Sicurezza nel WebRTC: Comunicazioni più Sicure Integrate nel Browser

Security features of WebRTC, Wildix magazine article

Il trasferimento di dati a un altro dispositivo comporta sempre dei rischi. Quando le informazioni si spostano, le protezioni locali del dispositivo o del server vengono meno e i dati, non appena risultano vulnerabili, diventano l’obiettivo principale di intercettazioni e attacchi informatici.

Questo non vale solo per gli scambi una tantum, come le e-mail o i trasferimenti di file. Anche le connessioni Internet continue, come il collegamento a una pagina web, possono essere violate e manomesse e, purtroppo, questo significa che le comunicazioni VoIP (Voice over Internet Protocol) sono particolarmente esposte a questo fenomeno.

Gli hacker sono al corrente che, durante una chiamata VoIP, vengono spesso condivise informazioni riservate (e quindi di grande valore), come le credenziali di account o informazioni relative ai dati finanziari. A seconda della configurazione di cui disponete, potrebbe essere più o meno facile avere accesso a queste informazioni. Un singolo canale VoIP può essere facilmente intercettato dagli hacker e i dati potrebbero essere rapidamente compromessi. In mancanza di un metodo affidabile per mantenere sicuro il canale, dietro ad ogni telefonata potrebbe celarsi una possibile violazione.

C’è uno strumento semplice e comodo che protegge le comunicazioni web non appena lo si utilizza: si tratta del WebRTC, il protocollo che Wildix implementa da oltre 10 anni. Lo standard WebRTC è affidabile, e con la giusta configurazione protegge le comunicazioni dal momento stesso in cui ci si connette al sistema VoIP attraverso il browser.

Questa è una guida essenziale che spiega perché il WebRTC è il nuovo standard di sicurezza VoIP e che contribuirà a verificare le vostre comunicazioni online.

Che Cos’è il WebRTC?

Il WebRTC (acronimo di “Web Real-Time Communications”) è un protocollo open source per la trasmissione di comunicazioni audio e video su Internet in tempo reale.

Sviluppato e rilasciato per la prima volta da Google nel 2011, il WebRTC offre ai browser web un modo semplice per parlare direttamente tra loro, senza plug-in o piattaforme solitamente necessari per la comunicazione. Poiché il WebRTC è open source e adottato da tutti i principali browser, qualsiasi applicazione browser-based può utilizzarlo per scambiare audio e video in tempo reale, senza installazioni aggiuntive.

Per collegare i browser web, il WebRTC combina tre protocolli principali:

  • MediaStream: stabilisce l’accesso alle periferiche di input di un dispositivo (microfono, webcam, ecc.) e allo streaming multimediale, per poi condividerlo con tutti i browser collegati. Regola inoltre il modo in cui il sistema…
  • RTCDataChannel: crea un canale per lo scambio di altri dati arbitrari tra i browser, assicurando che gli elementi audio e video possano essere scambiati sulla propria linea dedicata per raggiungere gli utenti più rapidamente.
  • RTCPeerConnection: collega i browser tra loro direttamente, per evitare che siano i browser a dover collegarsi a un server. Grazie a questa connessione diretta peer-to-peer, il WebRTC rende la comunicazione via browser più veloce e sicura rispetto alle opzioni server-based.

Questa tecnologia è diventata uno standard per le comunicazioni online, anche grazie alla semplicità e alle possibilità di utilizzo. Inoltre, l’aspetto migliore è l’elevato standard di sicurezza che il WebRTC offre da subito.

Sicurezza nel WebRTC

Le comunicazioni via WebRTC godono di una protezione immediata grazie al design stesso della tecnologia. Di seguito illustreremo in che modo questo avviene.

Connessioni Peer-to-Peer

Come abbiamo detto in precedenza, negli scambi di media via WebRTC vengono utilizzate connessioni dirette peer-to-peer. Sebbene nella maggior parte degli scambi via WebRTC sia coinvolto un server di terze parti (di cui si parlerà più avanti), nella maggior parte dei casi lo scambio di dati riguarda solo gli utenti coinvolti nella chiamata.

Questo modello è ottimo per garantire la sicurezza poiché i dati raggiungono un numero inferiore di endpoint: meno sono i punti di accesso che i dati devono attraversare, meno opportunità avranno gli hacker di intercettare le informazioni.

Design Browser-Based

Il webRTC esiste nel browser e può quindi beneficiare di tutte le caratteristiche relative alla sicurezza del browser stesso. È un aspetto molto significativo, perché i browser sono progettati per essere estremamente sicuri, proprio perché devono sostenere regolarmente un traffico web elevato.

Il WebRTC, essendo browser-based, accede alle connessioni solo se il browser è in grado di approvarle prima. I browser sono sempre efficaci nell’autenticazione di terze parti, quindi questo aspetto aiuta a evitare molte potenziali minacce.

Il WebRTC è inoltre sicuro anche contro gli attacchi provenienti dall’interno del dispositivo. Se lo smartphone o il laptop vengono infettati da un malware, questo non avrà effetto sul WebRTC perché non è mai stato realmente installato sul vostro dispositivo, non essendo un plugin o un componente aggiuntivo.

Infine, il WebRTC si aggiorna in automatico all’ultima versione insieme al browser: è quindi molto improbabile rischiare di perdere un’importante patch di sicurezza.

Crittografia

È l’arma più importante nell’arsenale del WebRTC. Fondamentalmente, la crittografia rimescola i dati utilizzando un codice segreto (o “chiave di decrittografia”) che viene reso disponibile solo agli utenti interessati. Grazie a queste misure, chiunque non abbia il codice di decodifica non sarà in grado di leggere i dati, anche se riuscisse a ottenere l’accesso.

Per essere efficace, la crittografia utilizza algoritmi molto complessi per codificare i dati in modo sicuro. Fortunatamente, il WebRTC utilizza due dei protocolli crittografici più avanzati: Datagram Transport Layer Security (DTLS) e Secure Real-Time Protocol (SRTP). Insieme, questi protocolli codificano i dati in modo sicuro e fanno in modo che solo chi è autorizzato abbia accesso alla chiave di decodifica.

Come è possibile verificare chi ha un’autorizzazione reale? Questo processo avviene attraverso uno scambio con un server di terze parti, chiamato “server di segnalazione”, che conferma l’identità online degli utenti connessi, rilasciando loro un “certificato” digitale con una versione pubblica della chiave di decrittazione e una conferma che l’utente è davvero chi dice di essere.

In sostanza, l’unico modo per ottenere e poter usare la chiave di decrittazione è quello di sottoporsi a un processo di verifica per ottenere l’autorizzazione.

Tutti questi protocolli di sicurezza sono attivi di default, quindi risulta piuttosto difficile rubare i dati trasmessi via WebRTC e anche se qualcuno dovesse introdursi nella comunicazione, riuscirebbe a rubare solamente una versione indecifrabile dei dati. Ecco, quindi, che le comunicazioni risultano al sicuro anche in caso di hackeraggio.

WebRTC: Sicurezza VoIP più Semplice

Tutti questi componenti sono particolarmente indicati per le comunicazioni VoIP e offrono un’efficace combinazione di convenienza e sicurezza.

La semplicità è molto importante per la sicurezza, perché, in generale, gli utenti tendono a preferire approcci semplici rispetto a quelli complessi. Quando la sicurezza è complessa, non la implementeranno o troveranno un modo per aggirarla.

Ammettiamolo: installare applicazioni aggiuntive è seccante. Ci vuole tempo per installare un’app aggiuntiva per le videoconferenze o le chiamate, e ancora di più per adottare misure di sicurezza aggiuntive. Considerando la quantità di lavoro che svolgiamo di solito nel browser, è molto più semplice eseguire i programmi direttamente attraverso il browser stesso.

La sicurezza all’interno del browser è affidabile perché è semplice e funziona in modo invisibile, in background. In questo modo, l’utente non può disattivare le funzionalità relative alla sicurezza ed è improbabile che le aggiri, e questo fa in modo che le comunicazioni rimangano al sicuro.

Grazie alla sua semplicità, non c’è da stupirsi che il WebRTC sia oggi lo standard di sicurezza adottato nella tecnologia VoIP e, in quanto tale, stabilisce norme comuni sulle migliori pratiche di sicurezza, con il vantaggio di essere un programma open-source. Non essendo legato a nessun sviluppatore, non è rilevante quale browser stiamo utilizzando, a quale app ci stiamo collegando o persino quale sistema operativo stiamo usando: il WebRTC rappresenta una protezione completa per i dati, senza richiedere alcuna installazione o attività aggiuntiva.

Troverete il dettaglio di come Wildix utilizza la tecnologia WebRTC per garantire sicurezza e semplicità nel nostro white paper gratuito.

Per ulteriori suggerimenti sulla sicurezza informatica e sulla risoluzione delle vulnerabilità nel settore IT, registrati per ricevere gratuitamente il nostro magazine!

Social Sharing