saltar al contenido
Zoom adelante

Resumen

  1. Los artefactos que deja la aplicación Zoom en Mac, PC y dispositivos móviles varían con el tiempo.
  2. En la primavera de 2020, notamos que estos artefactos se habían reducido en el lado del cliente.
  3. Sin embargo, investigaciones recientes sugieren que las bases de datos de nuestros dispositivos contienen muchos más puntos de datos y, por lo tanto, información útil tanto para los investigadores como para los litigantes; parece que acceder a estos datos se ha vuelto muy dificil a partir de ahora (invierno de 2021) debido a la nueva encriptación.

Los investigadores, los reguladores, los litigantes y todos los interesados saben que Zoom se utiliza tanto que ha sido y seguirá siendo un punto focal en los ejercicios de clasificación de datos durante algún tiempo. En otoño de 2020, Zoom anunció que sería implementando el cifrado de extremo a extremo adecuado para todos sus usuarios tradicionales de computadoras y dispositivos móviles. Como recordatorio rápido, el cifrado de extremo a extremo (E2E) es el método mediante el cual los datos no solo se cifran En tránsito en todas las etapas, pero también en reposo en sus puntos finales (ordenadores, dispositivos móviles, etc.). Esta es la razón principal por la que millones de personas acudieron en masa a Signal y Telegram en enero.

Investigar

Gracias a trabajo de investigadores forenses de datos en la comunidad, los artefactos del lado del cliente de la plataforma Zoom se han aislado más rigurosamente entre varios entornos que van desde teléfonos móviles hasta PC y Mac (Crédito: Grupo de Investigación e Investigación Cibernética de la Universidad de New Haven). Esta investigación refleja artefactos y datos almacenados por la aplicación/programa Zoom en el lado del cliente; si hay interés en los datos alojados por Zoom en el lado del servidor, He comenzado a investigar y mirar en este, sin embargo; mis esfuerzos han tenido poco retorno.

El trabajo de investigación analizó las versiones de PC con Windows (así como Mac y dispositivos móviles) tan recientes como la versión 5.1.2. y ya estamos en 5.5.0, con mi evaluación realizada en 5.49. No hace falta decir que Zoom realiza actualizaciones semanales o incluso dos veces por semana en su aplicación del lado del cliente. Si está del lado de Windows, creo que esto sucede automáticamente, mientras que los usuarios de Mac tienen que elegir hacerlo manualmente, a menos que sea un parche importante y sea forzado.

Bits técnicos

En el verano, muchos de los archivos de la base de datos del lado de la computadora parecían almacenar muy poca información, lo que parecía ser una desviación de las variantes de la versión 3.x en las que los investigadores electrónicos podían obtener una gran cantidad de información sobre las sesiones de las reuniones. Mi pensamiento inicial fue que Zoom almacenaba menos de esto en las computadoras como puntos finales debido a un postura de cifrado relativamente semana en el nivel de punto final. A fines de la primavera o principios del verano de 2020, a medida que los bloqueos se normalizaban y más personas vivían en Zoom, la compañía compró Keybase para la administración de claves de cifrado y, en general, para reforzar el aspecto de seguridad de la información de su operación (si tuviera que adivinar). La investigación y los esfuerzos recientes de la Universidad parecen indicar un cambio hacia el almacenamiento de datos del lado del cliente y el advenimiento del cifrado en reposo, que abordaré en un momento. En el documento, varias bases de datos vinculadas a cuentas de usuario individuales de Zoom (por ejemplo, si mi esposa y yo usáramos Zoom en esta computadora, ambas cuentas tendrían su propia 'ID de perfil' y bases de datos almacenadas allí), parecía haber montones de datos que no había presenciado desde versiones mucho anteriores de Zoom. Había decidido erróneamente que Zoom mantendría todo datos en el lado del servidor de forma indefinida, pero este movimiento hacia el cifrado de clave privada/secreta localizado está más en línea con las tendencias del mercado (Apple et al.,). 

Quería ver algunos de estos datos por mí mismo (¡¿por qué no iba a hacerlo?!), así que analicé estos datos en una de mis Mac con mi perfil de Zoom para aislar las bases de datos, mientras relamía mis labios con anticipación. Para mi consternación, estos datos estaban encriptados, pero como defensor de la privacidad y la seguridad de los datos, también estaba satisfecho. Zoom también se tomó la libertad de nombrar los archivos de la base de datos ahora encriptados de una manera intuitiva y transparente agregando 'encks' a cada uno.

Bonito.

¿Esto te parece basura? Debería. Esta es su encriptación en el trabajo.
Cifrado SQL 4? Esa es mi apuesta.

Ahora estoy en medio de un gran y confuso viaje de explotación de datos, cuyos resultados no puedo predecir. Si tenemos algún éxito en el acceso a estos artefactos de datos ahora que están encriptados, estamos ansiosos por compartir ese éxito. Si no recibe noticias mías en las próximas semanas y meses, puede asumir con razón que me estoy marinando en la derrota. Mira este espacio.


iDiscovery Solutions es una firma de consultoría estratégica, tecnología y servicios expertos que ofrece soluciones personalizadas de eDiscovery, desde análisis forense digital hasta testimonios de expertos para bufetes de abogados y corporaciones en los Estados Unidos y Europa.

es_ESES