{"id":21507,"date":"2020-04-30T19:59:05","date_gmt":"2020-04-30T17:59:05","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21507"},"modified":"2020-04-30T19:59:05","modified_gmt":"2020-04-30T17:59:05","slug":"videoconference-software-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/videoconference-software-security\/21507\/","title":{"rendered":"La sicurezza delle app per videochiamate"},"content":{"rendered":"

#iorestoacasa<\/strong> non \u00e8 solo un tag popolare sui social network, ma anche una dura realt\u00e0 per le aziende costrette dalla pandemia da coronavirus<\/strong> <\/a>a far lavorare da remoto<\/strong><\/a> la maggior parte del proprio personale. Gli incontri faccia a faccia sono stati sostituiti dalle videochiamate. Tuttavia, le conferenze aziendali non servono solo per parlare del tempo, quindi prima di affidarsi a un\u2019applicazione per videoconferenze<\/strong><\/a>, date un\u2019occhiata ai suoi meccanismi di protezione dei dati. Per essere chiari, non abbiamo condotto dei test di laboratorio su queste app; abbiamo consultato fonti disponibili pubblicamente per informazioni su problemi noti nei software pi\u00f9 diffusi.<\/p>\n

Google Meet e Google Duo<\/h2>\n

Google<\/strong> offre due servizi di videochiamata: Meet<\/strong> e Duo<\/strong>. Il primo \u00e8 un\u2019applicazione che si integra con gli altri servizi di Google (G Suite). Se la vostra azienda li utilizza, Hangouts Meet si adatta bene.<\/p>\n

Sicurezza \u2014 Google Meet<\/h3>\n

Tra i vantaggi di Meet<\/strong>, il vendor<\/strong><\/a> cita un\u2019infrastruttura di elaborazione dati affidabile, la cifratura<\/strong> (non end-to-end<\/strong>, per\u00f2) e una serie di strumenti di protezione, tutti attivi di default. Come la maggior parte degli altri prodotti aziendali, G Suite (e quindi anche Google Meet<\/strong>), segue standard di sicurezza avanzati e offre, tra le sue caratteristiche<\/strong><\/a>, opzioni di configurazione e di gestione dei diritti di accesso fra le sue impostazioni di sicurezza<\/strong><\/a>.<\/p>\n

Sicurezza \u2014 Google Duo<\/h3>\n

L\u2019app per cellulari Duo<\/strong><\/a>, invece, protegge i dati con la cifratura end-to-end<\/strong>. Tuttavia, si tratta di un\u2019applicazione pensata per utenti privati, non per aziende. Le sue videochiamate possono ospitare un massimo di 12 partecipanti.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

A parte alcuni messaggi che ricordano a tutti noi che Google raccoglie i dati degli utenti<\/strong><\/a> e quindi pu\u00f2 essere una minaccia per i segreti commerciali<\/strong> <\/a>non siamo riusciti a trovare informazioni concrete sulle prestazioni di sicurezza di queste applicazioni di videoconferenza<\/strong>. Questo non significa che i servizi di Google siano impeccabili, ma sono supportati da un team di sicurezza molto forte che tende a risolvere i problemi prima che causino danni.<\/p>\n

Slack<\/h2>\n

Su Slack<\/strong>, \u00e8 possibile creare pi\u00f9 spazi di lavoro in chat per i team, comodamente visualizzati in un\u2019unica finestra, pi\u00f9 canali all\u2019interno dello spazio di lavoro dedicato ai diversi progetti. Le conferenze sono limitate a 15 partecipanti.<\/p>\n

Sicurezza<\/h3>\n

Slack<\/strong> rispetta una serie di standard di sicurezza<\/strong> <\/a>internazionali, tra cui SOC 2. Il servizio pu\u00f2 essere configurato per lavorare con dati medici e finanziari e permette alle aziende di selezionare una zona per l\u2019archiviazione dei dati. Inoltre, per entrare a far parte di uno spazio di lavoro Slack \u00e8 necessario un invito<\/strong><\/a> o un indirizzo e-mail utilizzando il dominio aziendale.<\/p>\n

Slack in pi\u00f9 offre ai propri clienti strumenti flessibili di gestione dei rischi, integrazione con soluzioni di Data Loss Prevention (DLP) e strumenti di controllo di accesso ai dati. Ad esempio, gli amministratori possono limitare<\/strong> <\/a>l\u2019uso di Slack da dispositivi personali e la copia di informazioni dai propri canali.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

Secondo gli sviluppatori di Slack<\/strong>, solo un numero limitato di aziende ha realmente bisogno di una cifratura end-to-end<\/strong><\/a>, e l\u2019implementazione della stessa per la sicurezza nell\u2019applicazione per le videoconferenze<\/strong> pu\u00f2 limitare le funzionalit\u00e0. Pertanto, Slack apparentemente non ha intenzione di aggiungere la cifratura end-to-end<\/strong>.<\/p>\n

Slack consente inoltre di integrare applicazioni di terze parti, la cui sicurezza non \u00e8 di sua competenza.<\/p>\n

Per di pi\u00f9, i ricercatori hanno trovato delle vulnerabilit\u00e0 gravi in Slack. L\u2019azienda ha rilasciato patch per due vulnerabilit\u00e0: un bug che permetteva ai cybercriminali di rubare i dati<\/strong> <\/a>e uno che consentiva l\u2019intercettazione della sessione di un utente<\/strong><\/a>.<\/p>\n

Teams<\/h2>\n

Microsoft Teams<\/strong> \u00e8 integrato in Office 365<\/strong>, principale vantaggio per un utente aziendale. In risposta alla crescente richiesta di tool per lavorare da casa, Microsoft offre ora una prova gratuita di sei mesi di Microsoft Teams<\/strong>, ma gli utenti di prova non potranno configurare<\/strong><\/a> le impostazioni e le politiche degli utenti, un potenziale pericolo per la sicurezza.<\/p>\n

Sicurezza<\/h3>\n

Teams<\/strong> rispetta<\/a> diversi standard internazionali, pu\u00f2 essere impostato per lavorare con dati medici riservati<\/strong> e vanta opzioni di gestione della sicurezza flessibili. Per quanto riguarda alcuni piani dei servizi, su Teams \u00e8 possibile integrare strumenti aggiuntivi, come il DLP o la scansione dei file in uscita. La nostra soluzione di sicurezza<\/strong> per la protezione di MS Office 365<\/strong> <\/a>esegue la scansione dei dati scambiati attraverso Teams per evitare che i malware<\/strong> si diffondano attraverso la rete aziendale<\/strong>.<\/p>\n

I dati inviati al server, sia che si tratti di chat che di videochiamate<\/strong>, sono cifrati, ma anche in questo caso non stiamo parlando di cifratura end-to-end<\/strong>. Parlando di immagazzinamento ed elaborazione, le informazioni non lasciano mai la zona in cui opera la vostra azienda.<\/p>\n

Vulnerabilit\u00e0<\/h3>\n

\u00c8 una buona idea monitorare le vulnerabilit\u00e0 su Teams<\/strong><\/a>. In genere Microsoft<\/strong> le risolve rapidamente, ma si ripresentano di tanto in tanto. Ad esempio, dei ricercatori hanno recentemente scoperto una vulnerabilit\u00e0<\/strong><\/a> (gi\u00e0 risolta) che permetteva di prendere il controllo di un account.<\/p>\n

Skype for Business<\/h2>\n

La versione su cloud di Skype for Business<\/strong><\/a> (il predecessore di Teams for Office 365<\/strong>) sta gradualmente diventando un ricordo del passato, ma \u00e8 ancora possibile installarla in locale<\/strong><\/a>. Alcuni utenti lo trovano pi\u00f9 comoda rispetto a Teams<\/strong> e Microsoft<\/strong> continuer\u00e0 a fornire supporto per la versione locale di Skype durante i prossimi due anni.<\/p>\n

Sicurezza<\/h3>\n

Skype for Business<\/strong> cifra le informazioni, ma non end-to-end, e la protezione del servizio \u00e8 configurabile. Questa applicazione per videoconferenze<\/strong> utilizza anche un software per server locali, in modo tale che le videochiamate e altri dati non escano mai dalla rete aziendale<\/strong><\/a>, un evidente vantaggio.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

Il prodotto non durer\u00e0 per sempre, per questo sar\u00e0 vulnerabile ad attacchi come gli spyware commerciali<\/strong><\/a>. A meno che Microsoft non modifichi i suoi piani, il supporto per l\u2019applicazione terminer\u00e0 a luglio 2021 e Skype for Business<\/strong> Server 2019 ricever\u00e0 supporto esteso fino al 14 ottobre 2025.<\/p>\n

WebEx Meetings e WebEx Teams<\/h2>\n

Cisco WebEx Meetings<\/strong> \u00e8 un servizio focalizzato esclusivamente sulle videoconferenze<\/strong> e Cisco WebEx Teams<\/strong> \u00e8 un servizio completo di coworking che, tra le altre cose, supporta le videochiamate<\/strong>. Per quanto riguarda l\u2019argomento di questo post, la differenza \u00e8 nell\u2019approccio dal punto di vista della cifratura<\/strong>.<\/p>\n

Sicurezza<\/h3>\n

Cisco WebEx Meetings<\/strong> include servizi aziendali e cifratura end-to-end (l\u2019opzione \u00e8 disattivata di default, ma il provider del servizio pu\u00f2 attivarla<\/strong> <\/a>su richiesta. In questo modo si limita in qualche modo la funzionalit\u00e0, ma se i vostri dipendenti si occupano di informazioni riservate durante le riunioni, \u00e8 certamente una buona opzione da prendere in considerazione). Cisco WebEx Teams fornisce una cifratura end-to-end solo per i messaggi e i documenti, mentre le chiamate video e audio vengono decifrate sui server Cisco.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

Solo a marzo scorso, il vendor ha rilasciato una patch per due vulnerabilit\u00e0 di WebEx Meetings<\/strong><\/a> che minacciavano l\u2019esecuzione da remoto del codice<\/strong>. E all\u2019inizio dello scorso anno, un grave bug \u00e8 stato individuato nel client WebEx Teams<\/a><\/strong>. Ci\u00f2 ha permesso l\u2019esecuzione di comandi con i diritti propri di un utente<\/a><\/strong>. Nonostante ci\u00f2, Cisco<\/strong> \u00e8 noto per la sua seriet\u00e0 in materia di sicurezza e aggiorna i suoi servizi in modo rapido.<\/p>\n

WhatsApp<\/h2>\n

WhatsApp<\/strong> \u00e8 stato ideato per la comunicazione sociale<\/strong>, non per il business, ma l\u2019applicazione gratuita pu\u00f2 coprire le esigenze di videoconferenza di piccole aziende o team. Il programma non \u00e8 adatto alle grandi aziende; la videoconferenza \u00e8 disponibile solo per un massimo di quattro partecipanti alla volta<\/strong><\/a>.<\/p>\n

Sicurezza<\/h3>\n

WhatsApp<\/strong> ha l\u2019indiscutibile vantaggio di una vera cifratura end-to-end<\/strong>.<\/a> Ci\u00f2 significa che n\u00e9 terzi n\u00e9 i dipendenti di WhatsApp possono vedere le vostre videochiamate<\/strong>. Ma a differenza delle applicazioni aziendali, WhatsApp non offre quasi nessuna opzione di gestione della sicurezza per chat e chiamate, ma solo ci\u00f2 che \u00e8 integrato.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

Solamente l\u2019anno scorso gli hacker hanno diffuso lo spyware Pegasus<\/strong> <\/a>attraverso le videochiamate WhatsApp<\/strong>. Il bug \u00e8 stato risolto, ma ricordate che l\u2019app non \u00e8 stata pensata per offrire una protezione per le aziende, quindi, come minimo, gli utenti dovrebbero seguire attentamente le notizie sulla sicurezza informatica.<\/p>\n

Zoom<\/h2>\n

Zoom, una piattaforma di videoconferenza su cloud<\/a><\/strong> fa notizia fin dall\u2019inizio della pandemia da coronavirus<\/strong>. Il suo prezzo flessibile (con conferenze gratuite di 40 minuti fino a 100 partecipanti) e la facilit\u00e0 d\u2019uso hanno attirato tantissimi utenti, ma anche i punti deboli della piattaforma hanno richiamato altrettanta attenzione. Per questo, vi suggeriamo di seguire questi consigli per la sicurezza su Zoom<\/a><\/strong>.<\/p>\n

Sicurezza<\/h3>\n

Il servizio rispetta lo standard internazionale di sicurezza SOC 2<\/strong><\/a>, offre un piano di servizio separato conforme all\u2019HIPAA<\/strong> per i fornitori di servizi sanitari<\/strong> e ha una configurazione flessibile. Gli organizzatori delle sessioni possono bloccare i partecipanti anche quando il link corretto e la password, pu\u00f2 impedire la registrazione della conferenza e altro ancora. Se necessario, Zoom<\/strong> pu\u00f2 essere impostato in modo tale che il traffico non esca dall\u2019azienda.<\/p>\n

Zoom ha affrontato attivamente i problemi di vulnerabilit\u00e0 segnalati, e l\u2019azienda afferma di voler dare priorit\u00e0 alla sicurezza dei prodotti<\/strong><\/a> rispetto all\u2019aggiunta di nuove funzionalit\u00e0.<\/p>\n

Vulnerabilit\u00e0 e lati negativi<\/h3>\n

Zoom<\/strong> sostiene di aver implementato la cifratura end-to-end<\/strong>, ma la dichiarazione non \u00e8 del tutto esatta. Con la cifratura end-to-end, nessuno, a parte il mittente e il destinatario, pu\u00f2 leggere i dati trasmessi, mentre Zoom decifra i dati video<\/strong><\/a> sui suoi server e non sempre nemmeno nel paese d\u2019origine della vostra azienda<\/strong><\/a>.<\/p>\n

Nelle applicazioni Zoom<\/strong> sono state scoperte vulnerabilit\u00e0<\/strong> di varia entit\u00e0. I clienti di Windows <\/strong><\/a>e macOS <\/strong><\/a>che utilizzano Zoom hanno segnalato un bug (gi\u00e0 risolto<\/strong><\/a>) che permetteva ai cybecriminali di rubare i dati contenuti nel computer. Altri due bug nell\u2019app macOS<\/a><\/strong> consentono potenzialmente ai cybercriminali di impossessarsi completamente del dispositivo.<\/p>\n

Inoltre, sono emerse numerose segnalazioni di troll su Internet<\/a><\/strong> che entravano nelle conferenze pubbliche non protette da password, per pubblicare commenti discutibili e condividere schermate con contenuti osceni. Nel complesso, \u00e8 possibile risolvere il problema riguardante la sicurezza configurando correttamente la privacy<\/a><\/strong> della vostra conferenza, ma Zoom ha anche aggiunto una protezione con password di default<\/a><\/strong> per essere sicuri.<\/p>\n

La notizia dei problemi di sicurezza di Zoom<\/strong> ha portato grandi protagonisti a screditare il servizio. Ma tutti i servizi hanno delle vulnerabilit\u00e0 e, nel caso di Zoom, l\u2019esplosione di popolarit\u00e0 ha portato a essere sotto i riflettori.<\/p>\n

Scegliete l\u2019app pi\u00f9 adatta a voi<\/h2>\n

Non esiste un\u2019app per videochiamate<\/strong> perfettamente sicura, o nessuna app di alcun tipo, se \u00e8 per questo. Scegliete un servizio i cui aspetti negativi non siano problematici per il vostro business. E ricordate, la scelta dell\u2019app giusta \u00e8 solo il primo passo.<\/p>\n