Edutech2020_Zoom: vulnerabilidades de la herramienta y cómo protegerse

Transcript

1. ZOOM: vulnerabilidades de la herramienta y cómo protegerse Ing. Germán

   Parisi - Ing. Ileana Barrionuevo 1

2. Agenda 1. Contexto actual. 2. Análisis superficial de Zoom. 3.

   Problemáticas recientes. 4. Tips de configuración segura. 5. Conclusión y herramientas alternativas. 2

3. Contexto actual La pandemia del COVID-19 ha traído cambios significativos

   en nuestra vidas, y a causa de esto, la población descubrió y se afianzó al uso de “nuevas” herramientas: 1. Teleconferencias. 2. Videollamadas para reuniones laborales y hasta familiares. 3. Clases virtuales. 4. Telemedicina. 3

4. ¿Qué es Zoom? • Aplicación de teleconferencias. • Según un

   informe de citizenlab: ◦ Sede en USA. ◦ Desarrollada por tres compañías en China (Ruanshi Software). ◦ Zoom es propietaria de dos de ellas. ¿Qué función cumple? - Reuniones - Seminario web con video - Sala de conferencia - Sistema telefónico - Mensajería instantánea comercial 4

5. Analicemos Zoom 1. Brinda diversas posibilidades de configuración. Esto mejora

   la usabilidad pero atenta contra la seguridad. 2. Recolectan información de todo tipo, ejemplo: ◦ Información técnica del dispositivo, red y de la conexión de internet. ◦ Ubicación aproximada. ◦ Información sobre cómo estás usando Zoom. ◦ Configuraciones. ◦ Metadatos. Aunque todo esto está debidamente presentado en su política de privacidad. 5

6. Analicemos Zoom 6 3. Grabación • Muestra alertas visuales para

   indicar que se está haciendo. • Opcionalmente el anfitrión puede solicitar el consentimiento a través de un mensaje a los participantes. • Guardado localmente. • Guardado en la nube. ◦ Ofrece un servicio de transcripción ¿Entonces se tiene acceso al vídeo y al audio?

7. Analicemos Zoom Hay que distinguir entre la recolección de información

   que Zoom hace sobre los usuarios frente a vulnerabilidades de seguridad aprovechadas por ciberdelincuentes. 1. Zoom te advierte qué información va a recolectar y uno acepta eso al momento de instalarlo. 2. Por otro lado, Zoom a lo largo de su historia recopila una cantidad menor de vulnerabilidades públicamente conocidas y todas ellas fueron solucionadas. 7

8. Problemáticas recientes • 1° de abril: Zoombombing 8 Intrusión en

   videoconferencias - exposición de contenido sensible hacia otros participantes https://eldoce.tv/curioso/zoom-alerta-hackeos-docente-denuncio-intruso-compartio-pornografia-videollamadas-cuarentena_98435

9. Problemáticas recientes 9 Buscador de Google: intext:zoom.us/j/ Reuniones sin contraseña

   Versión 5.0 agrega de forma predeterminada una contraseña a la reunión - sala de espera activada • 1° de abril: Zoombombing Intrusión en videoconferencias - exposición de contenido sensible hacia otros participantes

10. Problemáticas recientes • Políticas de privacidad de Zoom 10 Envío

    de datos a Facebook (incluso personas que no poseen cuenta) Control sobre algunos datos para ser compartidos con terceras partes. - cuándo se abre la aplicación - detalles del dispositivo del usuario (modelo, operadora móvil y ciudad desde la que se conecta) https://blog.segu-info.com.ar/2020/03/zoom-enviaba-datos-facebook.html

11. Problemáticas recientes • 2 de abril: cifrado end-to-end?? 11 Zoom

    almacena las claves de cifrado en su propia infraestructura cloud No es cifrado end-to-end Podría utilizar las claves para descifrar los datos! • Usaban versión TLS estándar → vulnerable

12. Problemáticas recientes • Caso primer ministro del Reino Unido: Boris

    Johnson muestra su ID personal (PMI) en una captura de pantalla. Zoom lo soluciona en la versión: 5.0.23478.0429 12

13. Problemáticas recientes • Envío de hipervínculos (UNC) para compartir archivos,

    con riesgo de exposición de credenciales 13

14. Problemáticas recientes • LinkedIn Sales Navigator: data mining permitió unificar

    usuarios con cuentas de Linkedin 14

15. Problemáticas recientes • Campañas de phishing dirigidas a usuarios de

    Zoom 15 https://abnormalsecurity.com/blog/abnormal-attack-stories-zoom-phishing/ Robo de credenciales

16. Problemáticas recientes • Venta de vulnerabilidades 16 https://abnormalsecurity.com/blog/abnormal-attack-stories-zoom-phishing/ Windows y

    Mac - Windows: Ejecución de Código Remoto (RCE) permitiría espionaje - Precio inicial: U$S500.000 - Requiere que el atacante esté presente en la llamada

17. Problemáticas recientes • Contraseñas expuestas en la Deep Web -

    a la venta y regaladas 17 - correo - contraseña - URLs de reuniones y claves host de Zoom.

18. Problemáticas recientes 18 Otros problemas: - Tráfico dirigido hacia servidores

    en China, “erróneamente” - Administradores podían ver: dirección IP, datos de ubicación, datos del dispositivo de cada participante: Sist. operativo, nombre del dispositivo, etc. - Grabaciones expuestas en la web, con datos sensibles.

19. Problemáticas recientes 19 Otros problemas: - Funcionalidad “Directorio” → expuso

    emails y fotos de otros usuarios desconocidos - Control sobre micrófono y cámara - Control sobre el escritorio de Mac - Distribución de malware en instaladores no oficiales - Sitios web maliciosos habilitaban la cámara sin permiso - Denegación de servicio

20. Configuraciones recomendadas • Uso de sala de espera. ◦ A

    partir de acá se puede controlar quién ingresa y quién no. ◦ Se puede realiza un control de ingreso uno a uno para mayor seguridad. 20

21. Configuraciones recomendadas • No usar el ID personal para crear

    reuniones. 21

22. Configuraciones recomendadas • Usar contraseña en las reuniones. • No

    usar contraseñas de corta longitud 22

23. Configuraciones recomendadas • Deshabilitar video para participantes 23

24. Configuraciones recomendadas • Deshabilitar audio para participantes 24

25. Configuraciones recomendadas • Uso de fondos virtuales - evitar exposición

    de lugares 25

26. Configuraciones recomendadas • Identificar participantes 26

27. Configuraciones recomendadas • Habilitar sólo al anfitrión para compartir pantalla

    27

28. Configuraciones recomendadas • Deshabilitar pizarra y anotaciones por parte de

    los participantes 28

29. Configuraciones recomendadas • NO compartir identificadores de reunión por redes

    sociales, ni los enlaces de la reunión 29

30. Configuraciones recomendadas • Al eliminar participantes, no permitirles reingreso 30

31. Configuraciones recomendadas • Reportar participantes por comportamiento indebido 31

32. Configuraciones recomendadas • No permitir que cambien de nombre, y

    ocultar foto de perfil, evitar actualizaciones 32

33. Configuraciones recomendadas • Habilitar/Deshabilitar el chat 33

34. Configuraciones recomendadas • Bloquear reunión cuando todos hayan ingresado 34

35. Configuraciones recomendadas • Actualizar a la última versión (desde tiendas

    oficiales): 5.0.403652.0509 - Escritorio 5.0.24050.0510 - Android 5.0.2 - iOS 35 https://support.zoom.us/hc/es/articles/201362233--D%C3% B3nde-puedo-descargar-la-%C3%BAltima-versi%C3%B3n- https://play.google.com/store/apps/details?id=us.zoom.videomeetings https://apps.apple.com/ar/app/zoom-cloud-meetings/id546505307

36. Conclusión y herramientas alternativas • Zoom es una herramienta muy

    útil y versátil que funciona muy bien. ◦ Esto no quita que puede considerarse como excesiva la información recopilada. ◦ Ningún software está exento a ser víctima de la explotación de una vulnerabilidad. • Existen otras alternativas pero ninguna es tan completa como Zoom. ◦ Jitsi Meet. ◦ Google Meet. ◦ Webex. ◦ Microsoft Teams 36

37. Preguntas Seguinos en Twitter a través de: @SecLabSis Instagram: @seclabsis

    Email: [email protected], [email protected] 37 ¡Gracias!