Articolo aggiornato

L'emergenza coronavirus ha portato molti impatti negativi all'IT e alla tecnologia. Ha rinviato fiere di settore. Ha messo in crisi lo sviluppo di nuovi prodotti. Ma qualche comparto ha avuto rilanci importanti. Pensiamo alle app per il delivery, ora che c'è il lockdown. Ma soprattutto agli strumenti di comunicazione e collaborazione. Su tutti, quasi certamente, Zoom.

Prima della pandemia Zoom era uno strumento di video comunicazioni abbastanza diffuso. Ma non aveva la popolarità che ha adesso. Per molti è diventato "il" tool di video collaborazione. Anche grazie alla sue notevole semplicità d'uso. Che lo mette qualche passo in avanti rispetto alla media dei sistemi classici di videoconferenza. Quando si è a casa con il proprio PC e si cerca di collaborare con i colleghi, la semplicità e l'immediatezza pagano.

Ma essere al centro dell'attenzione significa anche essere esaminati da vicino. E Zoom ha mostrato il fianco a diverse critiche in successione, da parte degli esperti di sicurezza e privacy. Cerchiamo di capirci qualcosa in più.

Zoom e Facebook

Qualche giorno fa è stato segnalato che l'app iOS di Zoom inviava dati a Facebook all'insaputa del suo utente. E anche se l'utente stesso non aveva un account Facebook. Un errore che, secondo Zoom, era legato all'utilizzo del Software Development Kit di Facebook nell'app. Una scelta fatta per permettere l'accesso a Zoom anche usando il proprio account di Facebook.

Fatto sta che il SDK poi faceva in modo che l'app inviasse a Facebook alcune informazioni sul device usato. Fortunatamente non informazioni personali sull'utente. O sulla sessione di videoconferenza. Si trattava comunque di una violazione della privacy. Anche perché le norme d'uso di Zoom non indicavano nulla del genere. Zoom si è scusata e ha modificato l'app. Che quindi adesso va aggiornata.

Accesso (quasi) libero a Zoom: lo zoombombing

Le sessioni Zoom sono identificate da un codice numerico. Se chi crea una sessione Zoom non ne proteggeva l'accesso via password, sino a poco tempo fa conoscere questo codice era l'unica cosa richieste per accedere alla sessione. I ricercatori di Check Point hanno rilevato che indovinare il codice con attacchi a forza bruta non era poi così difficile.

Questo ha portato a un fenomeno poco piacevole, battezzato zoombombing. Il rischio era che anche persone non invitate accedessero alle sessioni di videoconferenza, violandole a caso, per tentativi. Magari solo per origliare. Oppure per condividere nella sessione materiale... diciamo improprio o esplicito.

La segnalazione di Check Point ha spinto Zoom a tappare la falla. I codici numerici delle sessioni sono generati con un algoritmo diverso, più sicuro. Zoom ha modificato le importazioni di default rendendole più sicure, ma solo per gli utenti Education. Tutti gli altri devono modificarle a mano, impostando la condivisione dello schermo solo per l'host. È un limite, ma serve. Il problema è stato segnalato persino dal FBI...

Zoom non ha sessioni davvero criptate

Si è portati a pensare che le sessioni di videoconferenza Zoom siano del tutto cifrate, sia per il video sia per l'audio. In effetti non è così. Quella che a volte viene indicata, da Zoom, come cifratura end-to-end ("end-to-end encrypted meeting") non lo è, se intendiamo il termine in senso tecnico. Quello che viene cifrato è il flusso audio/video tra il client di videoconferenza e i server di Zoom. La cifratura prevede l'utilizzo di HTTPS, un po' come le connessioni sicure dei browser.

Lo Speciale che SecurityOpenLab ha dedicato alla cyber security durante l'emergenza pandemia

Non la si può definire una vera cifratura end-to-end perché le sessioni di videoconferenza sono poi decifrate quando arrivano a Zoom. Una decifratura che probabilmente è necessaria per alcune funzioni che si basano sull'analisi del contenuto. Come inquadrare in maniera preminente chi sta parlando in un dato momento. In sintesi, sul cloud di Zoom le nostre sessioni non sono cifrate.

È un dettaglio? In linea di principio no. Anche ammettendo la massima buona fede di Zoom. L'azienda potrebbe essere legalmente obbligata a cedere le sessioni alle forze dell'ordine. Oppure, in linea teorica, le sessioni potrebbero essere sottratte in un data breach. In parte la sicurezza è demandata a chi gestisce le sessioni, che può decidere - come soluzione estrema - di cancellarle.

Zoom e la security su Mac

Il rapporto tra Zoom e il mondo dei Mac non è ideale. Lo scorso anno la software house aveva dovuto modificare il comportamento della sua app per macOS. Che installava in sintesi un web server sul computer per funzionare come previsto. Ma introducendo una potenziale vulnerabilità: essere "cooptati" in una videochiamata con la webcam attiva. Senza alcuna richiesta di autorizzazione. Un buon modo per spiare il malcapitato.

Zoom ha corretto questo bug. Ma ancora oggi il suo modo di gestire la videocomunicazione su macOS viene messo in discussione. Quantomeno, in Zoom lo sanno e promettono di migliorare. Come si vede dallo scambio di tweet qui sopra (Eric Yuan è il CEO della software house).

Zoom, pregi e difetti

Spesso in campo IT la semplicità è anche, forse soprattutto, nascondere bene le complessità che non si possono evitare. Zoom deve il suo successo attuale a una notevole semplicità. Le sue sessioni di videoconferenza sono semplici da avviare e da gestire. L'interfaccia web e delle applicazioni è amichevole. Tutti pregi. Specie in una fase come quella che stiamo vivendo. Dove si cercano soluzioni che funzionino presto e bene. Il resto conta meno.

Zoom è un prodotto di certo convincente. Ma la sua storia recente indica che chi lo usa deve cercare prima di conoscerlo bene. Identificare le opzioni che aumentano la sua sicurezza, e abilitarle. Specialmente in campo aziendale. Sono, probabilmente, i problemi di crescita di una piattaforma che si sta sviluppando, data l'emergenza, molto più velocemente delle previsioni. Forse anche della stessa Zoom.

Aggiornamenti

Zoom ha alla fine compreso che la sua crescita rapida è un bene da un lato, ma un pericolo dall'altro. Il pericolo di non apparire come una piattaforma solida. Una volta che gli utenti crescono oltre una certa soglia. In un lungo post, il fondatore e CEO Eric S. Yuan ha sottolineato proprio questa veloce crescita.

Alla fine del 2019, spiega Yuan, Zoom gestiva al massimo 10 milioni di utenti al giorni. A marzo questo numero è salito a 200 milioni. Difficile avere una crescita del genere senza problemi. Anche perché, spiega Yuan, Zoom è nato per una utenza essenzialmente enterprise. Quindi realtà con un proprio supporto IT. E le relative conseguenze. Ora gli utenti sono di qualsiasi tipo. Così la piattaforma viene usata "in una miriade di modi inaspettati, presentandoci sfide che non prevedevamo quando l'abbiamo concepita".

È una specie di mega-test globale per Zoom. Portato avanti anche in maniera poco ortodossa. Yuan non lo segnala, ma ormai ci sono decine di luoghi virtuali (canali di Discord, chat più o meno lecite, account Twitter) in cui si scambiano codici dei meeting Zooom. E si organizzano zoombombing di massa. Perlopiù sono azioni di disturbo per le sessioni di scuole e Università. Ma di certo non è un fenomeno che Zoom aveva previsto.

La situazione è, se non critica, seria. Soprattutto per l'immagine della piattaforma. Così in Zoom hanno deciso di fermarsi e ragionare. Nei prossimi 90 giorni non sarà sviluppata alcuna nuova funzione della piattaforma. le risorse di sviluppo saranno tutte dedicate a identificare e risolvere le sue vulnerabilità. Già note e potenziali.

Zoom intende coinvolgere i suoi utenti in questa operazione di "pulizia". Insieme ad essi valuterà tutte le implicazioni di sicurezza e privacy dei vari casi d'uso possibili della piattaforma. Tra gli obiettivi c'è anche la creazione di un "consiglio dei CISO". Che coinvolga vari responsabili della cyber security in un confronto costante su sicurezza e privacy.