Zoom oferece criptografia de ponta a ponta para todos os usuários

Zoom oferece criptografia de ponta a ponta para todos os usuários. Empresa de teleconferência descreve série de medidas de segurança. 

Após falhas de segurança ocorridas em abril  que comprometeram o sigilo das reuniões e afetou a credibilidade da plataforma de comunicação Zoom, a empresa implementou uma série de medidas de segurança, entre elas a criptografia ponta-a-ponta em todas as vídeos conferências, sem custo adicional para o usuário final.

O Zoom começará a testar beta um recurso de criptografia de ponta a ponta em julho, que planeja disponibilizar gratuitamente a todos os que usam a versão paga ou gratuita de sua plataforma de teleconferência, informou a empresa em seu último status reporte do plano de segurança batizado de 90 days security plan .

Eric Yuan, CEO da Zoom, diz que a criptografia de ponta a ponta foi desenvolvida em parceria com usuários, organizações de liberdades civis e o conselho CISO que a empresa organizou no início deste ano. Também temos o prazer de compartilhar que identificamos um caminho a seguir que equilibra o direito legítimo de todos os usuários à privacidade e à segurança dos usuários em nossa plataforma“, diz Yuan. “Isso nos permitirá oferecer o E2EE como um recurso complementar avançado para todos os nossos usuários em todo o mundo – gratuitos e pagos -, mantendo a capacidade de prevenir e combater abusos em nossa plataforma“.

Os usuários gratuitos que desejam implementar o novo recurso de criptografia terão que participar de um processo único que ajudará a empresa a identificar ainda mais o usuário, verificando seu número de telefone por mensagem de texto, observa Yuan.

O Zoom embarcou em um plano de segurança de 90 dias  em 1º de abril, prometendo implementar os recursos necessários para melhor identificar, resolver e corrigir problemas de segurança.

Conselho CISO

O conselho CISO, que inclui 36 membros, representando uma variedade de indústrias e negócios empresariais, se reuniu três vezes desde a sua criação no final de abril. Os membros do conselho do CISO atuam como a voz de nossos clientes, oferecem orientação e conselhos sinceros sobre segurança e privacidade, além de fornecer recomendações em relação às melhores práticas de segurança e privacidade, além da priorização de recursos. 

A partir de julho, o conselho da CISO sediará mesas-redondas da CISO para oferecer aos clientes existentes e em potencial a oportunidade de se reunir com alguns membros do conselho de CISO e dos líderes da equipe de segurança da Zoom para obter uma análise aprofundada das medidas de segurança adotadas pelo Zoom e o plano segurança de 90 dias. Até 40 participantes em cada mesa redonda terão a chance de fazer perguntas aos membros do conselho do CISO e à equipe de segurança da Zoom, fornecer informações e participar da conversa sobre privacidade e segurança. O Zoom incentiva a qualquer CISO interessado em participar de uma de nossas mesas redondas CISO a entrar em contato com o executivo de sua conta Zoom para reservar seu lugar.  

FEP aprova mudanças

A adição de criptografia de Zoom para todos os usuários foi bem-vinda pela Electronic Frontier Foundation , que criticou a empresa por não oferecer anteriormente recursos mais robustos de privacidade e segurança.

O Zoom atraiu “novos usuários que a empresa nunca esperou e não projetou, e todos os problemas imprevistos de segurança e privacidade que vêm com esse crescimento repentino“, observa Gennie Gebhart, diretor associado de pesquisa da fundação.

 

Benefícios do E2EE

A criptografia de ponta a ponta é uma camada adicional de segurança sobre a criptografia aprimorada do GCES AES de 256 bits que foi implementada em 30 de maio.

No modelo de criptografia AES de 256 bits do GCM, uma chave única é gerada para cada reunião. Com o E2EE, um participante da reunião gera uma chave de criptografia e, em seguida, usa a criptografia de chave pública para distribuir essa chave aos outros participantes. Essa transferência ocorre sem que os dados passem pelos servidores do Zoom. Os dados da reunião ainda estão protegidos com criptografia AES de 256 bits GCM, de acordo com o Zoom.

Os administradores terão a capacidade de desativar o recurso E2EE no nível da conta e do grupo e também pode ser desativado para uma reunião específica porque o E2EE pode limitar algumas funcionalidades da reunião, como a capacidade de incluir linhas telefônicas PSTN ou SIP / H. 323 sistemas de salas de conferência de hardware, notas de Zoom.

 

Medida de segurança adicional

Além da criptografia aprimorada, o Zoom está adicionando protocolos de segurança nas próximas semanas. Por exemplo:

  • Os administradores de conta poderão desativar a capacidade de efetuar login no Zoom com um endereço de e-mail e senha, exigindo que os usuários façam login por SSO ou outros logons de terceiros oferecidos pelo Zoom.
  • Os administradores de conta poderão colocar domínios na lista de permissões, para que os participantes possam ignorar a sala de espera e ingressar diretamente em uma reunião;
  • Os proprietários e administradores da conta terão a capacidade de definir a quantidade de tempo que os dados do usuário do telefone Zoom – registros de chamadas, gravações ad hoc / automáticas, gravações e transcrições do correio de voz – serão mantidos.

Zoom também anunciou que, a partir de julho, sediará uma série de mesas redondas CISO, nas quais até 40 participantes poderão fazer perguntas sobre suas medidas de segurança cibernética.

 

Outras Atualizações

  • Opção para desativar email / senha para login : Agora, os administradores de conta podem desativar a capacidade de efetuar login no Zoom com um endereço de email e senha, exigindo que os usuários acessem o SSO ou outros logons de terceiros oferecidos pelo Zoom.  
  • Opções adicionais de domínio da lista de permissões para a sala de espera : Os administradores de contas podem colocar domínios na lista de permissões além dos seus, para que os participantes possam ignorar a sala de espera e ingressar diretamente em uma reunião.
  • Opção para desativar a anotação do participante : os administradores da conta agora podem desativar a capacidade de anotação dos participantes em uma tela compartilhada. Essa configuração está disponível no nível da conta, grupo e usuário.
  • Capacidade de ativar o som de todos: agora, a capacidade de ativar o som de todos está disponível novamente em reuniões com menos de 200 participantes. 
  • Gerenciamento de perguntas e respostas do webinar: hosts e membros do painel podem excluir perguntas e comentários enviados por meio das perguntas e respostas e conversar durante um seminário on-line, permitindo remover perguntas inadequadas ou que já foram respondidas.  
  • Política de retenção de dados : os proprietários e administradores da conta podem definir a quantidade de tempo que os dados do usuário do Zoom Phone – registros de chamadas, gravações ad hoc / automáticas, gravações de correio de voz e transcrições – são retidos.

Obs. Algumas funções estão disponíveis apenas para plano com mais de 10 anfritriões.

 

Como é na Prática 

Embora esteja anunciado para julho, a  MindSec, proprietária do blog Minuto da Segurança, testou nesta manha de 22 de junho, a conferência criptografada. 

O teste foi realizado em uma conferência com cliente e aconteceu de forma completamente transparente, a não ser por observar um novo ícone verde no canto superior esquerdo, que ao passar o mouse, observa-se que a conexão está com criptografia ponto-a-ponto ativa .

Ao clicar sobre o ícone verde, abre a tela de configuração do Zoom na opção de Estatíticas  e aparece o estado atual da conexão apontando a criptografia AES 256.

Podemos dizer, que a experiência foi muito positiva e completamente transparente pelo ponto do vista do usuário final. 

Esperamos que a funcionalidade seja disponibilizada rapidamente para todos os usuários finais.

 

Fonte: Bankinfo Security & Zoom


 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!