Diferenças entre edições de "Privacidade e segurança no Zoom"

Fonte: Wiki Escola de Ativismo
Ir para: navegação, pesquisa
Linha 131: Linha 131:
 
:Minha conta > Configurações > Reunião > Em Reunião (Básico) > Compartilhamento de tela em “Quem pode compartilhar?”, marque a opção “Apenas anfitrião”.
 
:Minha conta > Configurações > Reunião > Em Reunião (Básico) > Compartilhamento de tela em “Quem pode compartilhar?”, marque a opção “Apenas anfitrião”.
 
:Em “Quem pode começar a compartilhar quando alguém está compartilhando?”, marque a opção “Apenas anfitrião”.
 
:Em “Quem pode começar a compartilhar quando alguém está compartilhando?”, marque a opção “Apenas anfitrião”.
 +
 +
 +
[[File:Compartilhatela.png]]

Revisão das 15h57min de 4 de setembro de 2020

Capa-wiki.png


ZOOMBOMBING: COMO EVITAR E COMO SE DEFENDER DE UM ATAQUE

Nos últimos meses, vimos crescer o uso de plataformas de videoconferência, especialmente do Zoom. A necessidade de trabalho remoto e de se manter em contato com amigas e familiares tem feito com que muitas pessoas escolham a plataforma por sua estabilidade e funcionalidades, como o compartilhamento de tela, a criação de salas paralelas, etc. No entanto, quando se trata de segurança e privacidade, o Zoom tem deixado a desejar.

Desde a sua popularização, o Zoom vem acumulando um longo histórico de falhas e vulnerabilidades (https://www.tomsguide.com/news/zoom-security-privacy-woes). Em março de 2020, por exemplo, uma reportagem da Motherboard (https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account) revelou que o aplicativo do Zoom para iOS enviava dados para o Facebook, ainda que a pessoa não tivesse uma conta na rede social. A falha foi corrigida, mas já no começo de abril, o desenvolvedor britânico Tom Anthony reportou ao Zoom uma falha que tornava possível descobrir a senha de qualquer sessão privada após cerca de 30 minutos realizando várias tentativas aleatórias. A falha foi corrigida poucos dias depois que a empresa tomou conhecimento, mas só foi divulgada no dia 29 de julho, após uma publicação do desenvolvedor (https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/). Esses exemplos mostram que a empresa tem se apressado para corrigir os problemas, mas com novos problemas surgindo a cada dia, fica difícil confiar no serviço.

Vale dizer ainda que o Zoom não é um software livre, ou seja, a empresa não dá acesso aos códigos de suas aplicações, não sendo possível analisá-las e auditá-las e ter a certeza do que elas realmente fazem. Assim, só nos resta confiar no que a empresa afirma.Além disso, o Zoom não possui criptografia ponta-a-ponta (diferente do que a empresa divulgava https://theintercept.com/2020/04/06/zoom-reunioes-criptografia-coronavirus/), o que significa que tudo que acontece dentro da aplicação pode estar acessível para a empresa e, por alguma falha ou pelo próprio desenho do modelo de negócios da empresa, pode se tornar público ou ser compartilhado com terceiros. Portanto, ao promover ou participar de uma atividade no Zoom, informe às pessoas participantes sobre essa condição, ou seja, que a atividade não é completamente privada, e assuma a postura de que está sendo gravada e observada.

Mas a principal questão que vem assombrando o uso de serviços de videoconferência, especialmente o Zoom, é o crescimento assustador dos casos de zoombombing: a invasão de salas e a sabotagem de atividades através do compartilhamento de imagens e mensagens nazistas, racistas e LGBTfóbicas. Os principais alvos dos ataques são grupos que trabalham ou que se propõem a debater questões raciais e de gênero, o que indica que as invasões são ações coordenadas que visam ameaçar, intimidar e calar a voz das pessoas que lutam por justiça social. Nas últimas semanas os ataques tem se intensificado, atingindo também o espaço acadêmico, com a invasão de defesas de teses, ou mesmo de aulas. Muitos ataques chegam a ir além do zoombombing, com os atacantes invadindo contas de Instagram, email e Twitter de pessoas que organizaram sessões no Zoom.

Para manter suas atividades no Zoom protegidas e longe de sabotagens, ou ainda para se defender no momento mesmo de um ataque, compilamos uma série de cuidados e recomendações de privacidade que devem ser consideradas na hora de criar sua conta e configurar suas sessões no Zoom. A lista é grande, mas se atente àquilo que faz sentido para sua realidade e para as pessoas e grupos com os quais se comunica. Além disso, antes da atividade, busque alinhar as expectativas e intenções de privacidade e segurança com as demais pessoas organizadoras e, se possível, teste o Zoom e suas configurações com pessoas de confiança, antes de utilizar pela primeira vez.


CRIANDO UMA CONTA NO ZOOM:

Ao criar uma conta no Zoom devemos estar atentas à alguns cuidados básicos de segurança e privacidade. Vamos checar juntas alguns deles?

E-mail de login

Crie sua conta com um e-mail exclusivo para essa atividade, se não for possível, use um e-mail que não tenha ligação com outros serviços e contas importantes pessoais e da sua organização. Esse e-mail deve estar ativo e seguro.

Senhas

Ao criar uma senha para sua conta no Zoom ou para qualquer outra aplicação, tenha em mente que ela deve ser: exclusiva, aleatória e longa.

Exclusiva:

Para garantir sua segurança e privacidade, o recomendado é utilizar uma senha diferente para cada conta que criar, seja de e-mail, de redes sociais ou qualquer outro serviço. Aquela velha tática de usar variações de uma mesma senha para diferentes serviços também não é uma boa. Pois uma vez que alguém tenha acesso a uma das senhas, pode descobrir a lógica e deduzir as outras variações.

Aleatória:

Sua senha não deve ser algo que remeta a você, então datas de aniversário, nome da mãe, vó, tia, cachorro, gato e papagaio, crush, letras de música etc. Não é uma boa tática! Escolha palavras aleatórias.

Longa:

Podemos utilizar sequências de letras, números e caracteres especiais ou fazer sequências de palavras aleatórias (nesse caso, use no mínimo 6 palavras). Para aumentar o grau de complexidade e segurança da sua senha, misture outras línguas, dialetos, gírias ou mesmo palavras inventadas. Isso porque em ataques de força bruta geralmente são utilizadas palavras de dicionários para tornar o processo de quebra de senha mais rápido.

Já que você vai criar uma senha para cada serviço, e senhas longas e aleatórias, a menos que você tenha uma capacidade de memória enorme, você vai precisar de ajuda para lembrar de todas elas. Mas calma, não deixe suas senhas anotadas fisicamente próximo ao seu computador (naquele post-it maroto), também não crie ou deixe senhas em arquivos no computador, celular, nuvem ou no e-mail. Nós recomendamos o uso de um gerenciador de senhas. Um software que além de guardar senhas de forma segura, com criptografia, também pode ser usado para gerar senhas completamente aleatórias. Existem diversos gerenciadores de senhas, o que recomendamos se chama KeepassXC.

Saiba tudo para instalar e começar a usar o KeepassXC. https://ssd.eff.org/pt-br/module/como-utilizar-o-keepassxc


Quer saber mais sobre senhas? Não deixe de olhar essas referências:

Abre-te Sésamo: as senhas da nossa vida digital: https://medium.com/codingrights/abre-te-s%C3%A9samo-as-senhas-da-nossa-vida-digital- 469a8772723a

Senhas fáceis de memorizar que nem a NSA vai descobrir: https://theintercept.com/2016/12/29/senhas-faceis-para-voce-memorizar-e-que-nem-a-nsa-nao- consegue-desvendar/

Baixando o aplicativo Zoom

Para fazer o download de qualquer aplicação na Internet, recomendamos sempre buscar o site oficial da aplicação, e não utilizar sites de terceiros. Portanto, para baixar o aplicativo do Zoom para desktop, visite o site oficial (zoom.us). Para baixar o aplicativo no celular, utilize a App Store e o Google Play e verifique se a empresa desenvolvedora do aplicativo é de fato a Zoom.


Gata2.png

CONFIGURANDO O ZOOM ANTES DE UMA ATIVIDADE:

Atenção, estas recomendações foram criadas levando em consideração as configurações disponíveis no Zoom até o dia 21 de agosto de 2020. Além disso, também foram criadas a partir de configurações disponíveis para contas gratuitas do Zoom. Para contas pagas, mais opções podem estar disponíveis.

ID de reunião pessoal

Ao criar uma conta, o Zoom te fornece automaticamente um "ID de Reunião Pessoal", uma sala virtual permanentemente reservada para você, com um ID fixo de 9 a 11 dígitos atribuído à contas gratuitas, e um ID personalizável para contas pagas. É uma função útil para quem faz reuniões com frequência e com as mesmas pessoas, já que evita ter que enviar o link da sala a cada nova reunião. No entanto, quando se trata da nossa segurança e privacidade a função não é recomendada. Já que se trata de um número fixo, é mais fácil de ser descoberto e sua sala pode ser invadida por pessoas não-convidadas. Para evitar exposição, desabilite a opção "Habilitar ID de reunião pessoal":

No site do Zoom.us, navegue até

Minha conta > Configurações > Reunião > Agendar Reunião e desabilite a opção “Habilitar ID de reunião pessoal”


ID.png

Senha de reunião

O Zoom não permite mais a criação de salas sem senha. No entanto, por padrão, o Zoom irá incluir a senha no link de convite para a reunião. Apesar de agilizar a entrada das pessoas na sala, é uma grande vulnerabilidade e permite, obviamente, a entrada de pessoas não-convidadas na sua reunião.

Se pretende realizar uma reunião aberta, pública, em que várias pessoas possam participar e falar, recomendamos estar atenta às outras configurações de privacidade e segurança para evitar sabotagens como o Zoombombing.

Se pretende realizar um evento público, como uma palestra, por exemplo, em que as pessoas participantes não precisam interagir diretamente com as pessoas palestrantes, considere transmitir sua atividade usando o Youtube, por exemplo. Assim você impede que pessoas não-convidadas sabotem sua atividade. Para saber mais sobre como transmitir sua atividade no Youtube, e quais são os requisitos do Zoom, acesse essas informações no site da aplicação. (https://support.zoom.us/hc/en-us/articles/360028478292-Streaming-a-Meeting-or-Webinar-on-YouTube-Live)

Se pretende realizar uma reunião privada, desabilite a inclusão da senha no link de convite para a reunião:

No site do Zoom.us, navegue até

Minha conta > Configurações > Reunião > Security e desabilite a opção “Senha incorporada no link de convite para ingressos com um clique”


Senhanolink.png

Ao desabilitar essa função, você terá que enviar a senha da reunião para todas as pessoas que deseja convidar. Certifique-se de enviar a senha por meios seguros e privados.

Antes de divulgar o link da sua atividade, certifique-se que a senha não está (contida) no link. Links sem a senha possuem esta estrutura:

https://us04web.zoom.us/j/54794876286

Enquanto links com a senha embutida possuem esta estrutura:

https://us04web.zoom.us/j/54794876286?pwd=ZXpLVkdnN2ZQakk1cDhqRkxtNVQzZz09

Tenha cuidado! Ainda que a opção de incorporar a senha no link esteja desabilitada, o Zoom irá automaticamente incluir a senha quando, já dentro da sala, você copiar o link de convite. Ou seja, ao colar o link de convite, o que vai aparecer é o seguinte:

https://us04web.zoom.us/j/54794876286 (Password: ts3yHx)

Para reuniões privadas, também recomendamos não postar o link nas redes sociais (com ou sem senha).

Bate-papo privado

No Zoom, enquanto anfitriã, você pode permitir ou negar que participantes da reunião troquem mensagens privadas, ou seja, sem que as outras pessoas vejam. Este pode ser um recurso útil para uma atividade online, mas também pode ser usada por invasores e sabotadores para assediar as pessoas durante um Zoombombing. Nesse caso, se o bate-papo privado não fizer sentido para sua atividade, desabilite-o.

No site do Zoom.us, navegue até

Minha conta > Configurações > Reunião > Em Reunião (Básico) e desabilite a opção “Bate-papo privado”.


Batepapoprivado.png

Transferência de arquivo

O Zoom permite que participantes de uma reunião compartilhem arquivos através do bate-papo. Mais uma vez, uma função que pode ser útil, mas que também pode ser explorada por sabotadores em uma situação de Zoombombing. Ou seja, é possível que invasores compartilhem arquivos com malwares para infectar os computadores das pessoas participantes. Para desabilitar essa funcionalidade, siga as coordenadas abaixo:

No site do Zoom.us, navegue até

Minha conta > Configurações > Reunião > Em Reunião (Básico) e desabilite a opção “Transferência de arquivo”

Transferenciaarq.png

Compartilhamento de tela

É comum em um ataque de Zoombombing que o sabotador compartilhe sua tela com imagens nazistas, racistas, misóginas e LGBTfóbicas. Portanto, é importante restringir quem tem acesso ao compartilhamento de tela da sala de reunião do Zoom. É importante que só a anfitriã possa compartilhar, se isso não for possível, que ao menos só a anfitriã possa retomar o compartilhamento quando alguém estiver compartilhando. Para configurar essas opções, siga as coordenadas abaixo:

No site do Zoom.us, navegue até

Minha conta > Configurações > Reunião > Em Reunião (Básico) > Compartilhamento de tela em “Quem pode compartilhar?”, marque a opção “Apenas anfitrião”.
Em “Quem pode começar a compartilhar quando alguém está compartilhando?”, marque a opção “Apenas anfitrião”.


Compartilhatela.png