Da qualche tempo Zoom è sulla bocca di tutti. Per un prodotto di videoconferenza che vuole espandere il suo mercato potrebbe essere una buona notizia, ma quando le bocche sono quelle degli esperti di sicurezza qualche domanda bisogna porsela.
Indice degli argomenti
Zoom e sicurezza delle videoconferenze: la crittografia
Partiamo dal fondo: CitizenLab ha analizzato le modalità di funzionamento dell’applicazione e ha scoperto alcune cose piuttosto spiacevoli. In breve, così come l’analisi dei ricercatori spiega più nel dettaglio, la crittografia usata per proteggere le connessioni ha dei problemi seri:
- utilizza una modalità di AES, la ECB, che è sconsigliata da tempo in quanto facilita la crittoanalisi. Per i più avventurosi, due utili approfondimenti qui e qui.
- la crittografia viene definita end-to-end, ma non nel modo in cui tutti la intendiamo e cioè tra un partecipante e l’altro. Piuttosto la crittografia è tra un partecipante ed i server Zoom che, tra l’altro generano e distribuiscono le chiavi.
- la cifratura degli stream RTP viene effettuata mediante un algoritmo proprietario.
Da quanto indicato è evidente che la confidenzialità delle connessioni è abbastanza dubbia, avendo come minimo i server di Zoom che fanno da proxy/relay e possono decifrare il traffico. Chiunque abbia lavorato con i sistemi di cifratura sa poi che la gestione della chiave è la cosa che definisce in gran parte l’efficacia nell’uso di un algoritmo.
Sull’uso di algoritmi proprietari per la cifratura c’è poco da dire se non che, storicamente, il concetto si security through obscurity, cioè l’utilizzo di meccanismi non disponibili per una review pubblica come nel caso di Zoom, è un autogol di sicurezza e lascia, come minimo, un dubbio di fondo.
Zoom e sicurezza delle videoconferenze: pericolo spionaggio
A tal proposito siamo anche venuti a sapere che “per sbaglio” (parole del CEO) il traffico di chiamate effettuate in Nord America veniva ruotato su “datacenter di backup” in Cina, dove il governo ha potere assoluto sulle comunicazioni.
Dopo la “scoperta” Zoom ha “corretto” l’errore. Intendiamoci: questo è uno scivolone clamoroso ma con delle implicazioni formali. Nessuno vieterebbe (tecnicamente) infatti a Zoom di mettere sui suoi server sul suolo europeo o statunitense meccanismi di estrazione delle comunicazioni da trasferire poi in Cina, se volessero farlo in barba alla legge. Tuttavia, far passare il traffico, debolmente protetto, attraverso segmenti facilmente intercettabili consente di evitare la “pistola fumante” in mano alla società (formalmente americana con fondatori e sviluppatori cinesi, lascio per esercizio la ricerca a chi legge).
Andando indietro nei mesi troviamo anche altri problemi di sicurezza dell’applicazione che, se in alcuni casi fanno propendere per dei comuni errori di programmazione che ovviamente possono capitare, in altri lasciano più di qualche dubbio.
Nella serie errori io inserirei la possibilità di intercettare e inviare comandi ad un meeting in corso, operabili anche da persone che non partecipano alla riunione.
Sicuramente errori, almeno di comunicazione all’utente, sono quelli per cui l’applicazione Zoom trasferiva verso Facebook alcune informazioni: una volta di pubblico dominio, il “problema” è stato risolto. Altro scivolone comunicativo è quello per cui chi organizza il meeting può monitorare il livello di attenzione dei partecipanti a loro insaputa.
Zoom e sicurezza delle videoconferenze: tecniche di hacking
Tra le cose dubbie, ed in questo caso sembra proprio un eufemismo, c’è la modalità di installazione del client per Mac OSX dell’estate scorsa (luglio 2019): modalità di installazione tipica di malware che vogliano diventare APT (ossia persistenti).
Una volta installato il client con questa bizzarra modalità il Mac si trova installato un web server locale che consente ad un sito web remoto di inserire chi lo visita in una call senza bisogno di alcuna interazione. In due parole, visitando una pagina web si può attivare silenziosamente la telecamera dell’utente e osservarlo.
Sfortuna, ma proprio tanta sfortuna, vuole che disinstallando Zoom il web server restasse installato consentendo di continuare ad operare, reinstallare silenziosamente il client o, di eseguire codice da remoto (RCE). Per dirlo con le parole di Zoom “This was an honest oversight”. Apple è intervenuta direttamente forzando la disinstallazione del software dai Mac mediante una patch.
Anche in merito alla possibilità di esporre le credenziali di Windows, è quantomeno curioso che questa tecnica di hacking non sia stato prevista fin dal disegno dell’applicazione, essendo un modo di operare attacchi che andava di moda ai tempi di Windows NT, seconda metà Anni 90.
Più recentemente sono divenuti disponibili al pubblico degli strumenti che consentono di effettuare lo Zoom bombing, ossia la scoperta e interazione (ad esempio invio di materiale video) con le riunioni Zoom su cui non sia stata impostata una password.
A tal proposito anche l’FBI ha rilasciato alcune linee guida nell’ottica di proteggere gli studenti e i professori quando usano Zoom. Sembra che qualche giorno fa una patch abbia reso obbligatorio l’uso di una password.
Per concludere, si attendono da Zoom diverse risposte su come gestiscano effettivamente la privacy degli utenti (a chi danno i dati e per cosa) e le richieste di accesso ai dati da parte delle autorità, informazioni che altri giganti nel mondo della tecnologia (ad es. Microsoft o Google) forniscono per trasparenza.
Sull’attacco che avrebbe portato alla luce 530.000 account Zoom andrei invece più cauto di quanto non legga in giro: sembra, infatti, che si tratti di credenziali recuperate da altri data breach che funzionano anche su Zoom. Il problema è tra la sedia e la scrivania, come si dice di solito, anche se essendo credenziali verificate (c’è la host key) ci deve essere stato un discreto movimento di login buoni e falliti per verificarle tutte, qualcosa che solitamente non passa inosservato.
Passando un pomeriggio in rete è facile trovare molto altro materiale riguardo Zoom e i suoi problemi, presenti e passati. Freschissimo questo per il quale pare ci siano disponibili degli 0 day. Uno 0 day non si nega a nessuna applicazione, questo l’abbiamo imparato, ma fa il paio con il tentativo di Zoom di farci usare l’applicazione da installare anziché usare la versione web, che risolve la necessità della quasi totalità degli utenti.
Anche quando compare l’opzione web negli inviti (va attivata appositamente, il default è il client), spesso l’unico link che compare è quello per il download del client indipendentemente dalla piattaforma (browser/OS) utilizzato.
Conclusioni
A questo punto cosa abbiamo imparato? La prima considerazione potrebbe essere quella di non usare più Zoom, come in molti tra aziende private e governi stanno facendo.
È facile in questo caso dire “eh ma anche gli altri (la concorrenza) potrebbero fare cose scorrette”. Sicuramente potrebbero, ma una volta trovati un po’ di “bug” sospetti, routing curioso, poca trasparenza e crittografia fatta in casa, abbiamo sufficienti elementi per dire “basta”, dal mio punto di vista.
Asserire che anche altri potrebbero comportarsi male è come dire “so che sto viaggiando su un’automobile che potrebbe perdere una ruota, avendolo fatto spesso ultimamente. Tuttavia, continuo ad usarla perché anche altre automobili potrebbero ammazzarmi”.
Non mi sembra un atteggiamento sano dal punto di vista della sicurezza delle informazioni. Non mi riferisco solamente a meeting in cui si discutono argomenti estremamente delicati, perché ogni pezzetto di informazione andrebbe trattato con cautela. Le alternative ci sono e le informazioni in rete viaggiano veloci, quindi è facile scoprire se la soluzione a cui ci stiamo affidando ha problemi conosciuti.
Questo ragionamento ricade nel più generale approccio verso l’acquisizione di nuove tecnologie IT nell’azienda. Ricordiamoci che IT sta per Information Technology. Le macchine ed i software con cui lavoriamo trattano le nostre informazioni: solo se non ci interessa nulla di esse possiamo selezionare un programma a caso dal mucchio per trattarle.
Da qui una conseguenza: come decidere a che piattaforma affidarsi, specie in situazioni di emergenza? Rivolgendosi al proprio staff IT che sarà in grado di chiedere aiuto nel caso non avesse tutte le competenze in casa. Agire d’impulso (questo prodotto lo usa anche l’azienda XYZ!) in situazioni emergenziali non può fare altro che nascondere il problema sotto il tappeto per ritrovarselo ingigantito più avanti: ho già scritto come nell’attuale situazione si stiano gettando le basi per un futuro non troppo roseo dal punto di vista della sicurezza.
Oggi usiamo tanti “Zoom” e non ce ne rendiamo conto o, di fronte all’evidenza, lasciamo che a vincere siano le abitudini, i costi immediati o la voglia di trovare una soluzione al volo per dedicarci ad altro. Si può fare di meglio, molto meglio, e la ricetta è sempre la stessa: formazione, formazione e poi ancora formazione dai livelli apicali a scendere.
Solo con una diffusa cultura della sicurezza potremmo capire quanto è pericoloso l’etereo mondo “cyber” che tanto ci affascina ma che, evidentemente, non siamo oggi in grado di comprendere.
Perché una cosa è sicura: le cose prima o poi le impareremo, con le buone o con le cattive maniere.
