Zoom 5: un passo in più verso la sicurezza

Gli sviluppatori di Zoom hanno reso più sicuro il loro servizio. Vediamo che cosa è cambiato.

Non molto tempo fa, abbiamo spiegato come configurare Zoom per un uso più sicuro. Tuttavia, le tecnologie possono svilupparsi molto rapidamente, soprattutto se si trovano sotto i riflettori per un motivo o per un altro. Uno di questi casi è Zoom i cui sviluppatori, come promesso, hanno riprogettato completamente l’approccio alla protezione dei dati. Di conseguenza, la versione 5.0 è cambiata molto rispetto a quella pre-coronavirus.

Questo cambiamento ha dato subito i suoi frutti. Se prima le grandi aziende e le istituzioni storcevano il naso al sentir parlare di Zoom, ora invece ha ottenuto l’approvazione da parte del procuratore generale di New York ed è tornata nelle scuole della città. Nella versione 5 sono presenti alcune caratteristiche utili, vediamo quali sono.

Pratica collocazione delle impostazioni di sicurezza

A partire da Zoom 5, tutte le impostazioni per la gestione dei partecipanti alla conferenza si trovano in un unico posto. Sicurezza e comodità.

In questa sezione è possibile limitare le autorizzazioni concesse agli utenti, bloccare l’accesso alle riunioni per evitare ospiti indesiderati, aggiungere una watermark alle schermate e alle registrazioni audio nel caso qualcuno decida di pubblicarle, e così via. Per aprire le impostazioni di sicurezza, basta cliccare sull’icona dello scudo nel menu della conferenza.

Protezione anti-troll

Una serie di nuove impostazioni blocca l’invasione da parte di troll anonimi. In primo luogo le password e la funzionalità Sala d’attesa (grazie alla quale è necessaria l’autorizzazione dell’host per partecipare alla conferenza), sono ora abilitate di default. In secondo luogo, ora è possibile impedire ai partecipanti di cambiare il proprio nome.

I proprietari di account a pagamento possono anche richiedere ai partecipanti di fornire informazioni su sé stessi quali nome, indirizzo e-mail e simili. Con un account aziendale, è possibile bloccare la connessione di utenti non autorizzati o con un certo tipo di dominio di indirizzo e-mail (ad esempio, pubblico invece di aziendale).

Routing dei dati

Anche l’approccio di Zoom al routing dei dati è cambiato. Ora la vostra videochiamata non verrà instradata per errore su un server cinese o su un altro server straniero. Se per qualche motivo la conversazione deve rimanere all’interno del vostro paese, allora non avete nulla di cui preoccuparvi: le conferenze gratuite rimarranno nella zona nazionale, e gli abbonati a pagamento, a partire dal 18 aprile, potranno scegliere in quali paesi passeranno le proprie informazioni.

Inoltre, tutti i partecipanti alla conferenza possono ora vedere a quale centro dati sono collegati cliccando sull’icona “i” nell’angolo in alto a sinistra dello schermo. Se i vostri dati vengono inoltrati da qualche altra parte, potete scoprirlo e lamentarvi con lo sviluppatore.

Condivisione dello schermo più sicura

Il vecchio Zoom mostrava sempre le anteprime dei messaggi della chat nelle notifiche. Questo potrebbe portare a una situazione imbarazzante se, ad esempio, qualcuno vi scrivesse un messaggio personale durante la condivisione dello schermo. Ora, durante le conferenze gratuite il servizio non visualizza le notifiche e non mostra la chat durante la condivisione dello schermo, anche se è aperta.

Cifratura aggiornata

Gli sviluppatori hanno aggiornato anche l’algoritmo di cifratura. In primo luogo, Zoom ora utilizza chiavi di cifratura più lunghe (e quindi più affidabili). In secondo luogo, ora si verifica anche l’integrità dei dati trasmessi, una misura di protezione contro intrusi che potrebbero corrompere o alterare un messaggio cifrato senza decifrarlo.

Se siete attirati dai dettagli tecnici (e chi non lo è?), vi interesserà sapere che Galois/Counter Mode ora gestisce il controllo dell’integrità. Oltre ad essere più sicuro, il GCM è considerato meno impegnativo in termini di risorse, quindi avere a disposizione una migliore cifratura non significa sacrificare le prestazioni del computer.

Cifratura end-to-end

Infine, gli utenti saranno presto in grado di comunicare senza che nessuno, estranei o dipendenti di Zoom, possa spiarvi. Il servizio prevede di aggiungere la cifratura end-to-end alle videochiamate, e per questo scopo la compagnia ha anche acquisito Keybase, azienda specializzata nella protezione di servizi di messaggistica e di app per lo scambio di dati.

All’inizio, Zoom aveva pensato di offrire il massimo livello di privacy solo agli abbonati a pagamento. Ma la notizia che avrebbe lasciato gli utenti gratuiti senza crifratura end-to-end ha suscitato molte critiche: l’azienda è stata accusata di collaborare con le agenzie di intelligence, o almeno di lasciare la porta aperta per loro.

Queste accuse ignorano opportunamente un punto importante: praticamente nessuno della concorrenza di Zoom offre questa opzione. Le videochiamate cifrate end-to-end sono disponibili solo in siti di messaggistica istantanea con capacità di videochiamata limitata o tool aziendali ad alto costo che le offrono solo su richiesta e chiaramente non sono gratuite.

Gli sviluppatori hanno buone ragioni per non amare la cifratura video end-to-end, che è incompatibile con molte funzioni utili, tra cui la possibilità di registrare le conferenze su cloud, di trasmetterle su YouTube o di partecipare alle riunioni per telefono, e tutto ciò richiede la gestione attraverso un server. In termini di comodità, la maggior parte degli utenti sta meglio senza.

Detto questo, il 17 giugno, Zoom ha annunciato che la cifratura end-to-end sarà resa disponibile a tutti, compresi coloro che utilizzano il servizio gratuitamente. Non accadrà da un giorno all’altro, però, l’azienda ha in programma di iniziare i primi test beta a luglio.

Mai dormire sugli allori

Tutto sommato, la versione Zoom 5 è molto più sicura rispetto alle precedenti. I suoi sviluppatori hanno affrontato la sicurezza in modo molto responsabile, risolvendo prontamente la maggior parte dei problemi emersi durante il lockdown.

Tuttavia, questo non significa che si possa abbassare la guardia. La conferenza è aperta o chiusa? La registrazione è consentita o no? Gli sviluppatori non possono rispondere a queste e ad altre domande per tutti. Quindi è necessario configurare le impsotazioni delle conferenze in base alle proprie esigenze. Per fortuna, Zoom ora mette a disposizione maggiori opzioni per aiutarvi a fare le cose per bene.

In secondo luogo, la sicurezza assoluta non esiste. Ad esempio, sono state scoperte due vulnerabilità nella versione Zoom 4.6.10, che è relativamente recente. Una di queste vulnerabilità ha permesso ad un messaggio di chat dannoso di eseguire un codice arbitrario sul server di Zoom. Questo bug è stato risolto prima del lancio della versione 5.

La seconda vulnerabilità era legata all’integrazione della funzione di chat con il repository di GIF online GIPHY. Il bug permetteva di scaricare file arbitrari sui computer dei partecipanti alla conferenza invece di immagini animate. Gli sviluppatori hanno temporaneamente disabilitato la funzione vulnerabile e promettono di ripristinarla non appena il problema sarà risolto.

Finora, su Zoom 5 non sono stati trovati “orrori” degni di nota ma questo non significa che non ce ne siano. Finché il servizio rimarrà sotto i riflettori, non mancheranno persone che cercheranno i suoi punti deboli. Pertanto, se usate Zoom, assicuratevi di tenere gli occhi aperti ne caso ci fossero aggiornamenti e installateli immediatamente.

Consigli