Solicite uma demonstração Suporte Efetuar login

Notícias

home
05/04

O Zoom não é um malware.

Dave Kennedy, fundador da TrustedSec, defesa binária
Amit Serper, vice-presidente de estratégia de segurança e principal pesquisador de segurança da Cybereason.
Russ Handorf, PhD. Principal hacker de inteligência contra ameaças, WhiteOps
Esta publicação NÃO é patrocinada ou afiliada à Zoom de qualquer forma.

 

O Zoom não é um malware. O Zoom é seguro para uso pessoal e comercial, mas você deve ler sobre a melhor forma de proteger a si e à sua empresa. Ao longo dos últimos dias, as mídias sociais (principalmente o infosec twitter) estão repletas de opiniões e takes quentes sobre o Zoom ser um malware devido a vários problemas encontrados. Algumas dessas questões são realmente problemáticas (e são / foram tratadas pelo Zoom) e algumas das questões que estão sendo levantadas e discutidas nas mídias sociais não são de fato bugs ou problemas com o próprio Zoom, mas problemas com o funcionamento dos sistemas operacionais.

Queremos deixar claro que, se houver exposições de segurança identificadas, elas devem ser abordadas e, até agora, a Zoom fez isso. Além disso, com base no que vimos na resposta do CEO na Zoom – a segurança é um foco direto e eles estão tomando medidas adicionais para resolver preocupações e garantir a segurança e a privacidade do produto. Pode haver vulnerabilidades e exposições adicionais que são identificadas ao longo dos próximos dias, semanas, meses ou anos – é como uma empresa responde a abordá-las e como elas procuram melhorar seu programa de segurança que é o passo importante aqui.

Algumas críticas são justificadas no sentido de seu marketing redefinir a criptografia de ponta a ponta, que era apenas para o recurso de bate-papo e não para o vídeo que era TLS (camada de transporte). Isso já foi esclarecido e, na atualização mais recente, reflete as alterações na terminologia. Por outro lado, o WebEx da Cisco suporta E2E, no entanto, interrompe gravemente a funcionalidade normal da solução da Cisco. Isso reflete mais a importância de que a terminologia consistente seja usada em todo o setor e não seja ambígua, como quando as organizações tentam renomear ou redefinir os padrões para atender às capacidades de seus produtos.

De acordo com a Cisco:

“Observe que quando a criptografia de ponta a ponta está ativada, os seguintes recursos não são suportados: • Web App • Gravações baseadas em rede • Ingressar antes do host • Endpoints de vídeo” – https://www.cisco.com/c/dam /en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf

Houve alguns relatórios responsáveis e essa não é uma declaração geral para todos. As notícias devem cobrir riscos e exposições de maneira medida e não criar detalhes alarmantes para indivíduos que podem não entender as ramificações. Algumas menções notáveis sobre boas reportagens:

https://www.theverge.com/interface/2020/4/3/21203720/zoom-backlash-apology-zoom-bombings-eric-yuan

https://www.wired.com/story/zoom-backlash-zero-days/

https://www.forbes.com/sites/kateoflahertyuk/2020/04/03/use-zoom-here-are-7-essential-steps-you-can-take-to-secure-it/#2f6fe5387ae1

Embora seja verdade que alguns dos problemas sejam mais graves que outros e possam, potencialmente, ser explorados pela engenharia social, também é muito fácil proteger e mitigar esses problemas. Queremos elogiar o Zoom a tomar medidas proativas acima e além de tudo o que vimos antes. Dentro de um dia de dois dias zero (explorações que não possuem patch) foram apresentados, o Zoom já havia lançado uma nova versão abordando as ameaças à segurança. Essas ameaças eram principalmente um problema de escalonamento de privilégios locais que permitiria a um invasor que já comprometesse seu sistema obter acesso elevado. O segundo era um problema de design no Windows que poderia ser abusado para executar arquivos remotos – esse problema de design poderia abusar em muitos outros aplicativos e nãos somente no Zoom.

A Zoom corrigiu esses dois problemas quase imediatamente e enviou aos clientes. Para colocar em perspectiva, todos os softwares tiveram exposições ou vulnerabilidades de segurança. Normalmente, levam-se de várias semanas a meses para que as empresas reconheçam uma exposição e a corrijam. Nesse caso, o Zoom não teve a oportunidade e o código de exploração foi publicado on-line ao público. A resposta da Zoom dessa maneira foi louvável, além da resposta do CEO.

A Message to Our Users

No blog, o CEO enfatiza a privacidade e a segurança como elementos fundamentais da empresa e as etapas para garantir ao público que o Zoom é um produto seguro para uso. Queremos ser claros, os pesquisadores de segurança devem absolutamente fazer análises sobre software e ajudar as empresas a melhorarem com segurança. O objetivo do setor é tornar o mundo um lugar mais seguro ao aproveitar a tecnologia. Quando não usa a divulgação responsável, faz com que a mídia passe demais e o que vimos transpirou.

Leia a versão original desta matéria (em inglês) no Medium.

Notícias relacionadas
Como manter pessoas não convidadas fora do seu evento Zoom
06/04
Como manter pessoas não convidadas fora do seu evento Zoom

20 DE MARÇO DE 2020 POR ZOOM Adoramos que tantas pessoas achem o Zoom uma maneira fácil de se manter conectado nesse período de distanciamento social, fechamento de escolas e rotinas de trabalho em casa. Todos esses happy hours virtuais, coffee breaks, aulas de dança, sessões de ioga e muitos outros eventos no Zoom – […]

Quais soluções para reuniões e chamadas oferecem a melhor experiência de qualidade de maneira objetiva?
19/01
Quais soluções para reuniões e chamadas oferecem a melhor experiência de qualidade de maneira objetiva?

O Zoom trabalhou incansavelmente na última década para fornecer áudio e vídeo excepcionais em uma experiência de usuário intuitiva. Os clientes nos dizem que escolheram o Zoom por causa de nossas reuniões e ligações de alta qualidade, mas como você quantifica isso? Para responder a essa pergunta analiticamente, contratamos um terceiro independente, a Wainhouse Research, para […]

Zoom Atinge Marco no Plano de Segurança de 90 Dias e Lança o Zoom 5.0
22/04
Zoom Atinge Marco no Plano de Segurança de 90 Dias e Lança o Zoom 5.0

Aprimoramentos de segurança robustos incluem suporte para criptografia AES de 256 bits GCM Hoje anunciamos aprimoramentos de segurança robustos com a disponibilidade geral do Zoom 5.0, um marco importante em nosso plano de 90 dias para identificar, abordar e aprimorar proativamente os recursos de segurança e privacidade da plataforma Zoom. Ao adicionar suporte à criptografia GCES AES de 256 bits, o Zoom [...]

Uma história de agilidade e inovação: descobertas do impacto das comunicações por vídeo durante o relatório COVID-19
16/04
Uma história de agilidade e inovação: descobertas do impacto das comunicações por vídeo durante o relatório COVID-19

Como uma crise de saúde global e uma recessão econômica resultante, a pandemia COVID-19 nos forçou a encontrar novas maneiras de funcionar para manter a segurança do público. Muitos se voltaram para a tecnologia de colaboração para a continuidade – as comunicações de vídeo tornaram-se repentinamente nossa tábua de salvação para a sociedade, permitindo-nos continuar a […]

Nova plataforma de vídeo e audio conferência online, mundo!
22/05
Nova plataforma de vídeo e audio conferência online, mundo!

Nova plataforma de vídeo e audio conferência online Zoom é uma plataforma de vídeo e audio conferência online para empresas, profissionais e coletivos que necessitam manter reuniões sem que a distância seja um impedimento. Zoom funciona diretamente desde o navegador mas também conta com app para iPhone/iPad, app Android, complemento de Outlook e extensões para […]