In queste settimane di quarantena, ci siamo riscoperti grandi comunicatori. Ci sono stati proposti riunioni e “Virtual Ape” in modi diversi, la cosa importante era vedersi, un link, una app, una pagina web, Zoom, House Party, Skype, Teams, Multiparty, Jitsi Meet, ecc.

Oggi parliamo di Zoom, non perché ho qualcosa contro, prendo spunto di quanto successo per parlare di qualcosa di più ampio di cui scriverò anche in prossimi articoli.

Zoom ha sofferto di un problema che non è così sconosciuto, la poca considerazione della sicurezza dello strumento dando ad altri la gestione di questo livello. Lo strumento nasce per fare videoconferenze in azienda, quindi la parte di sicurezza era demandata all’infrastruttura di sicurezza aziendale. Si fa conoscere subito perché proveniente dal mondo Cisco/WebEx e trova un buon riscontro nel mercato B2B facendo, negli anni, diverse partnership.

Con la quarantena, le persone non si connettevano più dall’ufficio ma da casa, chi già lo utilizzava per lavoro, ha cominciato a mandare link agli amici, tanto non era necessaria la registrazione per partecipare, che a loro volta si sono registrati per creare link per altri amici, e tutto è esploso. Creo un link, lo mando agli amici e senza sforzo, tutti ci vediamo e parliamo. Nel giro di qualche settimana c’è stato un incremento di 20 volte rispetto al suo normale utilizzo. Duecento milioni di utenti si sono ritrovati online ogni giorno a condividere lezioni di Yoga, cucina, per studiare, saluti con parenti e amici e chi più ne ha più ne metta.

Questo aumento inaspettato e soprattutto incontrollato ha messo in evidenza problematiche di sicurezza permettendo a troll di intromettersi ed inserire nelle comunicazioni incontri pornografici oppure dirottare e modificare il controllo dei regolatori sulla privacy, non solo, c’è stato qualche problema con la versione dell’applicazione per Windows dovuta ad una gestione errata di percorsi UNC. Zoom converte anche i percorsi UNC di rete di Windows in collegamenti cliccabili nelle chat, questo come potete capire ha aperto le porte alla possibilità di inserire qualsiasi cosa in chat che gli utenti potevano cliccare.

Pensate agli esperti di sicurezza del Regno Unito quando Boris Johnson ha postato su Twitter una riunione, fatta con Zoom, con il suo staff parlando di budget, di nuove leggi e chissà di cos’altro…

Dopo questo evento, sono stati inserite più verifiche, sono state messe le password alle chat, per evitare intrusioni, e sono stati aumentati i controlli. I problemi però hanno messo in evidenza altre cose sulle quali era necessario fare luce, e come sappiamo i ficcanaso non si fanno mai gli affari loro. 

Zoom oggi è una società americana quotata in borsa sul NASDAQ, ma l’app principale della società è sviluppata da filiali cinesi. I ricercatori di Citizen Lab hanno affermato che alcune chiamate effettuate in Nord America sono state instradate attraverso la Cina, così come le chiavi di crittografia utilizzate per proteggere quelle chiamate. Ma come è stato notato quale settimana fa, Zoom non è crittografato end-to-end, nonostante le precedenti affermazioni dell’azienda, il che significa che Zoom controlla le chiavi di crittografia e può quindi accedere al contenuto delle chiamate dei suoi clienti. Zoom ora afferma che durante i suoi sforzi per aumentare la capacità del suo server per far fronte al massiccio afflusso di utenti nelle ultime settimane, ha “erroneamente” consentito a due dei suoi data center cinesi di accettare le chiamate come backup in caso di congestione della rete. Qui aggiungiamo che Le leggi dell’intelligence di Pechino obbligano le società con sede in Cina a condividere i dati detenuti sulla terraferma con le autorità governative cinesi su richiesta.

SpaceX ha vietato l’uso di Zoom per le operazioni remote, così hanno fatto diverse scuole americane, Apple, la NASA la città di New York. Qualche settimana fa infatti, L’FBI aveva avvertito che le teleconferenze di Zoom e le aule dal vivo venivano attaccate dai troll; gli esperti di sicurezza avvertirono che i buchi nella tecnologia rendevano i dati degli utenti vulnerabili allo sfruttamento, a questo punto Il CEO di Zoom, Eric Yuan, ha ammesso pubblicamente di aver “incasinato” la privacy e la sicurezza.

Zoom Inc. si è prodigata in spiegazioni e fino ad oggi sembra aver convinto, la questione sarà ancora lunga in quanto alcune amministrazioni pretendono maggiori chiarimenti riguardo l’accaduto.

Nel nostro paese ci siamo preoccupati poco del problema, la piattaforma è comunque pianamente funzionante quindi si procede come sempre.

Il sunto del racconto su Zoom è, ogni applicazione nasce e cresce con l’obiettivo di servire allo scopo per la quale è stata ideata. La sicurezza non sempre nella scala delle priorità, spesso viene demandata ad altri strati del flusso di comunicazione. In alcuni casi succede che un momento particolare può mettere in difficoltà l’intera architettura e si mettono in evidenza i punti deboli.

È successo con il sito dell’INPS dei primi di aprile, e non è la prima volta, per la richiesta del bonus di 600 euro, sessioni condivise, dati di utenti visibile a tutti. Lo abbiamo visto in alcuni casi sulla rete stessa, le infrastrutture di connessione del nostro paese hanno resistito ma in evidente stato di affaticamento. Facebook, Twitter, Microsoft e molti altri hanno sofferto di attacchi informatici nel tempo.

In un mondo sempre più connesso, con sempre più strati da controllare e utenti sempre meno attenti a quello che succede e a quello che fanno, regaliamo, nel vero senso della parola, tantissime informazioni che ci riguardano. Accettiamo Agreement, scarichiamo app, ci registriamo a qualsiasi cosa e condividiamo tantissime informazioni che sommate danno una visione della nostra vita, chiara e limpida a chi raccoglie queste informazioni.

Uno dei prossimi argomenti di discussione, sarà Immuni App. Più avanti ne parlerò. Personalmente credo sarà un flop, potrebbe funzionare solo se nelle prossime settimane ci sarà una massiccia campagna sulla paura dell’altro o restrizioni, al il momento negate, per chi non la utilizzarà.

Roberto Beccari
Latest posts by Roberto Beccari (see all)