SMART WORKING E SICUREZZA

Zoom, crittografia end-to-end e privacy: aggiornamenti di fine giugno 2020

La crittografia end-to-end delle videochiamate sarà disponibile per tutti gli utenti di Zoom, quindi anche per gli account gratuiti: è l’ultimo importante aggiornamento che dovrebbe essere disponibile già dal mese di luglio. Facciamo il punto su tutti gli aggiornamenti della nota piattaforma di videoconferenza

30 Giu 2020
G
Marcello Gorlani

Security engineer

Dopo aver annunciato che la crittografia end-to-end sarebbe stata disponibile solo a pagamento, Zoom è tornata sui suoi passi annunciando che questa funzionalità fondamentale per mettere in sicurezza le videochiamate sarà ora disponibile per tutti.

Nel frattempo, il mondo Zoom ha continuato ad essere un ribollire di informazioni, più o meno buone. La crescita fortissima degli utenti ha portato a Zoom un’attenzione che, evidentemente, non si erano trovati a fronteggiare prima.

Innanzitutto, gli “smanettoni” hanno trovato sempre nuovi modi per compromettere l’applicazione e/o il suo funzionamento, con Zoom in costante rincorsa a chiudere le falle, operazione che ha bene o male portato a termine.

Questa è la prima cosa da considerare: quando un’applicazione complessa è sotto lo scrutinio del pubblico più “curioso” (la mia definizione sintetica di hacker) i problemi vengono fuori; Zoom dimostra di avere una programma di responsible disclosure e bounties per le vulnerabilità, cosa essenziale a questi livelli. Secondo Internet Archive, la pagina (ed il programma relativo) esiste da fine aprile 2020, non so dire se ne esistesse una precedente.

Zoom: la crittografia end-to-end è per tutti

Ma veniamo all’argomento di questi giorni: crittografia sì o no? C’erano due problemi che sono stati evidenziati: il primo è che la crittografia non fosse end-to-end come raccontato, il secondo che questa venisse realizzata con algoritmi fatti in casa.

WHITEPAPER
Come abilitare elevati standard di sicurezza, crittografia e monitoraggio dei dati?
Datacenter
Datacenter Infrastructure Management

A questo Zoom ha risposto con comunicazioni altalenanti, dicendo che avrebbe inserito la crittografia a protezione esclusivamente delle connessioni degli utenti paganti. Ovviamente, essendo Zoom sotto i riflettori, la cosa ha fatto storcere il naso un po’ a tutti. La prima considerazione che mi viene spontanea fare è che va analizzato il contesto: le parole vengono da Mr Yuan (il CEO) e sono state pronunciate durante una call con gli azionisti.

A dirla tutta, non mi sembra una cosa sbagliata: Zoom si è trovata in pochi mesi a gestire 30 volte gli utenti che aveva raccolto in anni di presenza sul mercato. Questa crescita da una parte è il sogno di ogni azienda, dall’altra non può certo conciliarsi con un qualsiasi piano di sviluppo fatto secondo i numeri precedenti.

Mr Yuan e i suoi collaboratori si sono trovati in una situazione inattesa/insperata e devono trovare il modo di sfruttarla al meglio in maniera profittevole. Non parliamo, infatti, di un’entità no-profit ma di un’azienda quotata che, come tutte, deve remunerare i suoi investitori e starà cercando i modi migliori per farlo. Molti dei commenti che ho letto dimostrano quanto sia più semplice dirigere un’azienda da 300 milioni di utenti pestando su un tablet dal divano piuttosto che trovando soluzioni efficaci da presentare a un CDA.

Questo detto, l’evoluzione della vicenda ha assunto nuovamente contorni comici. La giustificazione, nelle parole di Yuan, nel non fornire la crittografia agli utenti gratuiti risiede nella volontà di collaborare con l’FBI e con le LEA locali in caso di abuso di Zoom (Free users for sure we don’t want to give [end-to-end encryption] because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose). Un ragionamento del genere è quasi difficile da commentare.

Ci sono state poi le parole di Alex Stamos, un professore di Stanford e consulente (non portavoce, come lui stesso specifica) ingaggiato da Zoom in una seria di assunzioni pesanti, che ha parlato della possibilità di aprire al livello di crittografia per non meglio specificate organizzazioni non profit o per i dissidenti politici.

Ora, assunto che crediamo tutti alle parole di Yuan, secondo cui Zoom non spia le comunicazioni di nessuno e mai lo farà (Zoom does not proactively monitor meeting content, and we do not share information with law enforcement except in circumstances like child sex abuse. We do not have backdoors where participants can enter meetings without being visible to others. None of this will change), registrarsi come dissidente politico ad un’organizzazione con forti legami con la Cina e una dichiarata volontà di collaborare con le autorità, non mi sembra un’operazione del tutto astuta.

Comunque, a mettere fine a questo procedere ondivago di dichiarazioni, ci ha pensato di nuovo Yuan che in un comunicato ufficiale del 17 giugno scorso, ha messo un paio di punti fermi: la cifratura ci sarà per tutti (attivata opzionalmente, in quanto esclude la possibilità di inserire chiamate telefoniche, scelta opinabile) e verrà fatta secondo uno schema in fase di discussione pubblica. Le prime beta del prodotto derivato dovrebbero essere disponibili a partire da luglio 2020.

Alcune considerazioni

Non ho il tempo e le competenze per valutare la proposta ma posso fare alcune considerazioni. Il fatto che il draft sulla crittografia sia pubblico è quanto ci si aspetta, come minimo, da un’azienda che non ha finora fatto della trasparenza il suo punto di forza.

Non è un abbracciare una filosofia, ma semplicemente rendersi conto che ogni altra alternativa avrebbe prodotto più danni che benefici: l’azienda è ormai nella situazione di dover dimostrare di non giocare sporco, non il contrario.

Tuttavia, il draft pubblico non significa automaticamente trasparenza: analizzare un sistema di cifratura è un’opera complessa e costosa, che richiede competenze puntuali e non facilmente reperibili. Non molti sistemi disponibili pubblicamente hanno avuto audit di quel livello.

Non ho proprio idea di quanti veri esperti si metteranno a lavorare su quel paper per analizzarlo. È un po’ l’approccio superficiale all’open source adottato da molti: è codice aperto, tutti possono guardarci quindi i problemi vengono fuori. Possibile sì, ma quanti lo fanno e con che competenze? Questo sistema poi, sarà sicuro indipendentemente da come verrà implementato? La verifica del numero di telefono dell’utente (obbligatoria) serve solo a combattere spam e abusi? Per inciso, la necessità del numero telefonico è la critica più ricorrente a Signal e ci stanno lavorando da tempo.

Spero che qualcuno con più competenze di me approcci queste domande e fornisca qualche risposta, magari qualcuno tra i cosiddetti privacy advocates che hanno attaccato Zoom in questo periodo. Può essere che loro abbiano i fondi per far effettuare una revisione della sicurezza del protocollo di cifratura proposto.

Tuttavia, ricordiamoci sempre che Zoom è un’azienda privata che fa giustamente quello che vuole, nei limiti delle leggi. Non esiste a mio modo di vedere, ciò che leggo in giro e cioè il diritto a connessioni gratuite e sicure operate scaricando i costi sull’azienda che deve fornirle. I costi di gestione di infrastrutture come Zoom sono elevatissimi: chi si arroga il diritto di decidere cosa dovrebbe fare Zoom potrebbe semplicemente creare una propria struttura sicura, scalabile all’infinito, con audit del codice e dei protocolli e per di più gratuita e darla in uso a tutti. Non è strano, da questa premessa, vedere come non ci siano molte aziende od organizzazioni disposte a farlo.

La scelta, comunque, per fortuna è in mano a noi consumatori che analizzando i prodotti sul mercato possiamo scegliere quelli più adatti, compresi quelli completamente gratuiti se ci piacciono. L’importante è che venga fatta informazione corretta che a sua volta, un po’ per volta, forma una cultura della sicurezza, così che tutti abbiano la competenza necessaria per fare le scelte o per capire di dover chiedere ad un esperto. Perché non c’è nulla di facile nella sicurezza IT e imparare costa fatica.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2