Zoom, usar ou não usar?
E a novidade que seria um sonho,
O milagre risonho da sereia
Virava um pesadelo tão medonho,
Ali naquela praia, ali na areia
Gilberto Gil "A novidade"
Nas últimas duas semanas, é difícil pensar em uma empresa que passou por mais altos e baixos do que o Zoom. Provavelmente o aplicativo mais comentado e polêmico da atualidade, passou de salvador da quarentena para o grande vilão das massas.
Resolvi escrever esse artigo, pois o que sinto é que há muita gente tomando decisões importantes e drásticas sem realmente saber dos fatos com a devida profundidade. A ideia não é dizer se o zoom é seguro ou não, mas te dar dados e informações que te permitam decidir se quer usar o app ou se prefere migrar pra outro. No final faço uma reflexão sobre a migração para outros softwares. E deixo bem claro, te ajudar nesse processo é o ÙNICO motivo pelo qual escrevi isso, não estou ganhando nada de ninguém para escrever e espero sinceramente que eu consiga ajudar algumas pessoas a poderem decidir criticamente sobre o seu uso ou não.
Antes de começar a falar desse assunto polêmico, é importante dizer que há um mês, eu mal usava o zoom, apesar de ter o app instalado no meu note e celular e usar só de vez em nunca. Acabei caindo na redação desse artigo porque fiz um monte de postagens mostrando pessoas se reunindo, trabalhando, jogando e tendo horas boas juntas ou porque fazem parte da minha nova rotina, seja porque tenho focado em trazer momentos de conexão entre as pessoas ultimamente. E aí quando surgiram as questões de segurança, recebi mais de 20 mensagens comentando sobre isso, seja pra me alertar, seja para me perguntar sobre o assunto.
Mas voltando, já tinha reparado em algumas funcionalidades dele que eram praticamente únicas e isso me chamou a atenção novamente quando entrei em quarentena. Através dele, criei jogos, brincadeiras e reuniões que têm me ajudado muito a atravessar esse período tão difícil em que encontrar fisicamente as pessoas que amo se tornou uma impossibilidade e, quero acreditar, ajudaram muitos também.
Por conta disso e por causa de alguns trabalhos e projetos, acabei assinando o serviço. Principalmente devido a duas funcionalidades que são diferenciais do Zoom:
- Break out rooms, a possibilidade de dividir as salas em pequenos sub grupos e poder conduzir atividades com maior profundidade com grupos menores
- Visualização em galeria: 25 telas simultâneas quando visto no notebook
Isso pra quem trabalha com educação de grupos tem um valor incrível e, acredito eu, é uma das grandes qualidades do zoom, além de outras pequenas funcionalidades como a possibilidade do anfitrião emudecer o microfone dos outros, um quadro branco embutido e pequenos ícones de comunicação não verbais.
No entanto, mais recentemente ainda, apareceram uma série de denúncias de segurança que tomaram toda a mídia jornalística e nossas redes sociais. Cito cada uma das que consegui apurar e a minha visão sobre cada uma delas:
- Zoom bombing, a prática de pessoas desconhecidas e/ou alheias ao grupo que está se reunindo para exibir conteúdo indesejável, como vídeos pornográficos ou mensagens nazistas nos casos mais extremos
Esse é um dos casos mais leves na minha opinião, porém um dos que ganhou mais exposição na visão dos jornalistas leigos. Simplesmente porque ele é muito mais relacionado ao comportamento de risco do usuário do que por conta do software. Naturalmente não é possível se isentar o zoom completamente, porém a maioria dos casos acontecia por conta de uma série de erros do anfitrião que gerou a reunião, resultando numa combinação explosiva: 1- Não colocou senha para entrar 2- Não usou sala de espera para aprovar cada um dos usuários 3- Postou o link para a reunião publicamente. 4- Configurou a sala para que o usuário chutado pra fora pudesse voltar. Isso se tornou uma presa fácil para que pessoas desconhecidas ou mesmo conhecidas como ex-alunos pudessem entrar e fazer o diabo nas reuniões.
Por conta disso, o Zoom alterou as configurações tornando obrigatório que os ítens 1 e 2 estivessem ligados. Além disso, na versão mais recente, retirou o ID da reunião que ficava na barra da janela que expunha a identificação da reunião em screenshots que eram compartilhadas nas redes.
- Vídeos sendo armazenados sem encriptação, ou seja, eles estão vulneráveis na internet para que qualquer pessoa acessar publicamente
Novamente, outro problema de comportamento de risco. O zoom permite que você grave a reunião e armazene a mesma na nuvem deles. Até aí tudo bem pois a nuvem deles é encriptada. O problema é que ele também salva localmente e isso transforma o vídeo num arquivo normal. Uma vez que isso acontece, vira um vídeo qualquer que pode ser compartilhado em qualquer lugar, inclusive youtube e vimeo. A falha do zoom ainda que menor, é permitir que as pessoas salvem esses vídeos localmente e sem encriptação. E essa não foi corrigida ainda. É tipo você deixar alguém te filmar em situações íntimas e depois quando essa pessoa posta, você culpa o celular.
- Acesso a câmeras e áudios do notebook sem autorização do usuário
Esse problema até onde pude apurar foi apenas em Macs, e é na minha opinião um dos mais graves, junto com os dois próximos. O software tem brechas que permitem que um terceiro tome controle do vídeo do notebook do usuário e ligue-o sem a sua permissão. Pelo que apurei esse erro foi corrigido pelo zoom segundo um comunicado emitido por eles
- Ausência de encriptação peer to peer (p2p), ou seja, o que você envia e recebe pode ser interceptado no meio do caminho e aberto sem maiores dificuldades por um hacker com um mínimo de habilidade
Esse é outro grave, que é a falta de encriptação de usuário a usuário, o que significa que os vídeos estão disponíveis no servidor do zoom pra eles usarem como bem entenderem. Mas como disse um amigo especialista em segurança, quem me garante que o whatsapp tb não tem tudo isso com eles também? Enfim, resumindo, o que descobri é que isso é prática quase geral de todos os aplicativos de teleconferência.
- Compartilhamento de dados dos usuários com o Facebook, inclusive de pessoas que não têm conta no FB.
De novo, outro problema grave, mas que é prática comum de vários softwares inclusive o whatsapp, O problema maior nesse caso é eles o fazerem sem pedir autorização no EULA, mesmo que ninguém leia aquele troço. De qualquer maneira, essa parte do código foi removida segundo apurei.
Enfim, essas são as questões que pude verificar e encontrar na imprensa mais especializada e em conversas com amigos de segurança de informação. Algumas ressalvas muito importantes:
1- Não existe software 100% seguro e não existe software 100% idôneo. Infelizmente a proteção de dados e privacidade não é levada a sério e ainda tem muita coisa errada em todos os cantos. É difícil se esquivar de todos os problemas, pra não dizer impossível.
2- O novo causa estranheza e desconfiança e quando coisas assim vêm à tona, há um certo prazer misturado com alívio que soa com "eu sabia" ou "eu avisei". Existe uma "alergia ao novo" muito forte na população em geral. Muito em parte causada pela imprensa leiga que comumente não faz a lição de casa de estudar direito e está mais interessada em gerar notícia do que gerar informação. Não seria nada de muito grave, o problema é que isso vende.
3- A consequência mais sinistra disso é que muita gente leiga em segurança de TI vai tomar suas decisões baseadas nessa gritaria sem também investigar mais a fundo. Não tenho dúvidas que várias das instituições que emitiram comunicados proibindo o zoom internamente o fizeram baseados em notícias ou até mesmo só em manchetes sem uma consultoria mais especializada ou pior, sem verificar se a alternativa cobre os problemas que surgiram. Em suma, podem estar trocando seis por meia dúzia, e com funcionalidades a menos.
4- O maior problema de segurança em TI sempre foi, é, e será, o comportamento de risco dos seus usuários. Humanware, como chamam alguns ou a pecinha que liga a cadeira ao teclado, como dizem outros. Nenhum sistema é mais aberto a falhas e brechas de segurança que o humano. Ao não investir em educação e treinamento de segurança, as empresas estão arriscando seus dados muito mais do que simples brechas de software.
Essas foram as falhas que consegui apurar. Mas e daí, como fica isso tudo?
Contra o zoom, há essas brechas incríveis que foram sendo descobertas e a má intenção em várias práticas que tem sido descobertas, ainda que saibamos que não existe santo nesse mundo. A favor, creio que eles estão sentindo na pele que não dá mais pra ser a empresinha que faz algumas coisas que ninguém vai notar, e viraram gente grande, e o fato de serem um startup permite que eles sanem muito rápido os problemas que estão sendo evidenciados. A maioria na mesma semana. O CEO já prometeu que todo o desenvolvimento de novas funcionalidades foi suspenso e todo o esforço está sendo dirigido para a melhoria da segurança. Não seria inteligente ignorar isso de qualquer maneira. Paralelamente a isso, a mesma procuradoria geral que começou a investigar o zoom, é a mesma que agora atestou que eles estão focados em solucionar as questões de segurança.
Moral da história, eu acredito que você realmente deve escolher a melhor opção de software de comunicação para você ou sua empresa. Mas acima de tudo, que essa escolha seja bem embasada e considere não do que você está fugindo, mas em direção a que você está correndo.
Com uma boa assessoria de segurança, a escolha pode ser feita de uma maneira muito mais segura e com economia de recursos. Ou pelo menos se você não é uma grande empresa, se informe melhor sobre os problemas e se eles não são igualmente recorrentes em outros softwares.
Afinal, de que adianta sair da boca do leão pra correr para os braços do tigre?
Agradecimentos especiais ao Bruno Martins que me deu a consultoria técnica de segurança para não falar grandes bobagens por aqui.
Facilitador e Mentor de Liderança | Professor | Autor do livro ‘Os desafios da primeira gestão' | Membro de Conselho | Apoio empresas e profissionais numa liderança mais efetiva | Acesse já a Comunidade de Liderança
4 aExcelente texto. Esclarecedor. Vou indicar para quem tem falado sobre o Zoom.
Conselheiro de Administração | Cemig - Companhia Energética de Minas Gerais
4 aÓtimo o artigo... obrigado por compartilhar!
Product Value Chain Chief Architect Officer (CAO) at Innofact - The Innovation Factory
4 aParabéns pelo texto, uso o software a anos e nunca tive qualquer problema já que as pessoas nas reuniões sempre se comportaram de maneira respeitosa. Creio que as novas regras de segurança vão ajudar na confiabilidade do software
Sócio-administrador na B3bee Sistemas | Licenciamento de sistemas bancários
4 aExcelente, Fernando. Lista com clareza prós, contras e itens que podem estar presentes em qualquer solução. Contribuirá muito para evitar o efeito manada e tomada de decisões sem um mínimo de embasamento.