di Corrado Aaron Visaggio
Lo Zoombombing è l’intrusione di un soggetto non desiderato (bad actor) in una videoconferenza Zoom e che fa cose disturbanti durante una sessione di videoconferenza. Zoom è un sistema di videoconferenza che può essere utilizzato gratuitamente e che, durante il lockdown per il Coronavirus, è diventato terribilmente popolare non solo per uso privato casalingo e business, ma anche (forse soprattutto) per le lezioni on-line.
Recentemente Zoom è stato investito da un ciclone di problemi che ne ha incrinato la reputazione.
I problemi riguardano due ambiti: lo Zoombombing e alcune delicate questioni di sicurezza, per cui Zoom ruberebbe credenziali e dati cedendoli a terze parti.
Cominciamo dagli aspetti più spinosi, quelli legati allo spionaggio.
Pare che Zoom raccolga dati sui suoi utenti che poi rivenderebbe a terze parti; naturalmente Zoom ha negato.
Motherboard ha affermato che l’app di Zoom per iPhone estraeva dati dallo smartphone e Zoom li vendeva a Facebook. Sembra che questa funzionalità sia stata rimossa.
Abbiamo poi appreso che Zoom poteva essere usato per rubare le credenziali dei sistemi Windows. E anche in questo caso, questa vulnerabilità è stata rimossa.
Non è finita qui: c’era una funzionalità, poi rimossa, che estraeva dati dai profili Linkedin dei partecipanti alle call.
Infine, Citizen Lab ha scoperto che le chiavi per la crittografia AES 256 venivano veicolati su alcuni server Cinesi, il che aprirebbe alla possibilità che in Cina qualcuno possa usare tali chiavi per accedere alle conversazioni. E qui i problemi di spionaggio sono terminati e speriamo vivamente di non doverne più parlare.
Veniamo ora alla questione dello Zoombombing.
Il problema, in soldoni, è che alcuni bad actors si sono intrufolati in alcune lezioni on-line e hanno trasmesso immagini pornografiche (a volte pedopornografiche) o, che alcune riunioni di gruppi di supporto per ex-alcolisti o ex-tossicodipendenti, sono state registrate e pubblicate su Youtube.
Questo è stato possibile grazie al fatto che, da un lato, chi ha utilizzato il sistema ha diffuso in modo poco accorto sia le credenziali che i codici delle videoconferenze o non li ha protetti proprio. Dall’altro, le impostazioni di default di Zoom non consentono un adeguato livello di protezione, per cui è stato facile ottenere i codici di videoconferenze, magari non protette. Oppure, le stesse credenziali delle videoconferenze sono state diffuse impropriamente dagli stessi organizzatori (magari sulle loro pagine facebook).
In realtà questo è un problema di configurazione ed è facilmente risolvibile adottando alcune precauzioni come:
- non diffondere i codici della videoconferenza su reti sociali o siti pubblicamente accessibili
- proteggere le riunioni da password che vengono date solo ai partecipanti
- utilizzare le “waiting room” per controllare tutti quelli che entrano
- consentire la condivisione dello schermo impostando “Host Only”, così che solo l’host possa condividere lo schermo
- usare un ID di riunione generato randomicamente così che non possa essere utilizzato molteplici volte
- assicurarsi di avere sempre la versione più aggiornata del sistema.
Lo Zoombombing è diventato un fenomeno di proporzioni talmente grandi da attirare l’attenzione dell’FBI, che in un suo bollettino istruisce sui rischi e sull’uso corretto del software. Inoltre Zoom è stato bannato da diverse aziende, come Google e SpaceX, Ministeri e Agenzie Governative, come in Germania, Australia, Stati Uniti, Nasa e da moltissime scuole ed università.
Il 2 Aprile Zoom ha detto di aver interrotto lo sviluppo di nuove funzionalità per irrobustire gli aspetti di sicurezza e privacy.
Ai postumi l’ardua sentenza.
