Perché su Zoom si è passati alla cifratura end-to-end?

Come evolve la sicurezza di Zoom, quali minacce sono ancora attuali e come gli sviluppatori hanno intenzione di eliminarle.

La presentazione offerta da Zoom alla RSA Conference 2021 si è concentrata sulla cifratura end-to-end di Zoom Cloud Meetings. L’azienda ha spiegato perché gli sviluppatori si stanno concentrando su questo aspetto e su come hanno intenzione di rendere le chiamate più sicure. Inoltre, hanno parlato di altre nuove caratteristiche legate alla sicurezza che gli utenti potrebbero ottenere presto.

Un po’ di storia

La pandemia ha costretto molti di noi a passare allo smart working  a lungo termine e a comunicare con colleghi e persone care attraverso un software di videoconferenza. La grande popolarità di Zoom ha suscitato l’interesse degli esperti di sicurezza e anche dei criminali informatici, molti dei quali hanno rapidamente capito che non tutto funzionava per il meglio nella sicurezza della piattaforma. Per esempio, si è scoperto che il software conteneva vulnerabilità che permettevano ai cybercriminali di spiare gli utenti attraverso le telecamere e i microfoni, e le incursioni dei troll online hanno persino una parola che le definisce: Zoombombing. La risposta di Zoom è stata rapida e di vasta portata ma alcuni difetti erano rimasti.

Uno dei principali problemi di Zoom riguardava l’utilizzo della cifratura point-to-point (P2PE) al posto della cifratura end-to-end (E2EE).

E2EE vs P2PE

A prima vista, i due sistemi possono sembrare simili: entrambi cifrano i dati scambiati tra gli utenti. Ma con la P2PE, il server può accedere ai messaggi degli utenti, mentre la E2EE cifra le informazioni sul dispositivo del mittente, che possono essere decifrate solo dal destinatario. Tuttavia, questo dettaglio può portare a una serie di problemi, che gli sviluppatori di Zoom hanno evidenziato durante la loro presentazione:

  • I criminali informatici potrebbero violare il server, rubare le chiavi di cifratura custodite e unirsi alle riunioni al posto dei veri invitati o falsificare i loro messaggi;
  • Dipendenti opportunisti del provider su cloud o di Zoom stesso potrebbero ottenere l’accesso alle chiavi e rubare i dati degli utenti.

Nessuno vuole che le conversazioni private con la famiglia e gli amici (per non parlare di meeting di lavoro riservati) siano rese pubbliche. Inoltre, se un hacker usasse le chiavi rubate solo per un’intercettazione passiva, sarebbe estremamente difficile da scoprire.

La E2EE risolve questi problemi memorizzando le chiavi di decifrazione sui dispositivi degli utenti, e solo lì. Ciò significa che nemmeno l’hackeraggio del server permetterebbe a un intruso di infiltrarsi in una videoconferenza.

Naturalmente, in molti hanno desiderato che Zoom passasse alla E2EE, uno standard di fatto già in uno in molte app di messaggistica.

Cifratura end-to-end su Zoom: come procede?

Gli sviluppatori hanno ascoltato le critiche e hanno preso provvedimenti per migliorare la sicurezza della piattaforma, compresa l’implementazione della cifratura E2EE.

Dall’autunno del 2020, Zoom utilizza la E2EE per le chiamate audio o video e per la chat. Quando è abilitata la funzionalità, Zoom protegge i dati dei partecipanti con una sorta di chiave di cifratura della conferenza. La chiave non viene memorizzata sui server di Zoom, quindi nemmeno gli sviluppatori possono decifrare il contenuto delle conversazioni. La piattaforma memorizza solo gli ID utente cifrati e alcuni metadati della riunione, come la durata della chiamata.

Per difendersi dalle connessioni esterne, gli sviluppatori hanno anche introdotto la funzione Heartbeat, un segnale che l’app dell’organizzatore della riunione invia automaticamente agli altri utenti. Esso contiene, tra le altre cose, un elenco dei partecipanti a cui l’organizzatore ha inviato la chiave di cifratura corrente. Se qualcuno che non è nella lista si unisce alla riunione, tutti sapranno immediatamente che c’è qualcosa che non va.

Un altro modo per tenere fuori i partecipanti indesiderati è quello di bloccare la riunione (avvalendosi dell’apposita opzione), nel momento in cui tutti i partecipanti si sono presentati. Dovete bloccare le riunioni manualmente, ma una volta fatto, nessun altro può unirsi, anche avendo l’ID e la password della riunione.

Zoom protegge anche dagli attacchi man-in-the-middle con la sostituzione della chiave di cifratura. Per assicurarsi che  non si stia infiltrando un estraneo, l’organizzatore della riunione può fare click su un pulsante in qualsiasi momento per generare un codice di sicurezza basato sulla chiave di cifratura della riunione corrente. Il codice viene generato automaticamente anche per gli altri partecipanti alla riunione. L’organizzatore deve poi leggere questo codice ad alta voce; se corrisponde a quello di tutti gli altri, allora tutti stanno usando la stessa chiave e si può continuare.

Infine, se l’organizzatore lascia la riunione e qualcun altro prende il suo posto, l’applicazione segnala il passaggio. Se questa decisione dovesse risultare sospetta agli altri partecipanti, si può mettere da parte per un momento qualsiasi argomento top-secret e risolvere la situazione.

Naturalmente, se su Zoome si sta solo facendo una festa con gli amici, probabilmente non ci sarà bisogno di usare tutti questi meccanismi di sicurezza. Ma se i segreti aziendali (o di altro tipo) sono messi su questo tavolo virtuale, tali strumenti di protezione possono essere molto utili; per questo motivo, i partecipanti alle riunioni importanti dovrebbero essere consapevoli dell’esistenza di queste opzioni e dovrebbero imparare a utilizzarle correttamente.

Nonostante questi passi in avanti, gli sviluppatori di Zoom ammettono di avere ancora molto lavoro da fare. L’intervento alla RSA 2021 ha anche fatto luce sul percorso intrapreso da Zoom per il domani.

Zoom: cosa riserva il futuro?

Gli sviluppatori hanno identificato una serie di minacce per le quali devono ancora implementare contromisure efficaci. Una è l’infiltrazione esterna alle riunioni da parte di persone che si spacciano per utenti invitati. Un’altra è che la protezione E2EE non impedisce ai cybercriminali di ottenere alcuni metadati, come la durata della chiamata, i nomi dei partecipanti e gli indirizzi IP. Né possiamo ignorare alcune vulnerabilità del programma: in teoria, i criminali informatici potrebbero inserire dei codici dannosi su Zoom.

Con queste minacce in mente, gli sviluppatori di Zoom hanno elencato i seguenti obiettivi:

  • Impedire a chiunque, fatta eccezione per i partecipanti invitati e approvati, di accedere agli eventi;
  • Impedire a qualsiasi partecipante rimosso da un evento di ricollegarsi a esso;
  • Impedire interferenze da parte di chiunque non sia stato ammesso alla riunione;
  • Permettere ai partecipanti in buona fede di segnalare gli incidenti al team di sicurezza di Zoom.

Road map

Per raggiungere questi obiettivi, gli sviluppatori hanno creato una road map in quattro fasi. La prima fase è già stata implementata. Come abbiamo detto, è stato modificato il sistema di gestione della chiave di cifratura della conferenza in modo che sia memorizzata solo sui dispositivi degli utenti, così come sono migliorati i sistemi di protezione contro gli estranei che si uniscono alle riunioni.

Per la seconda fase, hanno in programma di introdurre l’autenticazione degli utenti, che non dipende dai server di Zoom ma si baserà sulla tecnologia SSO (Single Sign-On) che coinvolge i provider di identità indipendenti (IDP).

Di conseguenza, un aspirante intruso non può falsificare l’identità di un utente, anche ottenendo il controllo del server Zoom. Se qualcuno si unisce a un evento fingendo di essere un invitato ma con una nuova chiave pubblica, gli altri saranno avvisati della potenziale minaccia.

La terza fase introdurrà il concetto di transparency tree, memorizzando tutte le identità in una struttura di dati autenticati e verificabili, per garantire che tutti gli utenti abbiano una visione coerente di qualsiasi identità e rilevare gli attacchi in cui un utente si spaccia per un altro. L’intento di Zoom è quello di rafforzare la protezione della piattaforma dagli attacchi man-in-the-middle.

Nell’ultima e quarta fase, gli sviluppatori hanno intenzione di rendere più facile il controllo di un’identità quando un utente si collega da un nuovo dispositivo. Per collegare un nuovo dispositivo, l’utente dovrà confermare la sua legittimità, per esempio scansionando un codice QR sullo schermo di un telefono o computer affidabile. Questo impedirà a un cybercriminale di collegare un proprio dispositivo all’account di qualcun altro.

Sicurezza senza sacrifici

Quando si implementano meccanismi di sicurezza aggiuntivi, è importante considerare come influiranno sul comportamento degli utenti comuni. Gli sviluppatori di Zoom stanno considerando anche questo aspetto; per esempio, una proposta riguarda l’uso di dispositivi personali su cloud. Tale tecnologia semplificherà il processo di collegamento di nuovi dispositivi a un account e allo stesso tempo garantirà una maggiore protezione.

Ad esempio, se normalmente si utilizza un computer per le chiamate via Zoom, ma poi si scarica la app e si accede dal proprio smartphone, la prossima volta che si apre Zoom sul computer, si vedrà che è stato collegato un nuovo dispositivo. Se approvato, entrambi i dispositivi saranno collegati a un unico cloud e gli altri partecipanti alla riunione sapranno che si tratta della stessa persona e non di un intruso.

Un cloud per i dispositivi permette anche di controllare quali dispositivi sono collegati all’account e revocare l’accesso a uno qualsiasi di essi. Oltre a questo, gli sviluppatori prevedono di aggiungere un’opzione per passare alla cifratura E2EE nel bel mezzo di una riunione e molte altre caratteristiche utili.

Zoom sarà un sistema più sicuro?

La risposta breve è sì, la sicurezza di Zoom continua a migliorare. L’azienda ha già fatto molto per difendersi dalle interferenze esterne e ha ancora più strumenti di protezione in cantiere. A parte questo, è bello vedere come Zoom stia cercando di combinare la sicurezza con la facilità d’uso.

Naturalmente, molto dipende dagli utenti di Zoom. Come ogni attività online, anche quella di videoconferenza richiede buonsenso e conoscenza dei meccanismi di protezione disponibili. È importante essere a conoscenza degli avvertimenti della piattaforma e astenersi da portare avanti conversazioni riservate se c’è qualcosa di sospetto e non si può escludere una fuga di dati.

Consigli