Mulher de costas usando um suéter rosa claro apontando para a tela de um computador, onde há três pessoas no canto direito da tela assistindo sua apresentação

Ferramenta ‘Discagem de guerra’ expõe os problemas de senha do Zoom

Post disponível em / disponible en / available in: Português Español

Tempo de leitura: 6 minutos

A pandemia de coronavírus forçou muitas pessoas a fazerem trabalho remoto.

Por causa disso, as empresas estão realizando reuniões diárias usando os serviços de videoconferência do Zoom.

Porém, sem uma proteção de senha, há uma grande chance de que sua próxima reunião do Zoom possa ser “bombardeada com zoom”, ou seja, atendida ou interrompida por alguém de fora.

De acordo com os dados coletados por uma nova ferramenta automatizada de descoberta de reuniões Zoom, que recebeu o apelido de “zWarDial”, um número absurdo de reuniões nas principais empresas não está sendo protegida por uma senha.

Segundo os fabricantes da zWarDial, a ferramenta pode encontrar em média 110 reuniões por hora e tem cerca de 14% de taxa de sucesso.

Tela com fundo preto e linguagem de programação em branco. Um telefone antigo está desenhado logo acima o texto de linguagem de programação com os números 0 e 1. Ao lado do telefone é possível ler ZWarDial, também desenhado com 0 e 1.

Fonte: KrebsOnSecurity, 2020.

A cada chamada em conferência do Zoom é atribuída uma ID da reunião que consiste em 9 a 11 dígitos.

Os cibercriminosos descobriram que podem simplesmente adivinhar ou automatizar a descoberta de IDs aleatórios dentro desse espaço de dígitos.

Especialistas em segurança já haviam feito análise semelhante e descobriram que eram capazes de prever aproximadamente quatro por cento dos códigos de reunião gerados aleatoriamente.

A Zoom respondeu que estava ativando senhas por padrão em todas as futuras reuniões agendadas.

Além disso, o Zoom disse que iria bloquear tentativas repetidas de procurar por IDs de reunião e que não indicaria mais automaticamente se um ID de reunião era válido ou inválido.

Porém, a incidência de Zoombombing disparou nas últimas semanas, chegando até mesmo a alertar o FBI sobre como garantir reuniões contra bisbilhoteiros e criminosos.

Isso sugere que muitos usuários do Zoom desativaram as senhas por padrão e que o novo recurso de segurança do aplicativo simplesmente não está funcionando conforme o esperado para todos os usuários.

No início desta semana, o KrebsOnSecurity ouviu Trent Lo, um profissional de segurança e fundador do SecKC, o mais longo encontro mensal de segurança de Kansas City.

Lo e alguns outros membros do SecKC foram os criadores do zWarDial, que tem seu nome inspirado nos antigos programas de discagem baseados em telefone que chamavam números aleatórios ou sequenciais em um determinado prefixo para procurar modems de computador.

Segundo Lo, o zWarDial evita as tentativas do Zoom de bloquear as verificações automatizadas de reuniões, roteando as pesquisas por meio de vários proxies no Tor, um software gratuito e de código aberto que permite que os usuários naveguem na web anonimamente.

“O Zoom relatou recentemente que corrigiu o problema, mas estou usando um URL totalmente diferente e passando um cookie junto com esse URL. Isso me fornece as informações da sala [Zoom meeting] sem precisar fazer login”. Disse Lo, descrevendo parte de como a ferramenta funciona no back-end.

Uma única instancia do zWarDial pode encontrar aproximadamente 100 reuniões por hora, mas que várias instancias da ferramenta em execução em paralelo provavelmente podem descobrir a maioria das reuniões abertas do Zoom em um determinado dia.

A cada instância tem uma taxa de sucesso de aproximadamente 14%, ou seja, para cada número de reunião aleatória que ele tenta, o programa tem 14% de chance de encontrar uma reunião aberta.

“Somente as reuniões protegidas por uma senha são indetectáveis pelo zWarDial”, disse Lo. “Ter uma senha ativada na reunião é a única coisa que a derrota”.

Lo compartilhou a saída do escaneamento zWardial de um dia, que revelou informações sobre quase 2.400 reuniões Zoom futuras ou recorrentes.

Essas informações incluíam o link necessário para participar de cada reunião; a data e hora da reunião; o nome do organizador da reunião; e qualquer informação fornecida pelo organizador da reunião sobre o tópico da reunião.

Os resultados foram surpreendentes e revelaram detalhes sobre as reuniões da Zoom agendadas por algumas das maiores empresas do mundo, incluindo grandes bancos, empresas internacionais de consultoria, serviços de carona, empresas contratadas pelo governo e empresas de classificação de investimentos.

O maior grupo de empresas que expõe suas reuniões com Zoom está no setor de tecnologia e inclui vários fornecedores de segurança e tecnologia em nuvem.

Isso inclui pelo menos uma empresa de tecnologia direcionada às mídias sociais, alertando as pessoas sobre a necessidade de proteger com senha as reuniões da Zoom.

Gremlin nos padrões?

O BrebsOnSecurity perguntou ao Zoom se sua abordagem de adicionar senhas por padrão a todas as novas reuniões estava realmente funcionando como pretendido.

Em resposta, Zoom disse que estava investigando a possibilidade de sua abordagem de senha por padrão falhar em determinadas circunstâncias.

“A Zoom incentiva fortemente os usuários a implementar senhas para todas as suas reuniões para garantir que usuários não convidados não possam participar”, disse a empresa.

“As senhas para novas reuniões foram ativadas por padrão desde o final do ano passado, a menos que os proprietários ou administradores da conta tenham optado por não participar. Estamos analisando casos extremos exclusivos para determinar se, sob certas circunstancias, usuários não afiliados ao proprietário ou administrador de uma conta podem não ter as senhas ativadas por padrão no momento em que a alteração foi feita”.

O reconhecimento ocorre em meio a uma série de obstáculos de segurança e privacidade para a Zoom, que viu sua base de usuários crescer exponencialmente nas últimas semanas, devido a pandemia de coronavírus.

Eric Yuan, fundador e CEO da Zoom, disse em recente postagem no blog que o número máximo de participantes diários da reunião –tanto pagos quanto gratuitos- cresceu de cerca de 10 milhões em dezembro de 2019 para 200 milhões em março de 2020.

O rápido crescimento trouxe um exame adicional por especialistas em segurança e privacidade digital, que encontraram diversos problemas reais e potenciais com o serviço ultimamente.

Yuan reconheceu que sua empresa tem lutado para acompanhar a crescente demanda por seus serviços e os problemas adicionais que vem com ele. Ele declarou que pelos próximos 90 dias, todo desenvolvimento de novos recursos estava sendo congelado, de modo que os engenheiros da empresa possam se concentrar em questões de segurança.

Lo fez um alerta para as organizações que usam o Zoom, dizendo que elas devem evitar postar links de reunião nas mídias sociais e sempre exigirem uma senha de reunião quando possível.

“Por padrão, isso deve ser ativado como um novo cliente ou usuário de teste. As organizações herdadas precisarão verificar suas configurações de administração para garantir que estejam ativadas. Você também pode ativar ‘Incorporar senha no link de reunião para ingressar com um clique’. Isso impede que alguém indesejado acesse sua reunião sem perder a usabilidade de compartilhar um link para participar”.

Além disso, usuários do Zoom podem desativar a opção “Permitir que os participantes participem da reunião antes da chegada do host”.

“Se você precisar ativar esse recurso, ative pelo menos a opção ‘notificar o host quando participantes ingressarem na reunião antes deles’”, aconselhou Lo. “Isso o notificará que alguém pode estar usando sua reunião sem o seu consentimento. Se você precisar manter sua reunião desprotegida, ative ‘Mascarar número de telefone na lista de participantes’. O uso do recurso de lista de espera impedirá que participantes indesejados acessem sua reunião, mas ainda exportará os detalhes da reunião se usado sem senha”.

Confira algumas configurações disponíveis na Zoom:

Tela de configuração do zoom, onde apresenta algumas funções em um fundo branco.

Fonte: KrebsOnSecurity, 2020.

Via: KrebsOnSecurity.

Thais Souza
thais.souza@ostec.com.br
No Comments

Post A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.