La presentazione offerta da Zoom alla RSA Conference 2021 si \u00e8 concentrata sulla cifratura end-to-end di Zoom Cloud Meetings. L\u2019azienda ha spiegato perch\u00e9 gli sviluppatori si stanno concentrando su questo aspetto e su come hanno intenzione di rendere le chiamate pi\u00f9 sicure. Inoltre, hanno parlato di altre nuove caratteristiche legate alla sicurezza che gli utenti potrebbero ottenere presto.<\/p>\n
La pandemia ha costretto molti di noi a passare allo smart working\u00a0 a lungo termine e a comunicare con colleghi e persone care attraverso un software di videoconferenza. La grande popolarit\u00e0 di Zoom ha suscitato l\u2019interesse degli esperti di sicurezza e anche dei criminali informatici, molti dei quali hanno rapidamente capito che non tutto funzionava per il meglio nella sicurezza della piattaforma. Per esempio, si \u00e8 scoperto che il software conteneva vulnerabilit\u00e0 che permettevano ai cybercriminali di spiare gli utenti attraverso le telecamere e i microfoni<\/a>, e le incursioni dei troll online hanno persino una parola che le definisce: Zoombombing<\/a>.<\/em> La risposta di Zoom \u00e8 stata rapida e di vasta portata ma alcuni difetti erano rimasti.<\/p>\n Uno dei principali problemi di Zoom riguardava l\u2019utilizzo<\/a> della cifratura point-to-point (P2PE) al posto della cifratura end-to-end (E2EE).<\/p>\n A prima vista, i due sistemi possono sembrare simili: entrambi cifrano i dati scambiati tra gli utenti. Ma con la P2PE, il server pu\u00f2 accedere ai messaggi degli utenti, mentre la E2EE cifra le informazioni sul dispositivo del mittente, che possono essere decifrate solo dal destinatario. Tuttavia, questo dettaglio pu\u00f2 portare a una serie di problemi, che gli sviluppatori di Zoom hanno evidenziato durante la loro presentazione:<\/p>\n Nessuno vuole che le conversazioni private con la famiglia e gli amici (per non parlare di meeting di lavoro riservati) siano rese pubbliche. Inoltre, se un hacker usasse le chiavi rubate solo per un\u2019intercettazione passiva, sarebbe estremamente difficile da scoprire.<\/p>\n La E2EE risolve questi problemi<\/a> memorizzando le chiavi di decifrazione sui dispositivi degli utenti, e solo l\u00ec. Ci\u00f2 significa che nemmeno l\u2019hackeraggio del server permetterebbe a un intruso di infiltrarsi in una videoconferenza.<\/p>\n Naturalmente, in molti hanno desiderato che Zoom passasse alla E2EE, uno standard di fatto gi\u00e0 in uno in molte app di messaggistica<\/a>.<\/p>\n <\/strong><\/p>\n Gli sviluppatori hanno ascoltato le critiche e hanno preso provvedimenti per migliorare la sicurezza della piattaforma<\/a>, compresa l\u2019implementazione della cifratura E2EE.<\/p>\n Dall\u2019autunno del 2020, Zoom utilizza la E2EE<\/a> per le chiamate audio o video e per la chat. Quando \u00e8 abilitata la funzionalit\u00e0, Zoom protegge i dati dei partecipanti con una sorta di chiave di cifratura della conferenza. La chiave non viene memorizzata sui server di Zoom, quindi nemmeno gli sviluppatori possono decifrare il contenuto delle conversazioni. La piattaforma memorizza solo gli ID utente cifrati e alcuni metadati della riunione, come la durata della chiamata.<\/p>\n Per difendersi dalle connessioni esterne, gli sviluppatori hanno anche introdotto la funzione Heartbeat, un segnale che l\u2019app dell\u2019organizzatore della riunione invia automaticamente agli altri utenti. Esso contiene, tra le altre cose, un elenco dei partecipanti a cui l\u2019organizzatore ha inviato la chiave di cifratura corrente. Se qualcuno che non \u00e8 nella lista si unisce alla riunione, tutti sapranno immediatamente che c\u2019\u00e8 qualcosa che non va.<\/p>\n Un altro modo per tenere fuori i partecipanti indesiderati \u00e8 quello di bloccare la riunione (avvalendosi dell\u2019apposita opzione), nel momento in cui tutti i partecipanti si sono presentati. Dovete bloccare le riunioni manualmente, ma una volta fatto, nessun altro pu\u00f2 unirsi, anche avendo l\u2019ID e la password della riunione.<\/p>\n Zoom protegge anche dagli attacchi man-in-the-middle<\/a> con la sostituzione della chiave di cifratura. Per assicurarsi che\u00a0 non si stia infiltrando un estraneo, l\u2019organizzatore della riunione pu\u00f2 fare click su un pulsante in qualsiasi momento per generare un codice di sicurezza basato sulla chiave di cifratura della riunione corrente. Il codice viene generato automaticamente anche per gli altri partecipanti alla riunione. L\u2019organizzatore deve poi leggere questo codice ad alta voce; se corrisponde a quello di tutti gli altri, allora tutti stanno usando la stessa chiave e si pu\u00f2 continuare.<\/p>\n Infine, se l\u2019organizzatore lascia la riunione e qualcun altro prende il suo posto, l\u2019applicazione segnala il passaggio. Se questa decisione dovesse risultare sospetta agli altri partecipanti, si pu\u00f2 mettere da parte per un momento qualsiasi argomento top-secret e risolvere la situazione.<\/p>\n Naturalmente, se su Zoome si sta solo facendo una festa con gli amici, probabilmente non ci sar\u00e0 bisogno di usare tutti questi meccanismi di sicurezza. Ma se i segreti aziendali (o di altro tipo) sono messi su questo tavolo virtuale, tali strumenti di protezione possono essere molto utili; per questo motivo, i partecipanti alle riunioni importanti dovrebbero essere consapevoli dell\u2019esistenza di queste opzioni e dovrebbero imparare a utilizzarle correttamente.<\/p>\n Nonostante questi passi in avanti, gli sviluppatori di Zoom ammettono di avere ancora molto lavoro da fare. L\u2019intervento alla RSA 2021 ha anche fatto luce sul percorso intrapreso da Zoom per il domani.<\/p>\n Gli sviluppatori hanno identificato una serie di minacce per le quali devono ancora implementare contromisure efficaci. Una \u00e8 l\u2019infiltrazione esterna alle riunioni da parte di persone che si spacciano per utenti invitati. Un\u2019altra \u00e8 che la protezione E2EE non impedisce ai cybercriminali di ottenere alcuni metadati, come la durata della chiamata, i nomi dei partecipanti e gli indirizzi IP. N\u00e9 possiamo ignorare alcune vulnerabilit\u00e0 del programma: in teoria, i criminali informatici potrebbero inserire dei codici dannosi su Zoom.<\/p>\n Con queste minacce in mente, gli sviluppatori di Zoom hanno elencato i seguenti obiettivi<\/a>:<\/p>\n Per raggiungere questi obiettivi, gli sviluppatori hanno creato una road map<\/em> in quattro fasi. La prima fase<\/strong> \u00e8 gi\u00e0 stata implementata. Come abbiamo detto, \u00e8 stato modificato il sistema di gestione della chiave di cifratura della conferenza in modo che sia memorizzata solo sui dispositivi degli utenti, cos\u00ec come sono migliorati i sistemi di protezione contro gli estranei che si uniscono alle riunioni.<\/p>\n Per la seconda fase,<\/strong> hanno in programma di introdurre l\u2019autenticazione degli utenti, che non dipende dai server di Zoom ma si baser\u00e0 sulla tecnologia SSO (Single Sign-On)<\/a> che coinvolge i provider di identit\u00e0 indipendenti (IDP).<\/p>\n Di conseguenza, un aspirante intruso non pu\u00f2 falsificare l\u2019identit\u00e0 di un utente, anche ottenendo il controllo del server Zoom. Se qualcuno si unisce a un evento fingendo di essere un invitato ma con una nuova chiave pubblica, gli altri saranno avvisati della potenziale minaccia.<\/p>\nE2EE vs P2PE<\/h3>\n
\n
Cifratura end-to-end su Zoom: come procede?<\/h2>\n
Zoom: cosa riserva il futuro?<\/h2>\n
\n
Road map<\/h3>\n