Rodrigo Tafner

Transformação de verdade.

Rodrigo Tafner

Rodrigo Tafner

capa artigo zoom

Um zoom no ZOOM

Share on facebook
Share on whatsapp
Share on twitter
Share on linkedin
Share on email
Share on print

Em meio ao aumento exponencial de reuniões virtuais, surgem dados sobre vulnerabilidades e ataques ao Zoom que preocupam quem precisa usar a ferramenta, mas o quanto as pessoas e empresas estão em risco, de verdade?

Se preferir, ouça o artigo.

Se você está trabalhando de casa neste período de quarentena, certamente já usou ou ao menos ouviu falar no Zoom, a ferramenta de reuniões virtuais que mais ganhou adeptos desde o início desta pandemia. (A propósito: responda esta pesquisa aqui que elaborei para entender como as pessoas estão trabalhando em Home Office) A Zoom Communications, empresa fundada em 2011 por Eric S. Yuan, na altura o Vice-presidente do Webex (produto similar ao Zoom), da empresa Cisco, que deixou o cargo ao perceber que o produto da gigante norte americana não estava agradando seus consumidores, viu a oportunidade de oferecer ao mercado um produto melhor.

O Zoom, que nasceu da necessidade do jovem estudante chinês(Yuan) que tinha que  fazer uma viagem de trem de 9 horas para encontrar a sua amada e resolveu “encurtar” a distância, teve sua primeira versão lançada em 2013 para até 15 participantes e em 2015, em sua versão 2.5, alcançava até 1.000 participantes por sessão (reunião).

Nessa altura os números já impressionavam: a empresa recebeu um aporte Série C de US$ 30 milhões de 4 grandes investidores, a maioria chineses (residentes ou não) e já contava com 40 milhões de usuários, 65.000 empresas assinantes do serviço e mais de 1 Bilhão de minutos de reuniões virtuais realizadas.

Em 2017, com um aporte Série D da famosa Sequoia Capital e com um valuation de mais de US$ 1 bilhão, se tornou um “unicórnio”, ampliou as integrações de sua ferramenta com gigantes de tecnologia como a Microsoft (outlook), Google (calendar), Facebook(Workplace) e Apple(iCal) e começou os preparativos para abrir capital, o que aconteceu somente em 2019, onde as ações, avaliadas inicialmente em US$ 36,00, tiveram  valorização de 72% logo no primeiro dia de negociações na Bolsa de Nova Yorque, totalizando US$ 16 Bilhões de valor de mercado.

Evolução do valor da ação do Zoom na NYSE
zoom bolsa
Fonte: Yahoo!Finance em 16/04/2020

A escolha do Zoom como ferramenta de reuniões/aulas virtuais em detrimento de outras ferramentas pode ser explicada especialmente por 3 fatores:

  1. Facilidade de uso e acesso a reuniões/aulas: Em comparação com as outras ferramentas, o Zoom oferecia à época, uma experiência de usuário muito mais simplista e funcional, com links que poderiam ser acessados diretamente via web ou por aplicativos para desktops e aparelhos móveis de simples instalação e configuração, o que é chamado tecnicamente de “frictionless” (sem fricção);
  2. Latência abaixo de 150 milisegundos (o máximo, a partir do qual as conversações começam a não parecerem naturais) e
  3. Bom Custo x Benefício. Uma vez que o produto não depende de outros sistemas ou equipamentos e como não pertence a um “pacote” de ferramentas, o Zoom é visto como uma boa opção, especialmente para empresas que já possuíam suas próprias ferramentas de backoffice e não teriam uso para essas ferramentas adicionais ou ainda, teriam  alto custo de mudança/adaptação para adoção das ferramentas de um desses “pacotes”.

Ocorre que o mantra de todo o especialista de segurança da informação diz: “Facilidade e Comodidade são inversamente proporcionais ao Grau de Segurança”, ou seja, se uma empresa opta por aumentar a Comodidade/Facilidade de uso, fatalmente essa opção terá impacto na Segurança da Informação. Um exemplo simplista disso: Se você escolhe uma senha fácil, por exemplo: “123”, seguramente não terá problemas para lembrar dela, por outro lado um hacker conseguirá “quebra-la” em questão de segundos. E se, por comodidade, você utilizasse essa mesma senha em todos os websites e aplicativos que utiliza, estaria facilitando ações de fraude desses hackers. Por outro lado, se utilizasse uma senha “difícil” como, por exemplo, “9V^MuXg@MkeNX2Z*zn” o custo para um hacker “quebrá-la” não valeria o retorno que ele eventualmente, poderia alcançar, porém seria muito mais difícil de lembrar a senha e mesmo mais “chato” ter que digitá-la a cada login.

E essa é exatamente a questão no Zoom: Facilidade/Comodidade x Segurança.

Os pontos de segurança levantados até agora por especialistas e empresas de segurança estão basicamente relacionados a 3 aspectos: Segurança de Informação (falhas de programação que permitiriam que os computadores ou dados de usuários fossem “sequestrados” e reuniões/aulas fossem “invadidas”), Privacidade e Tratamento de dados (roteamento de dados para servidores chineses e compartilhamento de dados com o Facebook sem o consentimento dos usuários) e Comerciais (características específicas de segurança que foram vendidas pelo Zoom, mas que não eram “entregues” exatamente como anunciado)

No aspecto da Segurança de Informação, no meu modo de ver o mais crítico (mas não menos importante) porque poderia causar danos diretos e imediatos às operações das empresas/escolas, dois pontos chamaram bastante a atenção:

  • Zoombombing – Nome dado a invasão de reuniões/aulas por pessoas não autorizadas. Se você já enviou ou recebeu convites para uma reunião via Zoom, deve ter notado um link parecido com esse: https://us04web.zoom.us/j/12345678910. O problema é que a construção desse link é fácil de ser “advinhada” uma vez que a estrutura é fixa e representa o servidor (neste caso, us04web), uma letra e mais uma sequência numérica entre 9 e 11 caracteres. Membros de um grupo de discussão sobre segurança de Kansas City (EUA) criaram um programa que conseguiu adivinhar aproximadamente 100 endereços de reuniões por hora. Se essas reuniões não fossem protegidas por senha, qualquer um com acesso a esse endereço (que tenha recebido um convite ou adivinhado o endereço) poderia entrar na reunião e, uma vez dentro, poderia falar o que quisesse, compartilhar telas (se essa função estivesse habilitada), mensagens de ódio ou vídeos pornográficos, por exemplo, ou simplesmente ouvir e ver tudo o que fosse exposto pelos participantes autorizados.
  • Vulnerabilidade Zero-day em computadores Mac (Apple) – Qualquer website poderia habilitar uma reunião (e, portanto, ligar a câmera) ou mesmo “derrubar” esse tipo de computadores. Como o navegador Safari exige que os usuários autorizem “ligar” a câmera a cada vez que ela é “chamada”, os desenvolvedores do Zoom, pensando na comodidade de seus usuários, instalavam um servidor web nos Macs que aceitavam requests (chamados) de páginas web, que normalmente não seriam aceitos por outros navegadores. Mesmo que o aplicativo Zoom fosse desinstalado, o servidor (e a ameaça) permaneceriam na máquina. Essa vulnerabilidade foi identificada pelo pesquisador de segurança, Jonathan Leitschuh e verificada pela revista eletrônica The Verge e outras revistas especializadas, como a Intelligencer, por exemplo.
Programa zWarDial
Programa ZWarDial capaz de "adivinhar" aproximadamente 100 endereços de reunião do Zoom por hora.

Com relação à privacidade e tratamento dos dados, também foram 2 as principais falhas que levaram inclusive, a um processo judicial na Califórnia, pedidos de esclarecimentos da Advogada Geral de Nova York e a uma audiência pública para esclarecimentos no Congresso norte americano:

  1. Alegadamente, o aplicativo Zoom para iOS estava enviando ao Facebook, dados não sensíveis, especificamente dados do aparelho como o modelo, o fuso horário, e a cidade de onde o usuário está se conectando, a operadora de telefonia e um identificador único de publicidade, gerado pelo aparelho que as empresas poderiam utilizar para direcionar publicidade. O Zoom informava em sua política de uso de dados que poderia utilizar informações do Facebook, caso o usuário optasse por fazer login pelo botão “conectar pelo Facebook” ao invés do login tradicional por email e senha. Entretanto, não dizia nada sobre FORNECER dados para o Facebook, especialmente para os usuários que NÃO tivessem escolhido essa forma de autenticação.
  2. Pesquisadores do CitzenLab nos EUA identificaram que algumas das reuniões/aulas estavam sendo hospedadas em servidores na China, independentemente de os seus organizadores estarem nos EUA. Tecnicamente, isto não é, por si só, uma falha de segurança ou de privacidade, mas levando-se em conta a legislação dos EUA (assim como a GDPR na Europa e futuramente a LGPD no Brasil), tal ação contrariaria as especificações de segurança daquele país, e uma vez que as reuniões/aulas não têm encriptação fim-a-fim (veja a seguir), tanto os dados quanto as chaves criptográficas ficariam armazenadas nesses servidores Chineses e poderiam ser solicitadas a qualquer tempo (conforme legislação Chinesa) pelos órgãos públicos daquele país e, portanto, essas reuniões poderiam, em tese, ser “monitoradas” pelo governo chinês.

Finalmente no aspecto comercial, um ponto crucial atraiu a atenção dos especialistas: A empresa explicitamente declarava em seus materiais comerciais que as reuniões/aulas tinham encriptação fim-a-fim. Isso significa, em termos leigos (e tecnicamente superficiais), que os dados são encriptados exclusivamente na origem e decriptados exclusivamente no destino, e que as chaves utilizadas para esse processo são de posse exclusiva desses pontos (fins) e, dessa forma, nem mesmo a empresa poderia decriptá-los. Acontece que pesquisadores e especialistas em segurança, provaram que apesar de as reuniões/aulas serem encriptadas, o modelo de encriptação não é fim-a-fim. Há um “intermediário”, que faz a verificação (ou validação) das chaves e assim, também possui os códigos necessárias para encriptar e decriptar os dados. Isso torna os dados seguros durante o transporte entre a origem e o destino, mas abre a possibilidade de vulnerabilidade no intermediário.

suposta encriptação do zoom
Informação mostrada pelo aplicativo Zoom (versões anteriores) incorretamente afirmando que a encriptação é do tipo fim-a-fim.

Além disso, o CitzenLab identificou que o protocolo de encriptação utilizado pelo zoom (AES no modo ECB), é conhecido por não ser a melhor maneira de encriptar imagens, pois em última análise, a imagem permanece reconhecível. Isso, somado ao fato de que algumas reuniões eram hospedadas em servidores Chineses, onde a legislação local permite que órgãos governamentais tenham acesso a essas chaves, bem como aos dados hospedados naquele país, geraram uma preocupação extra, especialmente por parte dos usuários ligados a governos e grandes empresas, com relação à possibilidade de “espionagem”, industrial ou não.

zoom_cripto
Uma ilustração clássica de por que o modo ECB não é recomendado. Uma imagem de um pinguim (esquerda) é criptografada no modo ECB e depois visualizada (direita). Observe que o contorno do pinguim permanece visível na imagem criptografada (Fonte: Wikipedia).

Todos esses pontos já foram largamente divulgados e a Zoom incessantemente questionada a respeito e seu fundador inclusive,  já apresentou explicações, remediações e ações tomadas no sentido de mitigar os riscos apresentados.

A Apple, por exemplo, silenciosamente soltou uma atualização de segurança para o sistema operacional de seus microcomputadores, que resolve a questão da instalação do servidor de web. As recentes atualizações do aplicativo Zoom, retiraram o botão de “conectar com o Facebook” e o link com a API da rede social, que fornecia os dados não autorizados. Também, habilitou como padrão, o uso de senhas em reuniões/aulas e desabilitou a utilização da câmera “por padrão” em todos os formatos de aplicativos (desktop, mobile, web para todos os Sistemas Operacionais).

Com relação ao direcionamento de reuniões/aulas para servidores chineses, a empresa explicou que isso aconteceu em função da alta demanda dos últimos meses, que fez com que nos momentos de picos de acesso, algumas reuniões/aulas fossem direcionadas aos servidores daquele país. Explicou ainda que esse roteamento entre servidores é feito por padrão para manter a qualidade das reuniões, direcionando a carga de servidores sobrecarregados para servidores mais “livres”, e que por um erro de código de geofencing (algoritmo que mantém o fluxo de dados dentro de uma “cerca” geográfica), a regra de não compartilhamento de dados de servidores nos EUA com servidores Chineses, não foi respeitada, mas que isso já havia sido corrigido.

Eric Yuan, CEO da ZOOM, chegou a pedir publicamente desculpas (veja aqui) pelos problemas, indicando que toda a equipe de desenvolvedores da empresa tinha sido deslocada do desenvolvimento de novas funcionalidades para o tratamento imediato das falhas apontadas. E que com relação à questão da encriptação fim-a-fim, a comunicação comercial do produto não estava clara ao explicar o modelo de encriptação, gerando eventualmente a interpretação equivocada de que o produto possuía encriptação fim-a-fim, mas que mesmo não sendo dessa forma, todos os dados permaneciam seguros e inacessíveis.

eric yuan
Eric Yuan, CEO, Zoom Video Communications Fonte: CNBC

Em função disso tudo, diversos clientes deixaram de usar e até proibiram o uso do aplicativo em suas instituições ao redor do mundo. É o caso do Departamento de Educação da Cidade de Nova Yorque, Ministério da Educação de Singapura, Governo de Taiwan, Ministério do Exterior da Alemanha, o Senado dos EUA, o Pentágono, o Ministério da Defesa do Reino Unido, a Universidade de Berkeley, a ANVISA(Brasil) além das empresas: Space X, Google, para citar algumas.

Somado a isso tudo, nos últimos dias foi anunciado pelo website de notícias de tecnologia “ BleepingComputer” e verificado pela rede de notícias NBC News, que está sendo vendida na DarkWeb uma lista com mais de 530.000 contas do Zoom com endereços de e-mails e senhas. De acordo com a notícia, uma empresa de Cybersegurança, encontrou e comprou na Darkweb um Dataset de 350 mil usuários por aproximadamente US$ 0,0025 por usuário (aprox. US$ 1.350,00 total). Um grupo de hackers em um fórum específico, discutiu o uso de uma ferramenta chamada de OpenBullet – que permite que os usuários alimentem grandes conjuntos de nomes de usuário e senhas existentes para tentar fazer login em sites diferentes, inclusive no zoom – como forma de ganhar acesso à ferramenta de vídeo-chamadas.

Ao mesmo tempo, os concorrentes do Zoom iniciaram um rally para atender os anseios dos usuários em termos de usabilidade, facilidade de acesso, qualidade das reuniões e comodidade, mas tentando manter os aspectos de segurança fundamentais em alto-nível. É um desafio e tanto, dada a premissa da Comodidade x Segurança e assim, muitas empresas correm o risco de “trocar seis por meia dúzia”, com um custo altíssimo de mudança, em especial relacionado à curva de aprendizado de uso dessas ferramentas, particularmente em um período em que há que se trocar o pneu com o carro rodando.

"Resumo da Ópera":

A minha visão sobre o Zoom é que ele é o exemplo mais perfeito da dialética entre a Comodidade e a Segurança!

A maioria das falhas de segurança apresentadas tem sua origem na Comodidade do Usuário. “Para ele não ter que digitar usuário e senha (que é chato), eu crio um botão de login com o Facebook. Para ele não ter que autorizar o uso da câmera a cada reunião (o que é chato), crio um servidor web na máquina dele. Para que ele não tenha que ficar decorando e digitando senhas a cada nova reunião (o que é chato), permito reuniões sem senha e a possibilidade de compartilhar o link da maneira mais simples.” É um raciocínio válido, mas o custo pode ser alto, como temos acompanhado nos últimos dias.

Aparentemente as falhas de segurança da ferramenta (especialmente as mais críticas) foram mitigadas e com ações simples por parte dos usuários, o uso pode continuar sem grandes problemas. Claro que muitas dessas ações reduzem a comodidade/facilidade de uso e diminuem os aspectos que levaram as empresas e pessoas a escolherem o Zoom. Entretanto, depois de passada a curva de experiência, mudar de ferramenta agora, poderia representar um custo de mudança excessivo e talvez desnecessário, especialmente se sua organização não trabalha com dados sensíveis, estratégicos ou de segurança nacional (o que eu acredito, seja a maioria dos casos de uso)

10 DICAS PARA MANTER O ZOOM (minimamente) SEGURO:

Tentei organizar aqui uma lista com 10 dicas básicas para utilizar o Zoom com um mínimo de segurança. Claro que essas opções devem variar em função das necessidades específicas de cada reunião/aula, mas no geral devem funcionar bem.

Note que as 5 primeiras dicas valem (e devem ser seguidas) mesmo que você não use o Zoom, pois são dicas básicas de segurança para o dia-a-dia de quem usa um computador, especialmente se conectado à internet.

  1. Atualizar o seu sistema operacional, especialmente se for Apple (no caso do Zoom).
  2. Atualizar a sua senha de usuário de acesso ao Zoom para uma senha forte (mínimo 13 caracteres, contendo Maiúsculas, Minúsculas, Números e Símbolos (@#$%¨&*!|\<>^~)
  3. Não utilizar a mesma senha em diversos sites e Apps
  4. Ter um protetor de câmera e mantê-lo fechado sempre que não a estiver utilizando
  5. Manter o anti-vírus sempre atualizado.
  6. Habilitar reuniões somente com senha
  7. Desabilitar o compartilhamento de tela, o uso de anotações sobre a tela compartilhada e o compartilhamento de quadro branco dos demais participantes por “padrão”, habilitando somente quando necessário.
  8. Habilitar a “sala de espera” e antes de iniciar a reunião incluir os participantes individualmente, na reunião.
  9. Não compartilhar o link de reuniões (e especialmente a senha dessas reuniões) em redes sociais de acesso público como Facebook, Twitter, Instagram, etc.
  10. Desabilitar a possibilidade de os participantes alterarem os seus nomes na tela de galeria de vídeos.

Veja as imagens a seguir:

Tela de opções do Zoom
No aplicativo, na tela de configuração, aba "vídeo", selecione a opção "de desligar meu vídeo quando me juntar a uma reunião"
Tela de opções do Zoom
Ainda no aplicativo, na tela de configuração, aba "compartilhamento de tela", DESABILITE a opção de "Habilitar o controle remoto de todas as aplicações"
Tela de opções do Zoom
Agora na aba "Geral" clique em "opções avançadas" (em azul no canto inferior direito. Você será direcionado para a página de configurações do Zoom na Internet. Faça login e na aba PESSOAIS > CONFIGURAÇÕES > REUNIÃO > EM REUNIÃO(BÁSICO), selecione as opções como na figura.
Tela de opções do Zoom
Agora na aba "Geral" clique em "opções avançadas" (em azul no canto inferior direito. Você será direcionado para a página de configurações do Zoom na Internet. Faça login e na aba PESSOAIS > CONFIGURAÇÕES > REUNIÃO > EM REUNIÃO(BÁSICO), selecione as opções como na figura. (continuação)
Tela de opções do Zoom
Agora na aba EM REUNIÃO(AVANÇADO), selecione as opções como na figura.

Aproveite  me ajude a responder a pesquisa que estou aplicando sobre o COMPORTAMENTO DAS PESSOAS EM HOME-OFFICE DURANTE A COVID-19

clicando aqui.

Muito obrigado.
Tafner

Explore mais

Cultura da Inovação: gaiola da ideia

A cultura da Inovação

26 de fevereiro de 2020 Nenhum comentário

A cultura de inovação dentro de todas as áreas da empresa é, de fato, um dos principais desafios para a sua implantação,

Keep In Touch

Twitter Linkedin-in Envelope