Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
O Zoom procura ser mais seguro graças à compra do KeybaseGonzalo Álvarez Marañón 22 junio, 2020 O confinamento decretado como uma medida excepcional para interromper a expansão do COVID-19 forçou milhões de pessoas em empresas, escolas e casas a interagir virtualmente. Impelidos para usar aplicativos de vídeo chamada em grupo no trabalho, nas aulas ou simplesmente em contato com familiares e amigos, os usuários enfrentaram o difícil desafio de escolher qual aplicativo usar. Normalmente, o critério predominante ao optar por um ou outro é popularidade ou gratuidade, sem pensar duas vezes em segurança ou privacidade. Afinal, se é gratuito e «todo mundo usa», por que pensar mais? Para melhor ou para pior, o aplicativo mais favorecido pelo público acabou sendo o Zoom . Semanas após a quarentena começou, ele permanece no topo da lista dos gratuitos mais baixados aplicativos tanto para i O S e Android , com uma figura fabulosa de 300 milhões de usuários diários. Como é sabido, quanto mais popular um programa ou aplicativo se torna, mais atrai cibercriminosos . Talvez o enorme sucesso não tenha sido imaginado pela própria empresa Zoom ou talvez eles não levassem a segurança a sério desde o início, mas a verdade é que eles chegaram à formatura com o dever de casa desfeito. Os três grandes golpes para aumentar a segurança Entre os numerosos problemas e escândalos de segurança e privacidade, três se destacaram em particular: Zoombombing : Este ataque consiste em invadir uma sala Zoom e compartilhar a tela com imagens de extrema violência, pornografia ou qualquer outra forma de trollagem. O zoombombing tornou-se popular nas escolas e universidades, o que obrigou a suspender as aulas. Muitas instituições educacionais até baniram o uso do Zoom em favor de outros aplicativos. O Zoom aprendeu a lição difícil e implementou várias medidas para combater o zoombombing: senhas obrigatórias, sessões de bloqueio, expulsão de participantes, operação restrita da tela e bate-papo compartilhados, ícone de segurança mais visível etc. Ele também publicou um guia de boas práticas para proteger salas de aula virtuais .Compartilhando dados com o Facebook : como um milhão de outros aplicativos , o Zoom no iOS usa um SDK do Facebook para permitir que seus usuários façam login usando sua conta do Facebook, conhecida como login social. Esse SDK coleta alguns dados sobre os usuários, como modelo do dispositivo, versão do aplicativo ou operadora de telefonia, e os envia para os servidores do Facebook, mesmo que eles não tenham uma conta no Facebook e, portanto, não o usam para fazer login. . Não se sabe o que o Facebook faz com essas informações, mas em resposta a inúmeras reclamações, o Zoom removeu completamente o SDK do Facebook .Declarações falsas sobre criptografia de ponta a ponta segura : o Zoom afirmou em seu site usar criptografia de ponta a ponta em suas conexões, mas verificou-se que eles estavam realmente usando a criptografia TLS para criptografar as comunicações entre clientes e servidores , o que implica que os servidores Zoom tenham acesso a todas as vídeo chamadas. A empresa não teve escolha senão recuar: “Tendo em vista o interesse recente em nossas práticas de criptografia, para começar, queremos pedir desculpas pela confusão que causamos ao implicar erroneamente que as reuniões do Zoom eram capazes de usar criptografia. de ponta a ponta «. Plano de segurança de 90 dias No espírito de recuperar sua imagem e sua base de usuários, em 1º de abril, o Zoom surpreendeu com um plano de segurança de 90 dias. Como parte desse plano, em 8 de abril, o Zoom criou um comitê de segurança composto por alguns CISOs muito importantes. No mesmo dia, ele contratou o conhecido especialista em segurança cibernética de Stanford , Alex Stamos , ex-CISO do Facebook, como consultor de segurança para revisar sua plataforma. Em 27 de abril, lançou o Zoom 5.0 , com suporte para criptografia AES-GCM com chaves de 256 bits . Mas (e esse é um grande «mas») as chaves de criptografia para cada reunião são geradas pelos servidores Zoom. Em outras palavras, um cibercriminoso não pode espionar uma conversa entre dois usuários, mas Zoom pode, se ele quiser. Por outro lado, outros serviços, como Facetime , Signal ou Whats A pp , usam criptografia de ponta a ponta verdadeira: ninguém, exceto os dois usuários nas duas extremidades da comunicação, pode ver seu conteúdo porque eles mesmos geram as chaves de criptografia. Consequentemente, nem os cibercriminosos nem os servidores da empresa prestadora de serviços podem espionar as conversas. Sem criptografia de ponta a ponta, o Zoom poderia ser forçado a entregar os registros de reuniões a um governo em resposta a solicitações legais. Esses pedidos ocorrem o tempo todo em todo o mundo . De fato, empresas como Apple, Google, Facebook e Microsoft publicam relatórios de transparência detalhando quantas solicitações de dados de usuários recebem de quais países e quantas delas atendem. No entanto, o Zoom não publica esses relatórios de transparência. A criptografia de ponta a ponta do Keybase que o Zoom procura para suas vídeo chamadas No papel, a criptografia de ponta a ponta parece direta: os clientes geram chaves de sessão efêmeras e as trocam criptografando-as com a chave pública do destinatário . Infelizmente, gerar e gerenciar todas essas chaves para fornecer criptografia de ponta a ponta escalável em vídeo chamadas de alta qualidade com dezenas de participantes e mais de 300 milhões de usuários se conectando aos seus servidores diariamente é um formidável desafio tecnológico. Então o Zoom foi para o Keybase. Em 7 de maio, ele comprou a empresa de courier e transferiu arquivos com proteção criptográfica de ponta a ponta , Keybase.io , por um valor não revelado. Com sua ajuda, o Zoom espera oferecer um modo de reunião criptografado de ponta a ponta. Obviamente, apenas para contas pagas. Além disso, como declaram em sua declaração: Eles continuarão a colaborar com os usuários para melhorar os mecanismos de geração de relatórios disponíveis para os hosts de reunião para relatar participantes indesejados e problemáticos.O Zoom não monitora ou monitora proativamente o conteúdo da reunião, mas sua equipe de segurança continua a usar ferramentas automatizadas para procurar evidências de usuários abusivos com base em outros dados disponíveis.O Zoom não criou e não criará um mecanismo para decifrar reuniões ao vivo para fins de interceptação legal.Eles também não têm como inserir seus funcionários ou outras pessoas em reuniões sem que sejam refletidos na lista de participantes. Eles não criarão nenhum backdoor criptográfico para permitir a vigilância secreta das reuniões. Por fim, o Zoom está comprometido em permanecer transparente e aberto à medida que você cria sua solução de criptografia de ponta a ponta . Na verdade, ele planeja lançar um rascunho detalhado do design de criptografia na sexta-feira, 22 de maio. Como é o Zoom após a compra do Keybase A reação de Zoom foi admirável. Longe de negar críticas ou processar os investigadores para descobrir suas vulnerabilidades, o Zoom respondeu com um ambicioso plano de segurança de 90 dias cujo Santo Graal será a criptografia de ponta a ponta fornecida pela Keybase. O Zoom tomou as decisões erradas de segurança no passado, mas parece claramente determinado a se tornar o aplicativo de videochamada mais poderoso e seguro do mercado. Está demonstrando como, com autocrítica e transparência, é possível emergir mais forte de uma grave crise de segurança Gonzalo Álvarez@gonalvmar Criptografia de coronavírusMemória mal gerenciada III
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...