lunedì 6 aprile 2020

Zoom nell'occhio del ciclone: gli USA vietano il software nelle scuole


Abbiamo già parlato qualche giorno fa del boom di utenti del software per le videoconferenze Zoom: boom dovuto indubbiamente al lockdown imposto in molti stati nel mondo in seguito all'emergenza Covid-19. Zoom è stato adottato infatti dalle scuole per la didattica a distanza, da molte aziende per lo smart working, ma anche da milioni di utenti privati per poter contattare amici e parenti a distanza. Nello scorso articolo tracciavamo un primo quadro del vero e proprio assalto che i cybercriminali stavano facendo alla piattaforma in oggetto, occasione ghiotta per rubare dati, diffondere malware a mezzo di siti web fake, ma anche, banalmente, per stupidi scherzi di dubbio gusto. 

La situazione non pare essere migliorata negli ultimi giorni, perchè gli attacchi continuano e la piattaforma sta mostrando segni di debolezza rispetto alle pressioni alla quale viene sottoposta in questo periodo. La scarsa consapevolezza con la quale moltissimi utenti usano questa piattaforma, fa il resto. 

La privacy violata
Anzitutto c'è stato un problema di privacy piuttosto grave, risolto solo il 27 Marzo. Chiunque ha installato sul proprio iPhone l'app di Zoom prima di questa data ha visto i propri dati inviati a Facebook anche senza essere iscritto al social e senza che questa cessione di dati a terze parti fosse specificata nell'informativa. La falla è stata risolta eliminando l'SDK di Facebook, che altro non è che quello strumento che consentiva di accedere a Zoom col login di Facebook. 

Fino al 2 Aprile invece Zoom è venuta in  possesso dei dati di quegli utenti che hanno attivo anche un profilo Linkedin: l'app infatti inviava automaticamente nomi ed indirizzi email dei partecipanti ad una videoconferenza ad un sistema che procedeva ad abbinarli ai relativi profili Linkedin. Anche in questo caso, l'informativa non recava traccia di questa movimentazione dati. Era in dettaglio, una funzione di datamining scoperta da una inchiesta del Times: i dati potevano essere raccolti non solo da Zoom, ma anche da utenti Zoom abbonati a LinkedIn Sales Navigator. Il Times ha scoperto che gli utenti Zoom con tale funzione abilitata potevano accedere (con un solo clicks sull'icona LinkedIn visibile sullo schermo durante una conferenza)  e segretamente ai dati del profilo LinkedIn dei partecipanti ad una video conferenza. 

Sono invece risultate dei fake, ed è giusto sottolinearlo, le notizie circolate ad opera di alcuni ricercatori di sicurezza indipendenti, secondo le quali Zoom avesse accesso e tenesse in memoria informazioni di ogni tipo, comprese quelle trasmesse nel corso di una videoconferenza. L'informativa della piattaforma non fa riferimento a nessun trattamento dati di questo tipo e, sopratutto, nessuno di questi ricercatori ha mostrato prove tecniche di quella che sarebbe una gravissima violazione della privacy degli utenti. 

Le credenziali di Windows sono esposte
Un problema invece reale, individuato da un ricercatore di sicurezza indipendente che si firma  @_g0dmode su Twitter e che ha mostrato prove concrete della vulnerabilità, è che effettivamente è possibile, da una videoconferenza, risalire alle credenziali Windows dei partecipanti. Il problema risiede nel fatto che la chat di Zoom non fa distinzione tra link web e UNC path, che altro non sono che quei percorsi che consentono di aprire file entro una rete.  Un utente malintenzionato (e già sono state denunciate irruzioni di cyber attaccanti nel corso di videoconferenze) potrebbe postare in chat un percorso di questo tipo: se cliccato da uno de partecipanti, può avviare una connessione tramite protocollo SMB, con tanto di invio dell'hash delle credenziali utente. Da qui diventano facilmente ricostruibili nome utente e password: sono molteplici infatti gli strumenti che permettono la violazione dell'hash in pochi secondi. 

Fonte: @_g0dmode on Twitter

Lo stesso meccanismo potrebbe consentire anche l'esecuzione di un programma, ma in questo caso si attiverebbe l'User Account Control di Windows chiedendo conferma per l'operazione: senza la "complicità" della vittima quindi, un tale attacco non può avere successo. 

Il problema vero sono gli utenti "troppo disinvolti"In ogni caso, la maggior parte dei problemi che Zoom sta riscontrando dipendono da utenti che hanno un atteggiamento poco attento. Ha fatto scalpore, qualche giorno fa, il Twitter pubblicato dal premier inglese Boris Johnson nel quale si vede l'intero Gabinetto in riunione via Zoom. Oltre a rivelare pubblicamente il codice chiamata, idea poco brillante indubbiamente, qualcuno ha fatto notare che Zoom non dispone di un sistema di crittografia end-to-end e forse non è la piattaforma più adatta per riunioni di questo livello.

Fonte: https://twitter.com/borisjohnson

Non solo: alcuni stati negli USA hanno iniziato a vietare Zoom come strumento di didattica a distanza, non però per limiti della piattaforma (anche se molteplici esperti hanno sollevato il problema della mancanza di una vera e propria crittografia end-to-end), quanto per l'uso poco attento che ne fanno sia insegnanti che studenti. Infatti accedere alle riunioni si è dimostrato molto facile, sopratutto in quei casi in cui il codice di un meeting è finito pubblicato in svariate chat e perfino disponibile in comunicazioni ufficiali pubbliche degli istituti scolastici. Il problema delle irruzioni di sconosciuti nelle videoconferenze è stato così grave da aver indotto addirittura l'FBI a diramare un alert ad hoc. Per gli stessi motivi anche le agenzie spaziali SpaceX e NASA hanno bandito l'uso di Zooom. 

Usarlo si può, basta usarlo bene
Ecco quindi alcuni consigli per gli utenti, per videoconferenze maggiormente sicure:
  1. non rendere pubblici i link di riunioni e lezioni online. E' estremamente consigliabile proteggere le sessioni di videoconferenza con password;
  2. non diffondere il proprio ID Personal Meeting, perchè se qualcuno entra in possesso del link alla sala riunioni personale, può entrare quando vuole in sessione. Un'ottima soluzione è la generazione di ID unici protetti da password;
  3. non postare collegamenti alle videoconferenze sui social;
  4. assicurarsi che tu e gli altri utenti abbiate in uso la versione più recente di Zoom: l'ultimo aggiornamento infatti, risalente al Gennaio 2020, ha aggiunto le password per impostazione predefinita e disabilitato la possibilità di cercare casualmente riunioni alle quali partecipare. 

Nessun commento:

Posta un commento