читы на зум конференция
Как взломать и обойти 40-минутный лимит Zoom
Базирующаяся в США платформа удаленной конференц-связи Zoom за последний месяц стала спасением для тысяч организаций. Принудительные меры блокировки будут действовать в течение значительного времени, поэтому даже невольные пользователи медленно ломают голову над тем, чтобы назвать место виртуальной встречи своим офисным конференц-залом.
К счастью, платформа не использовала полученное внимание и по-прежнему предлагает большинство своих функций для основных пользователей. Получение премиальной подписки, конечно, открывает много новых возможностей, но не все организации способны получить премиальную лицензию; особенно с учетом того, что такая пандемия ужесточается.
Растущая база пользователей Zoom по-прежнему заполнена большим количеством пользователей с бесплатными лицензиями, и этот раздел предназначен специально для тех, кому трудно приспособиться к новой среде. Итак, без лишних слов, приступим к делу.
СВЯЗАННЫЕ С: Как работать с комнатами обсуждения Zoom
Что такое 40-минутное ограничение?
Как уже упоминалось, Zoom предлагает многие из своих знаменитых функций для бесплатных пользователей, но существует строгое ограничение, когда речь идет о Zoom Meetings — конференциях, которые вы проводите в Zoom. Если у вас есть бесплатная лицензия, вам придется проводить встречи менее 40 минут. Когда таймер истекает, собрание автоматически завершается, и все участники выбрасываются из комнаты собрания.
Платные пользователи, с другой стороны, не связаны этим ограничением. Их встречи могут длиться до 24 часов с участием до 1000 человек.
Однако следует отметить, что Zoom не накладывает ограничений на количество встреч, которые вам разрешено проводить.
Что делать после 40-минутной остановки?
По словам Zoom, у вас есть два варианта, когда закончатся ваши драгоценные 40 минут.
Обходной путь: неофициальный способ
Однако, если вы хотите ехать по менее загруженной дороге, есть неофициальный способ обойти 40-минутную отсечку. Честно говоря, это не самое изощренное решение, но оно работает так, как задумано.
Уловка не работает для мгновенных встреч. Итак, вам нужно запланировать свои встречи, чтобы эта работа работала.
Часть 1
Нажмите на настольный клиент Zoom и войдите в систему, используя свои бесплатные учетные данные. Когда вы попадете на панель инструментов, нажмите «Расписание». После того, как появятся варианты Scheule, изучите детали и обязательно установите Календарь на Другие а не Google Calendar или Outlook / iCal. Кроме того, не используйте свой личный идентификатор встречи и не создавайте случайный идентификатор встречи Zoom. Когда вас устраивают варианты встречи, нажмите «Расписание». На следующем экране отобразится вся информация о только что запланированной встрече. Скопируйте идентификатор встречи и пароль — ссылку для приглашения — и отправьте ее участникам.
Часть 2
Когда приближается ваш 40-минутный крайний срок, на вашем экране появится таймер, сообщающий о неизбежном отключении. Теперь вам, ведущему, нужно будет покинуть встречу — нет Конец для всех — и снова попросите других участников присоединиться, используя отправленное вами ранее приглашение. Если все сделано точно, уловка даст вам еще 40 минут.
Повторите процесс, чтобы получить столько бесплатных пропусков, сколько вам нужно.
Следует отметить, что этот исключительно удобный совет доступен только для пользователей настольных клиентов Windows и Mac. К сожалению, пользователи веб- и мобильных устройств Zoom остались в стороне.
Специальное предложение для школ
Вспышка COVID-19 заставила мир замереть. Учитывая, что социальное дистанцирование — единственный эффективный механизм выживания, все организации пытались вести свои повседневные дела из домашнего офиса. Образовательным учреждениям пришлось хуже, чем другим, поскольку у большинства из этих организаций нет денежного решения, чтобы позволить себе премиальные лицензии. Итак, чтобы помочь нуждающимся, Zoom пропустил 40-минутный лимит для всех школ, пострадавших от коронавируса.
Если ваша школа изо всех сил пытается привлечь учащихся в эти трудные времена, обязательно проверьте свою школу. Щелкните по этой ссылке чтобы начать процесс проверки сейчас. Однако, прежде чем продолжить, убедитесь, что в вашем учебном заведении есть зарегистрированный домен, поскольку другие домены, такие как Gmail, Yahoo или Outlook, не подходят.
40 минут прошло, но все еще на встрече?
Мы уже говорили о печально известном 40-минутном отключении Zoom и обсудили эффективный способ обойти проблему. Однако есть также особый случай, когда вы останетесь на встрече даже после того, как превысите ужасную 40-минутную квоту.
Это уникальное явление происходит только тогда, когда у вас есть базовая бесплатная лицензия Zoom, но вы планируете — и начинаете встречу — из платной Zoom Room из той же учетной записи. В этом случае таймер не срабатывает, и вы можете оставаться на собрании независимо от количества участников, присутствующих на собрании.
Если вы используете пробную версию Zoom Room, срок действия собрания все равно истечет через 40 минут после его начала.
Альтернатива: Google Meet
Для тех, кто не знает, Google Meet — это платформа видеоконференцсвязи премиум-класса от Google, созданная специально для работающих профессионалов и крупных организаций. В то время как Google Duo обслуживает в основном друзей и семью, Meet — ранее известный как Hangouts Meet — представляет множество функций, которые необходимы в типичной рабочей среде. От удобного планирования встреч до надежных опций совместного использования экрана — Google Meet имеет большое значение для воссоздания нормальности вашего виртуального сеанса, и мы все очень благодарны за это.
До недавнего времени Google Meet использовался только для платных пользователей G-Suite. Однако, оценивая кризис, в котором сейчас находится мир, Google решил сделать Google Meet доступным даже для бесплатных пользователей. Все, что вам нужно, это учетная запись Gmail, и вы можете принять до 99 человек за один звонок. До конца сентября, вам не придется беспокоиться о продолжительности звонков. После этого бесплатные пользователи смогут совершать 60-минутные звонки — на 20 минут больше, чем у бесплатной учетной записи Zoom.
XDR: обнаружение сложных угроз на конечных точках
Бизнес сталкивается с отсутствием эффективной защиты от киберугроз. При этом ИБ-департаментам не хватает финансирования, а свободных кадров на рынке практически нет. Чтобы защитить свой бизнес в этой ситуации необходимо внедрять решения расширенного обнаружения и реагирования на угрозы (XDR).
Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об основных критериях для выбора решения XDR.
Как сделать удаленные подключения безопасными?
Многие компании используют VPN для соединения с корпоративной сетью. Но такой сценарий может полностью уничтожить защитные инструменты организации. Даже когда пандемия закончится, руководителям ИБ-отделов понадобится более эффективная стратегия поддержки удаленной работы.
Зарегистрируйтесь, чтобы скачать электронную книгу и прочитать, как создать решение для безопасного удаленного подключения.
Как небольшие компании справляются с профессиональными киберпреступниками
Зарегистрируйтесь, чтобы скачать электронную книгу о том, как получить полный контроль над ИБ-операциями внутри компании.
Средства для взлома популярного на карантине Zoom продаются за умопомрачительные суммы
Деньги вперед
Речь идет об эксплойте, который позволяет получить доступ к клиенту Zoom под Windows, но потребует комбинирования с другим багом, чтобы получить доступ ко всей системе, указывает Motherboard. Более того, для его эксплуатации необходимо, чтобы атакующий был на связи со своей жертвой — например, участвовал в той же конференции.
Эксплойт под macOS запускать произвольный код в атакованной системе не позволяет. Им сложнее пользоваться, угрозу он представляет куда меньшую, — утверждают источники.
Проблемы Zoom множатся
В Zoom заявили, что чрезвычайно серьезно относятся к безопасности и что пока не видели никаких доказательств тому, что эксплойты реально существуют и кем-либо использовались.
«Существование эксплойтов можно будет считать доказанным не раньше, чем будут отмечены реальные случаи их применения, но поверить в их существование довольно легко, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Из-за пандемии коронавируса случился взрывной рост популярность Zoom, а соответственно, и рост внимания со стороны хакеров и экспертов по информбезопасности. Естественным образом обнаруживаются и уязвимости: с начала апреля 2020 г. количество известных проблем растет по экспоненте. Так что наличие RCE-уязвимости в клиенте совершенно не выглядит фантастикой».
Как обойти ограничение Zoom в 40 минут
Все базовые функции платформы Зум полностью бесплатные, в частности, это относится к организации и подключению к видеоконференции. Но по этой причине их использование невозможно в полном объеме, если не перейти на продвинутый тариф с ежемесячной оплатой. В Zoom ограничение 40 минут действует для групповых конференций от трех участников. Существует ли способ, как его обойти? Узнаете из нашей статьи.
Решение
Самый действенный способ заключается в переходе с базового аккаунта на платный. То есть подключение любого тарифного плана. Оптимально подходит «Профессиональный», стоимость которого 14.99$ в месяц. Подробности по его приобретению изложены в данном материале.
Хоть способ самый действенный, он подходит далеко не всем. Обычным пользователям не за чем платить какие-либо деньги за общение в видеоконференциях. И как в таком случае поступить им?
Проще всего при достижении временного лимита прекращать текущую встречу и запускать новую. Разумеется, каждый раз придется ждать подключения других участников. Но если рассылать им ссылки с приглашениями, то все станет значительно проще.
Существует ли еще какой-нибудь вариант, как сделать конференцию в Зуме больше 40 минут? Народные умельцы нашли одну «лазейку», которая подходит к компьютерной версии программы для Windows и Mac OS. В случае использования веб-сайта или мобильного приложения она не сработает. Ознакомьтесь с описанным руководством целиком, и только потом приступайте к действию.
В результате таймер сбросится, и вы тоже сможете переподключиться. Повторяйте это каждый раз, когда лимит будет почти исчерпан.
Дополнительная информация
Описанная инструкция обхода – довольно запутанная, так что подойдет не для всех. Так что хотелось бы обозначить еще один важный момент. Zoom – не единственная программа, в которой может собираться несколько человек и общаться. У нее есть большое количество альтернатив, сильно схожих по возможностям. И в них уже отсутствует ограничение на максимальную длительность онлайн-встречи.
Мы подготовили материал с наиболее удачными аналогами платформы Зум, доступный по этой ссылке. Возможно, среди описанных программ вы найдете именно ту, которая подходит для вас.
Баг в Zoom позволял подобрать пароль к чужой конференции
Xakep #270. Инструменты криминалиста
Специалист компании SearchPilot, Том Энтони (Tom Anthony) обнаружил, что пароль от конференций Zoom можно было подобрать при помощи обычного брутфорса.
Дело в том, что начиная с апреля текущего года Zoom защищает все конференции обязательным шестизначным числовым паролем. Такую меру защиты компания ввела из-за так называемого Zoom-Bombing’а. До ввода этой меры третьи лица частенько присоединялись к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или просто пошутить. Зачастую потом записи таких пранков появлялись и распространялись в социальных сетях.
Энтони объясняет, что он обнаружил CSRF-баг, отсутствие каких-либо ограничений на количество попыток ввода пароля, а также на скорость перебора. В итоге оказалось, что нужно лишь перебрать миллиона возможных комбинаций (от 000000 до 999999). При помощи 4-5 облачных серверов это можно было сделать за считанные минуты через веб-клиент (и адрес формата https://zoom.us/j/MEETING_ID), непрерывно отправляя HTTP-запросы.
Также специалист пишет, что такую же процедуру можно было повторить и для запланированных конференций, для которых имеется возможность поменять пароль по умолчанию на более длинный буквенно-цифровой вариант. В данном случае можно было быстро перебрать 10 000 000 самых популярных паролей.
Исследователь обнаружил проблему еще в 1 апреля 2020 года, вскоре после ввода парольной защиты в строй. Он уведомил об ошибке инженеров Zoom, приложив к своему отчету PoC-эксплоит написанный на Python. Инструмент специалиста мог взломать шестизначный пароль примерно за 25 минут с одного компьютера. Если же подключить к делу большее количество машин или мощности облачных серверов, время взлома сокращалось до пары минут. Для исправления бага разработчики были вынуждены временно отключить веб-клиент Zoom, и уже 9 апреля устранили проблему.
Уязвимость софта для телеконференций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру
Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное действие. Сделать это можно даже в том случае, если Zoom уже был удален с компьютера.
В чем проблема
Исследователь Джонатан Лейчу (Jonathan Leitschuh) опубликовал детали критической уязвимости CVE-2019-13450. В комбинации с другой ошибкой безопасности, она может позволить злоумышленникам удаленно шпионить за пользователями компьютеров Mac.
Лейчу сообщил команде Zoom об уязвимости за более чем 90 дней до публикации информации о ней, но закрывающий ошибку патч был выпущен после публикации в блоге исследователя. Таким образом под угрозой находятся все 4 млн пользователей проекта. Zoom – одно из самых популярных облачных приложений для проведения теле- и аудио-конференций, вебинаров и обучающих мероприятий.
Уязвимость заключается в некорректной работе функции click-to-join – она создана для автоматической активации установленного на компьютере клиента Zoom. С ее помощью участники могут мгновенно подключаться к конференции с помощью браузера. Для этого нужно лишь кликнуть на ссылку-приглашение вида zoom.us/j/492468757.
Исследователь обнаружил, что для активации этой функции Zoom запускает на компьютере локальный веб-сервер, работающий на порту 19421, который «небезопасным способом» получает команды через HTTPS GET-параметры, и взаимодействовать с ним может любой сайт, открытый в браузере.
Для эксплуатации ошибки безопасности атакующему нужно создать ссылку-приглашение в Zoom и встроить ее во внешний сайт в виде тега к изображеию или через iFrame. Затем нужно убедить жертву зайти на сайт, чтобы получить возможность активировать веб-камеру на ее компьютере Mac.
Помимо подглядывания за жертвой, уязвимость можно использовать для осуществления DoS-атаки на целевой компьютер. Для этого нужно отправить большое количество GET-запросов к локальному веб-серверу.
Как защититься
Простое удаление Zoom не помогает защититься от описанной проблемы. По данным исследователя, функция click-to-join поддерживает команду для автоматической переустановки Zoom без разрешения со стороны пользователя.
По словам Лейчу, специалисты Zoom выпустили патч, который запрещает атакующим активировать видео-камеру на устройстве жертвы. При этом возможность тайно подключать пользователей к онлайн-конференции с помощью зловредных Zoom-ссылок по-прежнему остается.
Сегодня многие сервисы работают на основе алгоритмов анализа данных. Как показывает практика, риски скрываются не только в уязвимой функциональности, но и в самих данных, на основе которых система принимает решения.
Вместе с появлением новых алгоритмов машинного обучения расширилась и область их применения. Уже несколько лет машинное обучение в сфере информационной безопасности используется не только для обнаружения атак, но и для их проведения.
Исследователи активно изучают вредоносное машинное обучение (adversarial attack). Однако в попытке обогнать злоумышленников и предсказать их следующий шаг они забывают о возможностях, которыми атакующие пользуются сейчас: кража модели, уязвимости во фреймворке, подмена данных для обучения, логические уязвимости.
В четверг, 11 июля в 14:00 эксперты Positive Technologies Арсений Реутов и Александра Мурзина проведут вебинар на тему «Риски безопасности применения техник искусственного интеллекта». Речь пойдет о рисках применения техник машинного обучения в современных приложениях.
Участие в вебинаре бесплатное, необходима регистрация.