{"id":15125,"date":"2020-05-04T20:20:07","date_gmt":"2020-05-04T23:20:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15125"},"modified":"2020-05-05T17:30:56","modified_gmt":"2020-05-05T20:30:56","slug":"videoconference-software-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/videoconference-software-security\/15125\/","title":{"rendered":"Os problemas com os apps de videoconfer\u00eancia"},"content":{"rendered":"

#FiqueEmCasa<\/em> n\u00e3o \u00e9 apenas uma tag popular nas redes sociais hoje em dia, mas tamb\u00e9m uma dura realidade para as empresas devido \u00e0 pandemia do coronav\u00edrus que se veem obrigadas a orientar suas equipes a trabalhar remotamente<\/a>. As reuni\u00f5es presenciais foram substitu\u00eddas por videochamadas. Portanto, antes de optar por um aplicativo de videoconfer\u00eancia, d\u00ea uma olhada nos mecanismos de prote\u00e7\u00e3o de dados. Para deixar claro, n\u00e3o realizamos testes nestes apps em nossos laborat\u00f3rios; fizemos pesquisas e an\u00e1lises em fontes publicamente dispon\u00edveis para obter informa\u00e7\u00f5es sobre problemas conhecidos nos softwares mais utilizados.<\/p>\n

Google Meet e Google Duo<\/h2>\n

O Google oferece dois servi\u00e7os de videochamada: Meet e Duo. O primeiro \u00e9 um aplicativo que se integra aos outros servi\u00e7os do Google (o G Suite). Se sua empresa optou por esse pacote, o Hangouts Meet se encaixa perfeitamente.<\/p>\n

Seguran\u00e7a \u2013 Google Meet<\/h3>\n

Entre as vantagens do Meet, o fornecedor cita<\/a> a infraestrutura confi\u00e1vel de processamento de dados, a criptografia (embora n\u00e3o seja de ponta a ponta) e um conjunto de ferramentas de prote\u00e7\u00e3o, todas ativas por padr\u00e3o. Como a maioria dos outros produtos comerciais, G Suite, incluindo o Google Meet, est\u00e1 em conformidade com os padr\u00f5es avan\u00e7ados de seguran\u00e7a e oferece op\u00e7\u00f5es de configura\u00e7\u00e3o e gerenciamento de direitos de acesso entre seus recursos<\/a>.<\/p>\n

Seguran\u00e7a \u2013 Google Duo<\/h3>\n

O aplicativo para dispositivos mobile Duo<\/a>, por outro lado, protege os dados usando criptografia de ponta a ponta. No entanto, \u00e9 um aplicativo desenvolvido para usu\u00e1rios particulares, n\u00e3o para empresas. Suas confer\u00eancias permitem conectar apenas at\u00e9 12 participantes.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

Al\u00e9m de algumas mensagens (lembrando a todos que o Google coleta dados do usu\u00e1rio e, portanto, pode ser uma amea\u00e7a para segredos comerciais), n\u00e3o conseguimos encontrar informa\u00e7\u00f5es concretas sobre o desempenho de seguran\u00e7a desses aplicativos. Isso n\u00e3o significa que os servi\u00e7os do Google sejam impec\u00e1veis, mas s\u00e3o apoiados por uma equipe de seguran\u00e7a muito robusta que tende a corrigir erros antes que causem qualquer problema.<\/p>\n

Slack<\/h2>\n

No Slack, voc\u00ea pode criar v\u00e1rios chats para equipes, convenientemente mostrados em uma janela, al\u00e9m de canais dentro do seu espa\u00e7o de trabalho dedicados a diferentes projetos. A confer\u00eancia \u00e9 limitada a 15 participantes.<\/p>\n

Seguran\u00e7a<\/h3>\n

O Slack est\u00e1 em conformidade com v\u00e1rios padr\u00f5es internacionais de seguran\u00e7a<\/a>, incluindo o SOC 2. O servi\u00e7o pode ser configurado para trabalhar com dados m\u00e9dicos e financeiros, permitindo que as empresas selecionem uma regi\u00e3o para armazenamento de dados. E ingressar em um espa\u00e7o de trabalho do Slack requer um convite ou um endere\u00e7o de e-mail usando o dom\u00ednio corporativo<\/a>.<\/p>\n

O Slack tamb\u00e9m oferece a seus clientes instrumentos flex\u00edveis de gerenciamento de riscos, integra\u00e7\u00e3o com solu\u00e7\u00f5es de preven\u00e7\u00e3o contra perda de dados (DLP, na sigla em ingl\u00eas) e ferramentas de controle de acesso a dados. Por exemplo, os administradores podem restringir<\/a> o uso do Slack de dispositivos pessoais e a c\u00f3pia de informa\u00e7\u00f5es de seus canais.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

Segundo os desenvolvedores do Slack, apenas um n\u00famero limitado de empresas<\/a> realmente precisa de criptografia de ponta a ponta, e a implementa\u00e7\u00e3o do recurso pode limitar a funcionalidade. Portanto, o Slack aparentemente n\u00e3o tem planos de adicionar criptografia de ponta a ponta.<\/p>\n

Tamb\u00e9m permite integrar aplicativos de terceiros, cuja seguran\u00e7a n\u00e3o \u00e9 de responsabilidade do Slack.<\/p>\n

Al\u00e9m disso, os pesquisadores descobriram vulnerabilidades s\u00e9rias no Slack. O servi\u00e7o j\u00e1 corrigiu alguns como um bug que permitia que os invasores roubassem dados<\/a> e outro que possibilitava a intercepta\u00e7\u00e3o da sess\u00e3o de um usu\u00e1rio<\/a>.<\/p>\n

Teams<\/h2>\n

O Microsoft Teams se integra ao Office 365, principal vantagem para um usu\u00e1rio corporativo. Em resposta \u00e0 crescente demanda por ferramentas para viabilizar o home office, a Microsoft agora oferece uma avalia\u00e7\u00e3o gratuita de seis meses do Microsoft Teams, mas os usu\u00e1rios que usufruem deste per\u00edodo de teste n\u00e3o poder\u00e3o definir configura\u00e7\u00f5es<\/a> e pol\u00edticas, expondo-se assim a um potencial comprometimento da seguran\u00e7a.<\/p>\n

Seguran\u00e7a<\/h3>\n

O Teams est\u00e1 em conformidade<\/a> com v\u00e1rios padr\u00f5es internacionais, pode ser configurado para trabalhar com dados m\u00e9dicos confidenciais e possui op\u00e7\u00f5es flex\u00edveis de gerenciamento de seguran\u00e7a. Em alguns planos do servi\u00e7o, ferramentas adicionais podem ser integradas ao Teams, como DLP ou verifica\u00e7\u00e3o de arquivos enviados. Nossa solu\u00e7\u00e3o para proteger o Office 365<\/a> analisa os dados trocados por meio do Teams para impedir a dissemina\u00e7\u00e3o de malwares pela rede corporativa.<\/p>\n

Os dados enviados ao servidor, sejam eles via conversas ou videochamadas, s\u00e3o criptografados, mas novamente n\u00e3o<\/em>\u00a0estamos falando sobre criptografia de ponta a ponta. Por falar em armazenamento e processamento, as informa\u00e7\u00f5es nunca saem da regi\u00e3o em que sua empresa opera.<\/p>\n

Vulnerabilidades<\/h3>\n

\u00c9 uma boa ideia monitorar vulnerabilidades no Teams. A Microsoft geralmente corrige brechas de seguran\u00e7a rapidamente, mas elas surgem de tempos em tempos. Por exemplo, os pesquisadores descobriram recentemente uma vulnerabilidade<\/a> (j\u00e1 corrigida) que permitia o controle de contas.<\/p>\n

Skype for Business<\/h2>\n

A vers\u00e3o em nuvem do Skype for Business<\/a> \u2013 o antecessor do Teams no Office 365 \u2013 est\u00e1 gradualmente se tornando uma coisa do passado, mas voc\u00ea ainda pode instal\u00e1-lo localmente<\/a>. Alguns usu\u00e1rios o acham mais conveniente do que o Teams, e a Microsoft continuar\u00e1 a oferecer suporte \u00e0 vers\u00e3o local do Skype pelos pr\u00f3ximos dois anos.<\/p>\n

Seguran\u00e7a<\/h3>\n

O Skype for Business criptografa informa\u00e7\u00f5es, mas n\u00e3o de ponta a ponta, e a prote\u00e7\u00e3o do servi\u00e7o \u00e9 configur\u00e1vel. Ele tamb\u00e9m usa software de servidor local, para que chamadas de v\u00eddeo e outros dados nunca saiam da rede corporativa \u2013 uma vantagem \u00f3bvia.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

O suporte para o produto n\u00e3o durar\u00e1 para sempre. A menos que a Microsoft altere seus planos, ele deve terminar em julho de 2021 e o Skype for Business Server 2019 ter\u00e1 suporte estendido at\u00e9 14 de outubro de 2025.<\/p>\n

WebEx Meetings e WebEx Teams<\/h2>\n

O Cisco WebEx Meetings \u00e9 um servi\u00e7o com foco restrito para videoconfer\u00eancias. J\u00e1 o Cisco WebEx Teams \u00e9 um servi\u00e7o de coworking completo que, entre outras coisas, suporta chamadas de v\u00eddeo. Quanto ao escopo deste post, a diferen\u00e7a est\u00e1 na abordagem de criptografia.<\/p>\n

Seguran\u00e7a<\/h3>\n

O Cisco WebEx Meetings inclui servi\u00e7os para empresas e criptografia de ponta a ponta. (A op\u00e7\u00e3o est\u00e1 desativada por padr\u00e3o, mas o provedor pode ativ\u00e1-la<\/a> mediante solicita\u00e7\u00e3o. Isso limita um pouco a funcionalidade da ferramenta, mas se seus funcion\u00e1rios lidam com informa\u00e7\u00f5es confidenciais em reuni\u00f5es, certamente pode valer a pena leva-la em conta.) O Cisco WebEx Teams fornece criptografia de ponta a ponta apenas para correspond\u00eancias e documentos<\/a>, enquanto as chamadas de v\u00eddeo e \u00e1udio s\u00e3o descriptografadas nos servidores da Cisco.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

Somente em mar\u00e7o deste ano, o distribuidor corrigiu duas vulnerabilidades do WebEx Meetings<\/a> que amea\u00e7avam a execu\u00e7\u00e3o remota de c\u00f3digo. E, no in\u00edcio do ano passado, um bug s\u00e9rio foi encontrado no cliente WebEx Teams. Ele permitia a execu\u00e7\u00e3o de comandos com os privil\u00e9gios do usu\u00e1rio atual. A Cisco \u00e9 conhecida por levar a s\u00e9rio a seguran\u00e7a e atualiza seus servi\u00e7os rapidamente.<\/p>\n

WhatsApp<\/h2>\n

O WhatsApp foi desenvolvido para comunica\u00e7\u00e3o social, n\u00e3o para neg\u00f3cios, mas o aplicativo gratuito pode cobrir as necessidades de videoconfer\u00eancia de pequenas empresas ou equipes. O programa n\u00e3o \u00e9 adequado para grandes empresas; as videoconfer\u00eancias est\u00e3o dispon\u00edveis apenas para at\u00e9 quatro participantes por vez<\/a>.<\/p>\n

Seguran\u00e7a<\/h3>\n

O WhatsApp tem a vantagem indiscut\u00edvel da verdadeira criptografia de ponta a ponta<\/a>. Isso significa que nem terceiros nem funcion\u00e1rios do WhatsApp podem visualizar suas videochamadas. Mas, diferentemente dos aplicativos de neg\u00f3cios, o WhatsApp quase n\u00e3o oferece op\u00e7\u00f5es de gerenciamento de seguran\u00e7a de bate-papo e chamadas, apenas o que est\u00e1 embutido.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

No ano passado, criminosos distribu\u00edram o spyware Pegasus<\/a> por meio de videochamadas do WhatsApp. O bug foi corrigido, mas lembre-se de que o aplicativo n\u00e3o tem o objetivo de oferecer prote\u00e7\u00e3o \u00e0 n\u00edvel empresarial, portanto, no m\u00ednimo, os usu\u00e1rios devem acompanhar atentamente as not\u00edcias de ciberseguran\u00e7a.<\/p>\n

Zoom<\/h2>\n

A plataforma de videoconfer\u00eancia baseada em nuvem, Zoom, est\u00e1 no ar desde o in\u00edcio da epidemia. Seus pre\u00e7os flex\u00edveis (com confer\u00eancias gratuitas de 40 minutos at\u00e9 100 participantes) e facilidade de uso atra\u00edram muitos usu\u00e1rios, mas os pontos fracos da plataforma tamb\u00e9m chamaram muita aten\u00e7\u00e3o<\/a>.<\/p>\n

Seguran\u00e7a<\/h3>\n

O servi\u00e7o est\u00e1 em conformidade com o padr\u00e3o internacional de seguran\u00e7a SOC 2<\/a>, oferece um plano de servi\u00e7o separado em conformidade com a HIPAA para prestadores de servi\u00e7os de sa\u00fade e possui configura\u00e7\u00e3o flex\u00edvel. Os organizadores das sess\u00f5es podem bloquear os participantes, mesmo se eles tiverem o hiperlink e a senha corretos, proibir a grava\u00e7\u00e3o e muito mais. Se necess\u00e1rio, o Zoom pode ser configurado de forma que nenhum tr\u00e1fego saia da empresa.<\/p>\n

O Zoom tem abordado ativamente os problemas de vulnerabilidade relatados, e a empresa diz que planeja priorizar a seguran\u00e7a do produto<\/a> em vez de adicionar novos recursos.<\/p>\n

Vulnerabilidades e desvantagens<\/h3>\n

O Zoom afirma ter implementado criptografia de ponta a ponta, mas a afirma\u00e7\u00e3o n\u00e3o \u00e9 justificada. Com a criptografia de ponta a ponta, ningu\u00e9m al\u00e9m do remetente e do destinat\u00e1rio pode ler os dados transmitidos, enquanto o Zoom descriptografa os dados de v\u00eddeo em seus servidores<\/a>, e nem sempre no pa\u00eds de origem da sua empresa<\/a>.<\/p>\n

Vulnerabilidades de gravidade vari\u00e1vel foram descobertas nos aplicativos Zoom. Foi relatado que os clientes Windows<\/a> e macOS<\/a> da Zoom tinham um bug (j\u00e1 corrigido<\/a>) que permitia a hackers roubarem dados da conta do computador. Mais dois bugs no aplicativo macOS<\/a> podem permitir que os invasores assumam o controle completamente do dispositivo.<\/p>\n

Al\u00e9m disso, muitas reportagens mostraram que trolls na internet<\/a> visitavam confer\u00eancias abertas, desprotegidas, sem senhas, para postar coment\u00e1rios duvidosos e compartilhar telas com conte\u00fado obsceno. No geral, voc\u00ea pode corrigir o problema configurando sua confer\u00eancia adequadamente<\/a>, mas o Zoom tamb\u00e9m adicionou a prote\u00e7\u00e3o por senha padr\u00e3o<\/a> para melhorar a seguran\u00e7a.<\/p>\n

Em meio a not\u00edcias de problemas de seguran\u00e7a no Zoom, grandes players depreciam o servi\u00e7o. Mas todos os servi\u00e7os t\u00eam vulnerabilidades e, no caso de Zoom, a popularidade explosiva trouxe um tremendo escrut\u00ednio.<\/p>\n

Escolha a aplica\u00e7\u00e3o que melhor atende suas necessidades<\/h2>\n

N\u00e3o existe um aplicativo de videoconfer\u00eancia perfeitamente seguro \u2013 nem nenhuma aplica\u00e7\u00e3o de outro tipo. Escolha um servi\u00e7o cujas desvantagens n\u00e3o sejam problem\u00e1ticas para os seus neg\u00f3cios. E lembre-se, escolher o aplicativo certo \u00e9 apenas o passo 1.<\/p>\n