LA RIFLESSIONE

Zoom, crittografia delle videochiamate solo a pagamento: tutto quello che c’è da sapere

Zoom introdurrà la crittografia end-to-end nelle videochiamate, ma solo per gli utenti che sottoscrivono un abbonamento al servizio: ciò per consentire alle forze dell’ordine di intervenire in casi di reati commessi tramite la piattaforma. Un delicato equilibrio tra privacy e sicurezza degli utenti. Ecco che c’è da sapere

08 Giu 2020
B
Massimo Berti

Chief Information Security Officer


Zoom, la popolare piattaforma di videoconferenza che in passato ha già dovuto affrontare una serie di problemi di privacy e sicurezza, ha annunciato che la crittografia end-to-end verrà adottata nelle videochiamate ma solo per gli utenti che sottoscrivono un abbonamento al servizio.

Eric Yuan, CEO della società, ha creato allarme e stupore tra i sostenitori della privacy dicendo che Zoom ha pianificato di escludere le chiamate gratuite dalla crittografia end-to-end in modo da lasciare aperta la possibilità di collaborare con le forze dell’ordine nella repressione di crimini online.

Tutti i precedenti di Zoom

Non c’è pace, dunque, per questa applicazione già pesantemente sotto attacco. Non si è ancora spento, infatti, il vulcano esploso alla fine dello scorso aprile quando una serie di bachi avevano minato la sicurezza e la privacy di milioni di utenti in tutto il mondo.

La costretta esigenza di spostare la produttività delle aziende sull’online a causa della pandemia di Covid-19, ha causato un aumento del 535% del traffico giornaliero verso la pagina di download di Zoom.us, secondo la società di analisi SimilarWeb.

Secondo la società di ricerche di mercato delle app mobili Sensor Tower, inoltre, Zoom per iPhone è risultata essere l’app più scaricata negli Stati Uniti per settimane; perfino politici e altre figure di alto profilo, tra cui il primo ministro britannico Boris Johnson e l’ex presidente della American Federal Reserve, Alan Greenspan, la usavano per le videoconferenze, lavorando da casa.

Purtroppo, però, Zoom ha anche vinto la negativa menzione di essere “un disastro della privacy” e “fondamentalmente corrotto” secondo alcuni ricercatori della sicurezza.

L’FBI, ad esempio, è dovuta intervenire a causa dell’aumento dei casi di dirottamento di video (fenomeno noto anche come Zoombombing) in cui gli hacker si infiltrano nelle riunioni video spesso urlando insulti o minacce razziali.

Poi si è notato che Zoom poteva installare un web server nascosto sui dispositivi degli utenti che avrebbe potuto consentire all’utente di essere aggiunto a una chiamata senza la sua autorizzazione.

Quindi si è proseguito con il rilevare un bug che, a quanto pare, consentiva agli hacker di assumere il controllo del Mac di un utente Zoom e di hackerare la webcam e il microfono.

Non da ultima, la possibilità di cosiddette “misure di sorveglianza in-app” come la sua funzione di “tracking dell’attenzione”, che consente a un host di vedere se un utente fa clic su una finestra Zoom per 30 secondi o più.

Quest’ultima, per esempio, consentirebbe ai datori di lavoro di verificare se i dipendenti sono realmente sintonizzati su una riunione di lavoro o se gli studenti stiano davvero seguendo una presentazione in classe da remoto.

Zoom, crittografia delle videochiamate a pagamento

La società che sviluppa Zoom ha sicuramente intrapreso da tempo uno studio del codice ed una serie di azioni atte a correggere gli “errori di gioventù” ma anche una serie di peccati che lasciano poco spazio alle giustificazioni.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Questo, però, non spegne la miccia legata alla possibile novità dell’essere costretti a metter mano al portafogli per poter usufruire di una funzionalità come la crittografia end-to-end, che certo non dovrebbe essere annoverata tra le “premium features”.

Oltre a non rendere felici molte persone che usufruiscono di app come Zoom per lavorare e per incontrare persone ogni giorno, la problematica non riveste esclusivamente un carattere economico e legato alla customer satisfaction.

La crittografia che protegge la comunicazione in modo che possa essere letta solo dagli utenti coinvolti, è particolarmente importante in un momento in cui le app video e altre piattaforme digitali vengono utilizzate per questioni sensibili come l’organizzazione di proteste, la discussione di questioni legali o consulti medici (e solo per citare alcuni esempi).

La privacy unita alla sicurezza di queste app sono i cardini fondamentali per la tutela dei diritti degli interessati al trattamento dei dati personali e particolari (gli ex dati sensibili).

Non stupisce, quindi, che nella “terra delle libertà” come gli Stati Uniti dove già non ci si era andati morbidi con l’affaire dei dati in Facebook, siano già state intentate cause e class action contro la “Zoom factory”, mentre si susseguono comunicati stampa e dichiarazioni dei portavoce di Zoom.

Essi affermano, per esempio, che l’azienda offre già la crittografia di base per gli utenti di tutti i livelli, ed aggiungono che Zoom non “monitora in modo proattivo il contenuto della riunione”.

“Non condividiamo informazioni con le forze dell’ordine, tranne in circostanze come l’abuso sessuale di minori”, dicono.

La decisione, però, del far pagare un extra per poter garantire la propria privacy potrebbe costituire un pericoloso precedente… e non solo negli Stati Uniti.

L’opinione di chi scrive, infatti, è in linea con le affermazioni di Tim Wade, direttore tecnico della società di sicurezza informatica Vectra: “in un mondo online, la crittografia è fondamentale per la privacy e la privacy promuove la sicurezza, la libertà e l’equità nel nostro tessuto sociale. Eliminare la privacy personale dietro un paywall erode le libertà e l’equità di base”.

E In Italia?

Il Belpaese sta scoprendo (e per alcuni confermando) le enormi potenzialità dello smart working, delle riunioni remote, della produttività che si trasferisce dalle scrivanie degli uffici al focolare domestico.

Questo aumento altrettanto esponenziale nell’uso di app di videoconferenze ha a sua volta spalancato le porte delle digressioni sulla adeguata privacy e sicurezza che queste piattaforme offrono, soprattutto quando sono completamente gratuite, così facili da installare ed a configurazione pari a zero.

Certo non si vuole sostenere ad oltranza che le applicazioni a pagamento siano le più sicure al mondo (esistono mirabili esempi di app open source, ed addirittura sistemi operativi “Linux docet” che fanno il loro dovere anche in merito ai temi di privacy e sicurezza).

Questo, però, non deve mai far dimenticare che lo sviluppo di applicazioni gratuite sconta un gap di ricerca, analisi, corretta condotta nello sviluppo del codice e scarsi investimenti nelle funzionalità di sicurezza ed encryption dei dati che nel breve e medio futuro poi rischiano di creare non pochi danni.

L’elevato numero di utenti che usano una piattaforma/applicazione non ne sanciscono la maggiore sicurezza, ma semplicemente il maggior successo in termini di layout, sex appeal, gradimento dell’utente.

I consigli per mettere in sicurezza le videoconferenze

Cosa si dovrebbe dunque veramente cercare quando si scarica un’app?

Innanzitutto, bisognerebbe controllare quali autorizzazioni richiede l’app, a seconda della piattaforma che si sta utilizzando. Qualunque cosa non si ritiene pertinente, non andrebbe consentita.

Se l’app non consente di essere utilizzata senza l’accesso a tali funzioni, è utile considerare se ne vale davvero la pena installarla.

Spesso, poi le impostazioni predefinite su questi tipi di servizi potrebbero non essere configurate tenendo conto della nostra privacy e sicurezza: è quindi importante modificare in maniera appropriata le impostazioni per garantire che il proprio account sia il più sicuro possibile.

Infine, è utile incoraggiare gli utenti a leggere i termini e le condizioni di questi servizi in modo che comprendano quale tipo di dati vengono raccolti su di loro e come vengono utilizzati, nonché il meccanismo per la segnalazione di eventuali abusi.

Questo aiuterà a limitare la quantità di informazioni personali condivise con il servizio o con terze parti.

Zoom, crittografia delle videochiamate: perché a pagamento?

Anche in questo caso, come in molti altri quando si parla del delicato rapporto tra tecnologia, sicurezza e privacy digitale, la cultura radicata, le abitudini storiche e l’evoluzione vertiginosa con cui l’essere umano fatica a prendere la mano costituiscono uno dei più grandi ostacoli nel garantire un sistema “privasecure” più “equo e solidale”.

Tecnologia alla portata di tutte le tasche, certo… ma a discapito della tutela dei diritti fondamentali della persona, se non a pagamento?

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

La battaglia è ancora lunga dal vedersi conclusa, USA o resto del mondo che sia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5