Geral 4min de Leitura

Problemas com o Zoom levam a questionamentos sobre a segurança de softwares em home office

Aplicativo do Zoom.

This post is also available in: Português Español

Órgãos como a Anvisa e a fabricante de foguetes SpaceX chegaram a proibir o uso. Receio se estende a diversas outras ferramentas usadas no trabalho remoto.

Os efeitos da COVID-19 nas jornadas de trabalho criaram um desafio sem precedentes para as equipes de TI e segurança. Muitos departamentos estão se esforçando para habilitar aplicativos de colaboração, como videoconferência e de gestão.

Contudo, sem a segurança adequada, podem ser um grande risco. À medida que a pandemia de Coronavírus continua a se agravar, as plataformas de colaboração remota seguem sendo usadas como nunca.

Muitas delas ficaram famosas da noite para o dia – o que levou a contratempos consideráveis. O aplicativo de videoconferência Zoom, por exemplo, tornou-se notícia por ter apresentado sérios problemas.

Entre eles, estão falhas de programação, deficiências na criptografia que protege a comunicação entre os usuários e o fato de que o serviço compartilhava dados com o Facebook e o LinkedIn sem deixar isso claro.

O Zoom chegou a ser proibido por instituições como a Agência Nacional de Vigilância Sanitária (Anvisa), a fabricante de foguetes SpaceX e as Forças Armadas Australianas.

Os desenvolvedores prometeram melhorias, mas o medo de invasões e vazamento de dados inspirou a utilização de softwares de concorrentes.

Contudo, outras ferramentas de colaboração, como Slack, Trello, WebEx e Microsoft Teams também passaram a ser vistas com certa desconfiança.

Para as empresas que se apoiam nessas plataformas, a segurança e agilidade são prioridades. Basta uma falha para a levar a violações de dados, danos à marca e infestações por malware. Não é exagero dizer que cibercriminosos passam dias procurando novas fraquezas.

Em março, por exemplo, foi encontrada uma vulnerabilidade crítica no Slack, que poderia permitir aquisições automatizadas de contas (ATOs) e levar a violações de dados. Em determinadas situações, os cookies poderiam ser coletados e usados posteriormente para assumir as contas, tanto em ataques manuais quanto automatizados.

Além do Slack, o WebEx teve sua parcela de falhas de segurança. Seu fabricante, a Cisco, corrigiu duas vulnerabilidades de alta gravidade na plataforma de videoconferência. Se exploradas, poderiam permitir que um invasor executasse códigos nos sistemas afetados.

No início do ano, foi encontrado um bug que permitiria a estranhos participar de reuniões protegidas por senha, apresentando uma séria preocupação com a exposição de dados.

Um prato cheio para hackers

Além de explorar os bugs de segurança, os cibercriminosos têm outras oportunidades de ataque. Slack, Microsoft Teams e outros possuem componentes de mensagens que podem ser usados para uso de phishing e malware por meio de links e anexos. Podem chegar ao ponto de personificar o funcionário nas conversas e enviar anexos mal-intencionados, que se espalham a outras contas de colaboradores.

Esses aplicativos também estão sujeitos a erros de configuração. A popular plataforma de colaboração on-line Trello, usada nas empresas para organizar listas de tarefas e coordenar funções da equipe, tem um problema porque é indexada pelo Google se seus quadros estiverem definidos como públicos. Esses conteúdos podem ser pesquisados usando uma pesquisa especial chamada Dork.

Essa configuração é surpreendentemente fácil de ser implementada por engano, como aconteceu em uma empresa chamada Regus.

Nesse caso, um quadro do Trello expôs as classificações de desempenho de centenas de funcionários. O incidente, então, se deveu ao fato de os usuários definirem seus painéis para público sem perceberem o quão fácil era para alguém encontrá-los.

Também existem vulnerabilidades que são fruto da ação de oportunistas mais versáteis. Um exemplo é o Slack, que oferece uma biblioteca de software com complementos que podem ser instalados em apenas alguns cliques.

Um invasor pode criar um complemento que anuncia ótimos recursos, mas ao mesmo tempo lê dados sigilosos de maneira silenciosa. Se um usuário instalar tal funcionalidade por engano, poderá expor informações valiosas.

O risco da colaboração

Os cibercriminosos estão tirando proveito de todas essas chances de ataque pelo fato de que os aplicativos de colaboração fornecem um rico universo de informações, que na mão dos invasores vale ouro.

Afinal, o próprio termo “colaboração” significa a comunicação de ideias, conceitos e projetos entre vários envolvidos. Por isso, os usuários divulgam tudo, oferecendo a um invasor bem-sucedido acesso irrestrito a dados potencialmente valiosos.

A questão é que dados internos de muitas empresas, arquivos de clientes, informações de sistemas internos, credenciais e informações confidenciais podem ser encontrados nessas plataformas de colaboração.

Se os hackers tiverem acesso à plataforma devido a um reuso de senha ou um ataque de preenchimento de credenciais, estarão disponíveis a eles as informações discutidas, arquivos transferidos ou outros dados sigilosos da empresa.

Se os usuários discutem abertamente informações confidenciais ou tópicos relacionados à propriedade intelectual da organização, os invasores podem coletar todas as informações e filtrar com um simples copiar e colar, ou fazer download dos arquivos. Uma promissora ideia de negócio poderia ser roubada nesse processo.

Práticas recomendadas

Para reforçar a segurança de aplicativos de colaboração, o ideal é pensar em zero confiança, ou seja, partir da ideia de que os sistemas adotados podem trazer falhas.

Assim, os usuários devem adotar comportamentos que diminuem as ameaças. Práticas rotineiras de segurança e educação devem ser aplicadas às plataformas de colaboração da mesma maneira que são usadas com outros serviços da empresa.

Tendo o método de zero confiança em mente, as equipes de segurança precisam conhecer, entender e aplicar as permissões concedidas aos usuários.

Assim, as equipes de segurança precisam fazer perguntas como: os usuários têm acesso a todo o site/sistema ou apenas a uma biblioteca de documentos específica? Os usuários todos têm acesso e propriedade aos canais de sua equipe, ou eles possuem acesso a todos os canais da instituição?

Dessa maneira, as empresas precisam garantir que o princípio do menor privilégio seja seguido, para que os funcionários tenham somente o acesso necessário a suas atividades rotineiras e legítimas.

As equipes de TI devem permitir apenas a instalação de complementos pelos administradores e seguir um processo rigoroso de revisão antes da implementação.

Em suma, com a pandemia, é preciso garantir que as plataformas de colaboração sejam mantidas nos mesmos padrões de outros serviços. Isso inclui exigir que as senhas sejam sempre seguras e complexas, usar autenticação multifatorial e aplicar os mesmos controles em informações confidenciais que seriam usadas na plataforma de e-mail de dentro da sede.

Ao mesmo tempo, os usuários devem ser treinados para entender como as iscas de phishing agem através do Slack, Zoom, Trello ou em um bate-papo do WhatsApp.

Além disso, é preciso ter consciência sobre o que é e o que não é bom compartilhar em uma plataforma de trabalho, por mais que o home office inspire um ar mais despojado no dia a dia.

This post is also available in: Português Español