Podobnie jak wielu profesorów, Karen Wilson (to nie jest jej prawdziwe imię) po raz pierwszy prowadziła zajęcia w college'u przez Internet pod koniec marca, odkąd wybuch epidemii COVID-19 odłożył na bok zajęcia indywidualne. Do prezentacji wykorzystywała platformę wideokonferencyjną Zoom.
„Po dziesięciu minutach wykładu zacząłem słyszeć śmiech i chichot. Potem do sali dobiega głos z pytaniem:„ Co to za klasa? ”- mówi w e-mailu. Kiedy Wilson zapytał, co się dzieje, „kilka dziewcząt zgodnie odpowiedziało, że powinny być na lekcjach online w liceum, i były zdezorientowane. Zadały kilka pytań i natychmiast wyszły”.
Ale rzeczy dopiero się zaczęły.
„Jakiś czas później inna anonimowa osoba, tym razem mężczyzna, zaczęła komentować na temat palenia marihuany i tego rodzaju wspaniałego zioła, które znalazł w zeszłym tygodniu. Słychać było tylko nagranie i nie było go widać. Poprosiłem go o identyfikację . Kiedy tego nie zrobił, poprosiłem go, aby odszedł, co na szczęście szybko to zrobił ”.
Mówi, że ponieważ była nowicjuszem w Zoom, to doświadczenie było zagmatwane i dezorientujące.
„Nie byłam pewna, skąd pochodzi dźwięk i pomyślałam, że może to być hałas w tle jednego z moich uczniów” - mówi. „Gdybym był bardziej zaznajomiony z Zoomem, natychmiast wyciszyłbym dźwięk wszystkich, ale byłem nowicjuszem korzystającym z niego online. Nigdy nie myślałem, że inni ludzie mogą uzyskać numer Zoom i„ wpaść ”do klasy.
Wilson właśnie został zbombardowany przez Zoom. Bombardowanie z użyciem zoomu jest skrótem, gdy nieznajomi wkraczają na spotkania innych osób w Zoom . Czasami ci ludzie mogą po prostu słuchać, a nikt nie wie, że tam są. Innym razem całkowicie zakłócają spotkania w głupi lub nawet groźny sposób.
Ostatecznie Wilson miał szczęście. Inne ofiary zoom bombardowania zostały poddane do mowy nienawiści, profanities, gróźb i zdjęć pornograficznych.
Ale jak ktoś mógł po prostu „wpaść” na prywatne spotkanie?
„Bombardowanie zoomem to nic innego jak wyliczanie różnych kombinacji adresów URL w przeglądarce” - mówi Dan Desko, ekspert ds. Cyberbezpieczeństwa z firmy księgowej Schneider Downs w Columbus w stanie Ohio.
Podaje przykład: Aby znaleźć spotkanie Zoom, wpisujesz adres URL Zoom.us/ oraz ciąg cyfr, który służy jako numer identyfikacyjny spotkania (np. Https://zoom.us/j/55555523222).
„Problem pojawia się, gdy ludzie nie chronią swoich spotkań hasłami i po prostu odwracając kilka numerów”, możesz mieć szczęście i nagle wejść na spotkanie kogoś innego, mówi. „Teraz oczywiście musiałbyś to zrobić we właściwym czasie [kiedy] odbywa się spotkanie” - dodaje.
Aby przetestować wadę, sam spróbował. W ciągu zaledwie minuty natknął się na legalny identyfikator spotkania - ale spotkanie nie odbyło się w tym konkretnym momencie. „Technicznie rzecz biorąc, przypomina to podsłuchiwanie lub możliwość szpiegowania kogoś” - mówi Desko.
Ale dlaczego Zoom miałby mieć tę konkretną wadę? Został on ujawniony częściowo dlatego, że popularność Zooma gwałtownie wzrosła podczas pandemii koronawirusa, przechodząc z 10 milionów użytkowników dziennie w grudniu 2019 do 200 milionów użytkowników dziennie w marcu. Firma po prostu nie była przygotowana na natłok ludzi chcących wykorzystać ją do zajęć, spotkań i wirtualnych happy hours z przyjaciółmi.
„Zoom to przede wszystkim narzędzie do współpracy korporacyjnej, które umożliwia ludziom współpracę bez przeszkód. W przeciwieństwie do platform mediów społecznościowych nie była to usługa, która musiała opracowywać sposoby radzenia sobie ze złym zachowaniem użytkowników - do tej pory” - mówi David Tuffley, wykładowca w Applied Ethics & SocioTechnical Studies na Griffith University w Australii, w wywiadzie e-mailowym. „Ich baza użytkowników ogromnie się rozrosła i [z pewnością] będzie to złe zachowanie”.
Nagły wzrost ruchu ujawnił również inne luki w zabezpieczeniach , takie jak ciemne konta internetowe i brak szyfrowania. FBI zgasić doradczą ostrzeżenie o zamachu zoom marca 30. Niektóre organizacje zdecydowały się zakazać zoom. Google nie pozwoli swoim pracownikom używać go na swoich laptopach. To wszystko jest spowodowane opadem, ponieważ Zoom nie zdołał wystarczająco szybko rozwiązać swoich wad, mówi Desko.
„W dziedzinie bezpieczeństwa informacji i cyberbezpieczeństwa mówimy o trzech rzeczach: mówimy o poufności, integralności i dostępności” - mówi Desko. Ludzie chcą, aby ich spotkania (szczególnie w biznesie) były wyjątkowo poufne.
Ponadto, jak mówi, Citizen Lab na Uniwersytecie w Toronto „wykazało, że technologia szyfrowania, której rzekomo używał Zoom, nie była tak silna, jak mówią, że była]. W rzeczywistości używają technologii szyfrowania, która była dość łatwa do złamania. "
Mówi, że jest to coś, czego naprawienie zajmie miesiące. (Chociaż Zoom naprawił pewne luki w zabezpieczeniach , od sierpnia 2020 r. Wciąż pojawiały się doniesienia o bombardowaniu z zoomem).
A co do uczciwości?
Wraz ze zwiększaniem pojemności serwerów Zoom zaczął korzystać z serwerów zlokalizowanych w Chinach, z chińskimi pracownikami. „Wiele osób kwestionuje poufność narzędzi” - mówi Desko. To jeden z powodów, dla których Senat USA poprosił członków o powstrzymanie się od używania Zoom. Pentagon również poszedł w jego ślady 10 kwietnia.
Zatrzymywanie bombardowania z użyciem zoomu
Odkąd bombardowanie Zoomem stało się problemem, Zoom zmienił swoje domyślne ustawienia, tak że każdemu spotkaniu automatycznie przypisywane jest hasło wymagane do jego wprowadzenia; ponadto funkcja „poczekalni” jest teraz automatycznie włączana podczas konfigurowania spotkania. Zapobiega to dołączaniu się użytkowników do rozmowy, zanim zostaną sprawdzeni przez Ciebie, gospodarza. Wreszcie, kod identyfikacyjny spotkania nie jest wyświetlany na pasku tytułu podczas spotkania Zoom.
Desko uważa, że te środki znacznie przyczynią się do powstrzymania bombardowań Zoomem. „Dobrze jest zachować prywatność identyfikatora spotkania, aby ludzie nie mogli skojarzyć Twojego identyfikatora spotkania z Tobą lub Twoją firmą” - mówi. „A jeśli jesteś tak znaną osobą, jak Boris Johnson, udostępnienie swojego identyfikatora spotkania [tak jak to zrobił na tweecie jako część zrzutu ekranu z zoomu 31 marca] było jak udostępnienie adresu jaskini nietoperzy. Mimo że jaskinia nietoperzy jest bezpieczny, jest teraz konkretnym celem. Hasło jest wtedy kluczem do zapewnienia bezpieczeństwa spotkania ”.
Dodaje, że „Jeśli chcesz być super bezpieczny, powinieneś zmieniać swój identyfikator spotkania również przy każdym połączeniu i haśle. Istnieje ustawienie automatycznego generowania nowego identyfikatora spotkania, a także możesz ustawić hasło osobiście”.
Przynajmniej upewnij się, że nowe funkcje bezpieczeństwa Zoom zostały faktycznie włączone na konferencjach, które konfigurujesz.
„Jeśli masz już skonfigurowane [cykliczne] spotkanie, które korzystało ze starego ustawienia domyślnego, musisz wrócić do Zoom i zaktualizować je” - mówi Desko. „To dość łatwe”.
Innym sposobem zapobiegania przechwytywaniu spotkania przez osoby postronne jest udostępnienie opcji „udostępnij ekran” tylko gospodarzowi. Możesz także wyciszyć mikrofony wszystkich oprócz gospodarza lub mówcy i zablokować spotkanie, gdy wszyscy dołączyli, aby zapobiec włamaniom. Te funkcje można wykonać na pasku narzędzi Zoom. I wreszcie, nie publikuj publicznego linku do spotkania, który może zapraszać niechcianych gości do próby wzięcia udziału.
TERAZ TO CIEKAWE
Zoom spotkał się z niesamowitą ilością złej prasy za swoje wady podczas pandemii. Ale inne narzędzia konferencyjne (takie jak Skype, Webex i Google Hangout) również mają problemy z bezpieczeństwem - więc bez względu na to, które oprogramowanie wybierzesz, nie rób żadnych założeń dotyczących prywatności spotkań online. Skorzystaj z tych samych wskazówek, które daliśmy Ci w przypadku Zoom, aby zabezpieczyć inne rodzaje wirtualnych spotkań.
Pierwotnie opublikowano: 14 kwietnia 2020 r
