O Zoom procura ser mais seguro graças à compra do Keybase

Gonzalo Álvarez Marañón    22 junio, 2020
O Zoom procura ser mais seguro graças à compra do Keybase

O confinamento decretado como uma medida excepcional para interromper a expansão do COVID-19 forçou milhões de pessoas em empresas, escolas e casas a interagir virtualmente. Impelidos para usar aplicativos de vídeo chamada em grupo no trabalho, nas aulas ou simplesmente em contato com familiares e amigos, os usuários enfrentaram o difícil desafio de escolher qual aplicativo usar.

Normalmente, o critério predominante ao optar por um ou outro é popularidade ou gratuidade, sem pensar duas vezes em segurança ou privacidade. Afinal, se é gratuito e «todo mundo usa», por que pensar mais? Para melhor ou para pior, aplicativo mais favorecido pelo público acabou sendo o Zoom . Semanas após a quarentena começou, ele permanece no topo da lista dos gratuitos mais baixados aplicativos tanto para S e Android , com uma figura fabulosa de 300 milhões de usuários diários.

Como é sabido, quanto mais popular um programa ou aplicativo se torna, mais atrai cibercriminosos . Talvez o enorme sucesso não tenha sido imaginado pela própria empresa Zoom ou talvez eles não levassem a segurança a sério desde o início, mas a verdade é que eles chegaram à formatura com o dever de casa desfeito.

Os três grandes golpes para aumentar a segurança

Entre os numerosos problemas e escândalos de segurança e privacidade, três se destacaram em particular:

  1. Zoombombing : Este ataque consiste em invadir uma sala Zoom e compartilhar a tela com imagens de extrema violência, pornografia ou qualquer outra forma de trollagem. O zoombombing tornou-se popular nas escolas e universidades, o que obrigou a suspender as aulas. Muitas instituições educacionais até baniram o uso do Zoom em favor de outros aplicativos. O Zoom aprendeu a lição difícil e implementou várias medidas para combater o zoombombing: senhas obrigatórias, sessões de bloqueio, expulsão de participantes, operação restrita da tela e bate-papo compartilhados, ícone de segurança mais visível etc. Ele também publicou um guia de boas práticas para proteger salas de aula virtuais .
  2. Compartilhando dados com o Facebook : como um milhão de outros aplicativos , o Zoom no iOS usa um SDK do Facebook para permitir que seus usuários façam login usando sua conta do Facebook, conhecida como login social. Esse SDK coleta alguns dados sobre os usuários, como modelo do dispositivo, versão do aplicativo ou operadora de telefonia, e os envia para os servidores do Facebook, mesmo que eles não tenham uma conta no Facebook e, portanto, não o usam para fazer login. . Não se sabe o que o Facebook faz com essas informações, mas em resposta a inúmeras reclamações, o Zoom removeu completamente o SDK do Facebook .
  3. Declarações falsas sobre criptografia de ponta a ponta segura : o Zoom afirmou em seu site usar criptografia de ponta a ponta em suas conexões, mas verificou-se que eles estavam realmente usando a criptografia TLS para criptografar as comunicações entre clientes e servidores , o que implica que os servidores Zoom tenham acesso a todas as vídeo chamadas. A empresa não teve escolha senão recuar: “Tendo em vista o interesse recente em nossas práticas de criptografia, para começar, queremos pedir desculpas pela confusão que causamos ao implicar erroneamente que as reuniões do Zoom eram capazes de usar criptografia. de ponta a ponta «.

Plano de segurança de 90 dias

No espírito de recuperar sua imagem e sua base de usuários, em 1º de abril, o Zoom surpreendeu com um plano de segurança de 90 dias. Como parte desse plano, em 8 de abril, o Zoom criou um comitê de segurança composto por alguns CISOs muito importantes. No mesmo dia, ele contratou o conhecido especialista em segurança cibernética de Stanford Alex Stamos , ex-CISO do Facebook, como consultor de segurança para revisar sua plataforma.

Em 27 de abril, lançou o Zoom 5.0 , com suporte para criptografia AES-GCM com chaves de 256 bits . Mas (e esse é um grande «mas») as chaves de criptografia para cada reunião são geradas pelos servidores Zoom. Em outras palavras, um cibercriminoso não pode espionar uma conversa entre dois usuários, mas Zoom pode, se ele quiser.

Por outro lado, outros serviços, como Facetime , Signal ou Whats pp , usam criptografia de ponta a ponta verdadeira: ninguém, exceto os dois usuários nas duas extremidades da comunicação, pode ver seu conteúdo porque eles mesmos geram as chaves de criptografia. Consequentemente, nem os cibercriminosos nem os servidores da empresa prestadora de serviços podem espionar as conversas.

Sem criptografia de ponta a ponta, o Zoom poderia ser forçado a entregar os registros de reuniões a um governo em resposta a solicitações legais. Esses pedidos ocorrem o tempo todo em todo o mundo . De fato, empresas como Apple, Google, Facebook e Microsoft publicam relatórios de transparência detalhando quantas solicitações de dados de usuários recebem de quais países e quantas delas atendem. No entanto, o Zoom não publica esses relatórios de transparência.

A criptografia de ponta a ponta do Keybase que o Zoom procura para suas vídeo chamadas

No papel, a criptografia de ponta a ponta parece direta: os clientes geram chaves de sessão efêmeras e as trocam criptografando-as com a chave pública do destinatário . Infelizmente, gerar e gerenciar todas essas chaves para fornecer criptografia de ponta a ponta escalável em vídeo chamadas de alta qualidade com dezenas de participantes e mais de 300 milhões de usuários se conectando aos seus servidores diariamente é um formidável desafio tecnológico. Então o Zoom foi para o Keybase.

Em 7 de maio, ele comprou a empresa de courier e transferiu arquivos com proteção criptográfica de ponta a ponta , Keybase.io , por um valor não revelado. Com sua ajuda, o Zoom espera oferecer um modo de reunião criptografado de ponta a ponta. Obviamente, apenas para contas pagas.

Além disso, como declaram em sua declaração:

  • Eles continuarão a colaborar com os usuários para melhorar os mecanismos de geração de relatórios disponíveis para os hosts de reunião para relatar participantes indesejados e problemáticos.
  • O Zoom não monitora ou monitora proativamente o conteúdo da reunião, mas sua equipe de segurança continua a usar ferramentas automatizadas para procurar evidências de usuários abusivos com base em outros dados disponíveis.
  • O Zoom não criou e não criará um mecanismo para decifrar reuniões ao vivo para fins de interceptação legal.
  • Eles também não têm como inserir seus funcionários ou outras pessoas em reuniões sem que sejam refletidos na lista de participantes. Eles não criarão nenhum backdoor criptográfico para permitir a vigilância secreta das reuniões.

Por fim, o Zoom está comprometido em permanecer transparente e aberto à medida que você cria sua solução de criptografia de ponta a ponta . Na verdade, ele planeja lançar um rascunho detalhado do design de criptografia na sexta-feira, 22 de maio.

Como é o Zoom após a compra do Keybase

A reação de Zoom foi admirável. Longe de negar críticas ou processar os investigadores para descobrir suas vulnerabilidades, o Zoom respondeu com um ambicioso plano de segurança de 90 dias cujo Santo Graal será a criptografia de ponta a ponta fornecida pela Keybase.

O Zoom tomou as decisões erradas de segurança no passado, mas parece claramente determinado a se tornar o aplicativo de videochamada mais poderoso e seguro do mercado. Está demonstrando como, com autocrítica e transparência, é possível emergir mais forte de uma grave crise de segurança


Gonzalo Álvarez
@gonalvmar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *