Živě Premium
Takto vypadá nastavování nové místnosti pro schůzku. Můžete ji stanovit základní popis, nastavit čas a další vlastnosti. URL pro připojení pak můžete poslat těm, které chcete ve videochatu.

Takto vypadá nastavování nové místnosti pro schůzku. Můžete ji stanovit základní popis, nastavit čas a další vlastnosti. URL pro připojení pak můžete poslat těm, které chcete ve videochatu.

Jakmile uživatel klepne na URL videokonference, stáhne se mu drobný desktopový telekonferenční program. Po jeho spuštění a instalaci se pak rovnou připojí.

Jakmile uživatel klepne na URL videokonference, stáhne se mu drobný desktopový telekonferenční program. Po jeho spuštění a instalaci se pak rovnou připojí.

A takto už Zoom vypadá v akci. Principiálně se neliší od ostatních telekonferencí. Jeho popularita tak dopsoud spočívala spíše v relativní jednoduchosti bez potřeby složitého zakládání účtu (je možné se připojit přes Facebook, Google atp.).

A takto už Zoom vypadá v akci. Principiálně se neliší od ostatních telekonferencí. Jeho popularita tak dopsoud spočívala spíše v relativní jednoduchosti bez potřeby složitého zakládání účtu (je možné se připojit přes Facebook, Google atp.).

Experimentální prográmek zWarDial odahuje funkční URL konferencí. Dokáže jich najít 100 za hodinu.

Experimentální prográmek zWarDial odahuje funkční URL konferencí. Dokáže jich najít 100 za hodinu.

Rozložení nalezených konferencí programem zWarDial podle oboru firem

Rozložení nalezených konferencí programem zWarDial podle oboru firem

Ve výchozím stavu je každé konference chráněná heslem, to lze ale vypnout a hromada lidí to tak podle zjištění i dělá

Ve výchozím stavu je každé konference chráněná heslem, to lze ale vypnout a hromada lidí to tak podle zjištění i dělá

Jakmile uživatel klepne na URL videokonference, stáhne se mu drobný desktopový telekonferenční program. Po jeho spuštění a instalaci se pak rovnou připojí.
A takto už Zoom vypadá v akci. Principiálně se neliší od ostatních telekonferencí. Jeho popularita tak dopsoud spočívala spíše v relativní jednoduchosti bez potřeby složitého zakládání účtu (je možné se připojit přes Facebook, Google atp.).
Experimentální prográmek zWarDial odahuje funkční URL konferencí. Dokáže jich najít 100 za hodinu.
Rozložení nalezených konferencí programem zWarDial podle oboru firem
6
Fotogalerie

Američtí vtipálci si oblíbili zoombombing. Napojí se na podnikovou konferenci a ukážou zadek, nebo i něco horšího

Jakub Čížek
3. dubna 2020
Diskuze (15)

Popularita videokonferencí skrze službu Zoom roste v posledních týdnech nebývalým tempem, což přilákalo i záškodníky a bezpečnostní analytiky. Jedni se snaží útočit pomocí phishingu a zakládají falešné weby vydávající se za novou hvězdu internetu, ostatní se vrhli na tzv. zoombombing.

Představte si, že právě přes Zoom s kolegy ze svého pracovního týmu řešíte nějaký ožehavý problém, když tu se náhle v seznamu objeví nový člen a na vašem 40“ monitoru obří zadek ve vysokém rozlišení. A to v lepším případě.

Vtipálkové se jednoduše připojují do cizích videochatů, načež spustí záznam obrazovky, na které přehrávají tu nejhrubší pornografii, kterou si dokážete představit, případně reklamy a jiný pochybný obsah.

zWarDial vyhledává chaty na Zoomu

Jak se jim to podaří? Jako u mnoha dalších telekonferenčních služeb vám Zoom při zakládání chatu vygeneruje webový odkaz, který můžete poslat všem, kteří se mají připojit. URL obsahuje numerický identifikátor, ten však lze hrubou silou odhalit.

97ef0927-0a94-4596-b274-54cbd7c7ee9c
zWarDial indexuje chaty na Zoomu

Stručně řečeno, vtipálek, který vám hodlá vysílat na monitor nějaký ten zadek, zkouší různé číselné kombinace, dokud se netrefí.  Zoom na to sice myslel a dušuje se, že má proti těmto brute-force atakům obranu a podobnému záškodníkovi při masivním opakování zablokuje IP adresu, ale to ani zdaleka nestačí.

Vyzkoušel si to třeba bezpečnostní expert Trent Lo z kansaské SecKC, který naprogramoval experimentální zWarDial. Prográmek se zkouší najít existující konferenční místnost na Zoomu a získat o ní maximum informací.

789507c9-5e84-4615-ab01-379d19b0ed95
Rozložení videochatů na Zoomu, které analyzoval zWarDial, podle odvětví

Dokáže to rychlostí 100 nalezených chatů za hodinu a kontrolu IP adresy vyřešil velmi jednoduše – k běžnému internetu se připojuje skrze Tor, takže se mu navenek průběžně mění skutečná IP adresa.

Mnoho chatů není chráněno heslem

Konference realizované přes Zoom lze sice chránit heslem a firma to už ve výchozím stavu také vyžaduje, takže zWarDial by v ideálním světě neměl najít ani jednu místnost, správci jednotlivých chatů nicméně často hesla zablokují, aby se mohli kolegové připojit co nejsnáze.

fe74892a-36b3-42f9-a4cb-cee91cac3d5d
Zoom už dnes ve výchozím stavu vyžaduje heslo, ale můžete jej vypnout

Spoléhají na to, že adresu konference se složitým numerickým kódem znají jen vyvolení. Jak ale ukazují praktiky zoombombingu, zdaleka to nestačí.

Vstoupit do diskuze (15)

Určitě si přečtěte

Články odjinud