As reuniões no Zoom, o serviço de videoconferência cada vez mais popular, são criptografadas usando um algoritmo com deficiências sérias e bem conhecidas, e algumas vezes usando chaves emitidas por servidores na China, mesmo quando os participantes estão na América do Norte, de acordo com pesquisadores da Universidade. de Toronto. Os pesquisadores também descobriram que o Zoom protege o conteúdo de vídeo e áudio usando um esquema de criptografia caseiro, que existe uma vulnerabilidade no recurso “sala de espera” do Zoom e que o Zoom parece ter pelo menos 700 funcionários na China espalhados por três subsidiárias. Eles concluem, em um relatório para o Citizen Lab da universidade – amplamente seguido nos círculos de segurança da informação – que o serviço de Zoom “não é adequado para segredos” e que pode ser legalmente obrigado a divulgar chaves de criptografia às autoridades chinesas e “sensíveis à pressão” de eles. Não foi possível obter o zoom para comentar. Gerando chaves de criptografia na China No início desta semana, o The Intercept informou que o Zoom enganava os usuários em sua reivindicação de oferecer suporte à criptografia de ponta a ponta, na qual ninguém, exceto os participantes, pode descriptografar uma conversa. Oded Gal, diretor de produtos da Zoom, escreveu mais tarde um post no qual se desculpou em nome da empresa “pela confusão que causamos ao sugerir incorretamente que as reuniões da Zoom eram capazes de usar criptografia de ponta a ponta”. A publicação detalhou qual criptografia a empresa usa. Diagrama de como as reuniões do Zoom funcionam. Zoom Com base na leitura da postagem no blog e na pesquisa do Citizen Lab, veja como as reuniões do Zoom parecem funcionar: Quando você inicia uma reunião do Zoom, o software Zoom executando o dispositivo busca uma chave com a qual criptografar o áudio e o vídeo. Essa chave vem da infraestrutura em nuvem do Zoom, que contém servidores em todo o mundo. Especificamente, ele vem de um tipo de servidor conhecido como “sistema de gerenciamento de chaves”, que gera chaves de criptografia e as distribui para os participantes da reunião. Cada usuário obtém a mesma chave compartilhada à medida que ingressa na reunião. Ele é transmitido ao software Zoom em seus dispositivos a partir do sistema de gerenciamento de chaves usando outro sistema de criptografia, o TLS, a mesma tecnologia usada no protocolo “https” que protege os sites. Dependendo de como a reunião é configurada, alguns servidores na nuvem do Zoom chamados “conectores” também podem obter uma cópia dessa chave. Por exemplo, se alguém liga pelo telefone, na verdade, está chamando um servidor “Zoom Telephony Connector”, que recebe uma cópia da chave. Alguns dos principais sistemas de gerenciamento – 5 em 73, em uma varredura do Citizen Lab – parecem estar localizados na China e o restante nos Estados Unidos. Curiosamente, os servidores chineses são usados pelo menos algumas vezes para bate-papos com zoom que não têm nexo na China. Os dois pesquisadores do Citizen Lab que escreveram o relatório, Bill Marczak e John Scott-Railton, vivem nos Estados Unidos e no Canadá. Durante uma chamada de teste entre os dois, a chave de criptografia da reunião compartilhada “foi enviada a um dos participantes pelo TLS a partir de um servidor Zoom aparentemente localizado em Pequim”, segundo o relatório. O relatório aponta que o Zoom pode ser legalmente obrigado a compartilhar chaves de criptografia com as autoridades chinesas se as chaves forem geradas em um servidor de gerenciamento de chaves hospedado na China. Se as autoridades chinesas ou qualquer outro atacante hipotético com acesso a uma chave quiser espionar uma reunião do Zoom, eles também precisarão monitorar o acesso à Internet de um participante da reunião ou monitorar a rede dentro da nuvem do Zoom. Depois de coletar o tráfego de reunião criptografado, eles podem usar a chave para descriptografá-lo e recuperar o vídeo e o áudio. Falhas de criptografia: o pior dos AES O Citizen Lab sinalizou como preocupante não apenas o sistema usado para distribuir as chaves de criptografia Zoom, mas também as próprias chaves e a maneira como são usadas para criptografar dados. As chaves de Zoom estão em conformidade com o padrão de criptografia avançado, ou AES, amplamente usado. Um white paper de segurança da empresa afirma que as reuniões do Zoom são protegidas usando chaves AES de 256 bits, mas os pesquisadores do Citizen Lab confirmaram que as chaves em uso são na verdade apenas 128 bits. Hoje, essas chaves ainda são consideradas seguras, mas, na última década, muitas empresas passaram a usar chaves de 256 bits. Além disso, o Zoom criptografa e descriptografa com o AES usando um algoritmo chamado modo Electronic Codebook, ou ECB, “que é bem entendido como uma péssima idéia, porque esse modo de criptografia preserva padrões na entrada”, de acordo com os pesquisadores do Citizen Lab . De fato, o BCE é considerado o pior dos modos disponíveis da AES. Eis o motivo: deve ser impossível distinguir entre dados criptografados corretamente e dados completamente aleatórios, como estática em um rádio, mas o modo BCE não consegue fazer isso. Se houver um padrão nos dados não criptografados, o mesmo padrão será exibido nos dados criptografados. Esta página da Wikipedia tem uma ilustração útil para visualizar isso: Padrões que aparecem nos dados criptografados com o AES no modo BCE. Depois de mal criptografado dessa maneira, os dados de vídeo e áudio são distribuídos a todos os participantes de uma reunião por meio de um servidor do Zoom Multimedia Router. Para a maioria dos usuários, esse servidor é executado na nuvem da Zoom, mas os clientes podem optar por hospedar essa parte no local. Nesse caso, o Zoom gerará e, portanto, terá acesso à chave AES que criptografa a reunião, mas não deve ter acesso ao conteúdo da reunião, desde que nenhum dos servidores “conectores” mencionados (para chamadas telefônicas e outros) participantes) estão participando da reunião. (Em sua postagem no blog, Zoom disse que os clientes de hospedagem automática poderão gerenciar suas próprias chaves de criptografia.) Os hosts da reunião podem configurar suas reuniões para terem “salas de espera” virtuais, para que os usuários não entrem diretamente na reunião quando fizerem logon com o Zoom, mas devem esperar para serem convidados por um participante. Os pesquisadores do Citizen Lab descobriram uma vulnerabilidade de segurança com esse recurso enquanto realizavam sua análise de criptografia. Eles disseram em seu relatório que divulgaram a vulnerabilidade ao Zoom, mas que “atualmente não estamos fornecendo informações públicas sobre o problema para impedir que ele seja abusado”. Enquanto isso, os pesquisadores aconselharam os usuários do Zoom que desejam confidencialidade a evitar o uso de salas de espera e a definir senhas nas reuniões. Movimentos corretivos por zoom As falhas recentemente descobertas na criptografia de Zoom podem ser preocupantes para muitos dos clientes da empresa. Desde o início do surto de coronavírus, a base de clientes de Zoom aumentou de 10 milhões para 200 milhões, incluindo “mais de 90.000 escolas em 20 países”, de acordo com uma postagem do blog do CEO da Zoom, Eric Yuan. O governo dos EUA gastou recentemente US $ 1,3 milhão em contratos com o Zoom como parte de sua resposta à pandemia, de acordo com uma revisão dos contratos do governo da Forbes, e o governo do Reino Unido tem usado o Zoom para reuniões remotas do gabinete, de acordo com um tweet do primeiro-ministro Boris Johnson. Entre os que deveriam se preocupar com os problemas de segurança de Zoom, segundo o Citizen Lab, são “governos preocupados com espionagem” e “empresas preocupadas com crimes cibernéticos e espionagem industrial”. Apesar de uma inundação recente de falhas de segurança e privacidade, Yuan, CEO da Zoom, parece estar ouvindo comentários e fazendo um esforço real para melhorar o serviço. “Esses novos casos de uso de clientes, principalmente de consumo, nos ajudaram a descobrir problemas imprevistos com nossa plataforma. Jornalistas dedicados e pesquisadores de segurança também ajudaram a identificar os já existentes ”, escreveu Yuan em seu blog. “Agradecemos o escrutínio e as perguntas que estamos recebendo – sobre como o serviço funciona, sobre nossa infraestrutura e capacidade e sobre nossas políticas de privacidade e segurança”. Além de corrigir rapidamente vários problemas de segurança relatados, a empresa removeu uma ” recurso rastreador de atenção ao participante ”, um pesadelo de privacidade que permite que os hosts da reunião controlem se os participantes tiveram a janela Zoom – ou a janela de algum outro aplicativo – em foco durante uma reunião. A empresa também investiu em novos materiais de treinamento para ensinar aos usuários sobre os recursos de segurança, como definir senhas em reuniões para evitar o bombardeio de Zoom, o fenômeno em que as pessoas interrompem as reuniões de Zoom desprotegidas. Como o serviço da Zoom não é criptografado de ponta a ponta, e a empresa tem acesso a todas as chaves de criptografia e a todo o conteúdo de vídeo e áudio que atravessa sua nuvem, é possível que governos de todo o mundo estejam obrigando a empresa a entregar cópias deste dados. Se o Zoom ajuda os governos a espionar seus usuários, a empresa afirma que não criou ferramentas especificamente para ajudar a aplicação da lei: “O Zoom nunca criou um mecanismo para descriptografar reuniões ao vivo para fins de interceptação legal”, Gal, diretor de produtos da Zoom, escreveu na publicação técnica do blog, “nem temos meios para inserir nossos funcionários ou outras pessoas em reuniões sem refletir na lista de participantes”. Ao contrário de outras empresas de tecnologia, o Zoom nunca divulgou nenhuma informação sobre quantas solicitações governamentais de dados são obtidas e quantas dessas solicitações são atendidas. Mas, depois que a carta aberta do grupo de direitos humanos Access Now pedindo ao Zoom que publicasse um relatório de transparência, Yuan também prometeu fazer exatamente isso. Nos próximos três meses, a empresa preparará “um relatório de transparência que detalha as informações relacionadas a solicitações de dados, registros ou conteúdo”. O Access Now recomendou que a Zoom se comprometesse a publicar um relatório de transparência.
Criptografia defeituosa de Zoom ligada à China
