Header Ads Widget

Ticker

6/recent/ticker-posts

El nuevo enfoque de cifrado de Zoom es incremental, pero mejor

 

Al igual que sus contrapartes de consumidores, los ejecutivos de TI empresariales han acudido en masa a Zoom para todo tipo de reuniones. Pero la seguridad invariablemente ha pasado a un segundo plano frente a la conveniencia y la disponibilidad, como bien sabe cualquiera que haya soportado un intruso de Zoom.

Zoom esta semana (aún no ha dicho exactamente cuándo) lanzará su opción de cifrado mejorada. Pero tiene el costo de renunciar a varias funciones populares. Y tampoco no vienen con la mejora de la autenticación e identificación de los usuarios, una capacidad de zoom ahora es prometedor para entregar en algún momento de 2021.

Zoom describe su oferta de cifrado actual como adecuada, pero no ideal:

El nuevo enfoque opcional que está programado para comenzar esta semana está etiquetado por Zoom como "una vista previa técnica, lo que significa que estamos solicitando comentarios de los usuarios de manera proactiva durante los primeros 30 días". En este enfoque, "las claves para cada reunión de Zoom son generadas por las máquinas de los participantes, no por los servidores de Zoom. Los datos cifrados transmitidos a través de los servidores de Zoom son indescifrables por Zoom, ya que los servidores de Zoom no tienen la clave de descifrado necesaria".

De hecho, es un buen avance para la seguridad, pero significa que varias funciones populares de Zoom se desactivarán, como unirse antes del host, grabación en la nube, transmisión, transcripción en vivo, salas de reuniones, encuestas, chat privado 1: 1 y reacciones a reuniones. Además, por razones lógicas de clave de cifrado, el nuevo cifrado solo funciona en entornos que Zoom puede controlar, lo que significa el cliente de escritorio Zoom, la aplicación móvil o Zoom Rooms. (No funcionará si el usuario ingresa a través del acceso directo al navegador y ciertamente no si alguien marca la llamada).

Esas son limitaciones no triviales. El jefe de ingeniería de seguridad de Zoom, Max Krohn, dijo en una entrevista que las funciones de Zoom perdidas temporalmente (a diferencia de cómo se accede a una reunión de Zoom) se incorporarán al nuevo entorno de cifrado una por una; Zoom está "esperando durante semanas todas esas características", dijo Krohn. (Para ser quisquilloso, sin ningún número adjunto a las "semanas", no tiene sentido. Eso podría ser 52 semanas).

Desde una perspectiva de CIO y CISO, la cuestión de si utilizar el nuevo cifrado de Zoom es complicada. Si ninguno de los servicios bloqueados temporalmente se va a utilizar en una reunión, es muy fácil actualizar la seguridad y probarlo. Sin embargo, si algunas de esas características son importantes, se convierte en una cuestión de cuán sensibles son las discusiones y, de manera realista, qué tan probable es que un chico malo intente acceder a la reunión. 

"Lo usaría todo el tiempo a menos que hubiera algunas funciones que necesitaba absolutamente , como el acceso telefónico", dijo Krohn. El acceso telefónico es popular para los usuarios con poco ancho de banda, cuando se unen a la llamada desde un automóvil o cuando un usuario simplemente no podrá ver la llamada, por ejemplo, si necesita tomar notas extensas.

Habilitar el nuevo cifrado es bastante sencillo: "Los anfitriones pueden habilitar la configuración de E2EE a nivel de cuenta, grupo y usuario y pueden bloquearse a nivel de cuenta o grupo", dijo la compañía. "Todos los participantes deben tener habilitada la configuración para unirse a una reunión E2EE". A pesar de los informes de que la configuración debe habilitarse antes de cada reunión, Krohn dijo que eso no es cierto, pero que se puede convertir en la opción predeterminada.

Para la siguiente fase de cifrado, Zoom planea ofrecer una gestión de identidad mejorada y también un inicio de sesión único cifrado (SSO), pero eso no sucederá hasta el próximo año. (Krohn no sería más específico).

Desde una perspectiva de seguridad, un mejor cifrado solo ayuda hasta cierto punto si el sistema no puede confirmar adecuadamente quién está en la llamada. Después de todo, sin una buena autenticación, un intruso podría simplemente hacerse pasar por un usuario autorizado y todos los datos se desencriptan para el intruso. No está bien.

Existen algunas limitaciones prácticas sobre lo lejos que puede llegar un atacante, pero mucho depende de la naturaleza de la reunión. ¿Es una llamada de la junta directiva? ¿No se dará cuenta alguien rápidamente de que hay dos "Helens" en la llamada y que la pizarra solo tiene una? ¿No se reconocerá la voz como no Helen, así como el video? La única oportunidad que tendría un imitador es unirse a la llamada sin video y no decir nada y luego esperar que la persona real no se presente y no le haya dicho a nadie que no se presentaría. Eso es bastante improbable.

Pero si se trata de un número mucho mayor de personas, un imitador tiene más posibilidades. Por lo tanto, este nivel de encriptación puede ser menos efectivo para grupos más grandes, lo que es cierto para cualquier discusión sobre material sensible. (Una vez cubrí una llamada "confidencial" de AT&T para, esperen, todos los empleados globales. En ese momento, eran cientos de miles de personas. Argumentar que la discusión tenía una expectativa razonable de privacidad era ridículo. En este contexto, el uso de cifrado de alto nivel habría tenido poco sentido).

También existe el problema de que un atacante instale malware de captura de pulsaciones de teclado de caballo de Troya en la máquina de un ejecutivo objetivo, muy probablemente a través de un ataque de phishing por correo electrónico, de modo que la máquina realmente parezca ser el ejecutivo. Una vez más, un buen cifrado no ayuda mucho.

"No hay mucho que podamos hacer en el caso de un punto final comprometido", dijo Krohn.

Publicar un comentario

0 Comentarios