Successivo

Editoriale

È davvero tutta colpa di Zoom?

Dario Orlandi | 7 Maggio 2020

COVID-19 Sicurezza

L’esplosione di Zoom ne ha evidenziato i numerosi problemi e le falle di sicurezza: molte sono dovute all’inesperienza e alla scarsa attenzione degli sviluppatori, ma altre sono imputabili solo all’incoscienza degli utenti.

Le misure restrittive imposte in tutto il mondo a causa dell’epidemia dovuta al virus Covid-19 hanno rappresentato un’opportunità inattesa per molti servizi di comunicazione a distanza; il più gettonato sembra essere Zoom (ne parliamo anche nell’articolo sullo smart working pubblicato sul numero 350 di PC Professionale), una soluzione di comunicazione e videoconferenza sul mercato dal 2011, che negli ultimi mesi si è trovata a dover gestire una vera e propria esplosione nel traffico veicolato: gli utenti attivi quotidianamente sono cresciuti improvvisamente di 20 volte, grazie anche a un’offerta commerciale che prevede una formula gratuita piuttosto generosa. Questo significa, però, che all’enorme crescita nell’uso non ha fatto probabilmente riscontro un incremento proporzionale dei ricavi.

Finito improvvisamente sotto i riflettori, Zoom si è trovato a fronteggiare un fuoco di fila di problemi, falle e critiche che ne hanno intaccato in parte la reputazione; alcuni problemi sono stati causati da una scarsa attenzione (e forse da un’esperienza limitata) da parte degli sviluppatori, altri sono dovuti a una comunicazione non sempre cristallina, ma molti altri invece devono essere imputati soltanto all’inesperienza (e, a volte, all’incoscienza) degli utenti.

Alla prima categoria possiamo ascrivere la falla di sicurezza che consentiva l’accesso agli hash delle credenziali di autenticazione a Windows e l’utilizzo dell’Sdk per l’autenticazione tramite Facebook nella versione iOS, che comunicava informazioni al social network anche quando questa funzione di login non era utilizzata; entrambi i problemi sono stati risolti abbastanza in fretta, mentre la scelta di utilizzare una soluzione di cifratura piuttosto debole sembra derivare da una scarsa esperienza degli sviluppatori nel settore.

Più in generale, l’utilizzo di manodopera a basso costo per lo sviluppo (l’azienda è proprietaria di tre sussidiarie cinesi, con almeno 700 dipendenti che contribuiscono allo sviluppo degli strumenti software) desta qualche legittima preoccupazione anche per il rischio di pressioni da parte delle autorità di quel Paese. Non sempre brillante è stato anche il contributo dell’ufficio marketing: ha infatti sostenuto ripetutamente che le comunicazioni fossero cifrate end-to-end, un’affermazione falsa e anche poco plausibile considerando la struttura asincrona delle connessioni e la comunicazione in tempo reale che può includere centinaia di soggetti.

Ma molti altri problemi sono invece da ascrivere unicamente agli utenti, che hanno tenuto in molti casi comportamenti per lo meno imprudenti: molti hanno comunicato pubblicamente il loro username o addirittura l’indirizzo della stanza da usare per la riunione, senza pensare che chiunque avrebbe potuto prendervi parte. Puntualmente, sconosciuti con molto tempo libero hanno iniziato ad accedere ai meeting inondandoli di contenuti inappropriati. Gli strumenti per evitare questi problemi esistono (basta aggiungere una password, attivare la sala d’attesa o bloccare per default la condivisione dello schermo), ma in moltissimi casi queste semplici contromisure sono state trascurate.

Ancor peggio, alcuni giorni fa ha fatto scalpore la notizia secondo cui nel dark web vengono vendute (per pochi centesimi) 500.000 credenziali d’accesso al servizio: tutto vero, ma un’analisi più approfondita ha appurato che questi dati sono stati ricavati partendo dalle credenziali rubate in data breach precedenti che hanno coinvolto altri servizi, testando le stesse combinazioni di username e password in Zoom per verificare quali fossero funzionanti. Questo significa che mezzo milione di persone continua non soltanto a riutilizzare la stessa password in più servizi (probabilmente in tutti i servizi), ma non si è neppure premunita di modificarla nonostante le credenziali siano state coinvolte in precedenti data breach e siano quindi sostanzialmente di pubblico dominio. È davvero tutta colpa di Zoom?