Serviço de videoconferência pretende oferecer solução corporativa para comunicação com criptografia ponta a ponta. Zoom está dedicando 90 dias para melhorar a segurança do serviço de videoconferência. Albert Gea/Reuters A Zoom anunciou nesta quinta-feira (7) que adquiriu a Keybase, uma empresa especializada em comunicações criptografadas e identidade digital. O negócio, cujos detalhes não foram divulgados, faz parte dos esforços da Zoom de dedicar 90 dias – iniciados no dia 1º de abril – para melhorar a segurança do seu serviço de videoconferência. Isolamento faz empresas liberarem aplicativos e lançarem funções novas: veja o que mudou A Keybase é uma startup sediada em Nova York fundada em 2014 pelos mesmos fundadores do site de namoro OkCupid. De acordo com a rede "CNBC", a empresa tem 25 funcionários. A ideia da plataforma é oferecer uma espécie de "central unificada de identidade" para a internet, integrando contas em diversas redes sociais. A partir desse ponto central, usuários podem se comunicar e compartilhar arquivos de forma segura. Diferentemente de apps de comunicação segura como o WhatsApp ou Signal, a Keybase ainda armazena informações em um servidor central. No entanto, tudo é protegido com criptografia, o que impede o acesso a esses dados. O serviço é projetado de forma a permitir que o aplicativo nos dispositivos dos usuários possa detectar ações suspeitas do servidor, espelhando dados de verificação até em cadeias de blocos (blockchains) de criptomoedas para armazenar registros fora da rede. O objetivo é garantir que hackers não possam interferir no serviço e prejudicar usuários, mesmo que consigam acesso à infraestrutura da plataforma. O app, porém, é bem menos popular que concorrentes. A Keybase soma 100 mil downloads na Play Store, enquanto a Zoom acumula 100 milhões de instalações na mesma loja. Tecnologias têm pouca 'liga' De modo geral, a tecnologia de criptografia da Keybase não seria capaz de eliminar os problemas que mancharam a reputação da Zoom. Por que o Zoom é alvo de desconfiança? O caso mais relevante foi o "zoom bombing" – quando pessoas não autorizadas entravam nas reuniões em andamento. O Zoom usa um identificador de reunião numérico e fácil de ser adivinhado, o que permitia ataques de "força bruta": bastava experimentar vários números até achar uma reunião válida. Ou seja, o "zoom bombing" não se tratava de uma falha grave de segurança ou de criptografia, mas de uma falta de imaginação por parte da Zoom. Na visão deles, quem precisava de segurança colocaria uma senha nas reuniões. Evidentemente, muita gente não fez isso e acabou surpreendida. O uso seguro de um serviço não depende apenas de uma tecnologia robusta. É preciso que os usuários entendam como ele deve ser usado. A Zoom apostou em facilidades, mas colheu uma má reputação um tanto indevida e amarga: as pessoas não tiveram problemas porque a tecnologia era ruim, mas porque a tecnologia não se apresentava em sua forma mais segura e alinhada com as expectativas dos usuários. Infelizmente, a Keybase não é totalmente inocente nesse aspecto. Em sua página principal, a empresa afirma que seu app de comunicação é tão seguro que familiares podem até compartilhar fotos de cartões de crédito. "Compre um novo suéter", diz o suposto pai de família na imagem. Abaixo, ele compartilha uma foto do cartão. Marketing da Keybase sugere que tecnologia pode ser usada para compartilhar até foto de cartão de crédito. Reprodução Essa estratégia de marketing da Keybase tenta reforçar a segurança do produto, mas ignora as boas práticas de segurança. E se celular de qualquer pessoa da família estiver contaminado com software espião? Bem, o cartão vai parar nas mãos de hackers – por mais que o app usado na comunicação seja seguro. A Zoom cometeu equívocos semelhantes, ao permitir o uso do serviço por pessoas sem cadastro. Em contrapartida, a companhia exigia a instalação do software. Essa "combinação" – instalar um software desconhecido de um serviço no qual você nem tem cadastro – foi perfeita para hackers, que puderam copiar o processo da Zoom em páginas falsas, oferecendo programas maliciosos no lugar do software de videoconferência. Nada disso é culpa da Zoom, e tampouco ela é a única a aparecer nesses ataques. Existem golpes semelhantes com o WebEx, da Cisco, e o Teams, a Microsoft. O diferencial de uma tecnologia, diante de golpes idênticos, é a facilidade de educar as pessoas a respeito da maneira correta de usar o produto e evitar a ação dos criminosos. O que a Zoom quer com a Keybase? De acordo com o anúncio da compra, a Zoom vai integrar a equipe da Keybase à sua própria equipe de desenvolvimento. Max Krohn, um dos fundadores da Keybase, vai assumir a chefia dos engenheiros de segurança, reportando-se diretamente ao presidente da Zoom, Eric S. Yuan. Eric Yuan, o bilionário criador do Zoom que viu sua fortuna se multiplicar durante pandemia Com essa integração, a ideia é que a equipe da Keybase forneça "contribuições importantes" nesse esforço da Zoom de melhorar a segurança do seu serviço, ao qual a empresa decidiu se dedicar integralmente por 90 dias. Em termos mais concretos, é provável que a compra tenha sido um meio encontrado pela Zoom para resgatar a confiança do público. Não é a primeira atitude da Zoom nesse sentido: além da compra da Keybase, a companhia também firmou uma parceria com Alex Stamos, ex-diretor de segurança do Facebook. Pelo acordo, Stamos passou a atuar como consultor. Em suas palestras desde que saiu do Facebook, Stamos demonstrou preocupação com o alinhamento de recursos de segurança e as necessidades dos usuários – o que pode, de fato, ajudar a Zoom a encontrar soluções práticas para facilitar o uso seguro a plataforma. No futuro, a Zoom pretende fornecer uma tecnologia de comunicação segura corporativa – ou seja, destinada a empresas. Essa, sim, seria a contribuição mais direta da Keybase ao portfólio da Zoom. Todos os usuários pagantes terão a opção de criar reuniões com criptografia de ponta a ponta no Zoom, mas a empresa destacou que vai criar "uma nova solução" para quem decidir priorizar a segurança em vez da compatibilidade. Por que a Zoom cogita uma 'nova solução'? Ao falar em "nova solução" desde já, a Zoom se precipita e comete uma gafe. Por que criar uma nova solução? Seria o serviço atual inseguro e incorrigível? A questão é bem mais inócua: oferecer a solução certa ao público certo. A criptografia "total", como a usada pela Keybase, tem desvantagens práticas. Um exemplo: se você perder sua senha e não dispor mais de nenhum dispositivo ativado no Keybase, você terá de resetar sua senha e perder todos os seus dados na plataforma. O servidor não tem condições de acessar seus dados sem sua senha ou sem as chaves de acesso que ficam registradas em cada dispositivo autorizado, o que obriga a limpeza dos dados. Por causa da criptografia, processo de redefinição de senha perdida na Keybase exige que todos os dados do usuário sejam apagados. Reprodução Até mesmo a Zoom, ao anunciar a compra da Keybase, explica que seu modelo de serviço não é totalmente compatível com a tecnologia e o modelo da Keybase. É por isso que a Zoom fala em desenvolver uma "nova solução" para quem está disposto a ter mais segurança em troca de menos compatibilidade – ou seja, um serviço que não mais funcione exatamente da mesma forma que o atual. Desde que bem utilizado e sem nenhum erro grave em sua infraestrutura – e não se tem notícia de nenhum erro desse tipo, ao menos até agora –, o Zoom por si só não representa risco aos seus usuários. Mas isso não quer dizer que ele atenda ao público empresarial, que tem suas próprias necessidades. A Zoom dará para si mesma a oportunidade de desenhar um produto mais focado nessas necessidades, sem sacrificar todas as facilidades que seu produto atual oferece. Em um novo produto, a Zoom poderá aproveitar ao máximo a tecnologia da Keybase e sua própria experiência na operação de um serviço utilizado por milhões de pessoas. Por outro lado, a startup vai ter concorrentes de peso como Cisco, Microsoft e Google – que já estão fazendo o caminho inverso e expandindo suas soluções empresariais para o público doméstico. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com