¿Es seguro Zoom y los equipos de seguridad deberían prohibirlo?


El rápido ascenso a la prominencia de la aplicación de videoconferencia y colaboración Zoom durante la pandemia de coronavirus Covid-19 destaca cada vez más problemas de ciberseguridad con el servicio, que se ha descargado millones de veces a dispositivos personales y empresariales en todo el mundo.

A principios de esta semana, los investigadores de amenazas de Check Point informaron sobre un aumento en los dominios Zoom fraudulentos que se utilizan para atraer a usuarios desprevenidos y robar su información personal. Ahora, más investigadores de amenazas han acumulado sus propias revelaciones, y algunos van tan lejos como para recomendar que las personas dejen de usar Enfocar en total. Entre ellos se encuentra Patrick Wardle, un antiguo agente de seguridad cibernética de la NSA y ahora investigador principal de seguridad en Jamfquien destacó dos peligrosas hazañas de día cero en su blog.

Ambas vulnerabilidades, que ahora han sido parcheadas, afectaron la versión Apple MacOS de Zoom y son fácilmente explotadas por un atacante que tiene el control físico de la máquina objetivo. Uno permitió que los piratas informáticos obtuvieran acceso root privilegiado para instalar malware o spyware, el otro les permitió inyectar código malicioso en Zoom para engañarlo y permitirles acceder a la cámara web y al micrófono del objetivo.

«Zoom,» el líder en comunicaciones de video empresariales modernas «está en camino de convertirse en un verbo familiar y, como resultado, el precio de sus acciones se ha disparado», dijo Wardle. «Sin embargo, si valora su seguridad cibernética o su privacidad, es posible que desee pensar dos veces antes de usar la versión macOS de la aplicación».

Los investigadores revelaron otra vulnerabilidad que afecta a Microsoft Windows a través de Bleeping Computer. Este problema particular, que ahora también ha sido parcheado, se centró en el cliente Zoom de Windows, que es vulnerable a Convención de nomenclatura universal (UNC) inyección de ruta en su interfaz de chat, lo que permitiría a los piratas informáticos robar la credencial de Windows de cualquiera que haya hecho clic en un enlace malicioso.

Tal Zamir, cofundador y CTO de Hysolate dijo: «Las empresas deben tener en cuenta que los dispositivos de los usuarios utilizan una variedad de aplicaciones que van más allá del correo electrónico e Internet. Zoom es una de las aplicaciones sin navegador más populares en estos días y tiene nuevas vulnerabilidades que las empresas deberían preocuparse.

«Esto incluye la vulnerabilidad de Zoom Client descubierta recientemente que permite que un atacante remoto en una llamada de Zoom reciba las credenciales de Windows de un usuario. Desafortunadamente, veremos un aumento de tales ataques en herramientas de colaboración como Zoom, Teams y Slack, ya que todos tienen una amplia superficie de ataque «.

No vale la pena el riesgo

Para Douglas Jones, cofundador y socio gerente de JAG Insurance Group, sus problemas recientes sugieren que no vale la pena arriesgarse con Zoom.

«Siempre me inclino por el lado de la precaución. Zoom ha explotado y eso significa que está bajo más escrutinio. Sin duda, eso llevará a una revisión de sus prácticas, muy similar a lo que sucedió con Facebook y Uber una vez que estuvieron bajo la lupa. En la actualidad, sigue siendo un peligro para la seguridad cibernética. Yo recomendaría buscar alternativas «, dijo.

«Zoom, estoy seguro de que es muy atractivo para cualquier negocio que haya puesto sus prácticas al revés y quiera un poco de normalidad. Sin embargo, no vale la pena correr el riesgo de comprometer la información de su empresa o cliente. Una vez que pierde la confianza de un cliente, es muy difícil volver «, dijo.

Pero Paul Bischoff, defensor de la privacidad en Comparitech, piensa que la controversia de alto perfil podría ser buena para Zoom.

“Zoom está bajo un microscopio en este momento debido a su explosión en popularidad. Eso inevitablemente da como resultado que se encuentren más vulnerabilidades. Sin embargo, si Zoom responde adecuadamente, como resultado, el otro extremo será más seguro ”, dijo.

Mejores prácticas para equipos de seguridad.

Entonces, ¿se acabó todo para Zoom? ¿Deben los CISO y los equipos de seguridad apresurarse a bloquearlo y eliminarlo de sus propiedades de TI?

La respuesta es no, no necesariamente. Sin embargo, como con cualquier otra aplicación, debe prestar atención tanto a cómo funciona Zoom y, en particular, a su configuración de seguridad, como a las mejores prácticas generales de seguridad cibernética.

Aleksandr Yampolskiy, CEO de SecurityScorecard, dijo: «Todos los riesgos de terceros deben tomarse muy en serio, incluido Zoom. Tener un monitoreo continuo en el lugar es fundamental para minimizar los riesgos de seguridad, particularmente en momentos como hoy cuando las empresas recurren a nuevos proveedores de herramientas para permitir el trabajo remoto productivo como Zoom sin siempre examinarlos a fondo «.

“La plataforma Zoom ofrece innumerables beneficios a quienes tienen que trabajar desde casa durante este período de tiempo. Al igual que con cualquier herramienta, es importante estar al tanto de los posibles riesgos y utilizar las funciones disponibles en la plataforma para comunicarse de forma segura ”, reconoce. Omri Herscovici de Check Point.

ID de la reunión

Yampolskiy presenta una serie de pasos que los equipos de TI deben tomar para asegurar Zoom: «Cuando use Zoom, evite usar su ID de reunión personal para organizar eventos públicos. Esto es básicamente una reunión continua y cualquiera puede interrumpir su espacio virtual personal en cualquier momento. Seleccione «ID de reunión única» o «generar automáticamente» en su configuración «, dijo.

“Evite que los participantes compartan la pantalla durante una llamada utilizando los controles del host en la parte inferior. Haga clic en la flecha al lado de compartir pantalla y luego en las opciones avanzadas para compartir. En «¿quién puede compartir?», Seleccione «solo host».

«Asegúrese de seleccionar» solo los usuarios autenticados pueden unirse «en la configuración de la reunión. Elegir esta opción es útil si desea controlar su lista de invitados e invitar solo a los que desee en su reunión. Impide que alguien se una a una reunión desde un correo electrónico por el que no fueron invitados.

«Al seleccionar» habilitar sala de espera «en su configuración, puede seleccionar quién está intentando acceder a su reunión y mantener alejados a los invitados no deseados. Es una cola virtual y, como anfitrión, puedes admitir personas una por una, eliminarlas o admitir a la siguiente persona en cualquier orden «, dijo Yampolskiy.

Zamir de Hysolate dijo: «Para protegerse realmente de las amenazas de punto final de manera integral, las empresas deben adoptar técnicas de aislamiento del sistema operativo que trasladen las aplicaciones, datos y credenciales empresariales confidenciales a un sistema operativo separado que esté aislado de las aplicaciones externas más riesgosas».

Javvad Malik, defensor de la conciencia de seguridad en Knowbe4, dijo: «Zoom no es muy diferente de muchas otras herramientas de videoconferencia en el mercado. La mayoría tiene desafíos de privacidad similares, por lo que las organizaciones deben tener cuidado con los riesgos que se presentan. Este tipo de medidas mitigará la mayoría de las amenazas que podrían materializarse para la mayoría de los empleados «, dijo Malik.

“Para conversaciones más sensibles, se pueden considerar alternativas y se pueden implementar medidas más estrictas. Lo que puede no funcionar para grupos grandes, pero podría mantener las reuniones más pequeñas más seguras ”, dijo.

En esta nota, cuando se trata de grupos más grandes y casos de uso que requieren seguridad adicional, como en las industrias reguladas, Yampolskiy dijo que Zoom históricamente ha estado bastante abierto a crear contratos especializados para aquellos que desean políticas de privacidad más intensivas.

«Insto a cualquier empresa que se ocupe de datos confidenciales a perseguir eso», dijo. «Para la colaboración comercial general, Zoom es suficiente, pero cuando se trata de datos patentados o PII [personally identifiable information] considere compartir esos datos a través de medios más seguros y privados como correos electrónicos cifrados con PGP, Signal o Wickr.

«El Departamento de Defensa [US Department of Defence] y sus proveedores han invertido grandes cantidades en tecnologías VTC cifradas de extremo a extremo y esas soluciones pueden ser aplicables para otras industrias «, dijo.

Boris Johnson: existe un problema entre el teclado y la silla

Zoom también es vulnerable a un simple error humano, como lo demuestra el primer ministro del Reino Unido, Boris Johnson, quien actualmente se está recuperando del coronavirus y trabaja mientras está secuestrado en su departamento de Downing Street.

El 31 de marzo Johnson compartió una captura de pantalla de una reunión de gabinete llevado a cabo a través de Zoom, en el que reveló no solo los nombres de pantalla de Zoom de sus colegas: Dominic Raab usa «Dom Raab» y Michael Gove «michaelgove739», que es información potencialmente útil para ayudar a planificar ataque de relleno de credenciales – pero crucialmente la ID de la reunión de Zoom. Esto significa que cualquier ciberdelincuente con esa identificación particular podría unirse fácilmente a una reunión confidencial del gabinete del gobierno del Reino Unido.

No es necesario decir que los equipos de seguridad deben esforzarse por educar a sus usuarios en que nunca es aceptable compartir capturas de pantalla de su configuración de escritorio de trabajo remoto o aplicaciones en pantalla bajo ninguna circunstancia.

William MacDonald, CTO de StarLeaf, dijo: «Es fundamental que los usuarios sean diligentes con la información personal identificable y sensible que comparten en Internet. Con las herramientas de videoconferencia, los usuarios deben conocer tanto lo que hay a su alrededor como cualquier información en pantalla. Al igual que con las conferencias telefónicas, el ID de la reunión de video es una información confidencial que permitiría a los usuarios obtener acceso a la reunión.

«Los servicios de videoconferencia que ofrecen la posibilidad de bloquear una reunión tienen una ventaja aquí, ya que permiten que el anfitrión de la reunión impida que se unan los participantes no deseados», dijo MacDonald. “El trabajo remoto es una experiencia novedosa para muchas empresas y estamos viendo a muchos empleados publicitando sus experiencias en los canales de redes sociales. Si bien no desalentaríamos a las organizaciones a defender sus experiencias, alentamos a las empresas a ser responsables en lo que comparten ”.

“Mostrar la identificación de un usuario podría comprometer fácilmente a una organización. Es importante cuando se utiliza un sistema de reunión de video, los usuarios son plenamente conscientes de todas sus capacidades, incluidas la pantalla y las medidas de seguridad vigentes ”

Yampolskiy de SecurityScorecard dijo: “Cuando sea posible, aliente a los empleados a usar una computadora emitida por la compañía que haya sido parcheada adecuadamente, utilice 2FA, use las últimas soluciones de protección de endpoints para prevenir malware y otros ataques secundarios de los clientes, y promueva la capacitación continua de sensibilización para el personal para ayudarlos a comprender cómo evitar ser la ‘fruta baja’ de tales ataques «.

¿Qué toma Zoom?

En una actualización publicada poco antes de la publicación de este artículo, el CEO de Zoom, Eric Yuan, dijo que era consciente de la inmensa responsabilidad que Zoom ahora tiene desde que el uso de su servicio se ha disparado. Señaló que a fines de diciembre de 2019, Zoom vio aproximadamente 10 millones de participantes de la reunión diaria en sus versiones gratuitas y de pago, y para fines de marzo de 2020, esto había alcanzado los 200 millones.

“Durante las últimas semanas, apoyar esta afluencia de usuarios ha sido una tarea tremenda y nuestro único enfoque. Nos hemos esforzado por brindarle un servicio ininterrumpido y la misma experiencia fácil de usar que ha hecho de Zoom la plataforma de videoconferencia elegida por empresas de todo el mundo, al tiempo que garantiza la seguridad y privacidad de la plataforma.

«Sin embargo, reconocemos que no hemos cumplido con las expectativas de privacidad y seguridad de la comunidad, y las nuestras. Por eso, lo siento profundamente, y quiero compartir lo que estamos haciendo al respecto «, dijo.

Yuan señaló que la plataforma fue construida principalmente para clientes empresariales con soporte de TI completo y políticas de seguridad establecidas, no con la visión de que repentinamente sería confiada por un grupo mucho más amplio de usuarios que la están utilizando de una «miríada de formas inesperadas «.

“Estos nuevos casos de uso, en su mayoría de consumo, nos han ayudado a descubrir problemas imprevistos con nuestra plataforma. Periodistas e investigadores de seguridad dedicados también han ayudado a identificar a los preexistentes. Apreciamos el escrutinio y las preguntas que hemos estado recibiendo: sobre cómo funciona el servicio, sobre nuestra infraestructura y capacidad, y sobre nuestras políticas de privacidad y seguridad. Estas son las preguntas que mejorarán Zoom, tanto como empresa como para todos sus usuarios ”, dijo Yuan.

Entrenamiento y apoyo

Zoom ya ha aumentado su provisión de capacitación y soporte para usuarios, agregando demostraciones diarias gratuitas y seminarios web en vivo, ha agregado más recursos para minimizar los tiempos de espera de soporte y ha tomado medidas para ayudar a los usuarios a abordar incidentes de acoso o zoombombing.

También tiene – después de ser amenazado con una demanda – eliminó un SDK de Facebook de su cliente iOS que enviaba datos del usuario al gigante de las redes sociales, actualizado su política de privacidad para ser más transparente sobre los datos que hace recopilar y tomar medidas adicionales para garantizar el uso de su plataforma por parte de las escuelas.

En las últimas 24 horas se ha mudado a aclarar su enfoque de cifrado, reconociendo que a veces implicaba que los datos estaban cifrados de extremo a extremo, generalmente lo es, pero en algunos dispositivos que no utilizan inherentemente su política de comunicaciones, este no es siempre el caso, y eliminó una función que «rastreó» la atención de los asistentes a la pantalla.

También lanzó correcciones para las vulnerabilidades de Mac y Windows y eliminó el Navegador de ventas de LinkedIn después de identificar la divulgación de datos innecesarios por la característica.

“En los próximos 90 días, nos comprometemos a dedicar los recursos necesarios para identificar, abordar y solucionar los problemas de manera proactiva. También estamos comprometidos a ser transparentes en todo este proceso. Queremos hacer lo que sea necesario para mantener su confianza ”, dijo Yuan.

En el futuro, Zoom aprobará todas las nuevas funciones y volverá a desplegar su personal de ingeniería para centrarse exclusivamente en la privacidad y la seguridad; revise sus expertos y usuarios externos para comprender y mejorar la seguridad de los nuevos casos de uso; preparar un nuevo informe de transparencia que detalle las solicitudes de datos, registros o contenido; mejorar su esquema de recompensas de errores; lanzar un consejo CISO para trabajar con la industria; participe en las pruebas de penetración de la caja blanca para identificar otras vulnerabilidades.

“La transparencia siempre ha sido una parte central de nuestra cultura. Estoy comprometido a ser abierto y honesto con usted acerca de las áreas en las que estamos fortaleciendo nuestra plataforma y las áreas en las que los usuarios pueden tomar sus propias medidas para utilizarlas y protegerse mejor en la plataforma «, dijo Yuan. «Agradecemos sus continuas preguntas y lo alentamos a que nos envíe sus comentarios: nuestra principal preocupación, ahora y siempre, es hacer felices a los usuarios y garantizar que la seguridad, la privacidad y la seguridad de nuestra plataforma sean dignas de la confianza que todos han depositado en ustedes. nosotros.»