Как и многие профессора, Карен Уилсон (имя изменено) в конце марта впервые преподавала в колледже онлайн, поскольку вспышка COVID-19 отодвинула на второй план очные занятия. Для презентации она использовала платформу видеоконференцсвязи Zoom.
«Через десять минут после начала лекции я начала слышать смех и хихиканье. Затем в классе раздается голос, спрашивающий: «Что это за урок?», - пишет она по электронной почте. Когда Уилсон спросил, что происходит, «две девочки хором ответили, что они должны были быть в онлайн-классе старшей школы, и они были сбиты с толку. Они задали несколько вопросов и тут же ушли».
Но все только начиналось.
" Некоторое время спустя другой аноним, на этот раз мужчина, начал комментировать курение марихуаны и какую-то замечательную траву, которую он нашел на прошлой неделе. Был слышен только звук, а его никто не видел. попросил его представиться. Когда он отказался, я попросил его уйти, что, к счастью, он быстро сделал."
Она говорит, что, поскольку она была новенькой в Zoom, это сбивало с толку и дезориентировало.
" Я не была уверена, откуда идет звук, и подумала, что это может быть фоновый шум от одного из моих учеников", - говорит она. «Если бы я был лучше знаком с Zoom, я бы немедленно отключил звук у всех, но я был новичком в использовании его в Интернете. Я никогда не думал, что другие люди могут получить номер Zoom и «зайти» в класс».
Уилсона только что бомбили в Zoom. Zoom-бомбардировка - это сокращение, когда незнакомцы вторгаются в чужие встречи в Zoom. Иногда эти люди могут просто подслушивать, и никто не знает, что они там. В других случаях они полностью срывают встречи глупыми или даже угрожающими способами.
В конечном итоге Уилсону повезло. Другие жертвы бомбардировки Zoom подверглись разжиганию ненависти, ненормативной лексике, угрозам и порнографическим изображениям.
Но как кто-то мог просто «зайти» на личную встречу?
" Zoom-бомбардировка - это не что иное, как перечисление различных комбинаций URL-адресов в браузере", - говорит Дэн Деско, эксперт по кибербезопасности из бухгалтерской фирмы Schneider Downs из Колумбуса, штат Огайо.
Он приводит пример: чтобы найти собрание Zoom, вы вводите URL-адрес Zoom.us/ плюс строку цифр, которая служит идентификационным номером собрания (например, https://zoom.us/j/ 55555523222).
«Проблема возникает, когда люди не защищают свои встречи паролями, и просто перевернув пару цифр, вы можете потенциально повезти и внезапно войти на чью-то встречу», - говорит он.«Теперь, очевидно, вам придется сделать это в нужное время [когда] состоится встреча», - добавляет он.
Просто чтобы проверить недостаток, он попробовал это сам. Буквально через минуту или около того он наткнулся на подлинный идентификатор встречи, но в тот конкретный момент встреча не происходила. «Технически это похоже на прослушивание телефонных разговоров или возможность шпионить за кем-то», - говорит Деско.
Но почему у Zoom такой недостаток? Это стало известно отчасти потому, что во время пандемии коронавируса популярность Zoom резко возросла: с 10 миллионов ежедневных пользователей в декабре 2019 года до 200 миллионов ежедневных пользователей в марте. Компания просто не была готова к наплыву людей, желающих использовать его для занятий, встреч и виртуальных счастливых часов с друзьями.
«Zoom - это в первую очередь корпоративный инструмент для совместной работы, который позволяет людям сотрудничать без помех. В отличие от платформ социальных сетей, до сих пор это не был сервис, который должен был разрабатывать способы управления плохим поведением пользователей», - говорит Дэвид. Таффли, преподаватель прикладной этики и социотехнических исследований в Университете Гриффита в Австралии, в интервью по электронной почте.«Их пользовательская база значительно выросла, и поведение должно быть плохим».
Внезапный всплеск трафика выявил и другие недостатки безопасности, такие как учетные записи даркнета и отсутствие шифрования. 30 марта ФБР выпустило консультативное предупреждение о взрыве Zoom. Некоторые организации решили запретить Zoom. Google не позволит своим сотрудникам использовать его на своих ноутбуках. Это все последствия, потому что Zoom не смог достаточно быстро устранить свои недостатки, говорит Деско.
«В информационной и кибербезопасности мы говорим о трех вещах: мы говорим о конфиденциальности, целостности и доступности», - говорит Деско. Люди хотят, чтобы их встречи (особенно деловые) были строго конфиденциальными.
Кроме того, по его словам, Citizen Lab в Университете Торонто «показала, что технология шифрования, которую Zoom якобы использовал, не так сильна, как они говорят [это было]. Они на самом деле используют технологию шифрования. это было довольно легко взломать."
Это нечто, говорит он, на исправление которого уйдут месяцы. (Хотя Zoom исправил некоторые недостатки безопасности, по состоянию на август 2020 года все еще поступали сообщения о взрывах Zoom.)
А целостность?
Поскольку Zoom увеличил мощность своих серверов, он начал использовать серверы, расположенные в Китае, с китайскими сотрудниками. «Многие люди ставят под сомнение конфиденциальность инструментов, - говорит Деско. Это одна из причин, по которой Сенат США попросил членов воздержаться от использования Zoom. Пентагон также последовал этому примеру 10 апреля.
Прекращение бомбардировки Zoom
Поскольку бомбардировки Zoom стали проблемой, Zoom изменил свои настройки по умолчанию, чтобы каждой встрече автоматически присваивался необходимый пароль для входа на нее; Кроме того, функция «зал ожидания» теперь автоматически включается при настройке встречи. Это предотвращает присоединение пользователей к вызову до того, как они будут проверены вами, организатором. Наконец, идентификационный код собрания не отображается в строке заголовка во время собрания Zoom.
Desko считает, что эти меры помогут остановить бомбардировки Zoom. «Хорошо держать идентификатор встречи в секрете, чтобы люди не могли связать ваш идентификатор встречи с вами или вашей компанией», - говорит он. «Или, если вы являетесь высокопоставленным лицом, таким как Борис Джонсон, поделиться своим идентификатором встречи [как он сделал в твите как часть снимка экрана Zoom 31 марта] было все равно, что поделиться адресом пещеры летучих мышей. Несмотря на то, что пещера летучих мышей безопасно, теперь это конкретная цель. Тогда пароль является ключом к обеспечению безопасности собрания."
Он добавляет, что «Если вы хотите быть сверхзащищенным, вы также должны менять свой идентификатор встречи при каждом звонке и пароль. Существует настройка для автоматического создания нового идентификатора встречи, и вы также можете установить пароль лично тоже."
По крайней мере, убедитесь, что новые функции безопасности Zoom действительно включены на встречах, которые вы настраиваете.
«Если у вас уже настроена [повторяющаяся] встреча, в которой использовались старые значения по умолчанию, вам нужно вернуться в Zoom и обновить их», - говорит Деско. "Это достаточно просто сделать."
Еще один способ предотвратить перехват вашей встречи посторонними - сделать параметр «Поделиться экраном» доступным только организатору. Вы также можете отключить микрофоны всех, кроме организатора или выступающего, и заблокировать собрание, когда все присоединятся, чтобы предотвратить взлом. Эти функции можно выполнить на панели инструментов Zoom. И, наконец, не публикуйте общедоступную ссылку на вашу встречу, которая может пригласить нежелательных гостей попытаться войти.
Интересно
Zoom выдержал невероятное количество негативных отзывов прессы о своих недостатках во время пандемии. Но другие инструменты для проведения конференций (такие как Skype, Webex и Google Hangout) также имеют проблемы с безопасностью, поэтому независимо от того, какое программное обеспечение вы выберете, не делайте никаких предположений о конфиденциальности ваших онлайн-совещаний. Используйте некоторые из тех же советов, которые мы дали вам для Zoom, чтобы сделать ваши другие типы виртуальных встреч безопасными.
Часто задаваемые вопросы о Zoom Bomb
Является ли взрыв Zoom преступлением?
Согласно пресс-релизу окружной прокуратуры США от апреля 2020 года, людям, которые взорвали бомбу Zoom, могут быть предъявлены обвинения в «срыве публичного собрания, вторжении в компьютер, использовании компьютера для совершения преступления, преступлениях на почве ненависти, мошенничестве или передачи угрожающих сообщений». В заявлении также отмечается, что все эти обвинения караются штрафами и лишением свободы..
Как остановить бомбардировку Zoom?
Функция комнаты ожидания Zoom не позволяет участнику присоединиться к собранию, если организатор не разрешит ему войти. Еще один способ предотвратить захват вашей встречи посторонними - сделать параметр «Поделиться экраном» доступным только организатору. Вы также можете отключить микрофоны всех, кроме организатора или выступающего, и заблокировать собрание, когда все присоединятся, чтобы предотвратить взлом.
Что такое Zoom-бомбардировка?
Zoom-бомбардировка - это когда незваные гости срывают онлайн-встречу в Zoom. Эти интернет-тролли присоединяются к собранию, чтобы бомбардировать других участников отвлекающим или тревожным контентом.
Как работают бомбы Zoom?
В некоторых случаях незваные гости могут присоединиться к собранию, чтобы подслушать, не сообщая никому о своем присутствии. В других, более серьезных случаях, они прерывают собрания Zoom в «забавной» или угрожающей манере.
Законно ли бомбить класс в Zoom?
Нет, Министерство юстиции США предупредило, что взрывы в Zoom являются незаконными, и те, кто это делает, могут быть обвинены в преступлениях штата и федеральном уровне. Эти расходы также будут зависеть от поведения незваного гостя.