы отправляем код для входа на email. По SMS удобнее, но перехватить SMS сейчас проще, чем взломать email аккаунт. Пример, как это просто, на Хабре.

6. Показываем в глазок, кто “стучится” в конференцию

На начало 2021 года аналогов у конкурентов нет. Подробнее о функции “глазок” читайте в следующей статье.

If you liked the article, please share it on social media:
Other articles: