SICUREZZA INFORMATICA

Zoom: consigli pratici per rendere sicure le proprie riunioni in videoconferenza

La semplicità d’uso e la gratuità del servizio hanno reso Zoom lo standard di fatto tra i servizi di videoconferenze, nonostante i non pochi problemi privacy e cyber security, che comunque possono essere risolti mettendo in pratica alcuni semplici consigli. Eccoli in dettaglio

20 Apr 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder


Zoom sta attirando molta attenzione nei media a causa della massiccia diffusione dei servizi di videoconferenza durante il blocco quasi globale dovuto alla Covid-19, ma anche per via dei numerosi problemi riscontrati in ambito cyber security e privacy e per questo motivo è utile mettere in pratica alcuni consigli pratici per usare in sicurezza l’app di videoconferenza.

Zoom: facciamo il punto

Nella confusione e nell’incertezza dovute alla pandemia, l’azienda di San Jose California si è dovuta adattare a un’improvvisa domanda e a un successo globale improvviso, cosa che la maggior parte delle aziende può solo sognare.

Come tanti altri provider di Web Conferencing, Zoom offre prodotti e servizi gratuiti per attirare nuovi utenti. La logica è semplice: renderli gratuiti rimuove la barriera del pagamento e, si spera, invoglia l’utente a legarsi al servizio a lungo termine. Poi, a un certo punto, l’utente può diventare un cliente pagante, sia per funzionalità aggiuntive sul servizio che utilizza, sia per altri prodotti offerti dall’azienda.

Tutti noi utilizziamo servizi “gratuiti”, dai motori di ricerca alla posta elettronica. Ovviamente, parafrasando Louis-Ferdinand Céline, “nulla è gratuito in questo mondo digitale” e anche i provider di servizi free to use devono monetizzarne l’utilizzo in qualche modo per poter il prodotto gratuitamente.

Tipicamente questo avviene tramite una qualche forma di pubblicità o di raccolta di dati attraverso l’utilizzo di cookie. Un’azienda che fornisce servizi gratuiti ha tipicamente un modello di business e una politica sulla privacy che riflette il modo in cui guadagnano.

Per questo l’improvviso successo di Zoom li ha sorpresi: avevano un modello di business e una politica sulla privacy tailor made per un servizio gratuito, elegante e senza attrito; tutto ad un tratto poi sono diventati improvvisamente il punto di riferimento predefinito per milioni di organizzazioni che necessitano di videoconferenze con urgenza.

Non è una difesa a spada tratta di Zoom: hanno avuto e continuano ad avere numerosi problemi legati alla privacy e alla sicurezza. Ma sarebbe sbagliato non considerare la loro prospettiva; potrebbe essere necessario loro del tempo per adattare il loro modello di business e la loro politica sulla privacy per riflettere il loro improvviso successo. Questo può essere testimoniato dai recenti aggiornamenti dei prodotti rilasciati per risolvere i problemi e dalle recenti modifiche apportate alla loro politica sulla privacy.

Alla fine, la ragione per cui le organizzazioni si sono gettate su Zoom come standard, di fatto, è dovuta alla semplicità o alla user experience positiva dell’utente e al fatto che offre una soluzione gratuita. Questo ha permesso alle aziende di adottare il servizio in modo rapido e senza formazione e ha eliminato la necessità di aumentare gli ordini di acquisto.

Non tutte le organizzazioni possono essere in grado di valutare altre opzioni o di impegnarsi a pagare per un servizio, soprattutto nel settore delle piccole imprese, ma prima di affrontare come rendere sicure le proprie riunioni Zoom diamo uno sguardo alle principali preoccupazioni lato Cyber Security e Privacy

Zoom: i problemi chiave

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Ecco una sintesi dei principali problemi chiave che Zoom ha dovuto affrontare nelle ultime settimane.

In primis, la già citata politica sulla privacy di Zoom non faceva menzione del fatto che la versione iOS della sua applicazione inviava dati analitici a Facebook anche quando gli utenti non avevano un account Facebook. L’azienda ha riconosciuto il problema e ha rimosso il Software Development Kit (SDK) di Facebook per iOS. Ma questo ha fatto guadagnare all’azienda californiana una class action da parte di migliaia di utenti.

Ci sono anche state voci discordanti sulla sicurezza delle chiamate stesse: nonostante alcune smentite iniziali, i meeting video e audio dell’applicazione non supportano la crittografia end-to-end. Zoom si è poi scusata e ha chiarito che utilizza la crittografia di trasporto nota come TLS. La differenza fondamentale è che quest’ultima non mette le comunicazioni degli utenti fuori dalla portata del provider californiano.

L’app è stata anche criticata per aver fatto riscontrare diverse vulnerabilità di sicurezza, anche se sono state tutte risolte in breve tempo. Il suo client Windows è stato trovato vulnerabile a una code injection del percorso UNC che potrebbe esporre le credenziali di accesso a Windows delle persone e persino portare all’esecuzione di comandi arbitrari sui loro dispositivi. Altri due bug, questa volta riguardanti il client MacOS di Zoom, avrebbero potuto consentire a un aggressore locale di prendere il controllo di un computer vulnerabile.

L’azienda ha anche eliminato il “tracciamento dei partecipanti” di Zoom, una funzione che permetteva all’organizzatore di una riunione di verificare se i partecipanti stavano effettivamente prestando attenzione quando l’organizzatore era in modalità di condivisione dello schermo.

E come dimenticare lo Zoom-bombing, una tecnica malevola sfruttata da alcuni troll per “invadere” riunioni private e classi scolastiche al fine di mostrare immagini inquietanti. Il problema avrebbe potuto colpire un numero enorme di persone, dato che la piattaforma ha visto un’impennata da 10 milioni a 200 milioni di utenti giornalieri negli ultimi tre mesi. Infatti, per ammissione dello stesso CEO dell’azienda, Zoom è stato travolto dal suo stesso imprevisto successo.

Da ultimo, notizia recentissima, un gruppo di criminal hacker ha dichiarato di aver scoperto due vulnerabilità zero-day sulla piattaforma che consentirebbero agli attori della minaccia di spiare le videoconferenze private delle persone e di sfruttare ulteriormente il sistema del proprio target.

Le vulnerabilità sono specifiche per il sistema operativo Windows e MacOS, secondo un rapporto pubblicato da Vice Motherboard. Secondo la ricerca, i criminal hacker chiedono 500mila dollari per l’exploit di Windows.

Anche se ancora non ci sono stati ulteriori sviluppi sulla vicenda è evidente che ciò non può fare altro che aumentare il livello di rischio per tutti gli utenti.

Consigli per l’utilizzo sicuro di Zoom

Indipendentemente da quanto sia intuitivo e ricco di funzionalità, qualsiasi software può portare nuove minacce. Le misure più efficaci che possiamo adottare per proteggere i nostri dati e la nostra privacy quando utilizziamo Zoom includono:

  • protezione con password delle nostre riunioni e/o controllo dei partecipanti alle riunioni con l’aiuto della funzione “Sala d’attesa” di Zoom;
  • limitazione della condivisione dello schermo all’organizzatore;
  • esecuzione dell’ultima versione di Zoom;
  • astenersi dal condividere link o ID di riunione sui social media;
  • utilizzo dei meeting ID piuttosto che i link quando invitiamo altri partecipanti, soprattutto perché c’è stata un’impennata di domini maligni a tema Zoom malevoli che cercano di capitalizzare il successo inaspettato dell’app.

Fatte quindi le dovute premesse, diamo uno sguardo a come impostare in totale sicurezza un meeting Zoom.

Come prima cosa, è consigliato utilizzare sempre la generazione automatica dell’ID riunione: ogni riunione avrà così un codice diverso. Se uno di questi verrà compromesso, il problema sarà limitato solo ad una singola riunione piuttosto che a tutte quelle che organizziamo.

Il requisito della password deve comunque rimanere attivo, ma affinché sia efficace l’opzione della password incorporata deve essere disabilitata.

Un’altra opzione da non dimenticare è quella dell’avvio di una riunione con il video spento. Questo evita momenti imbarazzanti e richiede che gli utenti debbano attivare esplicitamente la condivisione video durante la riunione.

Anche il controllo dell’organizzatore dovrà essere serrato. Spetta a lui far entrare ogni partecipante nella sala conferenze per evitare ospiti indesiderati.

Ovviamente, queste raccomandazioni non eliminano la necessità per l’utente di controllare l’informativa sulla privacy di Zoom per assicurarsi che soddisfi i propri requisiti.

Ricordiamoci sempre che “nulla è gratuito in questo mondo digitale”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3