Con l’improvvisa impennata di richieste di lavoro da casa, l’opzione che si è fin da subito diffusa fra milioni di consumatori è stata sicuramente Zoom.
Nella sua rapida ascesa verso il successo, l’app gratuita di videoconferenza ha attirato a sé molta attenzione, ma non sempre per le migliori ragioni.
La spiegazione per questa crescita di popolarità molto rapida probabilmente sta nel fatto che Zoom fa esattamente quello che dice di fare: fornisce un mezzo rapido e facilmente accessibile per connettere più persone in videochiamata (sebbene non fornisca il grado di crittografia che promette).
In un mondo ideale, questo sarebbe tutto ciò di cui l’utente finale ha bisogno in un app di videoconferenza. Ma il problema, è che viviamo in un mondo dove sicurezza e privacy sono costantemente minacciate.
Questo significa che utilizzare Zoom presenta dei quesiti egualmente importanti sia per le imprese che per il singolo. Perché purtroppo, alla resa dei conti, Zoom non è ben attrezzato per proteggerti da tali minacce.
Approfondiamo tutti i modi in cui Zoom non rispetta le misure di sicurezza e di privacy e cosa invece fa Wildix.
Non protetto né garantito, dentro e fuori
Una nota falla nel sistema di Zoom è decisamente il fatto che estranei possono accedere alle videoconferenze senza essere invitati. Difatti, questa problematica è stata così comune che gli è stato dato anche un nome: “Zoombombing”, un termine che perfino l’FBI ha riconosciuto dopo aver dovuto mettere in guardia gli utenti da questi attacchi.
Il problema è diventato famoso a causa delle sconvolgenti interruzioni che questi Zoombombers creano: per infastidire e distrarre completamente i partecipanti entrano nella videochiamata ed iniziano ad urlare oscenità o mostrano materiale sessualmente esplicito condividendo il proprio schermo.
Queste facili intrusioni sono in gran parte possibili grazie all’approccio “rilassato” che Zoom ha nei confronti della sicurezza delle proprie conferenze. Infatti la radice del problema sta nell’indirizzo web (URL) delle videoconferenze di Zoom: la semplicità del codice numerico da nove a undici cifre che usano, rende la piattaforma vittima di brute-force hacking ( letteralmente: pirataggio a forza bruta ), il che significa che le conferenze possono essere facilmente interrotte anche se l’invito alla stanza viene tenuto segreto.
Tutto ciò suggerisce che il fenomeno dello Zoombombing non è il risultato di un errore dell’utente, ma di una programmazione scadente. In termini pratici, la sicurezza di un programma è considerata efficace solo se ci si può aspettare che qualsiasi utente medio la possa mantenere. Di conseguenza è essenziale che programmi inerenti alla comunicazione siano automaticamente resi sicuri, senza la necessità che l’utente finale si studi guide infinite o video esplicativi a riguardo.
Invece ciò che vediamo in Zoom è esattamente il contrario: al posto di essere un programma che si accerta che i suoi utenti siano al sicuro, è un programma che lascia la responsabilità all’utente di comprendere la piattaforma in modo perfettamente dettagliato o, altrimenti, essere soggetto a possibili violazioni di sicurezza.
La programmazione scadente di Zoom è ancora più evidente nella scelta piuttosto inusuale di utilizzare strumenti di pre-installazione nella versione per Apple. Questo codice, hanno rivelato alcuni esperti della sicurezza, permette a Zoom di installarsi su macOS senza il permesso dell’utente e, solitamente, viene riconosciuto come un malware invece che come un’app di videoconferenza – il che è piuttosto allarmante.
Questo non è un problema perché Zoom stesso sia un programma dannoso, ma perché può diventare un complice inconsapevole pe raltri malware. Grazieaglistrumentidipre-installazione e alle autorizzazioni che hai concesso all’app, Zoom può essere sfruttato dai virus come un modo per filmarti a tua insaputa.
Ebbene sì, se hai Zoom sul Macbook, è più facile per un malware piratare la tua webcam ed il tuo microfono.
Dall’altro lato Wildix ha reso queste vulnerabilità completamente inesistenti.
Primo fra tutti, il problema di avere partecipanti indesiderati che entrano in conferenza, viene risolto automaticamente grazie al fatto che il codice alfanumerico dell’URL usato da Wildix è molto più complesso. Includendo sia numeri che lettere del tutto casuali nell’indirizzo, la piattaforma rende esponenzialmente più difficile agli hacker di entrare (ma ancor di più interferire) in una conferenza.
Per quanto riguarda il malware , questo problema viene risolto attraverso una programmazione basata sul browser. Entrando attraverso la tecnologia WebRTC ( Web Real-Time Communication ), Wildix richiede l’autorizzazione esplicita per utilizzare il microfono e la webcam da nuovi domini Web. Ma soprattutto, il programma è estremamente complesso da hackerare in primo luogo grazie al design quasi impenetrabile di WebRTC.
Quando si tratta di sicurezza, Wildix si pone in modo trasparente ed efficiente fin dall’inizio. Zoom invece utilizza un design che tiene i propri utenti all’oscuro di qualsiasi operazione relativa alla sicurezza.
Uno scambio di informazioni non così tanto segreto
L’approccio riservato usato da Zoom per le proprie funzionalità, è esteso anche alla loro politica sulla privacy, che l’esperto della sicurezza del web Doc Searls ha descritto come “amichevole in modo allarmante” con le società che si occupano di tracciare i dati per usarli negli annunci pubblicitari.
Secondo un reclamo fatto da Consumer Reports, la politica sulla privacy a lungo corso ha permesso all’app non solo di mantenere in archivio i dati acquisiti durante le videoconferenze, che includono qualsiasi cosa, dal viso, agli oggetti sullo sfondo delle chiamate, ma di vendere questi dati al settore marketing.
Mentre, per fortuna, questa pratica si è conclusa con il rinnovo da parte di Zoom della propria politica sulla privacy, rimane preoccupante il motivo per cui tale politica era stata adottata in primo luogo, considerando che uno sviluppatore di una piattaforma di videoconferenza dovrebbe guadagnare col proprio programma, non vendendo dati sensibili.
Ancora più preoccupante è il modo in cui Zoom gestisce le registrazioni delle conferenze. Come rivelato dal Washington Post, quando Zoom memorizza una conferenza registrata, per impostazione predefinita il file viene salvato in un indirizzo web pubblico, in modo tale che le registrazioni di Zoom possano essere trovate attraverso una semplice ricerca su Google.
Quindi, in maniera predefinita, Zoom mette letteralmente a disposizione le conferenze su internet, quindi visualizzabili dal mondo intero. Sebbene le impostazioni dell’utente ed i nomi personalizzati possano aggiungere nuovamente un livello di privacy a queste registrazioni, è comunque sbalorditivo che una tale mancanza di sicurezza sia possibile.
Peggio ancora, ogni account di Zoom potrebbe non essere al sicuro anche se non registri le conferenze. Da gennaio 2020 in poi, i database contenenti i nomi degli account e password di Zoom sono stati distribuiti e venduti sul web oscuro. Poiché Zoom ha attirato sempre più utenti, quel database è diventato sempre più grande e più prezioso per gli hacker, il che significa che ci sono molte più ragioni per esporre e divulgare nuovi account.
Con Wildix, questi problemi di privacy sono assolutamente inesistenti. Wildix non memorizza alcuna comunicazione video ai fini del monitoraggio per le società di annunci. Infatti, poiché l’app funziona direttamente da browser a browser, è impossibile intercettare o salvare tali dati, anche per i tecnici di Wildix. Anche le conferenze registrate sono private per impostazione predefinita, dato che vengono loro assegnati indirizzi web complessi, generati in modo casuale, inaccessibile dal Web esterno.
Ancora una volta, la privacy è una funzione predefinita ed automatica integrata nel sistema Wildix. Con Zoom, invece, la responsabilità di proteggere la privacy viene delegata completamente all’utente finale.
Morale della storia
Per riconoscere un merito a Zoom, la società ha adesso preso coscienza attivamente dei propri difetti. Poco dopo essere stati indagati dal procuratore generale di New York, hanno annunciato che a partire dal 1° Aprile 2020 avrebbero sospeso gli aggiornamenti delle funzionalità per concentrarsi sulla risoluzione dei problemi di sicurezza esistenti.
Questo annuncio è uscito sotto forma di scuse ufficiali riguardo ai deficit di sicurezza di Zoom da parte del CEO dell’azienda, Eric Yuan, che spiega anche perché il prodotto è stato rilasciato con tali difetti inprimis. Nel post, Yuan afferma che il numero di utenti attivi sulla piattaforma “ha superato di gran lunga” ciò che la società si aspettava, e che Zoom “è stato inventato principalmente per clienti aziendali, cioè grandi società con a disposizione un supporto tecnico.”
Yuan ha decisamente ragione, sebbene più per omissione che per ammissione. Con tutti i problemi di sicurezza che sono emersi, forse sarebbe appropriato dire che Zoom dovrebbe essere usato solo in collaborazione con un team tecnico interno, a condizione che tale team sia abbastanza grande da dedicare gran parte del loro orario di lavoro a mantenere il programma efficiente.
Chiaramente, le implicazioni di quest’ultimo punto sono evidenti: Zoom non è una soluzione mirata e costruita appositamente per le piccole e medie imprese.
Questa sembra essere una conclusione condivisa sia dalle scuole pubbliche di New York City, che ora stanno abbandonando la piattaforma, sia da Bruce Schneier, lui stesso definitosi “esperto tecnico al servizio del pubblico”, che ha scritto a lungo sui problemi del software. Il professore di informatica di Princeton, Arvind Narayanan, nel frattempo, definisce Zoom un “malware” in sé.
Se questi esempi possono insegnarci qualcosa, è che la sicurezza deve essere integrata nelle piattaforme di comunicazione. Poiché è quasi scontato che si verifichi un errore da parte dell’utente, la sicurezza dev’essere garantita dal programma, non qualcosa che può essere attivato o disattivato a caso.
Abbiamo spesso parlato di come la sicurezza sia parte integrante della soluzione Wildix di base. Con Wildix, la sicurezza non è semplicemente un’impostazione che devi gestire nel modo giusto o altrimenti trovarti esposto a minacce: la sicurezza si attiva non appena inizi a utilizzare la piattaforma. Qui, non è necessario scegliere tra convenienza o sicurezza, perché Wildix offre entrambi.
Difatti, ciò che abbiamo visto è che nulla rende una soluzione scomoda quanto la mancanza di sicurezza. Come mostra l’esempio di Zoom, una volta persa la sicurezza, si perde l’usabilità. Dopotutto, nessuna soluzione è meno utilizzabile di quella che mette a rischio te e la tua organizzazione.
Il Breakdown
Wildix | Zoom | |
Videoconference solo su invito | On by default | Opt-in |
Registrazioni scaricabili | On by default | Opt-in |
URL delle conference | Alfanumerici (più combinazioni, più difficili da individuare) | Solamente numerici (meno combinazioni, più semplici da individuare) |
Espellere o silenziare i partecipanti | Sì | Sì |
Conference registrate | Solamente private | Private e Pubbliche |
Installazione | Non necessaria, accessibile via Browser | Utilizza exploit pre-installazione per salvare i clic |
Accesso Webcam e Microfono | Fornito solamente dall’APP Wildix in-browser | Forniti in autonomia dall’APP Zoom e da tutti i programmi che hanno accesso |
Per restare aggiornato sulle ultime tendenze del mercato, iscriviti per ricevere gratuitamente una copia di Wildix Magazine!