lunedì 6 aprile 2020

Zoom è Pericoloso? Zoombombing? Alcuni Consigli Sulla Sicurezza

In questo mese (ed oltre) di quarantena stanno spopolando app utili per fare videoconferenze ad esempio Zoom. Molto utilizzata anche Houseparty (un'altra app per videochiamate) e Jitsi Meet, ennesima piattaforma per effettuare videoconferenze gratuite e senza limite di partecipanti.
Parlando più nello specifico con Zoom (gratis fino a 40 minuti con 100 persone collegate), si può fare più o meno di tutto: scuola, lavoro e chiacchiere. Ci sono gli happy hour, concerti, feste, party a luci rosse, bar, palestra, videogame e qualcuno si è anche sposato su questa piattaforma di videoconferenze.
Qui trovate una guida completa: Come Funziona Zoom: Lezioni e Videoconferenze (Guida Completa)
Quest'app comunque ha sollevato negli ultimi giorni enormi problemi di sicurezza con traffico (videochiamate) intercettate.
Sta infatti prendendo piede un fenomeno chiamato Zoombombing che consiste nel trovare in rete il numero che identifica una certa conferenza e fare irruzione postando materiale osceno ed altra spazzatura. Vero e proprio terrorismo (che per la verità è sempre esistito sia nella realtà che a livello digitale, in passato, nelle varie chat IRC. Il takeover di una stanza/canale vi dice qualcosa?).
Il New York Times ha individuato decina di profili social e chat dedicate solo a organizzare raid su Zoom.
Il sofware automatizzato sviluppato dai ricercatori della sicurezza è in grado di trovare circa 100 ID riunioni Zoom in un'ora e circa 2.400 riunioni Zoom in un solo giorno di scansioni,.
Il professionista della sicurezza Trent Lo e i membri di SecKC, un gruppo Meetup di sicurezza con sede a Kansas City, hanno creato il programma chiamato zWarDial in grado di indovinare automaticamente gli ID riunione Zoom, che sono lunghi da 9 a 11 cifre, e raccogliere informazioni su tali riunioni, secondo il rapporto .
zWarDial può determinare con successo un ID di riunione legittimo il 14% delle volte. Il software è in grado di estrarre anche il collegamento di una riunione, la data e l'ora, l'organizzatore della riunione e l'argomento della riunione, secondo i dati condivisi con Krebs on Security .
A gennaio, i ricercatori sulla sicurezza di Check Point Research avevano affermato che Zoom aveva implementato una funzione che avrebbe bloccato ripetuti tentativi di scansione per identificare gli ID delle riunioni, in realtà ciò non è avvenuto.
Tuttavia, zWarDial non riesce a trovare conferenze protette da password, ciò suggerisce quindi che molte riunioni sono "aperte".

"Zoom incoraggia fortemente gli utenti a implementare le password per tutte le loro riunioni per garantire che gli utenti non invitati non possano partecipare. Le password per le nuove riunioni sono state abilitate per impostazione predefinita dalla fine dell'anno scorso, a meno che i proprietari dell'account o gli amministratori non le rimuovono"

Se desideri proteggere tu stesso le tue riunioni con password, puoi farlo nell'app Zoom andando sulla scheda "Riunioni", facendo clic sul pulsante "Modifica" sotto l'ID personale della riunione, selezionando la casella di controllo "Richiedi password riunione" e quindi inserendo una password da utilizzare per le riunioni. I passaggi sono simili sull'app mobile.
Molti troll sono stati in grado di fare " Zoombomb" sulle chiamate, un problema che potrebbe far trapelare e-mail e foto degli utenti.
Zoom ha poi confermato a The Intercect che le videochiamate sull'app non sono crittografate end-to-end come afferma l'azienda.
Dunque le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte online. Lo scrive il Washington Post spiegando che le video chiamate sono state registrate da un software e poi salvate su applicazioni diverse senza password e dunque scaricabili sul web. Sempre il Washington Post ha trovato video chiamate scolastiche, sedute terapeutiche, riunioni d'affari e incontri privati. Zoom ha risposto al quotidiano USA di "offrire modalità sicure per salvare le registrazioni" sollecitando cautela e trasparenza da parte di chi ospita le conferenze e decide di salvarle, soprattutto se contengono materiale sensibile.
NASA, Space X e Tesla hanno subito vietato ai loro dipendenti l'utilizzo della piattaforma.


CONSIGLI SICUREZZA
Una delle prime regole è di non diffondere il link del nostro meeting, a caso, sui social. Una volta finito su Facebook o Instagram o persino in una chat di WhatsApp con un grande numero di iscritti che non conosciamo tutti personalmente, l'incontro diventa di fatto pubblico e quindi vulnerabile ad attacchi.
Per riunioni pubbliche non utilizzare se possibile l'identificativo personale (PMI), che equivale a una sala perennemente aperta, nel caso fornire alla lista di partecipanti una password per verificare che possano accedere. Si può creare il meeting con un identificativo generato in modo random, anche qui con password.
Va ricordato che si possono rimuovere partecipanti indesiderati, disattivare anche temporaneamente il video di qualcuno e disattivare la chat private. Si possono mettere partecipanti in "muto" (per incontri con molte persone si può attivare questa funzione fin dall'inizio di default per tutti).
Si possono disattivare le funzioni di trasferimento di file tra partecipanti, il che permette di bloccare un flusso incontrollato di immagini, meme eccetera.
Meglio utilizzare Zoom da un browser web che non lanciarlo dall'applicazione, per limitare la quantità di dati potenzialmente accessibili alla piattaforma.
Si può anche segnalare.

Nessun commento:

Posta un commento