Anbefaler passord på Webex

Det er mange store bedrifter som bruker Ciscos webkonferansesystem Webex. Nå har journalisten og sikkerhetsforskeren Brian Krebs funnet ut at mange av disse store bedriftene har latt være å passordbeskytte konferansene sine. Resultatet av det er at disse konferansene er helt åpne, og hvem som helst kan henge seg på, skriver Krebs på bloggen sin.

Dette er strengt tatt ingen feil ved Webex-tjenesten i seg selv, men heller sviktende rutiner hos selskapene som har satt opp konferansene. Det er klart at «utadvendte» webkonferanser som har som formål å rekke ut i den store verden, som pressekonferanser, produktpresentasjoner og lignende, ikke trenger passordbeskyttelse. Da stiller saken seg helt annerledes for bedriftsinterne møter, og det er her bedriftene ikke har klart å holde tunga rett i munnen.

Åpne møter

Krebs fant mange bedriftsinterne webmøter som sto vidåpne. Ved å søke i bedrifters kalendere og planer på WebEx, kunne han plukke opp daglige og ukentlige interne møter som en rekke store bedrifter hadde satt opp – uten passord. I bloggen navngir Krebs en rekke store amerikanske bedrifter, som Charles Schwab, CSC, CBS, CVS, The U.S. Department of Energy, Fannie Mae, Jones Day, Orbitz, Paychex Services og Union Pacific som eksempler på møtekalendre som sto helt åpne.

Noen av organisasjonene tillot til og med å laste ned opptak av tidligere avholdte møter.

Beste praksis

Krebs har samarbeidet med Cisco etter at han oppdaget dette. Dermed har Cisco rukket å advare kundene det gjelder om dette, i tillegg til at selskapet har sendt ut varsel til alle kunder før saken nå kom opp i mediene.

Cisco har også benyttet anledningen til å publisere en bloggpost på Webex-bloggen, der beste praksis for oppsett av webkonferanser gjennomgås, med fokus på hvordan sette opp konferanser som ikke skal være offentlig tilgjengelig. I korthet er lista fra Cisco slik:

1. Ikke legg møtet i møtelisten. Cisco anbefaler at kun møter som skal være offentlige, skal listes i systemet.
2. Bruk komplekse passord. Dette påvirker ikke funksjonaliteten for møtedeltakerne, som uansett vil kunne komme seg til møtet ved å klikke på linken i invitasjonen.
3. Ikke informer mer enn nødvendig. Dersom den som er ansvarlig for Webex-bruken har tillatt møtelister, er disse offentlig tilgjengelig. Derfor er det viktig å ikke informere mer her enn høyst nødvendig.
4. Skru av «Join before host». Om møtelederen er den første som tillates å komme inn i konferansen, er det mulig for vedkommende å holde øye med hvem som kommer inn i konferansen deretter.
5. Skru på «host as presenter». Dette sikrer at ingen andre enn møtelederen (du) kan dele informasjon uten tillatelse, noe som er spesielt nyttig ved bruk av listete møter.
6. Lær all beste praksis. Det finnes flere retningslinjer for administrasjon av tjenesten. Det er mange valg og opsjoner å sette seg inn i, og mange av dem finner du her.

Les hele innlegget på Webex-bloggen her.