Dallo scoppio della pandemia di COVID-19, molte attività che prima venivano svolte di persona sono migrate online. Dalla didattica a distanza per i bambini, allo smart working su larga scala, fino ai rapporti con gli amici e i parenti: tutti noi ci affidiamo sempre di più a Internet per restare in contatto e questa tendenza non accenna a diminuire.
Le videoconferenze sono un elemento chiave di questa infrastruttura. Nell'aprile 2020, Zoom ha annunciato di registrare 300 milioni di partecipanti al giorno a conferenze sulla sua piattaforma, trenta volte più dei 10 milioni registrati nel dicembre 2019. Un bell'incremento, in soli quattro mesi. La pandemia ha incoronato Zoom come applicazione più scaricata degli ultimi mesi. Studenti, insegnanti, famiglie, aziende e gruppi di ogni tipo e di ogni dimensione si affidano a videoconferenze per svolgere compiti e attività, non fanno eccezione utenti di alto profilo come Alan Greenspan, ex presidente della Federal Reserve americana, e Boris Johnson, primo ministro britannico. Ma quanto sono sicuri questi servizi e come potete proteggervi?
Analizziamo insieme i principali rischi di sicurezza collegati alle videoconferenze e cosa si possa fare per mettersi al sicuro.
Il governo americano considera la tendenza al lavoro in remoto una questione di sicurezza nazionale, considerato il potenziale di violazione informatica. L'agenzia per la sicurezza nazionale americana (NSA) ha recentemente pubblicato una valutazione dei 13 strumenti per videoconferenze più utilizzati.
I criteri di valutazione includono:
Potete leggere qui il rapporto completo, ma possiamo riassumere la conclusione dell'agenzia: ognuno dei servizi di videoconferenze ha almeno una falla di sicurezza. Ad esempio:
La NSA ha dato il punteggio più alto a WhatsApp di Facebook, Signal (il codice sfruttato da WhatsApp) e all'app di chat Wickr. Sebbene il rapporto della NSA non sia conclusivo, è un'utile panoramica sui problemi chiave della sicurezza delle videoconferenze e sottolinea il fatto che nessuno dei prodotti attualmente disponibili sul mercato soddisfa tutti i requisiti di sicurezza.
Le prime domande da porsi riguardo a uno strumento per videoconferenze sono:
Si tratta di un tipo di crittografia che mette al sicuro le comunicazioni in modo che possano essere viste solo dagli utenti coinvolti, e che nessuno possa intercettarle, nemmeno l'app stessa. Per scoprire di più sulla crittografia dei dati e su come funzioni, leggete il nostro articolo "Cos'è la crittografia dei dati?"
Qualcuno può spiare la chiamata e potenzialmente registrarla? Chi può unirsi alla chiamata e come? Nel momento in cui le scuole si appoggiano a Zoom per le lezioni online, il problema della violazione della privacy solleva dei dubbi sulla salvaguardia dei bambini. Le riunioni su Zoom sono accessibili attraverso un URL breve composto da numeri, facilmente generabile e indovinabile dagli hacker.
Fino a che punto vengono rispettati quadri normativi come il GDPR europeo o il Consumer Privacy Act californiano? Quanto sono trasparenti le app con i loro utenti, riguardo ai dati che vengono raccolti e alle terze parti che vi hanno accesso?
Questo è particolarmente importante nel caso si maneggino informazioni e documenti privati.
Ad esempio:
As esempio, Zoom è stato criticato per la sua funzionalità di "tracciamento dell'attenzione", che permette a chi organizza la chiamata di vedere se un partecipante fa clic al di fuori della finestra di Zoom per oltre 30 secondi. Queste funzionalità può permettere a datori di lavoro di controllare se i dipendenti stanno veramente seguendo una riunione di lavoro, oppure se gli studenti stanno davvero assistendo a una presentazione di classe in remoto.
Ad esempio, gli utenti possono scaricare inavvertitamente app che ottengono accesso a telecamera e microfono? L'app o il malware potrebbero poi rivelare informazioni personali a un hacker, che potrebbe quindi rivenderle.
In particolare per quanto riguarda Zoom: in passato sono state segnalate molte vulnerabilità di sicurezza per questa app. Ad esempio, nel 2019 è stato rivelato che Zoom aveva installato un server Web nascosto sui dispositivi degli utenti, che permetteva all'utente di venire aggiunto a una chiamata senza il suo permesso. Un altro bug permette agli hacker di prendere il controllo del Mac di un utente Zoom, oltre a poter intercettare la webcam e il microfono. In risposta, Zoom si è impegnato a risolvere questi problemi di sicurezza e fornisce aggiornamenti regolari sul blog aziendale.
Una delle violazioni video di cui si è molto parlato di recente è lo “Zoom bombing”. Questo avviene quando degli hacker entrano in una chat room, invadendola con linguaggio razzista o minacce violente. Sebbene il termine "Zoom bombing" faccia riferimento specificamente a Zoom, incidenti simili si sono verificati anche su altre piattaforme di videoconferenze, incluse WebEx e Skype. Il 30 marzo 2020, l'FBI ha annunciato di stare indagando sull'aumento dei casi di violazioni video.
In forum come Reddit o Discord, si sono verificati tentativi coordinati di disturbare sessioni Zoom. Su Twitter, molti account hanno pubblicato password per videoconferenze alle quali era possibile accedere senza permesso. In alcune scuole, degli studenti hanno fatto il tifo per le violazioni video, come modo per interrompere le lezioni online.
Le sessioni Zoom compromesse, invase da utenti non invitati che hanno detto cose oscene, razziste o antisemite, obbligando l'organizzatore a chiudere a sessione, sono state poi pubblicate dagli hacker su piattaforme di condivisione video come TikTok e YouTube.
In passato, semplici ricerche di URL su Google che includevano "Zoom.us" potevano dare come risultato conferenze prive di protezione password, rendendo molto facile per gli hacker invaderle.
Certo, l'invasione delle riunioni è un fenomeno molto fastidioso per i partecipanti, ma una minaccia ancor più preoccupante sono intrusi che spiano le riunioni senza far notare la loro presenza: questo sì che è un rischio molto serio, sia per la sicurezza aziendale che per la privacy degli utenti.
Forbes ha recentemente segnalato un hacker che ha messo in vendita oltre 500.000 credenziali Zoom rubate, inclusi URL e chiavi d'accesso per le conferenze. Molto probabilmente una grossa fetta di queste credenziali erano password riutilizzate, che gli hacker avevano ottenuto da qualche altra parte.
Per tutta risposta, Zoom ha dichiarato che:
“Ci siamo già rivolti a svariate aziende di intelligence per individuare questi archivi di password e gli strumenti usati per crearli, oltre a una ditta che ha chiuso migliaia di siti Web che convincevano gli utenti a scaricare malware o a rivelare le proprie credenziali. Stiamo continuando a indagare, stiamo chiudendo gli account compromessi e stiamo chiedendo agli utenti di modificare le loro password e di renderle più sicure. Infine, stiamo cercando di implementare soluzioni tecnologiche aggiuntive a sostegno dei nostri sforzi.”
Sebbene Skype sia molto conosciuto ed esista ormai da parecchio tempo, e sebbene la gente sia abituata a usare FaceTime per le chiamate con gli amici, l'app di videoconferenze che è diventata in assoluto più popolare dallo scoppio della pandemia è Zoom.
Con il rapido incremento degli utenti, Zoom ha subito molte critiche di non aver preso sul serio i rischi di sicurezza per gli utenti. In particolare, la mancanza di una crittografia end-to-end, un problema ora risolto, era causa di preoccupazioni. Zoom ha pubblicato delle guide per mettere in sicurezza le riunioni in un post su blog e in un video, ma questo non è altro che un modo per scaricare la responsabilità della protezione sugli utenti.
I dettagli di sicurezza variano da piattaforma a piattaforma, per questo è molto importante familiarizzarsi con la piattaforma selezionata. Detto questo, i principi di base sono gli stessi.
Ecco alcuni consigli per la sicurezza delle chiamate video:
Fate attenzione a quello che condividete online, incluso ciò che dite o fate durante le chiamate video. Il rischio che qualcuno possa ottenere una registrazione della chiamata o che possa ascoltarla di nascosto è sempre presente, fate attenzione a ciò che rivelate. Tenete per voi le informazioni personali, a meno che non sia strettamente necessario esporle.
Non pubblicatelo in post pubblici sui social, in e-mail di gruppo, in profili online, né in qualsiasi posto dove possa essere visto da altri. Invitate i partecipanti direttamente dal software per conferenze e dite loro di non condividere il link.
In questo modo riceverete un avviso quando l'invito per la riunione viene inoltrato via e-mail a qualcun altro. Saprete così se ci sono invitati aggiuntivi e potrete intervenire in caso l'inoltro dell'invito non sia legittimo. Se necessario, pianificate una nuova riunione con nuove credenziali di accesso.
La maggior parte delle app per chiamate video vi permette di proteggere le chiamate con una password. Scegliete una password complessa e non una facilmente indovinabile. Usate password solide e diverse per ogni app e servizio.
Assicurandovi così che nessuno possa avere accesso alle vostre comunicazioni. Le principali app per videochiamate con crittografia end-to-end sono:
Aggiornate regolarmente le app. Quando vengono scoperte nuove vulnerabilità o exploit della privacy, si tratta solitamente di versioni più vecchie delle app. Gli aggiornamenti spesso includono risoluzioni di bug e patch di sicurezza che risolvono problemi e vulnerabilità. Mantenere aggiornata la vostra app per videoconferenze è uno dei migliori modi per restare al sicuro dagli hacker, perché disporrete sempre di tutte le patch e le risoluzioni di errori più recenti per proteggersi dalle falle nella sicurezza. Si tratta inoltre di una precauzione generale, che dovreste applicare a qualsiasi app e non solo a quelle per videochiamate e videoconferenze. Aggiornare app e dispositivi è molto semplice, su tutte le principali piattaforme. Solitamente, non dovrete far altro che confermare l'aggiornamento. Verificate che tutti i partecipanti alla conferenza dispongano dell'ultima versione disponibile.
Tuttavia, nel caso in cui un partecipante si disconnetta, ricordatevi di riaprire l'accesso per permettergli di rientrare, quindi chiudetelo nuovamente.
Questa funzionalità mette i partecipanti in una stanza d'attesa virtuale, in attesa che il meeting inizi, permettendo all'amministratore di ammettere solo le persone che realmente devono partecipare. Questo controllo dovrebbe venire effettuato dal presidente o organizzatore della riunione. Invitate tutti i partecipanti a identificarsi a voce all'inizio della riunione, per rilevare eventuali persone non invitate.
È molto importante informarsi sul funzionamento di un software prima di utilizzarlo, fate le vostre ricerche. Prendetevi il tempo necessario per esplorare tutte le impostazioni, controllate il vostro profilo utente e tutto quello a cui avete accesso, per capire se è necessario modificare qualcosa. Se c'è qualcosa che vi confonde e non sapete cosa fare, fatevi un appunto e ricontrollate più tardi per capire se dovete agire in qualche modo.
Vale sempre la pena verificare le impostazioni video per scopire se c'è qualche funzionalità aggiuntiva da abilitare.
Ad esempio:
Imparate come identificare le app fasulle. Controllate le valutazioni e le recensioni degli utenti e fate attenzione alle app che provengono da siti Web non autorizzati.
Assicuratevi che le persone partecipanti alla videoconferenza siano affidabili, prima di condividere qualsiasi informazione privata. Non accettate richieste di chat o chiamate da persone sconosciute. Non rispondete a chiamate di sconosciuti.
In questo modo sarà più difficile per gli hacker ottenere accesso ai vostri dispositivi o ai vostri account online, poiché la password da sola non basta e viene richiesto un codice PIN aggiuntivo.
Le aziende tenteranno di spiarvi appena possibile, non date loro una mano. Coprite la vostra webcam quando non è in uso e assicuratevi di chiudere completamente l'app o il programma quando avete finito la chiamata.
Bloccate la possibilità di registrare la riunione per tutti i partecipanti tranne l'organizzatore, oppure attivate degli avvisi nel caso qualcuno dei partecipanti inizi a registrare.
Ad esempio, qualsiasi cosa possa permettere la condivisione di informazioni a terzi e qualsiasi cosa sostenga di migliorare la vostra esperienza dando accesso ai vostri dati a inserzionisti partner. Disattivate le impostazioni che permettono a sconosciuti di trovarvi, chiedervi l'amicizia, inviarvi messaggi o unirsi al vostro gruppo o alla vostra stanza. Disattivate la possibilità di farvi registrare. Usate una password per tutto.
Disattivando la webcam e ascoltando semplicemente l'audio impedirete agli altri di scoprire più informazioni su di voi studiando gli oggetti sullo sfondo. Usando solo l'audio, occuperete meno banda Internet e migliorerete la qualità audio e video dell'intera riunione.
Il webcast è una conferenza o una presentazione online. I partecipanti possono guardare la presentazione e inviare domande a chi la presenta, oppure comunicare con altri delegati. Nei webcast il controllo è nelle mani dell'organizzatore e dei presentatori selezionati, permettendo di gestire meglio le riunioni con molti partecipanti.
Le stesse caratteristiche che rendono gli hotspot Wi-Fi gratuiti appetibili ai consumatori li rendono desiderabili anche agli hacker: si tratta della possibilità di stabilire una connessione di rete senza effettuare alcuna autenticazione. Questo offre agli hacker un'incredibile opportunità di accedere liberamente ai dispositivi non protetti connessi alla stessa rete. Prendete precauzioni quando lo fate.
Chiunque abbia accesso fisico al vostro telefono potrà facilmente installarvi app dannose e causare problemi.
Ricordate: gli hacker e i cybercriminali sono sempre alla ricerca della giusta occasione. Le videoconferenze, visto l'enorme incremento nel loro uso, sono diventate un bersaglio. Via via che la tecnologia correlata si evolve, i principali attori dovranno aumentare gli sforzi per garantire la sicurezza degli utenti.
Nel frattempo, un modo per restare al sicuro è con la protezione di Kaspersky Antivirus, che tiene alla larga i virus su PC e Android, archivia in tutta sicurezza le vostre password e i vostri documenti privati, e cifra i dati inviati e ricevuti con una VPN.
Articoli correlati: