5 abr 2020

Opiniones y Pasos para asegurar #Zoom

Recientemente se ha hablado de los "pequeños" problemas de seguridad de Zoom. Desde el inicio de la pandemia mundial, hemos visto un aumento en el "Zoom Bombing", incluso al extremo que el DOJ lo declaró un delito y hasta ha sido necesario explicar que Zoom no es malware.
Las personas con intenciones maliciosas buscan reuniones en progreso de Zoom para unirse y causar problemas. Hay una serie de otros problemas que existen, como el rastreo de los asistentes por parte de Linkedin y el detalle de los contactos.

A lo largo de los últimos días, las redes sociales (principalmente Infosec en Twitter) están llenas de opiniones sobre el abuso de privacidad que es posible a través de Zoom por los múltiples problemas encontrados. Algunos de estos problemas y vulnerabilidades son reales (y fueron atendidos por Zoom o lo serán). Pero, algunos de los problemas que se plantean y discuten en las redes sociales no son errores o problemas con Zoom en sí, sino problemas con la forma en que funcionan los sistemas operativos o se crean las reuniones en la configuración de la aplicación.

Si bien es cierto que algunos de los problemas son más graves que otros y, potencialmente, podrían ser explotados a través de Ingeniería Social, también es muy fácil mitigarlos y protegerse. Los 0-Day reportados eran principalmente un problema de escalada de privilegios locales que permitiría a un atacante que ya comprometía el sistema obtener un acceso más elevado. El segundo fue un problema de diseño dentro de Windows (ayudado por Zoom) que se podía abusar para ejecutar archivos remotos; ese problema de diseño se puede abusar en muchas otras aplicaciones además de Zoom.

Algunas de las críticas están perfectamente justificadas en el sentido de que el marketing de Zoom "redefinió" el cifrado de extremo a extremo (E2E) que era solo para la función de chat y no se aplica a toda la videoconferencia. Esto se ha aclarado desde entonces, y en la última actualización refleja los cambios en la terminología.

Por el contrario, Cisco WebEx es compatible con E2E, sin embargo, interrumpe severamente la funcionalidad normal de la solución de Cisco. Esto refleja más la importancia de tener una terminología consistente que se use en toda la industria y que no se haga ambigua, como cuando las organizaciones intentan cambiar el nombre o redefinir los estándares para que se ajusten a las capacidades de sus productos. Cisco aclara que cuando el cifrado de extremo a extremo está habilitado, las siguientes características no son compatibles: aplicación web, grabaciones basadas en red, unirse antes que el host, puntos finales de video.

Asegurar reuniones de Zoom

Zoom ha compartico una guía para asegurar reuniones y Electronic Frontier Foundation (EFF) publicó una guía de hardening para evitar trolls en Zoom.

1. ¡Agregar una contraseña a todas las reuniones!

Al crear una nueva reunión de Zoom, Zoom habilitará automáticamente la configuración "Solicitar contraseña de reunión" y asignará una contraseña aleatoria de 6 dígitos. Se puede cambiar y colocar más dígitos.
No se debe desmarcar esta opción, ya que esto permitirá que cualquiera pueda acceder a la reunión sin permiso.

2. Usar salas de espera

Zoom permite que el organizador (el que creó la reunión) habilite una función de "sala de espera" que impide que los usuarios ingresen a la reunión sin ser admitidos previamente por el organizador.

Esta característica se puede habilitar durante la creación de la reunión abriendo la configuración avanzada, verificando la configuración "Habilitar sala de espera".
Cuando esta opción está habilitada, cualquier persona que se una a la reunión se colocará en una sala de espera donde se mostrará un mensaje que dice "Espere, el anfitrión de la reunión lo dejará entrar pronto".

El anfitrión de la reunión recibirá una alerta cuando alguien se una a la reunión y pueda ver a los que esperan haciendo clic en el botón 'Administrar participantes' en la barra de herramientas de la reunión. Luego puede pasar el mouse sobre cada usuario en espera y 'Admitirlos' si pertenecen a la reunión.

3. Nunca compartir el ID de reunión por medios públicos

Cada usuario de Zoom recibe una 'Identificación de reunión personal' (PMI) permanente que está asociada con la cuenta del usuario. Si se publica el PMI a otra persona, siempre podrá verificar si hay una reunión en curso y posiblemente unirse si no se configura una contraseña.

En lugar de compartir el PMI, se deben crear nuevas reuniones para compartirlas con los participantes cuando sea necesario.

4. Desactivar el uso compartido de la pantalla del participante

Para evitar que otras personas secuestren la reunión, se debe evitar que otros participantes que no sean Anfitrión compartan la pantalla. Como anfitrión, esto se puede hacer en una reunión haciendo clic en la flecha hacia arriba junto a "Compartir pantalla" en la barra de herramientas Zoom y luego haciendo clic en "Opciones avanzadas de uso compartido" como se muestra a continuación.

5. Bloquear reuniones cuando todos se hayan unido

Si todos se han unido a la reunión y no se está invitando a nadie más, se debe bloquear la reunión para que nadie más pueda unirse.

Para hacer esto, se debe hacer clic en el botón "Administrar participantes" en la barra de herramientas Zoom y seleccione "Más" en la parte inferior del panel Participantes. Luego se debe seleccionae la opción "Bloquear reunión" como se muestra a continuación.

6. Control de compartir pantalla

Para dar más control del anfitrión sobre los asistentes, y evitar que estos últimos compartan contenido aleatorio, Zoom actualizó recientemente la configuración predeterminada de uso compartido de pantalla. Los privilegios para compartir ahora están configurados en "Solo Anfitrion".

Sin embargo, si los asistentes necesitan compartir su pantalla, se puede permitir el uso compartido de la pantalla en los controles del Anfitrión. En la opción de "Compartir pantalla" se puede elegir "Solo Anfitrión" o "Todos los participantes".

7. Mantener Zoom actualizado

Instale toads las actualizaciones, siempre. Las últimas actualizaciones de Zoom habilitan las contraseñas de reunión de forma predeterminada y agregan protección contra las personas que escanean en busca de ID de reunión.

Con Zoom siendo tan popular en este momento, más delincuentes se centrarán en él para encontrar vulnerabilidades. Al instalar las últimas actualizaciones a medida que se lanzan, se protege elq equipo y el usuario a cualquier vulnerabilidad descubierta.

8. Usar la autenticación multifactor (MFA)

Usar MFA en la cuenta de Zoom (y en cualquier lugar) permite que si una contraseña se ve comprometida, el atacante no tendrá acceso a la cuenta de Zoom.

9. Identificar invitados en la reunión

Debido a que el nombre del usuario de Zoom puede ser eligido al momento del ingreso a la reunión, el mismo se puede falsificar.
En las cuentas corporativas con la función habilitada "Identificar participantes invitados en la reunión", el anfitrión y otros usuarios de la cuenta pueden verificar la lista de participantes para ver si alguien fuera de su cuenta de Zoom se ha unido a la reunión. Esta función permite conocer si un usuario es parte de la organización.

Fuente: Peerly

Suscríbete a nuestro Boletín

2 comentarios:

  1. Excelente! por fin un buen analisis de las "vulnerabilidades". Creo que detras esta que hablar (o patear) a zoom ahora mismo vende y genera clicks. Excelentes las recomendaciones, no esta demas decir que NUNCA se debe hacer click en un link no solicitado, venga por el medio que venga y de quien venga.

    ResponderBorrar
  2. Muy buena información!! Muchas gracias!!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!