Le necessità di questo periodo storico stanno costringendo sempre più lavoratori ad usufruire di programmi di videoconferenza per continuare le loro attività lavorative. Tuttavia, questi programmi potrebbero non essere sicuri ed avere vulnerabilità nei loro sistemi di sicurezza, che metterebbero a rischio i nostri dati. In un momento storico in cui i meeting virtuali stanno diventando il mezzo principale di comunicazione sia in ambito lavorativo, che in ambito scolastico, risulta necessario ed essenziale poter utilizzare questi programmi in maniera sicura e protetta. Gli esperti di Cyber Security stanno sensibilizzando gli utenti proprio sull’utilizzo di applicazioni e programmi di video call.

Nei mesi precedenti, si sono verificati numerosi episodi che hanno mostrato diverse vulnerabilità e falle nella sicurezza di alcuni dei più utilizzati programmi di video call. Gli episodi che hanno scatenato più eco sono quelli legati alla piattaforma Zoom, che nelle scorse settimane si è trovata spesso al centro di troll tra violenze, razzismo e immagini pornografiche, tanto che per questi episodi è stata coniata la denominazione “Zoom bombing”. Si tratta di situazioni in cui soggetti che non avrebbero il permesso di accedere ad una chiamata, riescono ugualmente ad introdursi nella call per disturbare l’incontro virtuale. Dato il verificarsi sempre più frequente di questi eventi, a Singapore il Ministro dell’Istruzione ha annunciato la sospensione dell’utilizzo della piattaforma Zoom, soprattutto in seguito alle incursioni, in diverse aule virtuali, di alcuni hacker che hanno spammato materiale pornografico.

Episodi simili a quelli di “Zoom bombing” si sono verificati sempre più frequentemente in tutto il mondo. Risulta quindi di estrema importanza fermarsi a riflettere su quali siano le piattaforme più sicure e i comportamenti che gli utenti dovrebbero mettere in atto, per prevenire intrusioni nella propria privacy o la perdita dei propri dati, evitando il rischio di divenire vittime di intercettazioni.

Incremento utilizzo videoconferenze

Suggerimenti per l’utilizzo delle applicazioni di video conferencing

La Sicurezza Informatica è ormai una skill essenziale per proteggersi dai pericoli presenti in rete. L’evoluzione umana non può prescindere dall’acquisizione di queste nozioni di Cyber Security, soprattutto in un momento delicato come questo, dove la pandemia dovuta al Covid-19 ci costringe a lavorare e a studiare dalle abitazioni, utilizzando i nostri dispositivi informatici e la nostra rete. Diversi esperti di sicurezza informatica hanno identificato e divulgato alcuni accorgimenti, finalizzati all’utilizzo sicuro e meno rischioso delle piattaforme di meeting.

Per tutti gli utenti:

  • Controllare gli aggiornamenti: quando in un programma sorgono problemi di sicurezza, questi vengono risolti negli aggiornamenti successivi, attraverso la distribuzione di patch o l’implementazione di nuove funzioni. È importante quindi accertarsi di utilizzare l’ultima versione del software, in modo da essere sicuri che i precedenti bug siano stati rimossi.
  • Controllare le impostazioni della privacy (privacy setting) per assicurarsi di non fornire dati che non si desidera condividere.
  • Non pubblicare i link dei meeting su piattaforme pubbliche o sui social media. Questo renderebbe semplicissimo l’accesso alla call, anche a persone non autorizzate.
  • Assicurarsi di familiarizzare con le caratteristiche della piattaforma e con le impostazioni, per essere in grado di rendere sicuro e proteggere lo spazio virtuale utilizzato.
  • Evitare il trasferimento di file: bisogna prestare particolare attenzione alla condivisione di documenti, soprattutto se inviati da utenti che non si conoscono. Si consiglia di disabilitare il trasferimento di file su questi programmi ed utilizzare piattaforme sicure per la condivisione dei contenuti (come Box o Google Drive).
  • Usare ID generati in maniera casuale: usare il proprio ID personale di riunione potrebbe rendere più facile l’irruzione di utenti indesiderati. Si consiglia di utilizzare un ID generato casualmente. Ricordare, inoltre, di non condividere mai pubblicamente il proprio ID personale.
  • Autenticazione a due fattori: si consiglia di utilizzarla come misura di sicurezza addizionale.
  • Attenzione alla Webcam: in generale, per preservare la propria privacy, si consiglia di mantenere spenta la telecamera a meno che non sia necessaria. In caso di necessità di utilizzo, si possono comunque prendere alcune precauzioni per aumentare il livello della propria privacy. Ad esempio, si possono nascondere i dettagli della propria stanza di lavoro, attivando le opzioni di background (come quella che permette di sfocare la visuale).

Per gli organizzatori:

Per gli host della riunione virtuale, esistono diverse precauzioni extra da implementare per rendere ancora più sicuro il proprio meeting. Questi extra, tuttavia, differiscono a seconda della piattaforma utilizzata. Le misure di sicurezza addizionali includono:

  • Impostare una password: il modo più semplice per prevenire intrusioni e hijacking è quello di settare una password per la propria video conferenza. Tutti i partecipanti dovranno conoscere la password per poter accedere al meeting.
  • Autenticazione degli utenti: quando si crea un nuovo evento, si può scegliere di limitare la partecipazione solo agli utenti pre-registrati o pre-invitati.
  • L’opzione “Waiting Room, se presente, permette all’organizzatore della call di validare i partecipanti, prima del loro accesso alla riunione.
  • Bloccare la stanza virtuale della riunione: questa opzione permette di “chiudere” il meeting, una volta arrivati tutti i partecipanti. Questa opzione lock the meeting, serve ad impedire la partecipazione di utenti non autorizzati, anche se sono stati divulgati l’ID della riunione o altri dettagli di accesso.
  • Disabilitare la condivisione dello schermo: bloccare l’opzione di screen sharing dei partecipanti, permette di evitare la condivisione di contenuti indesiderati.
  • Rimuovere i partecipanti: gli utenti indesiderati possono essere espulsi dal meeting. Si può anche decidere di escluderli definitivamente, vietando loro l’accesso alla call.
  • Bloccare i partecipanti: mutando il loro audio o disabilitando la loro webcam, in modo da migliorare la connessione, ridurre il rumore e prevenire le interferenze.
  • Disabilitare le chat private e il trasferimento di file.
  • Ogni utente dovrebbe evitare di utilizzare il proprio Personal Meeting ID (PMI) per ospitare eventi per il pubblico. Un PMI è uno spazio personale di meeting virtuali, che dovrebbe essere utilizzato solo da colleghi ed utenti fidati, e non essere mai accessibile ad altri.

Privacy

Come scegliere un programma di video conferenza

Ogni programma o applicazione di video conferenza ha i suoi punti di forza ed i suoi limiti. Spetta al singolo utente scegliere il migliore, analizzando l’utilizzo che intende farne e le opzioni di sicurezza necessarie.

Recentemente, la National Security Agency (NSA) ha condotto uno studio per verificare la sicurezza di diversi programmi di video conferencing e la loro adeguatezza. La pubblicazione dei risultati ha come scopo quello di guidare gli utenti nella scelta di applicazioni di teleworking che siano sicure ed affidabili. Il documento pubblicato dalla NSA, infatti, non è valido solamente per il governo e le forze militari, ma anche per i privati. L’idea dietro questa iniziativa è quella di fornire ad organizzazioni pubbliche e private una visione generale di differenti programmi di video conference, divulgando informazioni che possano semplificare il processo di scelta. In questo modo, aziende e utenti possono acquisire consapevolezza delle caratteristiche e dei sistemi di sicurezza implementati nei vari programmi.

Lo studio

La NSA ha preso in considerazione 13 fornitori di servizi, tra cui Cisco Webex, G Suite e WhatsApp.
Lo studio è stato condotto stilando un elenco di criteri e verificando la loro effettiva implementazione all’interno dei vari programmi di video conferencing:

  1. Il servizio è dotato di crittografia end-to-end (E2E)?
  2. L’E2E encryption usa standard di crittografia sicuri, forti e testabili?
  3. È disponibile l’autenticazione a più fattori (Multi-factor authentication – MFA)?
  4. Gli utenti possono monitorare e controllare chi si connette alla sessione?
  5. La Privacy Policy consente agli erogatori del servizio di condivide i dati con terze parti o affiliati?
  6. Gli utenti hanno la possibilità di eliminare in modo sicuro i dati dal servizio e dai suoi repository secondo necessità?
  7. Il codice sorgente dello strumento è stato condiviso pubblicamente (es. open source)?
  8. Il servizio è stato esaminato e certificato per l’utilizzo da parte di un ente governativo, o riconosciuto a livello nazionale, incentrato sulla sicurezza? (In questo caso si fa riferimento a FedRAMP, il programma federale di valutazione della sicurezza di prodotti e servizi cluoud).

I risultati delle analisi

Risultati Studio NSA

Dallo studio è emerso che solo tre dei fornitori – Mattermost, Signal e Wickr – condividono pubblicamente il loro codice sorgente. Le piattaforme di videoconferenza Zoom e Microsoft Teams sono entrambe approvate da FedRamp, ma mentre Zoom offre la crittografia end-to-end “parziale”, Microsoft Teams no. Tra le altre piattaforme piuttosto sicure per il business, emerge anche Google Meet. Sia Microsoft Teams che Google Meet richiedono, come condizione necessaria, di creare un account per poter usufruire di questi servizi di video call.
Uno dei provider più sicuri è Cisco Webex, che offre una piattaforma protetta e non richiede l’iscrizione a Webex o la creazione di un account per accedervi. La versione gratuita permette riunioni fino ad un massimo di 100 partecipanti, senza limiti di tempo e con differenti opzioni, tra cui anche una funzione che permette di usare lo schermo come una lavagna.

All’interno della guida pubblicata, l’NSA dichiara che “…lo sviluppo open source ha l’obbligo di rendere conto che il codice sia stato scritto seguendo le migliori pratiche di programmazione. È quindi meno probabile che introduca vulnerabilità o punti deboli che potrebbero mettere a rischio utenti e dati”.

La guida include inoltre un disclaimer che dichiara che questo lavoro non vuole essere una pubblicità a nessuno dei servizi elencati, né ad una specifica azienda. Anzi, le linee guida suggeriscono ai lavoratori di prendere decisioni sulla base di ulteriori consultazioni, con il supporto delle tecnologie dell’informazione o con la guida del loro capo e della loro azienda (che potrebbe scegliere un programma, piuttosto che un altro, basandosi su giudizi specifici per le esigenze lavorative).

Conclusioni

Le compagnie che offrono strumenti di videoconferenza dovrebbero rendere chiare agli utenti le funzionalità dei loro programmi per quanto riguarda la sicurezza, impostando alcune di queste come modalità d’utilizzo standard predefinita. Lo scenario attuale ha spinto sempre più utenti ad utilizzare questi programmi per scopi sia lavorativi che di apprendimento, a causa delle restrizioni derivate pandemia globale dovuta al Coronavirus. È quindi necessario che anche le generazioni più giovani, che stanno massivamente utilizzano questi programmi per seguire le lezioni scolastiche, siano educate ad un corretto utilizzo di queste applicazioni. Tutti gli utenti dovrebbero essere sensibilizzati all’importanza della Cyber Security ed educati ad applicare misure di sicurezza quando si trovano online.

Ricorda: spesso le compagnie che erogano questi servizi, collezionano i dati personali come nome, cognome, email, numero di telefono, impiego lavorativo, IP address e la tipologia di Inoltre, se si effettua l’accesso con Facebook, memorizzano anche le informazioni del profilo. Si sconsiglia pertanto di utilizzare Facebook come modalità di accesso e si suggerisce di utilizzare piattaforme che non condividono i dati con terze parti.