Sicurezza Zoom: meeting (più) protetti in dieci mosse

La sicurezza di base di Zoom è discutibile. Ma si può migliorare decisamente usando nel modo giusto le sue opzioni.

Business Consumer Tecnologie/Scenari
In poche settimane Zoom è passato da un inaspettato successo a un vero e proprio incubo. Quando tutti hanno avuto bisogno di un sistema di videoconferenza semplice, Zoom ha fatto il botto. Pensato per essere di utilizzo immediato, ha sorpassato i suoi concorrenti tradizionali. Skype in primis. Ma in particolare altre piattaforme di conferencing business. Perché non va dimenticato che, con tutta la sua semplicità, Zoom nasce come sistema aziendale. Non come piattaforma consumer.

Proprio questo ha causato i problemi di Zoom. Una cosa è sviluppare una piattaforma che opererà in un ambiente protetto di suo. Un'altra trovarsi con miriadi di utenti poco o affatto tecnici. Che oltretutto provano a "rompere" le (poche) protezioni per la sicurezza di Zoom. Così la videoconferenza più improvvisamente amata è diventata la più temuta. Tanto che il suo utilizzo viene espressamente sconsigliato in molte situazioni. E le scuse sono valse a poco, da questo punto di vista.

Davvero la sicurezza di Zoom è ingestibile? In realtà no. È vero che le impostazioni e le funzioni di base sono inadeguate. Ma si possono mettere in atto diverse misure - qui ne indichiamo alcune - per rendere la videoconferenza più blindata. Almeno a un grado sufficiente da usarla senza preoccupazioni eccessive. Ma sempre con alcune considerazioni di fondo, come vedremo.

zoom image 1

1. Mantenere Zoom sempre aggiornato

Lo staff di Zoom si è impegnato a lavorare solo sulla sicurezza della sua applicazione e della piattaforma. Almeno per i prossimi tre mesi. Questo significa che è importante avere sempre la versione più aggiornata dell'applicazione. Che sia su desktop o su device mobili. In questo modo si è sicuri di avere la release di Zoom più sicura in ogni momento.

2. Familiarizzare con le impostazioni di Zoom

Zoom ha sempre puntato sull'immediatezza. Lanci l'applicazione, ti unisci a una sessione di conferencing e... basta. Anche per ottenere questa sensazione di semplicità, si è presa la discutibile decisione di (quasi) nascondere la parte complessa di Zoom. Ossia le sue impostazioni. Che oltretutto sono divise tra l'applicazione e l'interfaccia web. E si possono in parte attivare anche durante un meeting, ma non tutte. Il che non è proprio il massimo della chiarezza.

Il bello è che le impostazioni di Zoom sono anche abbastanza ricche. Se uno sa dove trovarle. Una parte si raggiunge cliccando sull'icona a forma di ingranaggio, in alto a destra nella finestra principale dell'applicazione. In questo modo si apre la finestra Settings. La maggior parte delle impostazioni che ci interessano però non è qui. Nella sezione General della finestra Settings, clicchiamo su View More Settings. Questo ci porta nella parte web delle impostazioni. Molto più fornita per la sicurezza di Zoom.

zoom settings3. Abilitare la Waiting Room

Una parte dell'immediatezza di Zoom era legata al fatto che ci si poteva connettere immediatamente a una sessione di videoconferenza. Bastava il link di invito. Troppo rischioso. Ora di default è invece attiva la Waiting Rooom. Ed è bene controllare che lo sia anche nelle nostre impostazioni.

Con la Waiting Room attiva, ogni partecipante che accede ad una sessione deve essere "approvato" dal suo host (l'organizzatore della sessione). Questo per evitare che entri nella sessione una persona non prevista. La Waiting Room si attiva dalle impostazioni lato web. L'opzione è nella sezione In Meeting (Advanced). È un interruttore (Waiting room) da "accendere". E lasciare acceso.

Nel caso, si può attivare la Waiting Room anche per una sessione in corso. Nella finestra della videoconferenza c'è una toolbar in basso. Clicchiamo sull'icona Security. Dal menu che appare diamo un segno di spunta a Enable Waiting Room. Ma impostare la "sala d'attesa" una tantum via web è più sicuro.

4. Imporre l'accesso via password

Zoom ha abbandonato di default l'accesso non protetto da password alle sessioni di conferencing. Ora si può associare una password a una sessione. In modo che l'accesso sia più garantito. Dalle impostazioni web, sezione Schedule Meeting, dobbiamo attivare le opzioni Require a password when scheduling new meetings e anche Require a password for instant meetings.

La funzione ha un uso immediato quando si programma un meeting. Dalla finestra principale di Zoom si clicca su Schedule. Dalla finestra che appare, nel campo Password sarà già suggerita una password. Ma si può anche impostarne una nostra. Sempre in questa finestra si può impostare o meno la presenza della Meeting Room.

zoom passwordLa password è prevista anche per i meeting istantanei. Quelli che si attivano premendo il tasto New Meeting. Dalla finestra di conferencing, si invitano altri partecipanti cliccando prima su Participants e poi su Invite. Qui si nota che Zoom imposta automaticamente una password, che gli invitati dovranno usare per entrare nella sessione.

In realtà la password di una sessione è di default integrata nel link di invito. Per una digitazione esplicita, più sicura, bisogna deselezionare l'opzione Embed password in meeting link for one-click join. Sempre dalla sezione Schedule Meeting delle impostazioni web. A questo punto però dovremo inviare la password separatamente dal link di invito. Che è anche una forma molto semplice di doppia autenticazione.

5. Limitare l'accesso agli utenti registrati

La sicurezza di Zoom si aumenta anche eliminando una sua caratteristica molto comoda. Ossia che a una sessione di videoconferenza possa partecipare chiunque via browser. Con o senza un account Zoom. E comunque registrandosi con un qualsiasi indirizzo di email.

Il primo filtro è permettere l'accesso alle sessioni solo a chi si è registrato a Zoom. Ed ha in quel momento eseguito l'accesso a Zoom stesso. Nelle impostazioni web, basta attivare l'opzione Only authenticated users can join meetings from Web client.

Questa opzione vale per tutti i tipi di abbonamenti a Zoom. Chi ne ha uno a pagamento o education ha opzioni in più. Può impostare che l'accesso avvenga previo accesso per qualsiasi client (web, app desktop, mobile). Può anche limitare l'accesso a chi si identifica con indirizzi di email limitati a determinati domini Internet. Questo è molto utile nelle aziende. Si può ad esempio imporre che a una sessione partecipino solo persone con una email del dominio miaazienda.it.

6. Bloccare la condivisione dei contenuti

La pietra tombale sulla popolarità di Zoom è stato lo zoombombing. Ossia riuscire a collegarsi a sessioni di videoconferenza di altri e poi condividervi di colpo materiale "sconveniente". Quando questo è accaduto nelle sessioni delle scuole, anche di primo grado, statunitensi, è scoppiato il putiferio. Anche perché lo zoombombing era diventato una forma di attacco organizzato. Con tanto di scambio online di credenziali di accesso.

zoom sharingLo zoombombing si blocca banalmente evitando la condivisione dello schermo da parte di chiunque. lasciandola cioè solo all'host della sessione. Le opzioni per controllare lo screen sharing sono nella parte web, nella sezione In Meeting (Basic). Qui ci sono alcune opzioni rilevanti, tra cui principalmente la voce Who can share? Che dovrebbe essere impostata a Host only.

Questa opzioni si attivano anche dal menu Security della videoconferenza stessa. E anche dal menu Share Screen, selezionando Advanced Sharing Options.

7. Bloccare tutta una sessione di Zoom

Quando in una sessione sono entrati tutti i partecipanti, è inutile tenerla aperta. È come riunirsi in una stanza lasciando la porta aperta. Il "lock" di una sessione aumenta la sicurezza di Zoom in maniera immediata.

Per bloccare una sessione attiva, clicchiamo su Security nella sua toolbar. Poi selezioniamo il comando Lock Meeting. Ovviamente il "blocco" si può eliminare. Operando allo stesso modo.

8. Non usare mai i meeting personali

Zoom prevede una forma particolare di meeting, detti "personali". Che vanno evitati. Ogni sessione di Zoom è identificata da un codice numerico che viene generato a ciascuna sessione. All'atto della registrazione ci viene però assegnato anche un Personal Meeting ID (PMI). Questo non varia ed equivale ad avere un meeting sempre attivo. Identificato da un codice che non varia.

Il Personal Meeting ID nasce per meeting privati con persone ben conosciute. Una sorta di video chat che si attiva immediatamente. Non bisogna usarlo per sessioni con chiunque. Perché questo chiunque potrebbe poi usare il PID e collegarsi anche se non vogliamo. Per la sicurezza di Zoom è meglio, in effetti, dimenticarsi dell'esistenza stessa dei meeting personali.

zoom meeting room

9. Gestire le sessioni di Zoom memorizzate

Possiamo registrare qualsiasi sessione di conferencing di Zoom. Gli utenti della versione gratuita le possono salvare in locale. Le versioni superiori salvano anche nel cloud di Zoom. È importante considerare, specie per il salvataggio in locale, che le sessioni non sono cifrate.

Ogni sessione Zoom viene salvata in vari file multimediali. In particolare un file video MP4 e un file audio separato. Chiunque, accedendo alla cartella di Zoom, può consultare le nostre videoconferenze. Se per qualche motivo abbiamo salvato una sessione, proteggiamola con soluzioni ad hoc. Che sono necessariamente esterne a Zoom. Meglio ancora, cancelliamola quando non serve più.

10. Considerare la sicurezza di Zoom in prospettiva

L'ultimo step che consigliamo è di metodo, non tecnologico. Con le impostazioni che abbiamo indicato, una sessione di conferencing su Zoom è ragionevolmente protetta. Ma non è assolutamente sicura. In primis perché non esiste la cyber security assoluta. Ma soprattutto perché qualsiasi forma di comunicazione digitale è, per definizione, vulnerabile. Ricordiamolo sempre, anche oltre Zoom.

In moltissimi casi può bastare raggiungere una sicurezza ragionevole. È come gli antifurti delle automobili. Lo scopo non è renderle del tutto inviolabili. Solo più difficili da rubare rispetto alle altre. Una sessione di Zoom ragionevolmente sicura evita gli hacker ostili meno esperti e gli scherzi alla zoombombing. E va bene per i meeting più comuni.

Certo se dobbiamo condividere segreti importanti, aziendali o personali, il discorso è diverso. Come lo è per le aziende che pensano di essere in condizioni particolari. Ad esempio oggetto di spionaggio industriale. Allora il problema non è la sicurezza di Zoom. È proprio che servono soluzioni specifiche di comunicazione, pensate da zero per la privacy completa.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori