Pandemia COVID-19 zmusiła miliony ludzi do pozostania w domu. Prywatnie, zaczęliśmy szukać darmowych, dobrych i prostych w użyciu narzędzi umożliwiających nam wideo komunikację. Zoom dla wielu z nas stał się właśnie takim narzędziem, spełniając powyższe kryteria. Liczba uczestników korzystających z Zoom dziennie wzrosła z 10 milionów w grudniu do 200 milionów w marcu. W efekcie, skok taki spowodował, iż narzędziem zainteresowały się grupy przestępcze, które w odpowiedni sposób zaczęły uwypuklać podatności aplikacji powodując m.in. tzw. “Zoombombing”, tworząc kody exploitów RCE oraz generować ogrom negatywnych informacji w mass mediach.

Uwzględniając informacje w mass mediach oraz analizując podatności i błędy w aplikacji Zoom, stwierdzamy, iż narzędzie jest wystarczająco bezpieczne aby używać je zarówno prywatnie jak i biznesowo - pod kątem webinarów i krótkich sesji online z Klientami. 

Poniżej przedstawiamy główne argumenty, które przemawiają “za” użyciem Zoom’a.

1. Jako eksperci w dziedzinie uważamy, że rozwiązania 100% bezpieczne nie istnieją, a jednym z najważniejszych czynników "oceny ogólnikowej" bezpieczeństwa danego produktu jest proces i podejście do zgłaszanych błędów / podatności, otwarte informowanie o statusie podatności oraz szybkość reakcji pod kątem zgłaszanych błędów, ale także wydawania poprawek. Zoom na bieżąco rozwiązuje problemy i reaguje na wszelkie podatności usprawniać swój proces zarządzania błędami.  
2. Zoombombing czyli masowe zgadywanie numerów ID konferencji i dołączanie do nich - dobra praktyka ograniczania webinaru hasłem problem rozwiązuje. Na ten moment Zoom aktywował domyślnie hasła dostępowe. 
3. Wiadomość na czacie = uruchomienie dowolnego kodu po stronie użytkownika. Problem usunięto. W zasadzie można go sprowadzić do innego przykładu - udostępnianie pliku .exe przez URL-a w przeglądarce po HTTP. 
4. Jesteśmy świadomi, że w dobie darmowych dostępów do rozwiązań cloudowych - płaci się niestety często swoimi danymi i tego nie zmienimy. Podobnie jest z rozwiązaniami innych firm. Bez dedykowanych audytów nie mamy żadnej pewności, że MS Teams / Livestorm / GotoMeeting / Webex jest w jakikolwiek sposób lepszy czy to pod kątem bezpieczeństwa kodu czy stabilności czy infrastruktury. A nawet jeśli rzeczywiście jest na daną chwilę - to jaką mamy pewność, że przypadkiem ktoś nie jest już w posiadaniu kilku 0-day exploitów na tą właśnie infrastrukturę dostawcy, bądź dowolny inny krytyczny komponent sieciowy. Nawiązując do ruchu przesyłanego do Chin - jaką mamy pewność, że ktoś właśnie nie wykonuje ataku typu BGP hijacking dla dowolnych innych prefixów firm świadczących usługi w chmurze. Jedyna stała to zmienna, a pewnym w IT / ITSec nie można być raczej niczego.
5. Jako Organizacja, nie używamy darmowego konta Zoom, a komercyjnego co wiąże się z odpowiednim wsparciem technicznym oraz dostępem do dedykowanych ustawień bezpieczeństwa. 
6. Proces instalacyjny okrzyknięty malwarem - to tylko kwestia obrania drogi do dostarczenia plików wykonywalnych, bibliotek i reszty zależności w odpowiednie miejsce w systemie plików. Binarka zooma sama w sobie nie jest złośliwa. Gdyby tak było byliśmy właśnie świadkami pojawienia się największego botnetu w historii. Pamiętajmy, że liczą się intencje. 
7. Brak szyfrowania end2end - jako przykład możemy wspólnie z naszymi klientami zestawić połączenie, ustawić sniffera odpalonego gdzieś “pośrodku internetu” dla naszej aktywnej sesji pomiędzy klientem a serwerem i udostępnić zrzut danych. Z praktycznego punktu widzenia, jesteśmy przekonania, że prędzej dojdzie do nieautoryzowanego wejścia do firmowego VPN, naszej prywatnej sieci domowej przez błędy w access-pointach lub przeglądarkach i dodatkach niż, podsłuchu naszej sesji (jednej z setek tysięcy) na Zoom. Z racji na obecną rozpoznawalność aplikacji Zoom oraz nakładów jakie organizacja w tej chwili kładzie na zabezpieczenie, pojawienie się ewentualnego PoC, będzie równoznaczne z jego eliminacją w krótkim czasie - w przeciwieństwie do producentów naszych niejednokrotnie starych routerów w domach i mieszkaniach czy innych vendorów. 
8. Zoom jest wygodny, prosty w użyciu, ale przede wszystkim dostarcza dobre wsparcie dla systemu Linux. Korzystamy z Linuksa na desktopie od prawie 20 lat. Kilka gorących rewelacji w temacie 'niebezpieczeństwa' kawałka oprogramowania nie często skłaniała do porzucenia popularnego 'podatnego' i zmiany na 'mniej podatne' rozwiązanie.
9. Porzucenie w tym momencie Zooma na rzecz innych rozwiązań daje fałszywe poczucie bezpieczeństwa - szczególnie, że kwestie bezpieczeństwa są brane pod uwagę przez Zoom jako bardzo istotne: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
10. Wątek chińskich deweloperów / przewrotnie zapytamy - skąd pochodzi większość sprzętu, z którego korzystasz/korzystamy? Czy nie czasem z Chin właśnie?
11. Istnieje szansa, że ze względu na ogromne zainteresowanie produktem co bezpośrednio oznacza odkrycie większej ilości luk w samym kodzie jak i procesach IR, Zoom z czasem stanie się najsolidniejszym rozwiązaniem w tym obszarze na rynku i tu kibicujemy niezależnie od intencji politycznych reszty świata.  
12. Dobór odpowiedniego narzędzia to kompromis pomiędzy bezpieczeństwem, prywatnością, funkcjonalnością i kosztem - via @z3s.  
13. Rozumiejąc jednak naszych Klientów i Przyjaciół oraz, że ile ludzi tyle podejść -  rekomendujemy uczestnictwo w spotkaniach Zoom za pośrednictwem przeglądarki internetowej - bez konieczności instalowania dedykowanej aplikacji. 
14. Jest wiele uznanych firm ze świata biznesu jak i ITSec, które mimo "rewelacji" nadal korzystają z Zooma. W końcu to tylko narzędzie, które wykorzystujemy do kontaktu. Gwarantujemy, że podczas spotkań webinarowych z naszymi Klientami na Zoom nie będą udostępniane dane poufne, ani przekazywane kody do rakiet atomowych :)