Quando una tecnologia vede aumentare rapidamente la propria popolarità, aumenta anche il numero di cattivi attori che traggono vantaggio da utenti nuovi e inesperti. Il mondo lo sta vedendo ora con i servizi e le applicazioni di videoconferenza e soprattutto con fenomeni come lo “Zoom-bombing”.

Con sempre più segnalazioni di conferenze interrotte da immagini pornografiche e/o di linguaggio minaccioso, l’FBI ha recentemente emesso un avviso per gli utenti delle piattaforme di videoconferenza su questi incidenti. Brian Krebs, esperto di sicurezza e giornalista investigativo, ha fornito dettagli sui problemi relativi alle password di Zoom e su come gli hacker siano stati in grado di utilizzare alcuni metodi per scoprire ID e password per entrare nelle riunioni di Zoom.

Una minaccia ancora più insidiosa è però rappresentata dagli intrusi che si nascondono nelle riunioni senza rivelare la loro presenza: un vero incubo per la sicurezza aziendale e la privacy individuale. Un altro incubo, secondo il Washington Post, è quello delle migliaia di registrazioni private di incontri Zoom che sono finite sul web. Zoom ha dichiarato a The Verge che i propri server non sono stati violati e che i video sono stati probabilmente caricati dagli utenti su altri servizi di archiviazione cloud. Ma sono stati facilmente trovati attraverso la ricerca perché hanno utilizzato la denominazione predefinita dell’azienda per le registrazioni.

Bloccare le riunioni

La buona notizia è che molti prodotti di videoconferenza includono impostazioni di sicurezza che possono prevenire tali incidenti. La cattiva notizia è che spesso non viene spiegato agli utenti come configurarle. Come parte della sua consulenza, l’FBI ha offerto consigli sulla sicurezza per aziende, scuole e privati che utilizzano i servizi di videoconferenza. Dopo aver parlato con altri esperti di sicurezza, abbiamo ampliato queste idee per creare il seguente elenco di cose da fare e da non fare per la sicurezza delle riunioni web.

  • Non utilizzare software o piani di livello consumer per le riunioni di lavoro. Molto probabilmente gli strumenti per gli utenti consumer non dispongono di tutti gli strumenti amministrativi necessari per bloccare ciò che deve essere bloccato. Sebbene nessun servizio di videoconferenza sia in grado di garantire il 100% di protezione dalle minacce, otterrete un set più completo di strumenti di sicurezza con prodotti destinati all’uso aziendale, molti dei quali vengono offerti gratuitamente per i prossimi mesi.
  • Utilizzare le funzionalità della sala d’attesa nel software per conferenze. Tali funzionalità mettono i partecipanti in una stanza virtuale separata prima della riunione e consentono all’ospitante di ammettere solo le persone che dovrebbero essere presenti nella stanza.
  • Assicurarsi che la protezione con password sia abilitata. Zoom ora genera automaticamente una password oltre a un ID della sala riunioni. Assicuratevi che il vostro servizio utilizzi sia un numero ID sia una stringa, ma che abbia anche una password o un PIN separati. Se il servizio consente di creare una password per la riunione, mettete in campo le migliori pratiche per la creazione della password: utilizzare una stringa casuale di numeri, lettere e simboli e non creare una password facilmente indovinabile come “123456”.
  • Non condividere collegamenti a teleconferenze o aule tramite post sui social media. Invitate i partecipanti dall’interno del software per conferenze e dite loro di non condividere i link.
  • Non consentire ai partecipanti di condividere lo schermo per impostazione predefinita. Il software dovrebbe offrire impostazioni che consentano agli host di gestire la condivisione dello schermo. Una volta iniziata una riunione, l’host può consentire a determinati partecipanti di condividere.
  • Non utilizzare video durante una chiamata se non è necessario. La disattivazione della webcam e l’ascolto tramite audio impediscono possibili sforzi di ingegneria sociale per saperne di più su di voi attraverso gli oggetti di sfondo. Solo l’audio consente di risparmiare larghezza di banda della rete su una connessione Internet, migliorando la qualità audio e visiva generale della riunione.
  • Utilizzare l’ultima versione del software. È probabile che le vulnerabilità della sicurezza vengano sfruttate più spesso nelle versioni precedenti del software. Ad esempio, Zoom ha recentemente aggiornato il suo software per introdurre riunioni protette da password e ha sospeso il lavoro sulle nuove funzionalità per concentrare i suoi sviluppatori sull’eliminazione della vulnerabilità della privacy e della sicurezza, indicando che arriveranno altri aggiornamenti. Verificate che anche i partecipanti utilizzino la versione più aggiornata disponibile.
  • Bloccare una riunione una volta che tutti i partecipanti si sono uniti alla chiamata. Tuttavia, se un partecipante valido abbandona, assicuratevi di sbloccare la riunione per farlo rientrare e quindi bloccate nuovamente la riunione dopo il suo ritorno.
  • Non registrate le riunioni a meno che non sia necessario. Se registrate una riunione, assicuratevi che tutti i partecipanti sappiano che sono registrati (il software dovrebbe indicarlo, ma è buona norma dirlo anche a loro) e assegnate alla registrazione un nome univoco quando la salvate.

smart working

Bilanciamento della sicurezza con la facilità d’uso

Uno dei motivi per cui Zoom e altri servizi di videoconferenza hanno guadagnato popolarità è stata la loro facilità d’uso per gli utenti finali, molti dei quali generalmente non usano la tecnologia su base regolare. “Le persone bramano la semplicità quando si tratta di tecnologia, soprattutto in periodi di stress come una pandemia globale” ha affermato Reza Zaheri, fondatrice di 1: M Cyber Security, che offre formazione sulla consapevolezza della sicurezza informatica.

Esiste sempre un gioco di destrezza tra sicurezza e facilità d’uso quando si tratta di prodotti tecnologici. La maggior parte degli utenti preferisce non pensare agli aspetti di sicurezza e privacy di un prodotto. Quando queste funzionalità vengono inserite in un prodotto e persino pubblicizzate come disponibili per l’utente, la maggior parte delle persone continua a non configurare queste impostazioni e presume che qualcun altro gestisca queste cose per loro conto nel back-end”.

Zoom ha pubblicato guide per bloccare le riunioni in un post e in un video, ma ciò comporta ancora un onere per gli utenti per proteggersi. Zaheri ha affermato che i prodotti software dovrebbero avere le impostazioni di sicurezza attivate per impostazione predefinita, con le impostazioni di opt-out che visualizzano un messaggio di avviso per spiegare agli utenti perché sarebbe un rischio disattivarle.

“Penso che la maggior parte delle persone che lavorano a casa, e che potrebbero non essere a proprio agio con la tecnologia, vorrebbero semplici impostazioni di sicurezza e privacy già inserite e attivate. Vogliono solo avviare il programma e usarlo; queste impostazioni dovrebbero essere già state configurate per loro dal fornitore del software.”

Educare una nuova ondata di utenti della tecnologia

Friedlander di Wizer ha affermato che gli sforzi di pirateria informatica intorno ai servizi di videoconferenza sono cresciuti come risultato diretto della crescita delle politiche del lavoro sulla scia della pandemia di Covid-19. “Gli hacker e i criminali informatici pensano come i marketer: sono sempre alla ricerca di tendenze e di come commercializzare le loro truffe. Oggi Zoom è di tendenza, il lavoro da casa è di tendenza, il coronavirus è di tendenza e quindi a causa di ciò stiamo assistendo a molti nuovi tipi di minacce. Colpisce tutti perché le persone dipendono oggi più che mai dalla tecnologia.”

Ciò che è diverso ora rispetto alle precedenti minacce alla sicurezza è che una serie completamente nuova di utenti di tecnologia (studenti, insegnanti, familiari e piccole organizzazioni come fitness e studi di danza) utilizzano la videoconferenza per tenere lezioni, spesso senza alcun supporto IT o di sicurezza dietro di loro. Gli sforzi tradizionali di messaggistica relativi all’addestramento sulla sicurezza, come e-mail o messaggi di Twitter, devono espandersi dove questo nuovo pubblico potrà vederli.

“Se volete raggiungere quelle persone, dovete passare attraverso i canali in cui si trovano ora. Sto già vedendo più personale IT e di sicurezza che fanno video su TikTok. Forse il materiale è lo stesso, ma il modo in cui lo diffondete deve adattarsi a dove le persone possano vederlo”.