7 formas de hacer más seguras sus reuniones de Zoom

0
12

Zoom era una aplicación popular para conferencias en línea antes de que COVID-19 infectara al mundo, pero la pandemia llevó el uso del servicio a niveles astronómicos. Antes de que el virus se extendiera, la plataforma reunía unos 10 millones de participantes en las reuniones al día. En marzo, ese número era de 200 millones al día.

«No diseñamos el producto con la previsión de que, en cuestión de semanas, todas las personas del mundo estarían de repente trabajando, estudiando y socializando desde casa», confesó el CEO de Zoom, Eric S. Yuan, en un blog de la empresa. «Ahora tenemos un conjunto mucho más amplio de usuarios que están utilizando nuestro producto en un sinfín de [sic] formas inesperadas, presentándonos desafíos que no anticipamos cuando se concibió la plataforma», añadió.

Muchos de ellos eran desafíos de seguridad, algunos de ellos creados por Zoom, otros causados por nuevos usuarios no familiarizados con el mundo de las reuniones online. Sin embargo, la acción de Zoom al abordar algunos de sus evidentes problemas de seguridad, junto con las medidas de seguridad que ya están en vigor, permiten a los usuarios celebrar reuniones en línea de forma segura. He aquí algunas formas de hacerlo.

Ataque a la UNC
Zoom convierte automáticamente las rutas de Conversión de Nombres Universales (UNC, por sus siglas en inglés) intercambiadas en el chat, en enlaces en los que se puede hacer clic. Si un usuario no sabe a dónde conducen esos enlaces, puede terminar en un sitio web malicioso o descargar una carga maligna.

Además, si la UNC envenenada conduce a un servidor controlado por un actor de una amenaza, los usuarios de Windows podrían conseguir que sus credenciales fueran hackeadas. Por defecto, Windows envía el nombre de usuario y la contraseña del NT LAN Manager (NTLM) de Microsoft a un servidor al que se está conectando. Una vez en posesión de esa información, un actor malintencionado puede descifrar la contraseña utilizando una variedad de herramientas disponibles en línea.

Cómo prevenir un ataque UNC: La forma más simple de resolver este problema es actualizar su cliente de Zoom. El problema de la UNC fue abordado en la versión 4.6.9 publicada el 2 de abril.

El problema también puede ser mitigado bloqueando el tráfico en el puerto 445. Dado que las credenciales se envían a través de ese puerto, el bloqueo del tráfico de los hosts que no requieren acceso al intercambio de archivos del Bloque de Mensajes del Servidor (SMB, por sus siglas en inglés) remoto a través de IP evitaría que se explotara la vulnerabilidad UNC.

Una tercera y extrema solución sería prohibir a Windows el envío de credenciales NTLM a servidores desconocidos. Dado que este enfoque podría arruinar el tráfico legítimo a los hosts de confianza, debe aplicarse con cuidado. Microsoft incluye una opción en sus configuraciones de política de grupo llamada «Auditar todo», que puede utilizarse para identificar si se está negando una actividad legítima.

Escalada de privilegios
La escalada de privilegios se produce cuando un intruso penetra en un sistema utilizando las credenciales de un usuario con privilegios de bajo nivel, y aprovecha esa identidad para aumentar sus privilegios. Esto puede ocurrir cuando se instala Zoom en una macOS.

Durante la instalación, Zoom ejecuta una función que ejecuta un script llamado runwithroot, que tiene privilegios administrativos. Si un actor malintencionado o su malware obtienen acceso local a una Mac, runwithroot puede ser manipulado para aumentar los privilegios de Zoom y usar el programa para hacer travesuras en el sistema.

Cómo prevenir la escalada de privilegios: Este ataque fue arreglado en la versión 4.6.9 de Zoom (19273.0402) del 2 de abril. Ataques como este que requieren acceso local, no se limitan a Zoom. Por eso todos los usuarios deben tener cuidado al descargar o instalar paquetes de fuentes desconocidas o no confiables, especialmente cuando la aplicación pide privilegios administrativos.

Acceso no autorizado a la cámara y al micrófono
Esta es otra falla en la versión MacOS de Zoom. Los creadores de Zoom protegen la seguridad de su código requiriendo que tenga un certificado de firma de código y compilando su código con Hardened Runtime, que, junto con la Protección de Integridad del Sistema, está diseñado para bloquear la inyección de código, el secuestro de la biblioteca de enlace dinámico y la manipulación del espacio de memoria.

Sin embargo, se olvidaron de habilitar el derecho de validación de la biblioteca en el programa, por lo que se pudo cargar en la aplicación un código arbitrario sin firmar. Esto significa que un actor de la amenaza podría cambiar las bibliotecas legítimas de la aplicación y sustituirlas por bibliotecas maliciosas, que podrían interceptar las llamadas que van a las bibliotecas legítimas sin el conocimiento del usuario. Con este tipo de ataque, un actor de la amenaza podría obtener el control de la cámara y el micrófono de una Mac y utilizarlos para grabar la actividad de un usuario sin su conocimiento.

Cómo evitar el acceso no autorizado a la cámara y al micrófono: Esta vulnerabilidad también se corrigió en el Zoom 4.6.9 (193.73.0402).

Bombardeo con zoom o Zoom-bombing
El Zoom-bombing, en el que personas no autorizadas interrumpen una videoconferencia y se comportan de manera inapropiada, le puso un ojo morado a la plataforma en los medios de comunicación, pero el ataque no puede ser bloqueado por una solución de software. Eso es porque está relacionado con la higiene de la seguridad, lo que no debería sorprender considerando el número de nuevos usuarios que se agregaron a la plataforma en cuestión de semanas.

Cómo prevenir el Zoom-bombing: Las videoconferencias son «bombardeadas» cuando el enlace con ellas se comparte públicamente. Para que las sesiones en línea sean a prueba de bombas, aquí hay algunos consejos para los anfitriones de la conferencia.

  • Compartan los enlaces y las contraseñas de la conferencia solo con las personas a las que se les aconseja no compartir los enlaces con nadie más. Si una reunión está abierta al público, puede ser conveniente bloquear la posibilidad de que su audiencia comparta su audio y video.
  • No utilice su identificación personal de la reunión para organizar eventos públicos. En su lugar, cree una nueva identificación de la reunión y compártala con su audiencia.
  • Utilice la función de sala de reuniones para las conferencias. Le permite filtrar a los participantes a medida que llegan, de modo que pueda filtrar a los invitados no invitados. También puede permitir que los invitados participen sin recordar molestas contraseñas. Solo necesitan el enlace a la sala de espera para participar.
  • Los anfitriones deberían familiarizarse con las herramientas de seguridad de Zoom para conferencias. Permiten mantener a los asistentes a la conferencia bajo control. Puede silenciar el sonido de los participantes y bloquear su video, lo que tiene el beneficio adicional de ahorrar en el ancho de banda. También debería desactivar las funciones de colaboración -anotación, chat, transferencia de archivos y compartir la pantalla- hasta que sean necesarias.

Los anfitriones nunca deben entregar sus pantallas a alguien que no conozcan y en quien no confíen.

Chat no encriptado
Cuando se chatea en Zoom, su conversación puede ser vista por los espectadores no invitados en texto plano, a menos que usted indique lo contrario a la aplicación.

Cómo evitar el chat no encriptado: Puede aumentar la protección de sus conversaciones habilitando el chat encriptado avanzado. Eso codificará sus mensajes de chat usando TLS 1.2 y encriptación AES de 256 bits.

Hay algunos inconvenientes en el uso de la encriptación avanzada. No podrá usar la biblioteca GIPHY integrada, editar los mensajes enviados o buscar en el historial de mensajes de chat. Además, algunas versiones antiguas de Zoom tendrán un golpe de funcionalidad cuando se habilite la encriptación avanzada. Sin embargo, podrá seguir compartiendo archivos, fotos, emojis y capturas de pantalla.

El chat cifrado avanzado puede activarse yendo a Administración de cuentas > Gestión de IM y haciendo clic en la pestaña Configuración de IM en la parte superior de la página web.

Autenticación insegura
Por comodidad, las reuniones de Zoom suelen organizarse sin necesidad de autenticación o con una autenticación que no cumple las normas de seguridad de una organización. Esto reduce las barreras para que los malos actores interrumpan una sesión de Zoom.

Cómo evitar una autenticación insegura: Los usuarios de Zoom que deseen la protección del inicio de sesión único (SSO) que utilizan con su empresa pueden hacerlo con la función SSO de la plataforma. Basado en SAML 2.0, Zoom actúa como proveedor de servicios y aprovisiona automáticamente a un usuario corporativo. Una vez que Zoom recibe una respuesta de identidad de un proveedor de identidad, comprueba si el usuario existe. Si no existe, Zoom crea una cuenta automáticamente con la identidad del usuario.

El SSO de Zoom trabaja con otros proveedores de servicios, incluyendo PingOne, Okta, Microsoft Azure, Centrify, Shibboleth, Gluu, G Suite/Google Apps, OneLogin y RSA SecureID. La plataforma también trabaja con implementaciones de ADFS 2.0 SAML.

El tráfico de zoom se enruta a lugares cuestionables
La seguridad de las prácticas de enrutamiento de Zoom fue puesta en duda por Citizen Lab de la Universidad de Toronto a principios de abril. Los investigadores de la universidad encontraron que el tráfico de algunas conferencias originadas fuera de China, estaban siendo enrutadas a través de China. Lo que era peor, sin embargo, era que las claves de encriptación de Zoom estaban siendo generadas en servidores en China donde estaban en riesgo de una potencial interferencia del gobierno.

Cómo evitar que el tráfico sea dirigido a lugares cuestionables: Zoom ha abordado esos problemas permitiendo a los clientes de pago que opten por entrar o salir del centro de datos asignado para albergar sus conferencias. Los clientes que no paguen no tendrán privilegios para elegir una ruta, pero Zoom ha prometido que ninguna conferencia que se origine fuera de China tendrá su tráfico enrutado a través de China.

Zoom tiene centros de datos en ocho regiones: EE.UU., Canadá, Europa, India, Australia, China, América Latina y Japón/Hong Kong.

¿Mejor seguridad de Zoom al vuelo?
En su blog, el CEO Yuan se comprometió a cambiar todos los recursos de ingeniería de su empresa para identificar, abordar y solucionar los problemas de forma proactiva. Esto incluirá estas medidas de seguridad:

  • Llevar a cabo una revisión exhaustiva con expertos de terceros y usuarios representativos para comprender y garantizar la seguridad de todos los nuevos casos de uso de los consumidores.
  • Poner en marcha un consejo de CISO en asociación con los principales CISO de toda la industria para facilitar un diálogo continuo sobre las mejores prácticas de seguridad y privacidad.
  • Emprender una serie de pruebas de penetración de caja blanca simultáneas para seguir identificando y abordando los problemas.
  • Actualizar su esquema de cifrado, pasando de las claves del Estándar de Cifrado Avanzado (AES) de 128 bits al cifrado AES de 256 bits GCM.

John P. Mello Jr, CSOonline