Dopo aver annunciato che la crittografia end-to-end sarebbe stata disponibile solo a pagamento, Zoom è tornata sui suoi passi annunciando che questa funzionalità fondamentale per mettere in sicurezza le videochiamate sarà ora disponibile per tutti.
Nel frattempo, il mondo Zoom ha continuato ad essere un ribollire di informazioni, più o meno buone. La crescita fortissima degli utenti ha portato a Zoom un’attenzione che, evidentemente, non si erano trovati a fronteggiare prima.
Innanzitutto, gli “smanettoni” hanno trovato sempre nuovi modi per compromettere l’applicazione e/o il suo funzionamento, con Zoom in costante rincorsa a chiudere le falle, operazione che ha bene o male portato a termine.
Questa è la prima cosa da considerare: quando un’applicazione complessa è sotto lo scrutinio del pubblico più “curioso” (la mia definizione sintetica di hacker) i problemi vengono fuori; Zoom dimostra di avere una programma di responsible disclosure e bounties per le vulnerabilità, cosa essenziale a questi livelli. Secondo Internet Archive, la pagina (ed il programma relativo) esiste da fine aprile 2020, non so dire se ne esistesse una precedente.
Indice degli argomenti
Zoom: la crittografia end-to-end è per tutti
Ma veniamo all’argomento di questi giorni: crittografia sì o no? C’erano due problemi che sono stati evidenziati: il primo è che la crittografia non fosse end-to-end come raccontato, il secondo che questa venisse realizzata con algoritmi fatti in casa.
A questo Zoom ha risposto con comunicazioni altalenanti, dicendo che avrebbe inserito la crittografia a protezione esclusivamente delle connessioni degli utenti paganti. Ovviamente, essendo Zoom sotto i riflettori, la cosa ha fatto storcere il naso un po’ a tutti. La prima considerazione che mi viene spontanea fare è che va analizzato il contesto: le parole vengono da Mr Yuan (il CEO) e sono state pronunciate durante una call con gli azionisti.
A dirla tutta, non mi sembra una cosa sbagliata: Zoom si è trovata in pochi mesi a gestire 30 volte gli utenti che aveva raccolto in anni di presenza sul mercato. Questa crescita da una parte è il sogno di ogni azienda, dall’altra non può certo conciliarsi con un qualsiasi piano di sviluppo fatto secondo i numeri precedenti.
Mr Yuan e i suoi collaboratori si sono trovati in una situazione inattesa/insperata e devono trovare il modo di sfruttarla al meglio in maniera profittevole. Non parliamo, infatti, di un’entità no-profit ma di un’azienda quotata che, come tutte, deve remunerare i suoi investitori e starà cercando i modi migliori per farlo. Molti dei commenti che ho letto dimostrano quanto sia più semplice dirigere un’azienda da 300 milioni di utenti pestando su un tablet dal divano piuttosto che trovando soluzioni efficaci da presentare a un CDA.
Questo detto, l’evoluzione della vicenda ha assunto nuovamente contorni comici. La giustificazione, nelle parole di Yuan, nel non fornire la crittografia agli utenti gratuiti risiede nella volontà di collaborare con l’FBI e con le LEA locali in caso di abuso di Zoom (Free users for sure we don’t want to give [end-to-end encryption] because we also want to work together with FBI, with local law enforcement in case some people use Zoom for a bad purpose). Un ragionamento del genere è quasi difficile da commentare.
Ci sono state poi le parole di Alex Stamos, un professore di Stanford e consulente (non portavoce, come lui stesso specifica) ingaggiato da Zoom in una seria di assunzioni pesanti, che ha parlato della possibilità di aprire al livello di crittografia per non meglio specificate organizzazioni non profit o per i dissidenti politici.
Ora, assunto che crediamo tutti alle parole di Yuan, secondo cui Zoom non spia le comunicazioni di nessuno e mai lo farà (Zoom does not proactively monitor meeting content, and we do not share information with law enforcement except in circumstances like child sex abuse. We do not have backdoors where participants can enter meetings without being visible to others. None of this will change), registrarsi come dissidente politico ad un’organizzazione con forti legami con la Cina e una dichiarata volontà di collaborare con le autorità, non mi sembra un’operazione del tutto astuta.
Comunque, a mettere fine a questo procedere ondivago di dichiarazioni, ci ha pensato di nuovo Yuan che in un comunicato ufficiale del 17 giugno scorso, ha messo un paio di punti fermi: la cifratura ci sarà per tutti (attivata opzionalmente, in quanto esclude la possibilità di inserire chiamate telefoniche, scelta opinabile) e verrà fatta secondo uno schema in fase di discussione pubblica. Le prime beta del prodotto derivato dovrebbero essere disponibili a partire da luglio 2020.
Alcune considerazioni
Non ho il tempo e le competenze per valutare la proposta ma posso fare alcune considerazioni. Il fatto che il draft sulla crittografia sia pubblico è quanto ci si aspetta, come minimo, da un’azienda che non ha finora fatto della trasparenza il suo punto di forza.
Non è un abbracciare una filosofia, ma semplicemente rendersi conto che ogni altra alternativa avrebbe prodotto più danni che benefici: l’azienda è ormai nella situazione di dover dimostrare di non giocare sporco, non il contrario.
Tuttavia, il draft pubblico non significa automaticamente trasparenza: analizzare un sistema di cifratura è un’opera complessa e costosa, che richiede competenze puntuali e non facilmente reperibili. Non molti sistemi disponibili pubblicamente hanno avuto audit di quel livello.
Non ho proprio idea di quanti veri esperti si metteranno a lavorare su quel paper per analizzarlo. È un po’ l’approccio superficiale all’open source adottato da molti: è codice aperto, tutti possono guardarci quindi i problemi vengono fuori. Possibile sì, ma quanti lo fanno e con che competenze? Questo sistema poi, sarà sicuro indipendentemente da come verrà implementato? La verifica del numero di telefono dell’utente (obbligatoria) serve solo a combattere spam e abusi? Per inciso, la necessità del numero telefonico è la critica più ricorrente a Signal e ci stanno lavorando da tempo.
Spero che qualcuno con più competenze di me approcci queste domande e fornisca qualche risposta, magari qualcuno tra i cosiddetti privacy advocates che hanno attaccato Zoom in questo periodo. Può essere che loro abbiano i fondi per far effettuare una revisione della sicurezza del protocollo di cifratura proposto.
Tuttavia, ricordiamoci sempre che Zoom è un’azienda privata che fa giustamente quello che vuole, nei limiti delle leggi. Non esiste a mio modo di vedere, ciò che leggo in giro e cioè il diritto a connessioni gratuite e sicure operate scaricando i costi sull’azienda che deve fornirle. I costi di gestione di infrastrutture come Zoom sono elevatissimi: chi si arroga il diritto di decidere cosa dovrebbe fare Zoom potrebbe semplicemente creare una propria struttura sicura, scalabile all’infinito, con audit del codice e dei protocolli e per di più gratuita e darla in uso a tutti. Non è strano, da questa premessa, vedere come non ci siano molte aziende od organizzazioni disposte a farlo.
La scelta, comunque, per fortuna è in mano a noi consumatori che analizzando i prodotti sul mercato possiamo scegliere quelli più adatti, compresi quelli completamente gratuiti se ci piacciono. L’importante è che venga fatta informazione corretta che a sua volta, un po’ per volta, forma una cultura della sicurezza, così che tutti abbiano la competenza necessaria per fare le scelte o per capire di dover chiedere ad un esperto. Perché non c’è nulla di facile nella sicurezza IT e imparare costa fatica.
