Как и многие профессора, Карен Уилсон (ее ненастоящее имя) впервые вела онлайн-занятия в колледже в конце марта, поскольку вспышка COVID-19 отодвинула на второй план очные занятия. Она использовала платформу видеоконференцсвязи Zoom для своей презентации. https://limonsu.ru/

"Через десять минут после начала моей лекции я начала слышать смех и хихиканье. Затем в классе раздается голос, спрашивающий: "Что это за урок?" - сообщает она по электронной почте. Когда Уилсон спросил, что происходит, "пара девочек в унисон ответили, что они должны были быть в онлайн-классе средней школы, и они были смущены. Они задали несколько вопросов и быстро ушли".

Но все только начиналось.

"Некоторое время спустя другой анонимный пользователь, на этот раз мужчина, начал комментировать курение марихуаны и ту замечательную травку, которую он нашел на прошлой неделе. Была слышна только аудиозапись, а его самого никто не видел. Я попросил его представиться. Когда он отказался, я попросил его уйти, что, к счастью, он быстро сделал".

Она говорит, что, поскольку она была совершенно новичком в Zoom, этот опыт сбил ее с толку и дезориентировал.

"Я не была уверена, откуда шел звук, и подумала, что это может быть фоновый шум от одного из моих студентов", - говорит она. "Если бы я был более знаком с Zoom, я бы немедленно отключил звук у всех, но я был новичком, использующим его онлайн. Я никогда не думал, что другие люди могут узнать номер Zoom и "зайти" в класс. "

Уилсон только что подвергся бомбардировке с помощью Zoom. Бомбардировка с помощью Zoom - это сокращение от когда незнакомцы вторгаются на чужие собрания в Zoom. Иногда эти люди могут просто слушать, и никто не знает, что они там. В других случаях они полностью срывают собрания глупыми или даже угрожающими способами.

В конечном счете Уилсону повезло. Другие жертвы бомбардировок Zoom подвергались разжиганию ненависти, ненормативной лексике, угрозам и порнографическим изображениям.

Но как кто-то мог просто "зайти" на частную встречу?

"Бомбардировка с помощью Zoom - это не что иное, как перечисление различных комбинаций URL-адресов в браузере", - говорит Дэн Деско, эксперт по кибербезопасности из бухгалтерской фирмы Schneider Downs в Колумбусе, штат Огайо.

Он приводит пример: чтобы найти собрание Zoom, вы вводите URL-адрес Zoom.us / плюс строку цифр, которая служит идентификационным номером собрания (например, https://zoom.us/j/55555523222).

"Проблема возникает, когда люди не защищают свои собрания паролями, и, просто щелкнув парой цифр", вам потенциально может повезти, и вы внезапно попадете на чью-то другую встречу, - говорит он. "Теперь очевидно, что вам нужно было бы сделать это в нужное время [когда] проходит встреча", - добавляет он.

Просто чтобы проверить недостаток, он попробовал это сам. Примерно через минуту он наткнулся на законный идентификатор собрания – но собрание не происходило в тот конкретный момент. "Технически это что-то вроде прослушивания телефонных разговоров или возможности шпионить за кем-то", - говорит Деско.

Но почему у Zoom должен быть именно этот недостаток? Об этом стало известно отчасти потому, что популярность Zoom резко возросла во время пандемии коронавируса: с 10 миллионов ежедневных пользователей в декабре 2019 года до 200 миллионов ежедневных пользователей в марте. Компания просто не была готова к наплыву людей, желающих использовать его для занятий, встреч и виртуальных счастливых часов с друзьями.

"Zoom - это прежде всего инструмент корпоративной совместной работы, который позволяет людям беспрепятственно сотрудничать. В отличие от платформ социальных сетей, это не был сервис, который должен был разрабатывать способы управления плохим поведением пользователей – до сих пор ", - говорит Дэвид Таффли, преподаватель прикладной этики и социотехнических исследований в Университете Гриффита в Австралии, в интервью по электронной почте. "Их пользовательская база чрезвычайно выросла, и там [обязательно] будет плохое поведение".

Внезапный всплеск трафика выявил и другие недостатки безопасности, такие как учетные записи dark web и отсутствие шифрования. ФБР выпустило 30 марта консультативное предупреждение о бомбардировке Zoom. Некоторые организации решили запретить Zoom. Google не разрешает своим сотрудникам использовать его на своих ноутбуках. Все это последствия, потому что Zoom не смог достаточно быстро устранить свои недостатки, говорит Деско.

"В области информационной безопасности и кибербезопасности мы говорим о трех вещах: мы говорим о конфиденциальности, целостности и доступности", - говорит Деско. Люди хотят, чтобы их встречи (особенно в бизнесе) были предельно конфиденциальными.

Более того, по его словам, Citizen Lab в Университете Торонто "показала, что технология шифрования, которую якобы использовал Zoom, была не такой надежной, как говорят [это было]. На самом деле они используют технологию шифрования, которую можно было довольно легко взломать ".

По его словам, на исправление этого уйдут месяцы. (Хотя Zoom исправил некоторые недостатки безопасности, по состоянию на август 2020 года все еще поступали сообщения о бомбардировке zoom.)

А что касается целостности?

Поскольку Zoom расширила пропускную способность своих серверов, она начала использовать серверы, расположенные в Китае, с китайскими сотрудниками. "Многие люди ставят под сомнение конфиденциальность инструментов", - говорит Деско. Это одна из причин, по которой Сенат США попросил членов воздержаться от использования Zoom. Пентагон также последовал этому примеру 10 апреля.

Остановка бомбардировки с помощью Zoom
С тех пор, как бомбардировка Zoom стала проблемой, Zoom изменил настройки по умолчанию, так что каждому собранию автоматически присваивается необходимый пароль для входа в него; кроме того, функция "комната ожидания" теперь автоматически включается при настройке собрания. Это не позволяет пользователям присоединяться к звонку до того, как вы, ведущий, проверите их. Наконец, идентификационный код собрания не отображается в строке заголовка во время собрания с помощью Zoom.

Desko считает, что эти меры будут иметь большое значение для прекращения бомбардировки Zoom. "Хорошо бы сохранить идентификатор собрания в тайне, чтобы люди не могли связать ваш идентификатор собрания с вами или вашей компанией", - говорит он. "Или, если вы известный человек, такой как Борис Джонсон, поделиться своим идентификатором встречи [как он сделал в твиттере 31 марта] было все равно, что поделиться адресом пещеры летучих мышей. Несмотря на то, что пещера летучих мышей защищена, теперь это конкретная цель. Пароль является ключом к обеспечению безопасности собрания. "

Он добавляет, что "Если вы хотите быть сверхзащищенным, вам также следует менять свой идентификатор встречи при каждом звонке и пароль. Существует настройка для автоматической генерации нового идентификатора собрания, и вы также можете установить пароль лично."

По крайней мере, убедитесь, что новые функции безопасности Zoom действительно были включены на собраниях, которые вы настраиваете.

"Если у вас уже настроено [повторяющееся] собрание, на котором использовалось старое значение по умолчанию, вам нужно вернуться в Zoom и обновить их", - говорит Деско. "Это достаточно легко сделать".

Еще один способ предотвратить вторжение посторонних на ваше собрание - сделать опцию "поделиться экраном" доступной только организатору. Вы также можете отключить микрофоны у всех, кроме ведущего или выступающего, и заблокировать собрание, когда все присоединились, чтобы предотвратить взломы. Эти функции можно выполнить на панели инструментов Zoom. И, наконец, не размещайте общедоступную ссылку на ваше собрание, которая может пригласить нежелательных гостей попытаться войти.

Вот это интересно
Zoom получил невероятное количество негативных отзывов в прессе за свои недостатки во время пандемии. Но другие инструменты для проведения конференций (такие как Skype, Webex и Google Hangout) тоже имеют проблемы с безопасностью, поэтому независимо от того, какое программное обеспечение вы выберете, не делайте никаких предположений о конфиденциальности ваших онлайн-встреч. Воспользуйтесь некоторыми из тех же советов, которые мы дали вам для Zoom, чтобы обезопасить другие типы виртуальных встреч.

Является ли бомбардировка Zoom преступлением?
Согласно пресс-релизу окружной прокуратуры США от апреля 2020 года, людям, которые бомбят Zoom, могут быть предъявлены обвинения в "срыве публичного собрания, компьютерном вторжении, использовании компьютера для совершения преступления, преступлениях на почве ненависти, мошенничестве или передаче сообщений с угрозами". В заявлении также отмечается, что все эти обвинения караются штрафами и тюремным заключением. .
Как остановить бомбардировку с помощью Zoom?
Функция зала ожидания Zoom не позволяет участникам присоединиться к собранию, если только ведущий не разрешит им войти. Еще один способ предотвратить вторжение посторонних на ваше собрание - сделать опцию "поделиться экраном" доступной только для ведущего. Вы также можете отключить микрофоны у всех, кроме ведущего или спикера, и заблокировать собрание, когда все присоединятся, чтобы предотвратить взломы.
Что такое бомбардировка с помощью Zoom?
Бомбардировка Zoom - это когда незваные гости срывают онлайн-собрание Zoom. Эти интернет-тролли присоединяются к собранию, чтобы бомбардировать других участников отвлекающим или тревожащим контентом.
Как работают бомбы с помощью Zoom?
В некоторых случаях незваные гости могут присоединиться к собранию, чтобы послушать, не давая никому знать о своем присутствии. В других, более серьезных случаях, они прерывают собрания Zoom в "забавных" или угрожающих манерах.
Законно ли бомбить масштабированием класс?
Нет, Министерство юстиции США предупредило, что взрывы в Zoom незаконны, и те, кто это делает, могут быть обвинены в преступлениях штата и федерального уровня. Эти обвинения также будут зависеть от поведения незваного гостя.