{"id":86909,"date":"2022-07-18T09:00:03","date_gmt":"2022-07-18T07:00:03","guid":{"rendered":"https:\/\/blog.wildix.com\/secure-video-conferencing-best-practices-2022\/"},"modified":"2022-08-01T19:03:15","modified_gmt":"2022-08-01T17:03:15","slug":"videoconferenze-in-sicurezza","status":"publish","type":"post","link":"https:\/\/blog.wildix.com\/it\/videoconferenze-in-sicurezza\/","title":{"rendered":"Videoconferenze in Sicurezza: Come Rendere i Meeting Sicuri e Protetti"},"content":{"rendered":"

[vc_row][vc_column][vc_single_image source=”featured_image” img_size=”full”][\/vc_column][\/vc_row][vc_row][vc_column][vc_column_text]Al giorno d\u2019oggi sono pochi gli uffici che non dispongono di una qualsiasi piattaforma per le videoconferenze, ma ci\u00f2 che spesso si dimentica \u00e8 che la sicurezza, nelle videoconferenze, \u00e8 essenziale quanto quella di chiamate, e-mail o di qualsiasi altra forma di comunicazione a distanza.<\/p>\n

<\/p>\n

Anche se proteggere le comunicazioni video \u00e8 fondamentale, raramente \u00e8 facile far rispettare la sicurezza. Molte aziende sono tentate di applicare misure di sicurezza a posteriori come firewall o password aggiuntive agli strumenti web. In pratica, per\u00f2, si tratta di ostacoli abbastanza semplici da superare per gli hacker e, una volta violati, le aziende rimangono senza protezione contro l’accesso illecito alle comunicazioni aziendali private e persino ai dati utente. Anche per le piccole imprese, attacchi di questo tipo possono essere devastanti, con perdite immediate di fatturato e un grave impatto sulla reputazione.<\/p>\n

Il punto cruciale di un servizio sicuro per le videoconferenze non \u00e8 costituito da semplici componenti aggiuntivi o strumenti stratificati. Il fatto \u00e8 che, senza una protezione integrata nel servizio, non ci sar\u00e0 alcuna sicurezza reale nelle conferenze effettuate via web.<\/p>\n

Come si presenta questa sicurezza integrata? Qui spiegheremo esattamente questo aspetto, illustrando la tecnologia necessaria per ottenere una sicurezza reale durante le videoconferenze. Per una maggiore protezione, illustreremo inoltre alcune delle migliori pratiche che risultano fondamentali per la sicurezza durante le videoconferenze.<\/p>\n

Passwords<\/strong><\/h2>\n

Il modo pi\u00f9 diretto in cui un hacker pu\u00f2 effettuare un accesso non autorizzato alle videochiamate \u00e8 il semplice login. Se le password degli utenti sono troppo semplici o comuni, sar\u00e0 solo questione di tempo prima che un hacker indovini le credenziali corrette.<\/p>\n

Per questo motivo, qualsiasi piattaforma di videoconferenza sicura deve richiedere agli utenti di creare password sufficientemente lunghe e complesse, con lettere, numeri e caratteri speciali. Come qualsiasi responsabile IT pu\u00f2 confermare, ci saranno sempre dipendenti che utilizzano password troppo semplici o scontate quando creano un account. Per contrastare questo fenomeno, un servizio di teleconferenza sicuro deve rifiutare tali password in quanto non abbastanza complesse e richiedere agli utenti di crearne di pi\u00f9 lunghe.<\/p>\n

\"Video<\/p>\n

L\u2019inserimento obbligatorio di password lunghe e complesse, tuttavia, non crea di per s\u00e9 un ambiente sicuro per le conferenze web. I database di password vengono infatti spesso violati e diffusi sul dark web, consentendo l’accesso agli hacker con molta facilit\u00e0.<\/p>\n

Fortunatamente, i database possono essere mantenuti sicuri grazie alla crittografia del fornitore del software. Applicando una metodologia di crittografia, in particolare SHA512 e salt, le password memorizzate nei database sono rese illeggibili da chiunque, tranne che dal sistema, grazie a una codifica complessa. In questo modo si garantisce che, anche in caso di violazione del database, i dati effettivi siano illeggibili e quindi inutilizzabili dagli hacker.<\/p>\n

Single Sign-On & Autenticazione a Due Fattori<\/strong><\/h2>\n

In alcuni casi, tuttavia, le password complesse possono ostacolare la sicurezza delle videoconferenze. Le password lunghe sono per loro natura difficili da ricordare e, per questo motivo, gli utenti possono scriverle o digitarle in luoghi poco sicuri. Inoltre, la richiesta di password complesse per l’accesso lascia aperta la possibilit\u00e0, per quanto remota, che un hacker possa indovinare le credenziali dell’utente e forzarne l’accesso.<\/p>\n

Una risposta efficace a questo problema \u00e8 il single sign-on (SSO): al posto di richiedere una nuova password per proteggere il software di videoconferenza, il single sign-on consente agli utenti di accedere utilizzando un account esistente, ad esempio tramite Google o Microsoft. In questo modo, gli utenti possono riutilizzare una password complessa di un account e allo stesso tempo usufruire di un login sicuro per il software aggiuntivo.<\/p>\n

\u00c8 possibile rendere l\u2019accesso ancora pi\u00f9 sicuro attraverso l’autenticazione a due fattori (2FA). In questo caso, un login avvenuto con successo non garantisce immediatamente l’accesso a un account. Gli utenti devono invece inserire un codice inviato all’e-mail o al numero di telefono o un codice generato da un’app di autenticazione. Poich\u00e9 questo passaggio supplementare richiede l’accesso a un dispositivo o a un account aggiuntivo, le possibilit\u00e0 di un accesso non autorizzato sono drasticamente ridotte.<\/p>\n

\"Secure<\/p>\n

Crittografia<\/strong><\/h2>\n

Purtroppo, gli hacker sono generalmente consapevoli della difficolt\u00e0 di accedere direttamente agli account e raramente si lasciano fermare da queste misure. Quando i tentativi di accesso falliscono, gli hacker provano spesso a intercettare segretamente le videoconferenze, in modo non dissimile dal mettere una cimice in un telefono per ascoltare di nascosto.<\/p>\n

Il modo pi\u00f9 efficace per evitare che ci\u00f2 accada \u00e8 quello di utilizzare un software per videoconferenze criptato. La crittografia, come abbiamo detto, rimescola efficacemente i dati in modo da renderli illeggibili agli utenti non autorizzati; pi\u00f9 sofisticato \u00e8 il metodo di crittografia, pi\u00f9 difficile \u00e8 decifrare i dati.<\/p>\n

Sebbene le videochiamate utilizzino componenti audio e visivi e non semplice testo, \u00e8 comunque possibile proteggere le videoconferenze con gli stessi metodi di crittografia. Uno dei pi\u00f9 affidabili \u00e8 il Secure Real Time Transport Protocol (SRTP), che utilizza sia una chiave di crittografia casuale per i media sia un mezzo integrato per autenticare i messaggi scambiati. Questa combinazione di approcci impedisce che i video vengano intercettati o falsificati dagli hacker.<\/p>\n

L’SRTP pu\u00f2 essere reso ancora pi\u00f9 sicuro grazie all’uso del protocollo DTLS (Datagram Transport Layer Security). Si tratta di un protocollo che stratifica i messaggi con una crittografia aggiuntiva cos\u00ec complessa da poter essere decifrata solo con la chiave originale del codice. L’approccio si spinge oltre, condividendo la chiave solo con gli altri partecipanti alla videochiamata e non con un server o un’autorit\u00e0 centrale, che potrebbe essere minata dagli hacker. Tutte queste misure combinate garantiscono la sicurezza point-to-point diretta, per una protezione ancora maggiore.<\/p>\n

WebRTC<\/strong><\/h2>\n

Un componente spesso trascurato delle conferenze web sicure \u00e8 il WebRTC, una tecnologia di scambio multimediale progettata per condividere le comunicazioni direttamente all’interno dei browser web. Oltre a essere un componente importante per il trasferimento dati in tempo reale, il WebRTC \u00e8 fondamentale per ottenere la piattaforma pi\u00f9 sicura possibile, grazie ai suoi protocolli di sicurezza integrati.<\/p>\n

La tecnologia WebRTC permette la comunicazione direttamente dal browser, senza l\u2019installazione di plugin aggiuntivi: questa caratteristica \u00e8 una delle pi\u00f9 importanti quando si parla di sicurezza. Di conseguenza, il WebRTC e qualsiasi software di videoconferenza associato si aggiornano alla versione pi\u00f9 recente non appena si aggiorna il browser. Questo rende molto pi\u00f9 veloce l’installazione dei protocolli di sicurezza pi\u00f9 recenti e aiuta a prevenire le violazioni legate a vulnerabilit\u00e0 o exploit del sistema.<\/p>\n

\"Secure<\/p>\n

Inoltre, dato che il WebRTC viene eseguito direttamente nel browser senza alcuna installazione sui dispositivi, esiste separatamente dall’architettura digitale del dispositivo. Ci\u00f2 \u00e8 fondamentale per la sicurezza, in quanto questa configurazione significa che il WebRTC non \u00e8 influenzato da eventuali programmi o vulnerabilit\u00e0 installate sul dispositivo. Eventuali spyware, virus o backdoor similari che gli hacker potrebbero tentare di creare per ottenere un accesso illegittimo non possono raggiungere la tecnologia del browser e non hanno quindi nessuna influenza su una piattaforma basata su WebRTC.<\/p>\n

Questo si aggiunge alle misure di sicurezza che il WebRTC implementa in fase di progettazione. In particolare, \u00e8 dotato di una crittografia end-to-end completa tramite DTLS e SRTP, il che significa che le chat web che utilizzano il WebRTC sono intrinsecamente eseguite attraverso un software di videoconferenza crittografato. Il WebRTC, inoltre, stabilisce connessioni dirette da browser a browser per il trasferimento dei dati, anzich\u00e9 collegarsi a un server centrale, riducendo ulteriormente le possibilit\u00e0 di intercettazione.<\/p>\n

Monitoraggio del Sistema<\/strong><\/h2>\n

Tutte queste misure di sicurezza devono per\u00f2 andare di pari passo con un modo per visualizzare le minacce potenziali o reali; gli utenti, altrimenti, non avranno modo di capire le possibili vulnerabilit\u00e0 del sistema.<\/p>\n

Questo requisito \u00e8 in realt\u00e0 abbastanza semplice da attuare in un software: \u00e8 sufficiente che il sistema disponga di uno strumento o di un’API, facilmente accessibile ai tecnici in loco, per registrare gli accessi. Ancora meglio se il sistema ha un modo per avvisare i consulenti della sicurezza qualora si verifichi un accesso che sembri essere illegittimo, ma soprattutto \u00e8 fondamentale che questo strumento invii avvisi automatici agli amministratori del sistema in caso di intrusioni vere e proprie.<\/p>\n

Ovviamente, questo \u00e8 dovuto in gran parte al fatto che i tecnici devono essere immediatamente a conoscenza di qualsiasi violazione nel momento stesso in cui si verifica, in modo da poter rimettere nuovamente in sicurezza il sistema e correggere le vulnerabilit\u00e0. Ma \u00e8 anche importante avere un monitoraggio costante del sistema per rimanere vigili contro gli attacchi di massa, noti come attacchi DDoS (Distributed Denial of Service). Anche se un sistema di videoconferenza sicuro dovrebbe essere in grado di prevenirli fin dall’inizio, semplicemente bloccando il traffico in eccesso dagli indirizzi IP che hanno commesso l’attacco, \u00e8 comunque fondamentale che gli amministratori si accorgano subito di questi attacchi. Un ritardo nella visualizzazione o nella segnalazione di queste minacce lascia spazio agli hacker per rivalutare il loro piano di attacco e tornare a colpire con metodi pi\u00f9 efficaci.<\/p>\n

Gli strumenti integrati per il monitoraggio sono essenziali: per essere efficaci al massimo, dovrebbero includere dati e statistiche sulla natura di questi tentativi di accesso. Ancora meglio se il sistema supporta l’integrazione con strumenti di monitoraggio esterni (ad esempio, Zabbix). Il punto \u00e8 che senza misure per esaminare i tentativi di accesso e le intrusioni riuscite, sar\u00e0 impossibile modificare e migliorare le misure di sicurezza attuali.<\/p>\n

Strumenti di Moderazione <\/strong><\/h2>\n

Finora abbiamo parlato di strumenti per prevenire le violazioni e l’intercettazione dei dati. Sono tutti strumenti preziosi per le aziende, ma non sono gli unici necessari per garantire la sicurezza delle videoconferenze. Dopotutto, non solo \u00e8 possibile che gli hacker si introducano nelle chiamate web e interrompano le procedure (una pratica comunemente chiamata “Zoombombing<\/a>“), ma \u00e8 anche molto comune.<\/p>\n

Per evitare tali interruzioni, una piattaforma di videoconferenza sicura deve anche disporre di strumenti per limitare chi pu\u00f2 accedere alle conference call, nonch\u00e9 di strumenti per controllare le call stesse.<\/p>\n

Una difesa comune consiste nell\u2019impostare una password per le conferenze, che in teoria blocca gli ospiti indesiderati. Per le conferenze pi\u00f9 ridotte o per gli eventi interni, questo pu\u00f2 essere un modo essenziale di garantire la privacy.<\/p>\n

Per le call pi\u00f9 estese, tuttavia, le password vengono quasi sempre condivise insieme agli inviti alle riunioni, il che significa che \u00e8 necessario adottare ulteriori misure di sicurezza. Uno di questi metodi consiste nel proteggere le videochiamate consentendo l’accesso solo agli utenti invitati, ovvero agli utenti con un login specifico sul software di videochiamata. In questo modo, chiunque non abbia un’autorizzazione di accesso esplicita non potr\u00e0 ascoltare la chiamata.<\/p>\n

Anche questa misura \u00e8 purtroppo soggetta a insuccessi: hackeraggio di password, vulnerabilit\u00e0 del sistema e lacune non previste della sicurezza possono far accedere alle videochiamate ospiti indesiderati. Ecco perch\u00e9 ogni sistema di videochiamata sicuro necessita anche di un\u2019ultima risorsa: uno strumento di moderazione della call che permetta di mantenere l’ordine e la privacy all’interno della call stessa.<\/p>\n

Le funzionalit\u00e0 di moderazione pi\u00f9 critiche sono:<\/p>\n