Al giorno d’oggi sono pochi gli uffici che non dispongono di una qualsiasi piattaforma per le videoconferenze, ma ciò che spesso si dimentica è che la sicurezza, nelle videoconferenze, è essenziale quanto quella di chiamate, e-mail o di qualsiasi altra forma di comunicazione a distanza.
Anche se proteggere le comunicazioni video è fondamentale, raramente è facile far rispettare la sicurezza. Molte aziende sono tentate di applicare misure di sicurezza a posteriori come firewall o password aggiuntive agli strumenti web. In pratica, però, si tratta di ostacoli abbastanza semplici da superare per gli hacker e, una volta violati, le aziende rimangono senza protezione contro l’accesso illecito alle comunicazioni aziendali private e persino ai dati utente. Anche per le piccole imprese, attacchi di questo tipo possono essere devastanti, con perdite immediate di fatturato e un grave impatto sulla reputazione.
Il punto cruciale di un servizio sicuro per le videoconferenze non è costituito da semplici componenti aggiuntivi o strumenti stratificati. Il fatto è che, senza una protezione integrata nel servizio, non ci sarà alcuna sicurezza reale nelle conferenze effettuate via web.
Come si presenta questa sicurezza integrata? Qui spiegheremo esattamente questo aspetto, illustrando la tecnologia necessaria per ottenere una sicurezza reale durante le videoconferenze. Per una maggiore protezione, illustreremo inoltre alcune delle migliori pratiche che risultano fondamentali per la sicurezza durante le videoconferenze.
Passwords
Il modo più diretto in cui un hacker può effettuare un accesso non autorizzato alle videochiamate è il semplice login. Se le password degli utenti sono troppo semplici o comuni, sarà solo questione di tempo prima che un hacker indovini le credenziali corrette.
Per questo motivo, qualsiasi piattaforma di videoconferenza sicura deve richiedere agli utenti di creare password sufficientemente lunghe e complesse, con lettere, numeri e caratteri speciali. Come qualsiasi responsabile IT può confermare, ci saranno sempre dipendenti che utilizzano password troppo semplici o scontate quando creano un account. Per contrastare questo fenomeno, un servizio di teleconferenza sicuro deve rifiutare tali password in quanto non abbastanza complesse e richiedere agli utenti di crearne di più lunghe.
L’inserimento obbligatorio di password lunghe e complesse, tuttavia, non crea di per sé un ambiente sicuro per le conferenze web. I database di password vengono infatti spesso violati e diffusi sul dark web, consentendo l’accesso agli hacker con molta facilità.
Fortunatamente, i database possono essere mantenuti sicuri grazie alla crittografia del fornitore del software. Applicando una metodologia di crittografia, in particolare SHA512 e salt, le password memorizzate nei database sono rese illeggibili da chiunque, tranne che dal sistema, grazie a una codifica complessa. In questo modo si garantisce che, anche in caso di violazione del database, i dati effettivi siano illeggibili e quindi inutilizzabili dagli hacker.
Single Sign-On & Autenticazione a Due Fattori
In alcuni casi, tuttavia, le password complesse possono ostacolare la sicurezza delle videoconferenze. Le password lunghe sono per loro natura difficili da ricordare e, per questo motivo, gli utenti possono scriverle o digitarle in luoghi poco sicuri. Inoltre, la richiesta di password complesse per l’accesso lascia aperta la possibilità, per quanto remota, che un hacker possa indovinare le credenziali dell’utente e forzarne l’accesso.
Una risposta efficace a questo problema è il single sign-on (SSO): al posto di richiedere una nuova password per proteggere il software di videoconferenza, il single sign-on consente agli utenti di accedere utilizzando un account esistente, ad esempio tramite Google o Microsoft. In questo modo, gli utenti possono riutilizzare una password complessa di un account e allo stesso tempo usufruire di un login sicuro per il software aggiuntivo.
È possibile rendere l’accesso ancora più sicuro attraverso l’autenticazione a due fattori (2FA). In questo caso, un login avvenuto con successo non garantisce immediatamente l’accesso a un account. Gli utenti devono invece inserire un codice inviato all’e-mail o al numero di telefono o un codice generato da un’app di autenticazione. Poiché questo passaggio supplementare richiede l’accesso a un dispositivo o a un account aggiuntivo, le possibilità di un accesso non autorizzato sono drasticamente ridotte.
Crittografia
Purtroppo, gli hacker sono generalmente consapevoli della difficoltà di accedere direttamente agli account e raramente si lasciano fermare da queste misure. Quando i tentativi di accesso falliscono, gli hacker provano spesso a intercettare segretamente le videoconferenze, in modo non dissimile dal mettere una cimice in un telefono per ascoltare di nascosto.
Il modo più efficace per evitare che ciò accada è quello di utilizzare un software per videoconferenze criptato. La crittografia, come abbiamo detto, rimescola efficacemente i dati in modo da renderli illeggibili agli utenti non autorizzati; più sofisticato è il metodo di crittografia, più difficile è decifrare i dati.
Sebbene le videochiamate utilizzino componenti audio e visivi e non semplice testo, è comunque possibile proteggere le videoconferenze con gli stessi metodi di crittografia. Uno dei più affidabili è il Secure Real Time Transport Protocol (SRTP), che utilizza sia una chiave di crittografia casuale per i media sia un mezzo integrato per autenticare i messaggi scambiati. Questa combinazione di approcci impedisce che i video vengano intercettati o falsificati dagli hacker.
L’SRTP può essere reso ancora più sicuro grazie all’uso del protocollo DTLS (Datagram Transport Layer Security). Si tratta di un protocollo che stratifica i messaggi con una crittografia aggiuntiva così complessa da poter essere decifrata solo con la chiave originale del codice. L’approccio si spinge oltre, condividendo la chiave solo con gli altri partecipanti alla videochiamata e non con un server o un’autorità centrale, che potrebbe essere minata dagli hacker. Tutte queste misure combinate garantiscono la sicurezza point-to-point diretta, per una protezione ancora maggiore.
WebRTC
Un componente spesso trascurato delle conferenze web sicure è il WebRTC, una tecnologia di scambio multimediale progettata per condividere le comunicazioni direttamente all’interno dei browser web. Oltre a essere un componente importante per il trasferimento dati in tempo reale, il WebRTC è fondamentale per ottenere la piattaforma più sicura possibile, grazie ai suoi protocolli di sicurezza integrati.
La tecnologia WebRTC permette la comunicazione direttamente dal browser, senza l’installazione di plugin aggiuntivi: questa caratteristica è una delle più importanti quando si parla di sicurezza. Di conseguenza, il WebRTC e qualsiasi software di videoconferenza associato si aggiornano alla versione più recente non appena si aggiorna il browser. Questo rende molto più veloce l’installazione dei protocolli di sicurezza più recenti e aiuta a prevenire le violazioni legate a vulnerabilità o exploit del sistema.
Inoltre, dato che il WebRTC viene eseguito direttamente nel browser senza alcuna installazione sui dispositivi, esiste separatamente dall’architettura digitale del dispositivo. Ciò è fondamentale per la sicurezza, in quanto questa configurazione significa che il WebRTC non è influenzato da eventuali programmi o vulnerabilità installate sul dispositivo. Eventuali spyware, virus o backdoor similari che gli hacker potrebbero tentare di creare per ottenere un accesso illegittimo non possono raggiungere la tecnologia del browser e non hanno quindi nessuna influenza su una piattaforma basata su WebRTC.
Questo si aggiunge alle misure di sicurezza che il WebRTC implementa in fase di progettazione. In particolare, è dotato di una crittografia end-to-end completa tramite DTLS e SRTP, il che significa che le chat web che utilizzano il WebRTC sono intrinsecamente eseguite attraverso un software di videoconferenza crittografato. Il WebRTC, inoltre, stabilisce connessioni dirette da browser a browser per il trasferimento dei dati, anziché collegarsi a un server centrale, riducendo ulteriormente le possibilità di intercettazione.
Monitoraggio del Sistema
Tutte queste misure di sicurezza devono però andare di pari passo con un modo per visualizzare le minacce potenziali o reali; gli utenti, altrimenti, non avranno modo di capire le possibili vulnerabilità del sistema.
Questo requisito è in realtà abbastanza semplice da attuare in un software: è sufficiente che il sistema disponga di uno strumento o di un’API, facilmente accessibile ai tecnici in loco, per registrare gli accessi. Ancora meglio se il sistema ha un modo per avvisare i consulenti della sicurezza qualora si verifichi un accesso che sembri essere illegittimo, ma soprattutto è fondamentale che questo strumento invii avvisi automatici agli amministratori del sistema in caso di intrusioni vere e proprie.
Ovviamente, questo è dovuto in gran parte al fatto che i tecnici devono essere immediatamente a conoscenza di qualsiasi violazione nel momento stesso in cui si verifica, in modo da poter rimettere nuovamente in sicurezza il sistema e correggere le vulnerabilità. Ma è anche importante avere un monitoraggio costante del sistema per rimanere vigili contro gli attacchi di massa, noti come attacchi DDoS (Distributed Denial of Service). Anche se un sistema di videoconferenza sicuro dovrebbe essere in grado di prevenirli fin dall’inizio, semplicemente bloccando il traffico in eccesso dagli indirizzi IP che hanno commesso l’attacco, è comunque fondamentale che gli amministratori si accorgano subito di questi attacchi. Un ritardo nella visualizzazione o nella segnalazione di queste minacce lascia spazio agli hacker per rivalutare il loro piano di attacco e tornare a colpire con metodi più efficaci.
Gli strumenti integrati per il monitoraggio sono essenziali: per essere efficaci al massimo, dovrebbero includere dati e statistiche sulla natura di questi tentativi di accesso. Ancora meglio se il sistema supporta l’integrazione con strumenti di monitoraggio esterni (ad esempio, Zabbix). Il punto è che senza misure per esaminare i tentativi di accesso e le intrusioni riuscite, sarà impossibile modificare e migliorare le misure di sicurezza attuali.
Strumenti di Moderazione
Finora abbiamo parlato di strumenti per prevenire le violazioni e l’intercettazione dei dati. Sono tutti strumenti preziosi per le aziende, ma non sono gli unici necessari per garantire la sicurezza delle videoconferenze. Dopotutto, non solo è possibile che gli hacker si introducano nelle chiamate web e interrompano le procedure (una pratica comunemente chiamata “Zoombombing“), ma è anche molto comune.
Per evitare tali interruzioni, una piattaforma di videoconferenza sicura deve anche disporre di strumenti per limitare chi può accedere alle conference call, nonché di strumenti per controllare le call stesse.
Una difesa comune consiste nell’impostare una password per le conferenze, che in teoria blocca gli ospiti indesiderati. Per le conferenze più ridotte o per gli eventi interni, questo può essere un modo essenziale di garantire la privacy.
Per le call più estese, tuttavia, le password vengono quasi sempre condivise insieme agli inviti alle riunioni, il che significa che è necessario adottare ulteriori misure di sicurezza. Uno di questi metodi consiste nel proteggere le videochiamate consentendo l’accesso solo agli utenti invitati, ovvero agli utenti con un login specifico sul software di videochiamata. In questo modo, chiunque non abbia un’autorizzazione di accesso esplicita non potrà ascoltare la chiamata.
Anche questa misura è purtroppo soggetta a insuccessi: hackeraggio di password, vulnerabilità del sistema e lacune non previste della sicurezza possono far accedere alle videochiamate ospiti indesiderati. Ecco perché ogni sistema di videochiamata sicuro necessita anche di un’ultima risorsa: uno strumento di moderazione della call che permetta di mantenere l’ordine e la privacy all’interno della call stessa.
Le funzionalità di moderazione più critiche sono:
- Disattivare i microfoni degli utenti (in particolare disattivare tutti gli utenti o tutti eccetto uno)
- Disattivare i video degli utenti (di tutti gli utenti o tutti eccetto uno)
- Bloccare i tentativi di condivisione dello schermo
- Eliminare utenti specifici dalla chiamata
Per mantenere la sicurezza è necessario avere a disposizione tutte queste misure, anche se, come ogni ultima spiaggia, è preferibile che non vengano mai utilizzate.
Senza queste funzionalità, effettuare una videoconferenza web sicura diventa molto più difficile nel caso in cui una o più misure esterne falliscano.
Sicurezza nelle Videoconferenze: Linee Guida
Anche con misure di sicurezza come queste, le violazioni possono derivare da semplici errori umani. Per questo motivo, oltre a utilizzare una tecnologia efficace per proteggere le conferenze via web, è fondamentale che il personale tenga sempre a mente le linee guida della sicurezza per le videoconferenze.
Anche se la tecnologia dovrebbe essere progettata con una sicurezza di default, i dipendenti hanno sempre la possibilità di eludere questa sicurezza, sia innocentemente, sia intenzionalmente. Come già detto, le password e l’accesso agli account sono in primo piano: se un hacker ottiene le credenziali di accesso per un account di un dipendente sulla vostra piattaforma di videochiamata, avrà accesso a una quantità incalcolabile di dati e comunicazioni.
Per questo motivo, la linea guida più importante per la sicurezza delle videoconferenze è quella di mantenere sempre riservate le password. I dipendenti non dovrebbero mai condividere le password tramite chat, e-mail o persino durante le chiamate, poiché gli hacker tentano spesso di ingannare gli utenti per indurli a consegnare queste informazioni fingendo di essere qualcuno di legittimo all’interno dell’azienda (una pratica nota come “phishing”).Se le credenziali di accesso vengono mantenute completamente private, avrete già fatto molto per proteggere le vostre videoconferenze.
Nell’ambito delle videochiamate ci sono ovviamente altre linee guida da seguire. Le più importanti sono:
- Cacciare immediatamente gli utenti sospetti: a meno che non si tratti di un meeting aperto, gli utenti non riconosciuti non dovrebbero partecipare alle videochiamate. Per evitare che disturbino la chiamata o ascoltino informazioni riservate, allontanateli immediatamente.
- Non abbiate paura di “silenziare tutti”: se un gruppo di troll entra nella vostra chiamata, è fondamentale tenerli buoni mentre si cerca di capire come eliminarli. L’uso liberale della funzione “mute all” aiuterà a mantenere l’ordine.
- Eliminare link sospetti dalla chat: molti hacker inseriscono URL nella chat per creare scompiglio anche dopo che li avete cacciati. Poiché questi link indirizzano sempre gli utenti a siti di spam o dannosi, consigliate agli utenti di non cliccarli o, meglio ancora, cancellate del tutto i messaggi.
- Ricordate di disabilitare i video e lo schermo condiviso: molti troll disturbano le chiamate con immagini oscene e rumori eccessivi. Per questo motivo, i moderatori e i conduttori dovrebbero sempre tenere presente che possono disabilitare i video o bloccare le condivisioni dello schermo degli ospiti indesiderati.
- Impostate dei limiti alle conferenze, se necessario: le password per gli utenti possono essere un modo efficace per impedire ai troll di partecipare alle vostre videochiamate. In caso di ampio accesso alla call, prendete in considerazione l’uso di questi limiti come ulteriore misura di sicurezza.
- Utilizzare le impostazioni “avvio con microfono e video spenti”: per le conferenze aperte a un pubblico più ampio, impostare l’avvio con microfono e video spenti per tutti gli utenti può servire come misura preventiva contro le interruzioni.
- Sapere quando utilizzare i webinar: gli eventi con numerosi partecipanti ma con pochi relatori sono in genere meglio presentati come webinar piuttosto che come videoconferenze, poiché in un webinar la partecipazione del pubblico è limitata. In questo modo è possibile ridurre al minimo le interruzioni, anche senza troppa moderazione.
Prendere in considerazione una o tutte queste linee guida per la sicurezza nelle videoconferenze aumenterà la sicurezza offerta da questa tecnologia.
Riflessioni Finali
Poiché lo smart working continua a essere uno standard, non è mai stato così importante come ora mantenere la sicurezza nelle call e nelle videochiamate. La sicurezza non si limita alle call stesse; è altrettanto importante mantenere il sistema e i dati associati, compresi i file scambiati e le registrazioni delle chiamate, al sicuro da accessi non autorizzati.
Alcune linee guida possono essere di grande aiuto in questo senso, ma da sole non bastano. Protocolli integrati come la protezione del login, la crittografia e le connessioni dirette da browser a browser possono lavorare in tandem per mantenere private tutte le riunioni di lavoro, anche quando si svolgono online.
È tuttavia fondamentale che queste misure siano un componente integrato e sempre attivo della piattaforma, piuttosto che componenti aggiuntivi che possono essere disattivati. Per essere veramente sicure, le misure di protezione devono costituire un aspetto intrinseco del sistema ed essere inserite direttamente nel design stesso.
Per avere un esempio di app per videoconferenze completamente sicura, si veda il modo in cui la sicurezza è stata integrata in Wildix, il primo strumento di videoconferenza in-browser progettato per le vendite.
Per altri consigli sulla sicurezza informatica e su una tecnologia aziendale più sicura, registrati per ricevere gratuitamente il nostro magazine!