Как и многие профессора, Карен Уилсон (имя изменено ) впервые вела онлайн-уроки в колледже в конце марта, поскольку из -за вспышки COVID-19 личные уроки были отложены . Для своей презентации она использовала платформу видеоконференцсвязи Zoom.
«Через десять минут после начала моей лекции я начал слышать смех и хихиканье. Затем в класс раздается голос и спрашивает:« Что это за класс? »», - говорит она по электронной почте. Когда Уилсон спросил, что происходит, «пара девочек в унисон ответила, что они должны быть в онлайн-классе средней школы, и были сбиты с толку. Они задали несколько вопросов и сразу же ушли».
Но дела только начинались.
«Некоторое время спустя другой анонимный человек, на этот раз мужчина, начал комментировать курение марихуаны и вид большой травы, которую он нашел на прошлой неделе. Был слышен только звук, а его не было видно. Я попросил его назвать себя Когда он этого не сделал, я попросил его уйти, что, к счастью, он быстро и сделал ».
Она говорит, что, поскольку она была новичком в Zoom, опыт сбивал с толку и дезориентировал.
«Я не знала, откуда идет звук, и подумала, что это может быть фоновый шум от одного из моих учеников», - говорит она. «Если бы я был более знаком с Zoom, я бы немедленно отключил звук у всех, но я был новичком, использующим его в Интернете. Я никогда не думал, что другие люди могут получить номер Zoom и« зайти »в класс».
Уилсон только что подвергся бомбардировке Zoom. Zoom-бомбежка - это сокращение от того, когда незнакомцы вторгаются на собрания других в Zoom . Иногда эти люди могут просто слушать, и никто не знает, что они там. В других случаях они полностью срывают собрания глупыми или даже угрожающими способами.
В конечном итоге Уилсону повезло. Другие жертвы бомбардировки Zoom подвергались разжиганию ненависти, ненормативной лексике, угрозам и порнографическим изображениям.
Но как кто-то мог просто «заглянуть» на частную встречу?
«Взрыв Zoom - это не что иное, как перечисление различных комбинаций URL-адресов в браузере», - говорит Дэн Деско, эксперт по кибербезопасности из бухгалтерской фирмы Schneider Downs из Колумбуса, штат Огайо.
Он приводит пример: чтобы найти собрание Zoom, вы вводите URL-адрес Zoom.us/ плюс строку чисел, которая служит идентификационным номером собрания (например, https://zoom.us/j/55555523222).
«Проблема заключается в том, что люди не защищают свои собрания паролями, и, просто перевернув пару цифр, вы потенциально можете получить удачу и внезапно попасть на чужую встречу», - говорит он. «Очевидно, вы должны сделать это в нужное время, [когда] состоится встреча», - добавляет он.
Чтобы проверить недостаток, он сам попробовал. Примерно через минуту он наткнулся на действительный идентификатор встречи, но встреча не состоялась в тот конкретный момент. «Технически это похоже на прослушивание телефонных разговоров или возможность шпионить за кем-то», - говорит Деско.
Но почему у Zoom был именно этот недостаток? Частично это стало известно из-за того, что популярность Zoom во время пандемии коронавируса выросла в геометрической прогрессии, увеличившись с 10 миллионов ежедневных пользователей в декабре 2019 года до 200 миллионов ежедневных пользователей в марте. Компания просто не была готова к наплыву людей, желающих использовать ее для занятий, встреч и виртуальных счастливых часов с друзьями.
«Zoom - это в первую очередь инструмент корпоративной совместной работы, который позволяет людям беспрепятственно сотрудничать. В отличие от платформ социальных сетей, это не была служба, которая должна была разрабатывать способы управления плохим поведением пользователей - до сих пор», - говорит Дэвид Таффли, преподаватель Прикладная этика и социотехнические исследования в Университете Гриффита в Австралии, из интервью по электронной почте. «Их пользовательская база чрезвычайно выросла, и [неизбежно] плохое поведение».
Внезапный всплеск трафика выявил и другие недостатки безопасности , такие как учетные записи в темной сети и отсутствие шифрования. ФБР потушить консультативное предупреждение о взрыве Увеличить 30 марта Некоторые организации решили запретить Zoom. Google не позволит своим сотрудникам использовать его на своих ноутбуках. По словам Деско, это все последствия, потому что Zoom не удалось устранить свои недостатки достаточно быстро.
«В области информационной безопасности и кибербезопасности мы говорим о трех вещах: мы говорим о конфиденциальности, целостности и доступности», - говорит Деско. Люди хотят, чтобы их встречи (особенно деловые) были максимально конфиденциальными.
Кроме того, по его словам, лаборатория Citizen Lab в Университете Торонто «показала, что технология шифрования, которую предполагал использовать Zoom, не так сильна, как они говорят [она была]. На самом деле они используют технологию шифрования, которую можно легко взломать. "
По его словам, на это уйдут месяцы. (Хотя Zoom исправил некоторые недостатки безопасности , по состоянию на август 2020 года все еще поступали сообщения о взрывах зум-бомб.)
А насчет целостности?
Поскольку Zoom расширил свои серверные мощности, он начал использовать серверы, расположенные в Китае, с китайскими сотрудниками. «Многие люди ставят под сомнение конфиденциальность инструментов, - говорит Деско. Это одна из причин, по которой Сенат США попросил своих членов воздержаться от использования Zoom. Пентагон 10 апреля последовал их примеру.
Прекращение бомбардировки зумом
Поскольку взрывы Zoom стали проблемой, Zoom изменил свои настройки по умолчанию, так что каждому собранию автоматически назначается пароль, необходимый для входа в него; Кроме того, функция «комнаты ожидания» теперь автоматически включается при настройке встречи. Это не позволяет пользователям присоединиться к звонку до того, как вы, хозяин, их проверили. Наконец, идентификационный код собрания не отображается в строке заголовка во время собрания Zoom.
Деско считает, что эти меры будут иметь большое значение для прекращения бомбардировок Zoom. «Хорошо держать идентификатор встречи в секрете, чтобы люди не могли связать ваш идентификатор встречи с вами или вашей компанией», - говорит он. «Или, если вы такой высокопоставленный человек, как Борис Джонсон, поделиться своим идентификатором встречи [как он сделал это в твите как часть скриншота Zoom 31 марта] было все равно, что поделиться адресом пещеры летучих мышей. secure, теперь это конкретная цель. Тогда пароль является ключом к обеспечению безопасности встречи ".
Он добавляет, что «Если вы хотите быть супербезопасным, вам следует также менять свой идентификатор встречи при каждом звонке и пароль. Существует настройка для автоматического создания нового идентификатора встречи, и вы также можете установить пароль лично».
По крайней мере, убедитесь, что новые функции безопасности Zoom действительно включены на собраниях, которые вы настраиваете.
«Если у вас уже настроена [повторяющаяся] встреча, в которой использовались старые настройки по умолчанию, вам нужно вернуться в Zoom и обновить их», - говорит Деско. «Это достаточно легко сделать».
Еще один способ предотвратить захват вашей встречи посторонними - сделать доступным только организатору параметр «поделиться экраном». Вы также можете отключить микрофоны всех, кроме организатора или докладчика, и заблокировать встречу, когда все присоединятся, чтобы предотвратить взломы. Эти функции можно сделать на панели инструментов Zoom. И, наконец, не размещайте публичную ссылку на собрание, которая может пригласить нежелательных гостей попытаться войти.
ЭТО ИНТЕРЕСНО
Во время пандемии Zoom подвергся невероятному количеству негативных отзывов в прессе о своих недостатках. Но другие инструменты конференц-связи (например, Skype, Webex и Google Hangout) также имеют проблемы с безопасностью, поэтому независимо от того, какое программное обеспечение вы выберете, не делайте никаких предположений о конфиденциальности ваших онлайн-встреч. Воспользуйтесь некоторыми из тех же советов, которые мы дали вам для Zoom, чтобы обезопасить другие типы виртуальных встреч.
Первоначально опубликовано: 14 апреля 2020 г.
