{"id":17791,"date":"2021-07-14T19:46:12","date_gmt":"2021-07-14T22:46:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17791"},"modified":"2021-07-15T08:43:51","modified_gmt":"2021-07-15T11:43:51","slug":"rsa2021-zoom-end-to-end-encryption","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-zoom-end-to-end-encryption\/17791\/","title":{"rendered":"Como funciona a criptografia de ponta a ponta no Zoom"},"content":{"rendered":"

A apresenta\u00e7\u00e3o do Zoom na RSA Conference 2021<\/a> enfocou a criptografia de ponta a ponta no Zoom Cloud Meetings. A empresa explicou por que seus desenvolvedores est\u00e3o se concentrando no problema, como planejam tornar as chamadas mais seguras e quais outros recursos novos relacionados \u00e0 seguran\u00e7a os usu\u00e1rios podem esperar.<\/p>\n

Um pouco de hist\u00f3ria<\/h2>\n

A pandemia for\u00e7ou muitos de n\u00f3s a mudar para o trabalho remoto<\/a> no longo prazo e nos comunicarmos com colegas e entes queridos por meio de softwares de teleconfer\u00eancia. A alta popularidade do Zoom<\/a> despertou o interesse de especialistas em seguran\u00e7a e tamb\u00e9m de cibercriminosos, o que fez muitos perceberem rapidamente que nem tudo estava indo bem com a seguran\u00e7a da plataforma. Por exemplo, descobriu-se que o software continha vulnerabilidades que permitiam aos invasores espionar os usu\u00e1rios<\/a> por meio de suas c\u00e2meras e microfones, e os ataques de trolls on-line at\u00e9 tinham seu pr\u00f3prio nome: Zoombombing<\/a>. A resposta do Zoom foi r\u00e1pida e abrangente, mas os problemas permaneceram.<\/p>\n

Uma das principais queixas sobre o Zoom era que a plataforma usava criptografia ponto a ponto (P2PE) em vez de criptografia end-to-end (E2EE).<\/p>\n

E2EE versus P2PE<\/h3>\n

\u00c0 primeira vista, os dois sistemas podem parecer semelhantes: ambos criptografam os dados que os usu\u00e1rios trocam. Mas com o P2PE, o servidor pode acessar as mensagens dos usu\u00e1rios, enquanto o E2EE criptografa as informa\u00e7\u00f5es no dispositivo do remetente e as descriptografa apenas na extremidade do destinat\u00e1rio. No entanto, este detalhe tem potencial para problemas, que os desenvolvedores do Zoom destacaram na confer\u00eancia:<\/p>\n

\u2022 Os cibercriminosos podem violar o servidor, roubar as chaves de criptografia nele armazenadas e participar de reuni\u00f5es em locais reais de convidados ou falsificar suas mensagens;
\n\u2022 Funcion\u00e1rios oportunistas do provedor de nuvem ou do pr\u00f3prio Zoom podem obter acesso \u00e0s chaves e roubar os dados dos usu\u00e1rios.<\/p>\n

Ningu\u00e9m quer que conversas privadas com familiares e amigos, muito menos assuntos secretos de neg\u00f3cios, tornem-se p\u00fablicos. Al\u00e9m do mais, se um hacker usasse chaves roubadas apenas para espionagem passiva, isso seria extremamente dif\u00edcil de detectar.<\/p>\n

A E2EE resolve esses problemas armazenando chaves de descriptografia nos dispositivos dos usu\u00e1rios, e apenas l\u00e1. Isso significa que hackear o servidor n\u00e3o permitiria que um intruso espionasse uma videoconfer\u00eancia.<\/p>\n

Naturalmente, ent\u00e3o, muitos desejam que o Zoom mude para o E2EE, que j\u00e1 \u00e9 um padr\u00e3o de fato para aplicativos de mensagens.<\/p>\n\n

Criptografia ponta a ponta no Zoom: situa\u00e7\u00e3o no momento<\/h2>\n

Os desenvolvedores ouviram as cr\u00edticas e tomaram medidas<\/a> para melhorar a seguran\u00e7a da plataforma, incluindo a implementa\u00e7\u00e3o de E2EE.<\/p>\n

O Zoom usa E2EE para chamadas de \u00e1udio e v\u00eddeo, bem como para bate-papo, desde o outono de 2020. Quando \u00e9 ativado, o Zoom protege os dados dos participantes com a chamada chave de criptografia de confer\u00eancia. A chave n\u00e3o \u00e9 armazenada nos servidores do Zoom, ent\u00e3o mesmo os desenvolvedores n\u00e3o podem descriptografar o conte\u00fado das conversas. A plataforma armazena apenas IDs de usu\u00e1rio criptografados e alguns metadados da reuni\u00e3o, como dura\u00e7\u00e3o da chamada.<\/p>\n

Para se proteger contra conex\u00f5es externas, os desenvolvedores tamb\u00e9m introduziram o recurso Heartbeat, sinal que o aplicativo do l\u00edder da reuni\u00e3o envia automaticamente para outros usu\u00e1rios. Ele cont\u00e9m, entre outras coisas, uma lista de participantes para os quais o l\u00edder da reuni\u00e3o enviou a chave de criptografia atual. Se algu\u00e9m que n\u00e3o est\u00e1 na lista entrar na reuni\u00e3o, todos saber\u00e3o imediatamente que algo est\u00e1 errado.<\/p>\n

Outra maneira de impedir a entrada de participantes indesejados \u00e9 bloquear a reuni\u00e3o (usando o recurso apropriadamente intitulado Bloquear Reuni\u00e3o<\/em>) assim que todos os convidados estiverem reunidos. Voc\u00ea precisa bloquear as reuni\u00f5es manualmente, mas depois que o fizer, ningu\u00e9m mais poder\u00e1 entrar, mesmo que tenha o ID e a senha da reuni\u00e3o.<\/p>\n

O Zoom tamb\u00e9m protege contra ataques do tipo man-in-the-middle<\/em> com substitui\u00e7\u00e3o de chave de criptografia. Para garantir que um estranho n\u00e3o esteja espionando, o l\u00edder da reuni\u00e3o pode clicar em um bot\u00e3o a qualquer momento para gerar um c\u00f3digo de seguran\u00e7a com base na chave de criptografia da reuni\u00e3o atual. O c\u00f3digo \u00e9 gerado da mesma forma para os outros participantes da reuni\u00e3o automaticamente. Resta ao l\u00edder ler este c\u00f3digo em voz alta; se for igual a de todos os outros, ent\u00e3o todos est\u00e3o usando a mesma chave e est\u00e1 tudo bem.<\/p>\n

Finalmente, se o l\u00edder da reuni\u00e3o sair da reuni\u00e3o e outra pessoa assumir, o aplicativo relatar\u00e1 a transfer\u00eancia. Se parecer suspeito para os outros na chamada, eles podem pausar qualquer discuss\u00e3o ultrassecreta at\u00e9 resolver tudo.<\/p>\n

Claro, se voc\u00ea est\u00e1 apenas dando uma festa no Zoom com amigos, provavelmente n\u00e3o precisa usar todos esses mecanismos de seguran\u00e7a. Mas se segredos de neg\u00f3cios (ou outros) est\u00e3o virtualmente em jogo, essas ferramentas de prote\u00e7\u00e3o podem realmente ser \u00fateis, portanto, os participantes de reuni\u00f5es importantes devem conhec\u00ea-los e saber como us\u00e1-los.<\/p>\n

Apesar das inova\u00e7\u00f5es, os desenvolvedores do Zoom admitem que ainda t\u00eam muito a fazer. A palestra RSA 2021 tamb\u00e9m lan\u00e7ou luz sobre o caminho que o Zoom pretende desenvolver.<\/p>\n

O que o futuro reserva para o Zoom<\/h2>\n

Os desenvolvedores identificaram uma s\u00e9rie de amea\u00e7as para as quais ainda n\u00e3o implementaram contramedidas eficazes. Uma delas \u00e9 a infiltra\u00e7\u00e3o externa nas reuni\u00f5es por pessoas que se passam por usu\u00e1rios convidados. Outra \u00e9 que a prote\u00e7\u00e3o E2EE n\u00e3o impede que os invasores acessem alguns metadados, como dura\u00e7\u00e3o da chamada, nomes dos participantes e endere\u00e7os IP. Tamb\u00e9m n\u00e3o podemos excluir da lista de riscos certas vulnerabilidades no programa; em teoria, os cibercriminosos poderiam incorporar c\u00f3digo malicioso no Zoom.<\/p>\n

Com essas amea\u00e7as em mente, os desenvolvedores do Zoom listaram os seguintes objetivos:<\/p>\n

\u00b7 Impedir que todos, exceto os participantes convidados e aprovados, tenham acesso aos eventos;
\n\u00b7 Impedir que qualquer participante removido de um evento se reconecte a ele;
\n\u00b7 Prevenir a interfer\u00eancia de quem n\u00e3o foi admitido na reuni\u00e3o;
\n\u00b7 Permitir que os participantes bem-intencionados relatem abusos \u00e0 equipe de seguran\u00e7a do Zoom.<\/p>\n

Roteiro<\/h3>\n

Para atingir esses objetivos, os desenvolvedores criaram um roteiro de quatro est\u00e1gios. O est\u00e1gio um<\/strong> j\u00e1 foi implementado. Como dissemos, eles mudaram o sistema de gerenciamento da chave de criptografia da confer\u00eancia para que ela seja armazenada apenas nos dispositivos dos usu\u00e1rios, bem como melhoraram os meios de prote\u00e7\u00e3o contra pessoas de fora que participam das reuni\u00f5es.
\nNo est\u00e1gio dois<\/strong>, eles planejam introduzir uma autentica\u00e7\u00e3o do usu\u00e1rio que n\u00e3o dependa dos servidores do Zoom, mas esteja baseada na tecnologia de logon \u00fanico (SSO \u2013 single sign-on<\/a>) envolvendo provedores de identidade independentes (IDPs).<\/p>\n

Como resultado, um poss\u00edvel intruso n\u00e3o poderia falsificar a identidade de um usu\u00e1rio, mesmo ganhando o controle do servidor do Zoom. Se algu\u00e9m entrar em um evento fingindo ser um convidado, mas com uma nova chave p\u00fablica, as outras pessoas ser\u00e3o alertadas sobre a amea\u00e7a potencial.<\/p>\n

O est\u00e1gio tr\u00eas<\/strong> apresentar\u00e1 o conceito de \u00e1rvore de transpar\u00eancia<\/em>, armazenando todas as identidades em uma estrutura de dados autenticada e audit\u00e1vel para garantir que todos os usu\u00e1rios tenham uma vis\u00e3o consistente de qualquer identidade e detectem ataques de impostores. A inten\u00e7\u00e3o do Zoom \u00e9 fortalecer a prote\u00e7\u00e3o da plataforma contra ataques do tipo man-in-the-middle.<\/p>\n

Por fim, no quarto est\u00e1gio<\/strong>, os desenvolvedores planejam tornar a verifica\u00e7\u00e3o de identidade mais f\u00e1cil quando um usu\u00e1rio se conectar a partir de um novo dispositivo. Para vincular um novo gadget, o usu\u00e1rio precisar\u00e1 confirmar sua legitimidade, por exemplo, digitalizando um c\u00f3digo QR na tela de um telefone ou computador confi\u00e1vel. Isso impedir\u00e1 que um invasor vincule um dispositivo \u00e0 conta de outra pessoa.<\/p>\n

Seguran\u00e7a sem sacrif\u00edcio<\/h3>\n

Ao implementar mecanismos de seguran\u00e7a adicionais, \u00e9 importante considerar como eles afetar\u00e3o os usu\u00e1rios comuns. Os desenvolvedores do Zoom tamb\u00e9m est\u00e3o considerando esse aspecto. Por exemplo, uma inova\u00e7\u00e3o proposta \u00e9 o uso de nuvens de dispositivos pessoais. Essa tecnologia simplificar\u00e1 o processo de adi\u00e7\u00e3o de novos gadgets a uma conta, ao mesmo tempo que ajudar\u00e1 a proteg\u00ea-la.<\/p>\n

Por exemplo, se voc\u00ea normalmente usa um computador para chamadas do Zoom, mas depois baixa e faz login no smartphone, na pr\u00f3xima vez que abrir o Zoom no computador, ver\u00e1 que um novo gadget entrou. Se voc\u00ea aprovar, ambos os dispositivos ser\u00e3o conectados a uma \u00fanica nuvem e os outros participantes da reuni\u00e3o saber\u00e3o que \u00e9 voc\u00ea e n\u00e3o um intruso.<\/p>\n

A nuvem do dispositivo tamb\u00e9m permite que voc\u00ea verifique quais gadgets est\u00e3o conectados \u00e0 sua conta e revogue o status de confi\u00e1vel de qualquer um deles. Al\u00e9m disso, os desenvolvedores planejam adicionar uma op\u00e7\u00e3o de mudar para E2EE no meio de uma reuni\u00e3o e v\u00e1rios outros recursos \u00fateis.<\/p>\n

O Zoom se tornar\u00e1 mais seguro?<\/h2>\n

A resposta curta \u00e9 sim, a seguran\u00e7a do Zoom continua melhorando. A empresa j\u00e1 fez muito para se proteger contra interfer\u00eancias externas e tem ainda mais ferramentas de prote\u00e7\u00e3o em desenvolvimento. Por outro lado, \u00e9 bom ver que o Zoom est\u00e1 tentando combinar seguran\u00e7a com facilidade de uso.<\/p>\n

Claro, muito depende dos usu\u00e1rios do Zoom. Como tudo que acontece online, a videoconfer\u00eancia requer bom senso e conhecimento dos mecanismos de prote\u00e7\u00e3o dispon\u00edveis. \u00c9 importante prestar aten\u00e7\u00e3o aos avisos da plataforma e evitar conversas confidenciais se algo parecer suspeito e voc\u00ea n\u00e3o puder descartar a possibilidade de um vazamento de dados.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Como a seguran\u00e7a do Zoom est\u00e1 evoluindo, quais amea\u00e7as ainda existem e como os desenvolvedores planejam elimin\u00e1-las.<\/p>\n","protected":false},"author":2581,"featured_media":17792,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1028,1029],"tags":[2750,53,575,1888,2725,1889,199,2749,2189],"class_list":{"0":"post-17791","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-end-to-end-encryption","10":"tag-privacidade","11":"tag-privacy","12":"tag-rsa-conference","13":"tag-rsa2021","14":"tag-rsac","15":"tag-security-2","16":"tag-video-conferencing","17":"tag-zoom"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rsa2021-zoom-end-to-end-encryption\/17791\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rsa2021-zoom-end-to-end-encryption\/23055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/18537\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/9256\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/25012\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rsa2021-zoom-end-to-end-encryption\/23020\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/22334\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rsa2021-zoom-end-to-end-encryption\/25641\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rsa2021-zoom-end-to-end-encryption\/25107\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rsa2021-zoom-end-to-end-encryption\/31021\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rsa2021-zoom-end-to-end-encryption\/9833\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rsa2021-zoom-end-to-end-encryption\/40562\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-zoom-end-to-end-encryption\/17318\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rsa2021-zoom-end-to-end-encryption\/15048\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rsa2021-zoom-end-to-end-encryption\/27064\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rsa2021-zoom-end-to-end-encryption\/31219\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rsa2021-zoom-end-to-end-encryption\/27291\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rsa2021-zoom-end-to-end-encryption\/24097\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rsa2021-zoom-end-to-end-encryption\/29432\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rsa2021-zoom-end-to-end-encryption\/29224\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/privacidade\/","name":"privacidade"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17791"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17791\/revisions"}],"predecessor-version":[{"id":17793,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17791\/revisions\/17793"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17792"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}