Фан-техника | 16:59 / 16.04.2020
27156
11 дақиқада ўқилади

Zoom — пандемия даврининг асосий иловаси шуҳратига хавфсизлик муаммоси соя солмоқда

Фото: ТАСС / Imago images / Fotoarena

 

Коронавирус пандемияси шароитида Zoom бутун жаҳон афкор оммасининг эътиборига тушди — аввал бу сервис воситасида онлайн ўқишга ўтган мактаб ўқувчилари ва талабалар, сўнгра ҳамма-ҳамманинг.

Платформа яқинлар билан тезда ва арзон мулоқот қилиш, онлайн дарслар ўтиш, виртуал кечалар, ҳаттоки тўйлар ўтказиш имконини беради.

Бироқ, унинг машҳурлиги ортидан жиддий муаммоларга ҳам эга экани ойдинлашди. Корпоратив мижозлар учун маҳсулот тайёрлаган хитойликларнинг бу стартапи фойдаланувчиларнинг жуда катта қисмига тайёр эмаслиги ойдинлашди. Ёвуз ниятли кимсалар конференцияни уятсиз видеолар билан бўлиб қўйишмоқда, Facebook ва Даркнетга юз минглаб фойдаланувчиларнинг шахсий маълумотлари сизиб чиқмоқда, қўнғироқларнинг ёзуви эса очиқ фойдаланишга чиқариб юборилмоқда.

Мутахассислар борган сари платформанинг янгидан-янги ожиз томонларини топишмоқда.

Zoom ОАВ ва киберхавфсизлик мутахассисларнинг танқидига, АҚШ ФҚБдан сўровларга, фойдаланувчилар ва акциядорларнинг судга даъво аризаларига ботиб қолди. Энди илованинг қулайлиги ва фойдаланувчиларнинг шахсий маълумотларни сақлаш ўртасида мувозанатни топиш устида иш олиб бораётган компания ўз муваффақиятининг қурбонига айланиши мумкин.

Ярим миллионга сотилаётган маълумотлар

Vice ўзининг бир неча манбаларига таяниб ёзишича, ҳакерлар Zoom’да фойдаланувчилар ортидан жосуслик қилиш мумкин иккита жиддий ожиз нуқта топишган. Ҳали ҳимоя механизми ўйлаб топилмаган ожиз нуқталар Windows’да? ҳам MacOS’да ҳам бор экан.

Vice ҳамсуҳбатларининг айтишича, Windows’даги нуқсоннинг нархи – 500 минг доллар. Бошқа манба икки баробар пастроқ нарх айтган.

Windows’даги заиф нуқта «саноат шпионажи учун идеал қуролдир», деган Vice’нинг киберхавфсизлик соҳасидан хабардор ҳамсуҳбати. Ундан фойдаланиб, ҳакер кодни киритиши ва иловага рухсат олиши мумкин — RCE-заифлик (remote code execution — кодни масофадан туриб бажариш) билан боғлиқ. MacOS учун эксплойт бошқача ва RCE билан боғлиқмас.

Zoom компаниясидагилар Vice’га бу маълумот тасдиқланмаганини айтишган.

«Zoom фойдаланувчилар хавфсизлигига жиддий эътибор қаратади. Биз бу миш-мишлардан хабар топганимизда хавфсизлик бўйича нуфузли компания билан суткалаб бирга ишладик. Бугунга келиб, бу таъкидларни тасдиқловчи бирорта исбот топа олмадик», — дейилади компания баёнотида.

Zoom – пандемиягача бўлган даврда

Zoom’ни АҚШ фуқаролигига эга хитойлик миллиардер Эрик Юан 2011 йилда ишлаб чиққан. Бу вақтда у Хитойда талаба эди. Wikipedia маълумотига кўра, студент Эрик ёқтирган қизи билан кўришиш учун 10 соатлаб поездда юришига тўғри келган ва шу боисдан унинг «учратиш»нинг осонроқ йўлларини излашга тушиши ортидан Zoom пайдо бўлган.

Аввалига Zoom Video Communications корпоратив мижозлар билан шартнома имзолаб, иш берувчиларга масофадан туриб суҳбат уюштириш, ходимларга эса ўзаро мулоқот қилиш имконини берган. 2014 йилда фойдаланувчилар сони 10 миллионгача ўсган, сервисга 20 минг ташкилот обуна бўлган.

2019 йилнинг апрелида Zoom илк марта акцияларини очиқ савдога чиқарган, шунда компания 16 миллиард долларга баҳоланганди.

Zoom’нинг 2017 йилдаги интерфейси

Zoom`да хавфсизлик бўйича муаммолар у ҳали жаҳон миқёсида машҳур бўлиб улгурмасидан аввал ҳам бор эди. 2019 йилнинг июлида тадқиқотчи Жонатан Лейтшух исталган сайт macOS’нинг фаоллаштирилган веб камерасига эга фойдаланувчисини Zoom қўнғироғига қўша олиш имкониятига эгалигини аниқлаган. Агар мижоз иловани macOS’дан ўчирмоқчи бўлса, у яширин веб-сервердан фойдаланиб, фон режимида қайта ўрнатилган. Вазиятни ўнглаш ва фойдаланувчиларни ҳимоялаш учун ишга Apple аралашган ва Zoom хатони тўғирлаган.

2019 йилнинг охирида киберхавфсизлик бўйича экспертлар конференция кодлари (Meeting ID) шифрлаш билан ҳимояланмаганини топишди. Cequence Security стартапи тадқиқотчилари кодларни териб, қўнғироқларга тўсиқсиз улана олувчи ботни яратишди. API сервислар орқали улар жараённи автоматлаштиришган. Zoom’дагилар ожиз нуқтадан фойдаланиш ҳолатлари бўлганидан «бехабар» эканликларини айтиб, сервиснинг ботлар ҳужумидан ҳимоя қилишни яхшилашга ваъда беришган.

Пандемия чоғида барча учун видеочат

2020 йил марта ойи бошларида ЖССТ жаҳонда COVID-19 пандемияси ҳукм сураётганини эълон қилди. Бир қатор давлатларда карантин эълон қилинди, бошқаларида ўз-ўзини яккалаш ҳамда ижтимоий масофаланиш режимига амал қилишни тавсия этишди. Коронавирус фонида ўқиш, иш ва ижтимоий алоқалар мажбурий равишда онлайнга кўчди. Кўпчиликнинг танлови Zoom бўлди.

Бир ой ичида Zoom.us трафиги 535 фоизга ўсди, iOS учун иловаси эса App Store’да энг кўп юкланаётган иловага айланди. Пендемия бошидан бери компания акциялари икки баробар қимматлади.

2020 йил мартида Zoom’нинг кунлик аудиторияси 200 миллион киши бўлган. Бу – 2019 йил декабридан 20 баробар кўп дегани.

Трафикнинг бундай ошишига сабаб – Юан сервисдан фойдаланишни мактаблар ва университетлар учун текин қилиб қўйди, ўқувчилар учун қўнғироқ лимити ҳам бекор қилинди. Минглаб таълим муассасалари Zoom’да онлайн дарслар ўта бошлашди.

Ўқувчилар эса сервисдан нафақат дарсда, танаффус, учрашув ва кечаларда ҳам фойдаланишарди. Талабалар энди ҳамма «Zoom университети»га бораётгани, ўқув даргоҳи битта бўлса ҳам, ўқиш учун учун тўланадиган пул турлича эканини айтиб, ҳазиллаша бошлашди. Талабалар сервисни мемга айлантиришди ва «Z авлод» дейилганда Z ҳарфи нимани билдиришини ҳамма тушуниб олди, дейишмоқда.

Коллеж-университетлар ва коронавирус инқирози

Нега Skype, Google Hangouts, FaceTime ёки Microsoft Teams эмас – айнан Zoom?

The Verge’нинг тушунтиришича, бунга сабаб – сервисдан фойдаланиш оддийлиги, кўп функцияларга эга текин режага эга экани.

Базавий версиясида 40 дақиқалик видеоконцеренциялар бор, унга 50 тагача киши қўшилиши мумкин. Фақат конференция хонасини яратган одам рўйхатдан ўтиши керак, қолганлар ҳосил қилинган ҳавола бўйича конференциянинг тасодифий генерация қилинган 9-11 хоналик рақамдан иборат кодини киритиб ўтишади.

Учрашувларни режалаштириш, қатнашувчиларни олдиндан огоҳлантириш мумкин.

Zoom интерфейси рақобатчилариникига қараганда анча интуитив. Skype’да узун ва мураккаб парол киритиладиган шундай функция бор, лекин ундан кўпчилик бехабар. FaceTime учун AppleID керак. Google Hangouts’да барча иштирокчилар рўйхатдан ўтиши керак. Zoom’да эса ҳаттоки профилни созлаш, фотосурат юклаш ёки фойдаланувчиларни қўлда киритиб, ахтариш ҳам шарт эмас.

The Verge муҳаррири Том Уоррен твиттерида шундай деб ёзади: Microsoft 2011 йилда – Zoom’га асос солинган пайтда Skype’ни 8,5 миллион долларга сотиб олган. Агар коронавирус пандемияси 2011 йили рўй берганида видеоалоқа учун барча Skype’дан фойдаланган бўлар эди. Энди барча Zoom’дан фойдаланмоқда, чунки Microsoft Skype’дан ёлчитиб фойдаланмасликка қарийб ўн йилини сарфлаб бўлган.

Корпоратив сегментда ҳамма аллақачон Zoom’дан фойдаланиб келаётган эди, Skype каби «эски техологиялар»ни рад этувчи талаба ва ўқувчиларга сервис жуда «обрўли бренд» бўлиб кўринмоқда. Уларнинг ортидан платформа яқинлари билан осон ва текин алоқа қилиб туришни истаётган бошқа фойдаланувчиларни ҳам жалб қилди.

«Барчамиз Zoom`да яшаяпмиз», — деб ёзди The New York Times.

Биринчи жиддий муаммо — зумбомбинг

Zoom’дан фойдаланишнинг соддалиги зумбомбинг (zoombombing)ни келтириб чиқармоқда. Қатнашувчилар ўзлари бехабар ҳолда бегона конференцияларга қўшилиб қолиши шундай аталмоқда. Чунки қоида тариқасида барча конференциялар яширин эмас. Трансляцияни тузган фойдаланувчи рухсатисиз қатнашувчилардан кимдир бегонага кодни узатиб юбориши ва у ҳам уланиб олиши мумкин. Конференцияни махфий қилиш учун ё пароль ўрнатиш керак, ёки кутиш хонасини яратиб, кираётган меҳмонларни қўлда тасдиқлаб ёки инкор этиб туриш керак.

ОАВдаги танқидлар, хавфсизлик масаласига ҳукумат ҳам бефарқ қарамаётгани ва судга даъво аризалари алал-оқибат компанияни глобал чоралар кўришга мажбур қилди.

Компания махфийлик сиёсатини қатъийлаштирди. 5 апрелдан бошлаб Zoom’да ҳар қандай конференцияга қўшилиш учун нафақат конференция коди, шунингдек, унга паролни ҳам сўрайди. Чат тузган киши кутиш хонасида пайдо бўлган янги қатнашувчиларни ё маъқуллайди, ё рад этади. Компания конференциянинг бош экранидан кодни ҳам яширди — энди қўнғироқдан скриншот қилинса, у кўринмайди.

Zoom’нинг келажаги

ОАВ ўзи аудиториясига Zoom’дан фойдаланишни бас қилишни тавсия этиб, муқобиллар, масалан, FaceTime, Signal, Microsoft Teams, Skype, Jitsi ёки Houseparty’ни таклиф этмоқда.

Видеоқўнғироқлар сервислари ҳам фойдаланувчиларга пешвоз чиқмоқда — қўнғироқ иштирокчилари сонини оширмоқда, конференцияга қайддан ўтмасдан қўшилиш имконини яратишмоқда.

Лекин хавфсизлик билан боғлиқ муаммоларга қарамасдан, фойдаланувчилар Zoom’га содиқ қолишяпти. Соддагина интерфейс аввал бошдан платформага жуда кўпчиликни жалб қилган ва ҳамон ушлаб турибди. Энди ҳаммаси компания раҳбариятига боғлиқ, улар қулайлик ва хавфсизлик ўртасида мувозанатни сақлаш борасида мураккаб қарорлар чиқариши керак.

Zoom аллақачон конференцияга қўшилишни мураккаблаштиришди, зумбомбингга дучор бўлмаслик учун нималар қилиш кераклиги ҳақида узун йўриқномалар чиқаришди ва кўплаб нуқсонларни тўғирлашди. Энди гап фойдаланувчиларда: улар текин сервисдан фойдаланаман, дея ўзларнинг шахсий маълумотларини қурбон қилишга тайёрми?

Мавзуга оид