Le falle nei sistemi di sicurezza delle piattaforme per videoconferenza, chat e meeting sono uno dei nodi cardini nella scelta delle tecnologie per lo smart working e, più in generale, nelle video conference. Con la diffusione forzata dall’emergenza epidemiologica da Covid-19, sono saltati fuori i primi nervi scoperti delle major delle applicazioni di videoconferenza, su tutte Zoom.
La vulnerabilità nel client di video conferencing più diffuso al mondo, è venuta a galla al primo boom di registrazioni durante il lockdown per la diffusione del coronavirus, verso la fine di marzo ed inizio aprile del 2020.
Hacker a caccia di dati sensibili: nel mirino finisce Windows
In pratica, le falle nel sistema di sicurezza potrebbero permettere agli hacker di rubare dati sensibili sulla privacy degli utenti che si sono dovuti registrare per meeting, conferenze, briefing di lavoro e formazione professionale online. Un furto di credenziali che avviene attraverso il client per Windows e che consente la conversione automatica dei percorsi UNC in collegamenti cliccabili dall’utente.
È un fenomeno dilagante, quello che è stato ribattezzato il “zoombombing”, ovvero l’inserimento di malintenzionati come troll e disturbatori all’interno di meeting e riunioni online. Un fenomeno che ha costretto Zoom a ad aggiornare il programma del software. Ora, la piattaforma ha a disposizione l’opzione di sospendere la videoconferenza per rimuovere i soggetti che si sono intromessi nella riunione in modo non autorizzato.
Il dibattito intorno alla sicurezza delle videoconferenze online si è riacceso in questi giorni. La notizia dell’intrusione del giornalista olandese Daniel Verlaan nella videochiamata di gruppo tra i ministri della difesa europei ha fatto il giro del mondo. Zoom stavolta non c’entra, ma ciò dimostra che anche le altre piattaforme di video conferencing hanno enormi problematiche di sicurezza. Qual è il tallone d’Achille di questi programmi di videoconferenza entrati ormai nella nostra quotidianità?
LEGGI ANCHE: Effetto Covid 19: in Italia è boom delle video conference
Videoconferenza, la crittografia è il punto debole
Un’analisi tecnica ce la fornisce CitizenLab, che ha analizzato le modalità di funzionamento dell’applicazione Zoom individuando serie problematiche nella crittografia usata per proteggere le connessioni. In particolare, la modalità di AES, la ECB, che è sconsigliata da tempo in quanto facilita la crittoanalisi. La crittografia definita end-to-end avviene tra un partecipante e l’altro. Su Zoom, invece, la crittografia è tra un partecipante ed il server, che tra l’altro genera e distribuisce le chiavi. Dunque, secondo l’analisi di CitizenLab, la confidenzialità delle connessioni è dubbia, avendo come minimo i server di Zoom che fanno da proxy/relay e possono decifrare il traffico.
Il sistema GoToMeeting: protocolli per la sicurezza e la privacy
Una soluzione di accesso remoto ben configurata aumenta la produttività senza influire negativamente sulla sicurezza della rete. Su questi presupposti opera OurVision, che fornisce servizi ad hoc per le varie esigenze dei propri clienti. Videoconferenze, formazione a distanza, webinar solo solo alcuni degli ambiti dei prodotti forniti grazie alla collaborazione con LogMein, società leader nei prodotti di comunicazione online e accesso e supporto remoto, in grado di fornire soluzioni altamente avanzate ed efficienti.
Il sistema GoToMeeting ideato da LogMein, utilizza potenti meccanismi di crittografia e protocolli sviluppati per garantire la riservatezza, l’integrità e l’autenticità dei dati trasmessi tra LogMeIn e gli utenti. I dati vengono archiviati da LogMeIn per conto dei propri utenti per registrazioni nel cloud, trascrizioni e note delle riunioni.
Soluzioni per la cybersecurity dei server aziendali
E per le aziende che intendono mettere in sicurezza i propri server dai cyberattacchi, invece? Non solo le videoconferenze sono soggette alle intrusioni. Sono soprattutto i sistemi aziendali a doversi proteggere a 360° con password a prova di hacker. Il sistema LastPass di LogMein, utilizza potenti meccanismi di crittografia e protocolli sviluppati per garantire la riservatezza, l’integrità e l’autenticità dei dati trasmessi tra LogMeIn e gli utenti, mira alla protezione totale dell’azienda. Grazie al generatore di password complesse, l’identità degli utenti viene tutelata da qualsiasi tipo di attacco ed avvertito in caso di vulnerabilità dinanzi ai malintenzionati che navigano nel deep web. Inoltre, i dati vengono archiviati da LogMeIn per registrazioni nel cloud, trascrizioni e note delle riunioni.