Semana 15 de segurança: Zoom em vulnerabilidades reais e imaginárias

Na quinta-feira, 2 de abril, o The Guardian compartilhou seus números impressionantes na plataforma de conferência na Web da Zoom: a participação no tráfego aumentou 535%. Definitivamente, o Zoom era melhor do que os concorrentes foram capazes de tirar proveito da situação, ganhando crescimento, se não em dinheiro, e precisamente em popularidade e número de usuários. A razão desse sucesso foi o marketing eficaz (por exemplo, a disponibilidade de uma opção de tarifa gratuita), e não algumas vantagens técnicas. Tudo ficaria bem se não fosse o título característico do mesmo artigo no The Guardian: "Zoom é malware".

Vamos esclarecer: o zoom não é um malware. Essa não é a primeira vez que as empresas atraem a atenção de especialistas em segurança da informação após o hype, mas a discussão da semana passada sobre as falhas do Zoom foi o principal entretenimento de toda a festa. Resumindo: a criptografia com zoom é negociável, mas não é forte o suficiente e certamente não pode ser qualificada como ponta a ponta. Algumas vulnerabilidades sérias e frívolas foram descobertas no software. Alguns recursos do serviço levantam questões sobre privacidade - dados passando por um servidor na China e integração com o LinkedIn. Nada terrível, mas novamente fica claro que a segurança de um serviço digital ainda não é a chave do seu sucesso.

Vamos começar a revisão com uma April Fools (mas não em quadrinhos) artigoVice de edições: fala sobre um bug que leva ao vazamento de contatos, o que geralmente, como acontece com frequência, é um recurso. Inicialmente, o Zoom e qualquer outro meio de conduzir teleconferências estavam focados estritamente nas empresas: ninguém esperava que eles começassem festas de karaokê online. O Zoom tem uma entidade chamada Diretório da empresa: assim que você se registra usando o correio comercial, todos os contatos no mesmo domínio ficam automaticamente visíveis. Se você usa correio pessoal, obtém acesso a um grande número de usuários comuns, e seu nome completo e endereço de correspondência estão disponíveis para eles. Para serviços de correio populares como GMail ou Yahoo, isso não funciona, mas se o seu correio pessoal, por exemplo, estiver configurado no domínio de um provedor de Internet local, você verá várias centenas de "colegas" na lista de contatos.

Nós vamos além. Na última edição, relatamos que o Zoom estava enviando telemetria de usuário para o Facebook, mas, sob pressão do público, parou de fazer isso. Em 31 de março, o Zoom foi processado nos Estados Unidos por violar a recentemente adotada Lei de Privacidade de Dados da Califórnia. O serviço supostamente não notificou os usuários sobre como ele processa e para onde ele envia informações.

Em 2 de abril, o New York Times informouque o Facebook não estava limitado a isso. O Zoom também teve integração com o LinkedIn, o que permitiu que os organizadores de chamadas em conferência (com o pacote pago LinkedIn Sales Navigator) encontrassem automaticamente os perfis de chamadas no LinkedIn por endereço postal. Parece intimidador, mas na verdade é uma ferramenta de marketing tradicional, adequada ao trabalhar na Zoom como gerente de vendas com os clientes da empresa. Ao realizar webinars em massa, isso realmente parece uma violação dos padrões de privacidade: quase nenhum dos milhões de novos usuários do Zoom conhece esses recursos. No entanto, raramente percebemos a escala de criação de perfil em qualquer serviço digital, mesmo que seja descrito em detalhes no EULA. O recurso foi removido imediatamente do serviço.

Ainda pior. 30 de março, o conhecido especialista em segurança Patrick Wardle escreve um artigocom o nome da característica "Na palavra Zoom, a letra B é sobre segurança". Ele descobriu duas vulnerabilidades moderadamente perigosas no cliente Zoom para MacOS. O método de instalação do cliente não padrão permite que um usuário local com deficiências obtenha privilégios de root. Segundo o pesquisador, o Zoom usa a API AuthorizationExecuteWithPrivileges, que não é mais recomendada para uso, para minimizar a entrada do usuário durante a instalação. Como resultado, o arquivo executável (instalador) iniciado com direitos de superusuário não é verificado e pode ser facilmente substituído por qualquer outro código. A segunda vulnerabilidade também foi causada por contornar as práticas padrão de gravação de software seguro para o MacOS X no cliente Zoom, e o resultado foi o potencial de capturar imagens e sons de uma webcam e microfone. Mais uma vez, desdeesse computador é uma vítimajá comprometido. "Se o seu computador foi invadido, você pode fazer qualquer coisa nele." Ambas as vulnerabilidades estão fechadas em 2 de abril.

Em cada publicação, o Zoom lembra os pecados anteriores: o servidor da web que foi instalado no macOS com o cliente e não foi excluído durante a desinstalação (a Apple precisou emitir um patch para forçar a exclusão do servidor, pois era naturalmente vulnerável) e a inclusão da web - câmeras padrão ao se conectar a uma conferência na web, com um mecanismo descoberto posteriormente para atrair um usuário. Os problemas foram resolvidos há muito tempo, mas que se tornaram motivo de declarações como "O zoom sempre teve tudo de ruim com a privacidade".

O site BleepingComputer relata vulnerabilidades no cliente Zoom para Windows. Os usuários podem trocar links no bate-papo do serviço, e o cliente Zoom provavelmente clica em links, incluindo links para pastas de rede ou arquivos locais, os chamados UNCs. Teoricamente, você pode imaginar uma situação em que um link para um servidor de arquivos público é enviado para o bate-papo. Quando você clica nele, o servidor com as configurações padrão, o Windows recebe um nome de usuário e sua senha com hash.

Você pode ir além e imaginar uma situação na qual um link fará com que o código seja executado no computador do usuário. Na prática, um ataque é viável nas atuais condições não padronizadas do próprio Zoom: quando há chamadas em conferência pública com segurança mal configurada e um público incompreensível.

Vamos para a artilharia pesada. O CitizenLab publicou um relatório de segurança detalhado do Zoom. Ele descreve as "características" subjetivas do serviço: desenvolvimento na China, embora a empresa seja americana; enviando dados para servidores chineses mesmo quando os assinantes não estão lá (o Zoom mais tarde reconheceu isso como um erro técnico ). Mas o principal tópico do estudo é a criptografia de negociação, que Zoom há muito chama de ponta a ponta. Em primeiro lugar, não é completamente transversal, pois as chaves são geradas nos servidores Zoom. Em segundo lugar, em vez do algoritmo de criptografia AES-256 originalmente especificado na documentação, o AES-128 é usado no modo BCE .

Esse método mais simples de criptografia, comparado ao antigo método de criptografia do livro de códigos, preserva os padrões dos dados não criptografados originais. Isso é melhor ilustrado no tweet acima ou na imagem da Wikipedia abaixo: embora os dados sejam criptografados, mesmo sem descriptografia, você pode ter uma idéia do conteúdo do fluxo de vídeo.

Em geral, fica claro por que os especialistas em segurança não gostam do Zoom: aqui você teve um comportamento questionável no computador do usuário (um servidor da Web não utilizável nos computadores da Apple) e a falta de informações inteligíveis sobre o uso de dados pessoais e defesas imperfeitas com enganosas descrição. A principal reclamação: a privacidade do usuário não é a principal prioridade dos desenvolvedores do Zoom, mas está em algum lugar no final da primeira centena da "lista de tarefas". Nada verdadeiramente terrível (como transferência de dados sem criptografia) foi encontrado.

Ao discutir todos esses "estudos", também são apresentados argumentos contra a abordagem "agora vamos mostrar a eles", que é um pouco histérica. Existem maneiras padrão para os pesquisadores independentes interagirem com o fornecedor e ética para divulgar informações de vulnerabilidade. Por que em uma situação de epidemia viral (não de computador) precisa ser feita de maneira diferente? Talvez, pelo contrário, valha a pena aumentar o tempo de espera pela reação do fornecedor? Porque, francamente, qualquer provedor de serviços digitais agora se preocupa principalmente com o fato de os servidores suportarem o fluxo de usuários. Finalmente, nenhuma das descobertas da semana passada muda de atitude em relação a Zoom e serviços similares. Para uma festa de karaokê, eles também são ótimos para conversas corporativas, embora valha a pena treinar os funcionários nos padrões básicos de segurança. Bem, por exemplo, baixe o cliente no site oficial e não em qualquer lugar.Para negociações confidenciais sobre assuntos secretos, você precisa procurar um serviço (ou aumentar o seu) com uma auditoria de segurança obrigatória e não clicar no primeiro link na pesquisa do Google.

A reação do fornecedor, a propósito, acabou sendo mais do que suficiente: em 1º de abril, a empresa anunciou que suspenderia o desenvolvimento de novas funcionalidades por três meses e lidaria de perto com correções de bugs e segurança.

O que mais aconteceu

A publicação Threatpost resumiu os resultados de uma pesquisa no site sobre privacidade em uma pandemia. 25% dos entrevistados estão prontos para dar prioridade à saúde em detrimento da privacidade (por exemplo, para compartilhar dados médicos). E isso está entre o público, que é tradicionalmente sensível a qualquer tentativa de dados pessoais.

Vulnerabilidades nos navegadores Firefox e Chrome estão fechadas . O Firefox corrigiu sérios problemas com a execução potencial de código arbitrário, que é usado ativamente em ataques reais.

Empresas representativas da Internet (Akamai, AWS, Cloudflare, Facebook) se fundiramem nome da melhoria da segurança do tráfego de rede e da correção das falhas do protocolo de roteamento BGP, que anteriormente levavam repetidamente ao “seqüestro de tráfego” - redirecionando pacotes de dados por meio de um gateway de rede arbitrário, acidental ou intencionalmente.

Um novo bug foi descoberto no plug - in do WordPress, otimizador de SEO do Rank Math. Você pode nomear remotamente qualquer usuário registrado no site como administrador ou retirar direitos de um administrador real.

A Agência de Supervisão de Aviação Americana (FAA) enviou uma diretiva exigindo que as companhias aéreas restaurassem os sistemas de controle do Boeing 787 pelo menos uma vez a cada 51 dias. O motivo, provavelmente, é o mesmo que em outros casos semelhantes na aviação e não apenas: o estouro do contador de tempo.