Defectos de seguridad de Zoom: ¿ha hecho lo suficiente para solucionarlos?


Como millones han inundado Zoom debido a COVID-19, el sitio se convirtió en un objetivo principal para los piratas informáticos. Así es como respondió la compañía y si los expertos en seguridad piensan que es adecuada.

A medida que la pandemia de COVID-19 ha cambiado el lugar de trabajo, y las reuniones sociales, en línea, las reuniones de negocios, las entrevistas de trabajo, las conferencias y los eventos sociales han pasado del mundo físico al digital. Si bien hay muchas plataformas de videoconferencia para elegir, un servicio se destaca del resto como el más common en el mercado: Zoom.

En las semanas que COVID-19 comenzó a aumentar, el uso de Zoom se disparó: en la semana del 16 de marzo, por ejemplo, hubo un aumento del 101.1% con respecto a la semana anterior y un 224.7% más de conexiones realizadas un mes antes, según nuevos datos de Wandera Y con este aumento de las conexiones se produjo un aumento en el uso de datos: en esa misma semana, ascendió un 337%. En ese mes, subió la friolera de 876.7%.

¿Qué significa esto en términos de usuarios reales? Zoom 1 de abril publicación de blog site afirmó que la plataforma acogió a 200 millones de participantes de la reunión diaria en el mes de marzo:10 millones más que había en diciembre.

Pero a medida que más personas inundaron la plataforma de videoconferencia, surgieron problemas. Los usuarios no invitados entraron a las reuniones (porque los códigos de ID de Zoom eran fáciles de adivinar) y comenzaron lo que ahora se llama «Bombardeo de Zoom», acosando a los participantes proyectando imágenes gráficas. También se convirtió en un patio de recreo para los piratas informáticos, ya que muchos participantes de la conferencia estaban trabajando desde su casa, con una mayor vulnerabilidad de las computadoras de su hogar. Además de esto, los correos electrónicos y las fotos de los usuarios de Zoom se filtraron y sus videollamadas no se cifraron de extremo a extremo. (En cambio, estaban «cifrados en el transporte», lo que significa que Zoom podía acceder a los datos).

VER: Política de teletrabajo (TechRepublic Premium)

Tim Keeler, CEO de Remediant, consultor de seguridad y probador de penetración, explicó cómo Zoom se convirtió en un objetivo. Según Keeler, el instalador de Zoom se ejecutó sin validación y sin el consentimiento del usuario, que se dirigió a los administradores.

«Un atacante podría abusar de esto para obtener el privilegio de nivel &#39raíz&#39 modificando el instalador sin que nadie lo observe», dijo. Además, la versión para Home windows de Zoom «engañó a los usuarios para que revelaran nombres de usuario y valores de contraseña haciendo clic en los enlaces en una ventana de chat de la sesión de Zoom», que «aprovechó la vulnerabilidad de inyección de ruta de la Convención de nomenclatura common (UNC) en el cliente de Windows de Zoom».

Zoom reconoció los problemas: «Nos movimos demasiado rápido … y tuvimos algunos pasos en falso»
CEU Eric Yuan le dijo a CNN. «Hemos aprendido nuestras lecciones y hemos dado un paso atrás para centrarnos en la privacidad y la seguridad». La plataforma respondió por pausar actualizaciones de funciones durante 90 días.

VER: Cómo proteger su línea de conferencia de zoom de hackers (PDF gratuito) (TechRepublic)

Y el domingo 5 de abril, Zoom respondió ofreciendo algunas opciones para ayudar a reforzar la seguridad. El primer gran cambio fue habilitar las contraseñas de reunión. Esto no se aplica a aquellos que se unen a través de enlaces, pero cualquier persona que ingrese con una ID de reunión ahora debe usar una contraseña para obtener acceso a partir del domingo, las contraseñas se han incluido en las invitaciones. Zoom recomienda que los organizadores de la reunión vuelvan a compartir la reunión original con los participantes. (Aquí están los dos de Zoom-minuto de video clip para obtener instrucciones detalladas.) La otra actualización importante fue tener la sala de espera digital, el área que alberga a las personas antes de que entren en la reunión, activada automáticamente. Esto le da a los organizadores una oportunidad adicional de admitir invitados individuales.

La respuesta de Zoom fue «la mejor en su clase», dijo Keeler. Sus declaraciones que reconocen los problemas fueron transparentes, dijo, y «sacar rápidamente parches para cada uno de los defectos «. Keeler cree que las nuevas opciones predeterminadas, la función Sala de espera y la reunión protegida por contraseña, refuerzan las mejores prácticas y evitarán el bombardeo de Zoom.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic Quality)

No todos los expertos en seguridad creen que la respuesta es adecuada: Craig Malloy, CEO de Lifesize, dijo que la respuesta de Zoom fue «BS falsa«en su publicación en el blog site de LinkedIn». Zoom solo lamenta que los hayan atrapado «, escribió.» La seguridad y la privacidad de los datos están incrustadas en la cultura de su empresa, o no lo son. Es una decisión una elección. Nadie está explotando Google Hangouts o Lifesize, cuyo uso también es muy elevado, para uso comercial y individual «.

Aún así, la conclusión clave es que, si bien estas violaciones de seguridad se han dirigido a Zoom, podría sucederle a cualquier plataforma que no haya tomado las medidas adecuadas para protegerse.

«Estas vulnerabilidades recientes presentan una amenaza mucho mayor para las organizaciones de lo que muchos creen», dijo John Abel, CIO, Veritas Technologies. «Sin el cifrado de extremo a extremo, las empresas son susceptibles a que los hackers escuchen u obtengan acceso a información confidencial compartida a través de la plataforma».

Abel continuó: «La generación precise de malware es lo suficientemente sofisticada como para personalizarla con entornos de destino específicos, como la infraestructura crítica de respaldo y recuperación». La única forma de abordar esto, enfatizó, fue con una «estrategia holística de protección de datos» que pueda detectar y responder a una variedad de amenazas diferentes, así como racionalizar la administración de seguridad en toda la organización.

Ver también

Cómo convertirse en un profesional de ciberseguridad: una hoja de trucos (TechRepublic)
El estafador de Mastermind detrás de Capture Me If You Can habla de ciberseguridad (descarga TechRepublic)
Seguridad de Home windows 10: una guía para líderes empresariales (TechRepublic Quality)
Seguridad en línea 101: consejos para proteger su privacidad de hackers y espías (ZDNet)
Todos los términos de VPN que necesitas saber (CNET)
Ciberseguridad y ciberguerra: más cobertura de lectura obligatoria (TechRepublic en Flipboard)

screen-shot-2020-03-30-at-4-38-50-pm.png "src =" https://tr4.cbsistatic.com/hub/i/r/2020/03/30/166d7a7a-e2c4 -4499-99cd-64fc9c0797ea / redimensionar / 770x / 0ee8d84c95729529fa57aac549b16cf7 / screen-shot-2020-03-30-at-4-38-50-pm.png

Imagen: CNET



Enlace a la noticia initial