COVID-19 - Zoom security issues
Pandemia COVID-19 zmusiła miliony ludzi do pozostania w domu. Prywatnie, zaczęliśmy szukać darmowych, dobrych i prostych w użyciu narzędzi umożliwiających nam wideo komunikację. Zoom dla wielu z nas stał się właśnie takim narzędziem, spełniając powyższe kryteria. Liczba uczestników korzystających z Zoom dziennie wzrosła z 10 milionów w grudniu do 200 milionów w marcu. W efekcie, skok taki spowodował, iż narzędziem zainteresowały się grupy przestępcze, które w odpowiedni sposób zaczęły uwypuklać podatności aplikacji powodując m.in. tzw. “Zoombombing”, tworząc kody exploitów RCE oraz generować ogrom negatywnych informacji w mass mediach.
Uwzględniając informacje w mass mediach oraz analizując podatności i błędy w aplikacji Zoom, stwierdzamy, iż narzędzie jest wystarczająco bezpieczne aby używać je zarówno prywatnie jak i biznesowo - pod kątem webinarów i krótkich sesji online z Klientami.
Poniżej przedstawiamy główne argumenty, które przemawiają “za” użyciem Zoom’a.
- Jako eksperci w dziedzinie uważamy, że rozwiązania 100% bezpieczne nie istnieją, a jednym z najważniejszych czynników "oceny ogólnikowej" bezpieczeństwa danego produktu jest proces i podejście do zgłaszanych błędów / podatności, otwarte informowanie o statusie podatności oraz szybkość reakcji pod kątem zgłaszanych błędów, ale także wydawania poprawek. Zoom na bieżąco rozwiązuje problemy i reaguje na wszelkie podatności usprawniać swój proces zarządzania błędami.
- Zoombombing czyli masowe zgadywanie numerów ID konferencji i dołączanie do nich - dobra praktyka ograniczania webinaru hasłem problem rozwiązuje. Na ten moment Zoom aktywował domyślnie hasła dostępowe.
- Wiadomość na czacie = uruchomienie dowolnego kodu po stronie użytkownika. Problem usunięto. W zasadzie można go sprowadzić do innego przykładu - udostępnianie pliku .exe przez URL-a w przeglądarce po HTTP.
- Jesteśmy świadomi, że w dobie darmowych dostępów do rozwiązań cloudowych - płaci się niestety często swoimi danymi i tego nie zmienimy. Podobnie jest z rozwiązaniami innych firm. Bez dedykowanych audytów nie mamy żadnej pewności, że MS Teams / Livestorm / GotoMeeting / Webex jest w jakikolwiek sposób lepszy czy to pod kątem bezpieczeństwa kodu czy stabilności czy infrastruktury. A nawet jeśli rzeczywiście jest na daną chwilę - to jaką mamy pewność, że przypadkiem ktoś nie jest już w posiadaniu kilku 0-day exploitów na tą właśnie infrastrukturę dostawcy, bądź dowolny inny krytyczny komponent sieciowy. Nawiązując do ruchu przesyłanego do Chin - jaką mamy pewność, że ktoś właśnie nie wykonuje ataku typu BGP hijacking dla dowolnych innych prefixów firm świadczących usługi w chmurze. Jedyna stała to zmienna, a pewnym w IT / ITSec nie można być raczej niczego.
- Jako Organizacja, nie używamy darmowego konta Zoom, a komercyjnego co wiąże się z odpowiednim wsparciem technicznym oraz dostępem do dedykowanych ustawień bezpieczeństwa.
- Proces instalacyjny okrzyknięty malwarem - to tylko kwestia obrania drogi do dostarczenia plików wykonywalnych, bibliotek i reszty zależności w odpowiednie miejsce w systemie plików. Binarka zooma sama w sobie nie jest złośliwa. Gdyby tak było byliśmy właśnie świadkami pojawienia się największego botnetu w historii. Pamiętajmy, że liczą się intencje.
- Brak szyfrowania end2end - jako przykład możemy wspólnie z naszymi klientami zestawić połączenie, ustawić sniffera odpalonego gdzieś “pośrodku internetu” dla naszej aktywnej sesji pomiędzy klientem a serwerem i udostępnić zrzut danych. Z praktycznego punktu widzenia, jesteśmy przekonania, że prędzej dojdzie do nieautoryzowanego wejścia do firmowego VPN, naszej prywatnej sieci domowej przez błędy w access-pointach lub przeglądarkach i dodatkach niż, podsłuchu naszej sesji (jednej z setek tysięcy) na Zoom. Z racji na obecną rozpoznawalność aplikacji Zoom oraz nakładów jakie organizacja w tej chwili kładzie na zabezpieczenie, pojawienie się ewentualnego PoC, będzie równoznaczne z jego eliminacją w krótkim czasie - w przeciwieństwie do producentów naszych niejednokrotnie starych routerów w domach i mieszkaniach czy innych vendorów.
- Zoom jest wygodny, prosty w użyciu, ale przede wszystkim dostarcza dobre wsparcie dla systemu Linux. Korzystamy z Linuksa na desktopie od prawie 20 lat. Kilka gorących rewelacji w temacie 'niebezpieczeństwa' kawałka oprogramowania nie często skłaniała do porzucenia popularnego 'podatnego' i zmiany na 'mniej podatne' rozwiązanie.
- Porzucenie w tym momencie Zooma na rzecz innych rozwiązań daje fałszywe poczucie bezpieczeństwa - szczególnie, że kwestie bezpieczeństwa są brane pod uwagę przez Zoom jako bardzo istotne: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
- Wątek chińskich deweloperów / przewrotnie zapytamy - skąd pochodzi większość sprzętu, z którego korzystasz/korzystamy? Czy nie czasem z Chin właśnie?
- Istnieje szansa, że ze względu na ogromne zainteresowanie produktem co bezpośrednio oznacza odkrycie większej ilości luk w samym kodzie jak i procesach IR, Zoom z czasem stanie się najsolidniejszym rozwiązaniem w tym obszarze na rynku i tu kibicujemy niezależnie od intencji politycznych reszty świata.
- Dobór odpowiedniego narzędzia to kompromis pomiędzy bezpieczeństwem, prywatnością, funkcjonalnością i kosztem - via @z3s.
- Rozumiejąc jednak naszych Klientów i Przyjaciół oraz, że ile ludzi tyle podejść - rekomendujemy uczestnictwo w spotkaniach Zoom za pośrednictwem przeglądarki internetowej - bez konieczności instalowania dedykowanej aplikacji.
- Jest wiele uznanych firm ze świata biznesu jak i ITSec, które mimo "rewelacji" nadal korzystają z Zooma. W końcu to tylko narzędzie, które wykorzystujemy do kontaktu. Gwarantujemy, że podczas spotkań webinarowych z naszymi Klientami na Zoom nie będą udostępniane dane poufne, ani przekazywane kody do rakiet atomowych :)