Privacidade e segurança no Zoom

Fonte: Wiki Escola de Ativismo
Revisão em 15h21min de 4 de setembro de 2020 por Foz (discussão | contribs)
Ir para: navegação, pesquisa

Capa-wiki.png

ZOOMBOMBING: COMO EVITAR E COMO SE DEFENDER DE UM ATAQUE

Nos últimos meses, vimos crescer o uso de plataformas de videoconferência, especialmente do Zoom. A necessidade de trabalho remoto e de se manter em contato com amigas e familiares tem feito com que muitas pessoas escolham a plataforma por sua estabilidade e funcionalidades, como o compartilhamento de tela, a criação de salas paralelas, etc. No entanto, quando se trata de segurança e privacidade, o Zoom tem deixado a desejar.

Desde a sua popularização, o Zoom vem acumulando um longo histórico de falhas e vulnerabilidades (https://www.tomsguide.com/news/zoom-security-privacy-woes). Em março de 2020, por exemplo, uma reportagem da Motherboard (https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you- dont-have-a-facebook-account) revelou que o aplicativo do Zoom para iOS enviava dados para o Facebook, ainda que a pessoa não tivesse uma conta na rede social. A falha foi corrigida, mas já no começo de abril, o desenvolvedor britânico Tom Anthony reportou ao Zoom uma falha que tornava possível descobrir a senha de qualquer sessão privada após cerca de 30 minutos realizando várias tentativas aleatórias. A falha foi corrigida poucos dias depois que a empresa tomou conhecimento, mas só foi divulgada no dia 29 de julho, após uma publicação do desenvolvedor (https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/). Esses exemplos mostram que a empresa tem se apressado para corrigir os problemas, mas com novos problemas surgindo a cada dia, fica difícil confiar no serviço.

Vale dizer ainda que o Zoom não é um software livre, ou seja, a empresa não dá acesso aos códigos de suas aplicações, não sendo possível analisá-las e auditá-las e ter a certeza do que elas realmente fazem. Assim, só nos resta confiar no que a empresa afirma.Além disso, o Zoom não possui criptografia ponta-a-ponta (diferente do que a empresa divulgava https://theintercept.com/2020/04/06/zoom-reunioes-criptografia-coronavirus/), o que significa que tudo que acontece dentro da aplicação pode estar acessível para a empresa e, por alguma falha ou pelo próprio desenho do modelo de negócios da empresa, pode se tornar público ou ser compartilhado com terceiros. Portanto, ao promover ou participar de uma atividade no Zoom, informe às pessoas participantes sobre essa condição, ou seja, que a atividade não é completamente privada, e assuma a postura de que está sendo gravada e observada.

Mas a principal questão que vem assombrando o uso de serviços de videoconferência, especialmente o Zoom, é o crescimento assustador dos casos de zoombombing: a invasão de salas e a sabotagem de atividades através do compartilhamento de imagens e mensagens nazistas, racistas e LGBTfóbicas. Os principais alvos dos ataques são grupos que trabalham ou que se propõem a debater questões raciais e de gênero, o que indica que as invasões são ações coordenadas que visam ameaçar, intimidar e calar a voz das pessoas que lutam por justiça social. Nas últimas semanas os ataques tem se intensificado, atingindo também o espaço acadêmico, com a invasão de defesas de teses, ou mesmo de aulas. Muitos ataques chegam a ir além do zoombombing, com os atacantes invadindo contas de Instagram, email e Twitter de pessoas que organizaram sessões no Zoom.

Para manter suas atividades no Zoom protegidas e longe de sabotagens, ou ainda para se defender no momento mesmo de um ataque, compilamos uma série de cuidados e recomendações de privacidade que devem ser consideradas na hora de criar sua conta e configurar suas sessões no Zoom. A lista é grande, mas se atente àquilo que faz sentido para sua realidade e para as pessoas e grupos com os quais se comunica. Além disso, antes da atividade, busque alinhar as expectativas e intenções de privacidade e segurança com as demais pessoas organizadoras e, se possível, teste o Zoom e suas configurações com pessoas de confiança, antes de utilizar pela primeira vez.

CRIANDO UMA CONTA NO ZOOM:

Ao criar uma conta no Zoom devemos estar atentas à alguns cuidados básicos de segurança e privacidade. Vamos checar juntas alguns deles?

1 - E-mail de login

Crie sua conta com um e-mail exclusivo para essa atividade, se não for possível, use um e-mail que não tenha ligação com outros serviços e contas importantes pessoais e da sua organização. Esse e-mail deve estar ativo e seguro.

2 - Senhas

Ao criar uma senha para sua conta no Zoom ou para qualquer outra aplicação, tenha em mente que ela deve ser: exclusiva, aleatória e longa.

Exclusiva:

Para garantir sua segurança e privacidade, o recomendado é utilizar uma senha diferente para cada conta que criar, seja de e-mail, de redes sociais ou qualquer outro serviço. Aquela velha tática de usar variações de uma mesma senha para diferentes serviços também não é uma boa. Pois uma vez que alguém tenha acesso a uma das senhas, pode descobrir a lógica e deduzir as outras variações.


Aleatória:

Sua senha não deve ser algo que remeta a você, então datas de aniversário, nome da mãe, vó, tia, cachorro, gato e papagaio, crush, letras de música etc. Não é uma boa tática! Escolha palavras aleatórias.

Longa:

Podemos utilizar sequências de letras, números e caracteres especiais ou fazer sequências de

palavras aleatórias (nesse caso, use no mínimo 6 palavras). Para aumentar o grau de complexidade e segurança da sua senha, misture outras línguas, dialetos, gírias ou mesmo palavras inventadas. Isso porque em ataques de força bruta geralmente são utilizadas palavras de dicionários para tornar o processo de quebra de senha mais rápido.

Já que você vai criar uma senha para cada serviço, e senhas longas e aleatórias, a menos que você tenha uma capacidade de memória enorme, você vai precisar de ajuda para lembrar de todas elas. Mas calma, não deixe suas senhas anotadas fisicamente próximo ao seu computador (naquele post-it maroto), também não crie ou deixe senhas em arquivos no computador, celular, nuvem ou no e- mail. Nós recomendamos o uso de um gerenciador de senhas. Um software que além de guardar senhas de forma segura, com criptografia, também pode ser usado para gerar senhas completamente aleatórias. Existem diversos gerenciadores de senhas, o que recomendamos se chama KeepassXC.

Saiba tudo para instalar e começar a usar o KeepassXC. https://ssd.eff.org/pt-br/module/como-utilizar-o-keepassxc

Quer saber mais sobre senhas? Não deixe de olhar essas referências:

Abre-te Sésamo: as senhas da nossa vida digital: https://medium.com/codingrights/abre-te-s%C3%A9samo-as-senhas-da-nossa-vida-digital- 469a8772723a

Senhas fáceis de memorizar que nem a NSA vai descobrir: https://theintercept.com/2016/12/29/senhas-faceis-para-voce-memorizar-e-que-nem-a-nsa-nao- consegue-desvendar/

3 - Baixando o aplicativo Zoom

Para fazer o download de qualquer aplicação na Internet, recomendamos sempre buscar o site oficial da aplicação, e não utilizar sites de terceiros. Portanto, para baixar o aplicativo do Zoom para desktop, visite o site oficial (zoom.us). Para baixar o aplicativo no celular, utilize a App Store e o Google Play e verifique se a empresa desenvolvedora do aplicativo é de fato a Zoom.


Ficheiro:Gata2.pngl

CONFIGURANDO O ZOOM ANTES DE UMA ATIVIDADE:

Atenção, estas recomendações foram criadas levando em consideração as configurações disponíveis no Zoom até o dia 21 de agosto de 2020. Além disso, também foram criadas a partir de configurações disponíveis para contas gratuitas do Zoom. Para contas pagas, mais opções podem

1 - ID de reunião pessoal

Ao criar uma conta, o Zoom te fornece automaticamente um "ID de Reunião Pessoal", uma sala virtual permanentemente reservada para você, com um ID fixo de 9 a 11 dígitos atribuído à contas gratuitas, e um ID personalizável para contas pagas. É uma função útil para quem faz reuniões com frequência e com as mesmas pessoas, já que evita ter que enviar o link da sala a cada nova reunião. No entanto, quando se trata da nossa segurança e privacidade a função não é recomendada. Já que se trata de um número fixo, é mais fácil de ser descoberto e sua sala pode ser invadida por pessoas não-convidadas. Para evitar exposição, desabilite a opção "Habilitar ID de reunião pessoal":

No site do Zoom.us, navegue até Minha conta > Configurações > Reunião > Agendar Reunião e desabilite a opção “Habilitar ID de reunião pessoal”







Configurações de privacidade e segurança no Zoom

Criando uma conta do Zoom: Como toda conta online, devemos passear pelas configurações de nossas contas e estar atentas aos cuidados básicos, vamos checar juntas alguns deles?

1 - E-mail Crie sua conta com um e-mail exclusivo para essa atividade, se não for possível, use um e-mail que não tenha ligação com outros serviços e contas importantes pessoais e da sua organização. Esse e-mail deve estar ativo e seguro.

2 - Assuma que está sendo gravada O Zoom não possui criptografia ponta-a-ponta, o que significa que tudo que acontece dentro do aplicativo pode estar acessível para a empresa e, por alguma falha ou pelo próprio desenho do modelo de negócios da empresa, pode se tornar público ou ser compartilhado com terceiros. Portanto, ao promover ou participar de uma atividade no Zoom, informe essa condição às pessoas participantes e assuma que está sendo gravada, que a atividade não é completamente privada.

3 - Senhas Ao criar uma senha para sua conta no Zoom ou para qualquer outra aplicação, tenha em mente que ela deve ser: exclusiva, aleatória e longa.

Exclusiva: Para garantir sua segurança e privacidade, o recomendado é utilizar uma senha diferente para cada conta que criar, seja de e-mail, de redes sociais ou qualquer outro serviço. Aquela velha tática de usar variações de uma mesma senha para diferentes serviços também não é uma boa. Pois uma vez que alguém tenha acesso a uma das senhas, pode descobrir a lógica e deduzir as outras variações.

Aleatória: Sua senha não deve ser algo que remeta a você, então datas de aniversário, nome da mãe, vó, tia, cachorro, gato e papagaio, crush, letras de música etc. Não é uma boa tática! Escolha palavras aleatórias.

Longa: Podemos utilizar sequências de letras, números e caracteres especiais ou fazer sequências de palavras aleatórias (nesse caso, use no mínimo 6 palavras). Para aumentar o grau de complexidade e segurança da sua senha, misture outras línguas, dialetos, gírias ou mesmo palavras inventadas. Isso porque em ataques de força bruta geralmente são utilizadas palavras de dicionários para tornar o processo de quebra de senha mais rápido.

Já que você vai criar uma senha para cada serviço, e senhas longas e aleatórias, a menos que você tenha uma capacidade de memória enorme, você vai precisar de ajuda para lembrar de todas elas. Mas calma, não deixe suas senhas anotadas fisicamente próximo ao seu computador (naquele post-it maroto), também não crie ou deixe senhas em arquivos no computador, celular, nuvem ou no e-mail.

Nesse caso, recomendamos o uso de um gerenciador de senhas. Além de guardar suas senhas nele de forma segura, com criptografia, você também pode usar esse tipo de aplicativo para gerar senhas completamente aleatórias.

Saiba tudo para instalar e começar a usar: https://ssd.eff.org/pt-br/module/como-utilizar-o-keepassxc

Quer saber mais sobre senhas? Não deixe de olhar essas referências:

Abre-te Sésamo: as senhas da nossa vida digital: https://medium.com/codingrights/abre-te-s%C3%A9samo-as-senhas-da-nossa-vida-digital-469a8772723a

Senhas fáceis de memorizar que nem a NSA vai descobrir: https://theintercept.com/2016/12/29/senhas-faceis-para-voce-memorizar-e-que-nem-a-nsa-nao-consegue-desvendar/

O que fazer em caso de ataque

Alternativas mais seguras ao Zoom

ALTERNATIVAS:

Apesar do Zoom ser o serviço mais usado ultimamente, ser bastante estável em relação à conexão e possuir funcionalidades úteis para o dia a dia do trabalho online, existem outras possibilidades para a realização de videochamadas que garantem maior privacidade. Uma opção recomendável é o Jitsi meet (https://jitsi.org/jitsi-meet/).

Jitsi O Jitsi meet é um software de videoconferência gratuito e de código aberto, que não exige a criação de uma conta para utilizá-lo. Ele funciona no desktop (a partir do navegador), e em celulares com Android e iOS. Por ser de código aberto, o Jitsi meet pode ser auditável, conferindo maior transparência e segurança ao software. Além disso, ele pode ser instalado e executado em um servidor próprio, privado, para aquelas pessoas que possuem maior conhecimento técnico ou para quem quer ter maior autonomia e controle sobre seus dados.

Em relação às funcionalidades, o Jitsi meet permite o compartilhamento de tela, a edição compartilhada de documentos, a criação de URLs personalizáveis, possui um bate-papo para troca de mensagens e possibilita que as pessoas "levantem a mão" para pedir a fala, entre outras coisas.

Em relação às funcionalidades úteis para a proteção contra o "zoombombing", o Jitsi meet permite o bloqueio de sala através da configuração de uma senha, o que é super importante e necessário para evitar a invasão de pessoas não-convidadas. Além disso, ele permite a transmissão de uma sessão através do Youtube, o que pode ser muito útil para a realização de lives, por exemplo. Nesse caso, só as pessoas que se apresentarão na live devem ter acesso a sala do Jitsi meet, enquanto as pessoas que vão assistir, terão acesso ao link do Youtube, que poderá ser público e compartilhável. A criação de links personalizáveis também pode ser útil contra "zoombombing", já que permite a criação de links complexos, longos, difícies de serem adivinhados. É importante chamar atenção para isso, já que links sem complexidade podem ser facilmente adivinháveis.

Para utilizar o Jitsi meet é necessário apenas entrar no site, gerar um link, e compartilhar esse link com as pessoas. Quem tiver acesso ao link e clicar nele será direcionadx automaticamente para a sala. O próprio grupo que desenvolve o software disponibiliza o serviço publicamente através de seu site (https://meet.jit.si/). No entento, recomendamos utilizar a versão do serviço disponibilizada e gerida por grupos ativistas, projetos e empresas comprometidas com a privacidade, como é o caso do Mayfirst, Systemli, Disroot, Greenhost e Framasoft, através dos links abaixo:

Veja aqui comparação entre diferentes instâncias de jitsi instaladas que podem auxiliá-las na escolha.

Outras referências