Zoom e furto di dati: ancora vero?

In questi giorni si parla moltissimo della sicurezza di Zoom rispetto alla privacy e al furto di dati. Premetto che non sono un tecnico per cui non posso dire quanto le potenziali falle individuate possano poi realmente trasformarsi in un pericolo nel contesto scolastico. Penso però che l’essere sotto i riflettori in questo momento possa solo far bene in primis agli utenti e poi all’azienda. Immagino che tanti punti problematici siano dovuti a colpa o negligenza, mi auguro non per dolo. E allora come orientarsi. Non certo smettendo di usarlo, come suggerisce Riccardo Luna su Repubblica ( Articolo di Riccardo Luna, su Repubblica:) perchè sappiamo bene che, se vogliamo certe funzionalità, non ci sono alternative valide ad oggi.

Io mi af(fido) a chi, come mission, punta ad una rete trasparente e accessibile: Mozilla Foundation. Mozilla, notissima realtà no profit grazie al suo browser Firefox, è ben consapevole delle problematiche nate dall’aumento esponenziale dell’uso di questa piattaforma e dei potenziali problemi di privacy connessi, ed è per questo che sta monitorando l’attività di Zoom. Io non sono nessuno per dire che Zoom si sta impegnando per migliorare, ma mi fido dell’attività di monitoraggio di Mozilla. Tra l’altro Zoom sta reagendo molto rapidamente alle critiche mosse dagli utenti e dalle problematiche che stanno emergendo in queste settimane ed è per questo che ha attivato, di default, per tutti la funzione “richiedi password” e “Sala d’attesa”, due strumenti che mi hanno permesso proprio questa mattina, di tenere fuori dall’aula un paio di disturbatori (nota bene: sono abbastanza certo che i due potenziali disturbatori fossero stati invitati dai miei studenti che hanno condiviso con loro il codice della riunione. Come dire…contro la stupidità si può fare poco, se non usare al meglio gli strumenti che abbiamo).

Si è poi molto parlato delle vulnerabilità nel client di Zoom: questo articolo riporta un problema legato al furto di dati in caso di infezione del pc effettuata tramite il caricamento nella chat di Zoom di un link malevolo. Anche in questo caso il problema nasce dal fatto che abbiamo permesso che alla nostra riunione partecipino persone che non conosciamo e di cui non ci fidiamo. Come dire: se nella vita reale organizzo un’assemblea pubblica, posso escludere che partecipi un ladro e che rubi i portafogli dei presenti? Non posso certo escluderlo ma posso mettere in atto delle strategie che riducano questo rischio: posso controllare chi entra, posso allontanare le persone che non si vogliono far riconoscere o che si comportano in modo inadeguato, posso limitare le azioni che possono essere compiute.

Per una spiegazione più dettagliata della situazione mi affido alle parole di un collega:

“Quello che può succedere è questo, semplificando:
se una sessione è pubblica è assolutamente vulnerabile un hacker può intromettersi e partecipare, se un hacker riesce ad avere il numero della sessione (perché qualcuno dei partecipanti lo condivide o ha già il proprio computer attaccato e compromesso) l’hacker potrebbe inserire nella chat della sessione un link “finto” come se fosse un messaggio pertinente che è in realtà  un link ad un proprio server remoto. Il partecipante alla sessione che clicca cerca di connettersi a questo server e facendolo trasmette nella chiamata anche il proprio username e password di sistema (windows); l’hacker poi con un programma di forza bruta decripta la password ed ottiene le credenziali della macchina del partecipante (windows).
Ambiante MAC: pare  che potenzialmente se un MAC ha dei malware già installati a bordo questi possano usare l’installazione di Zoom che al momento supera i privilegi normali di autorizzazione per installare (user e pw di amministratore), acquisendo la possibilità di usare microfono e camera senza chiedere autorizzazione, per “spiare” l’utilizzatore del computer.”
E quindi? io cosa posso fare? intanto posso:
  1. fare in modo che alla riunione partecipino solo persone affidabili
  2. impedire l’uso della chat tra i partecipanti,
  3. tenere sempre aggiornati tutti i programmi sul mio computer proprio perchè eventuali problemi, come questa vulnerabilità, possano essere sistemati non appena scoperti.

Buona videoconferenza a tutti!

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *