Videoconferenze e cybersecurity

Le piattaforme di videoconferenza sono diventate una delle grandi protagoniste dell’emergenza Covid 19.

Se sei un professore grazie ad esse avrai continuato a insegnare agli studenti rimasti a casa attraverso una delle tante piattaforme per la didattica a distanza, le famose Dad.

Se invece sei un manager o un imprenditore sarai riuscito a mantenere i contatti quotidiani con i tuoi collaboratori e dipendenti che continuano a lavorare in smart working. Avrai anche scoperto che per incontrare i clienti non ci sono solo le riunioni online ma esistono spazi digitali che permettono di organizzare e partecipare a fiere, mostre, convention e congressi tutti rigorosamente virtuali.

Anche i vantaggi a livello sociale sono stati enormi. La possibilità non solo di parlare al telefono ma di vedere sullo schermo del computer i tuoi familiari e amici ha reso meno pesante l’isolamento imposto dal lock-down e dalle misure di quarantena.

Tutto sommato l’impiego di queste tecnologie digitali di comunicazione, che permettono a più persone di vedersi, parlarsi e scambiarsi documenti in tempo reale, si è rivelato più facile del previsto. Sono bastate una connessione veloce a Internet, che molte società telefoniche offrono a prezzi vantaggiosi, un computer dotato di webcam, che nei laptop è ormai un elemento standard, e un software per videoconferenze che permette di creare una classe virtuale o di organizzare un meeting online.

Ma con quale criterio hai scelto, o hanno scelto per te, la piattaforma di videoconferenza che stai usando? Se hai poca dimestichezza con il computer il primo requisito che avrai cercato è stato sicuramente la semplicità. Avrai preferito un sistema che ti permettesse di dialogare tramite computer con la stessa immediatezza con cui fai una chiamata col cellulare. Il secondo criterio è stato invece il costo. In questo periodo di crisi economica in cui è fondamentale risparmiare avrai installato il software che costava meno o che addirittura era gratuito. Avrai avuto solo l’imbarazzo della scelta perché sulla Rete ci sono tantissimi servizi di questo tipo totally free.

Ma ti sei preoccupato della sicurezza? Sai che nel momento in cui hai acceso la webcam, hai parlato al microfono o condiviso un file hai reso vulnerabile la tua vita privata, i tuoi dati personali o gli archivi della tua azienda o di quella per cui lavori? Ora chiunque potrebbe impadronirsi di informazioni che magari ti sembrano innocue ma che in realtà sono vitali.

Devi essere consapevole del fatto che i rischi nascosti dietro una videoconferenza sono tanti. Qui di seguito te li descriveremo e ti spiegheremo come affrontarli.

I pericoli che puoi trovare in una videoconferenza

1) I falsi siti di videoconferenza

Negli ultimi mesi sono proliferati su Internet i siti che si presentavano con un nome simile a quello di famose piattaforme di videoconferenza e ne riproducevano esattamente la grafica. Chi non si è accorto della differenza ha lasciato incautamente i propri dati personali e in alcuni casi anche gli estremi della carta di credito.

2) L’accesso senza registrazione

Esistono servizi di videoconferenza online che attirano clienti offrendo modalità di partecipazione semplici e rapide. Ad esempio quella di non richiedere ai partecipanti di registrarsi preventivamente con un account. Basta spedire un link via mail e al destinatario basterà cliccarlo per partecipare alla riunione.

Ma spiare il contenuto delle mail è una delle tecniche più semplici di pirateria informatica. Non serve nemmeno l’esperienza di un hacker perché esistono tanti siti sul Web che forniscono le istruzioni e gli strumenti per violare la posta elettronica.

Chiunque riesca a intercettare un link potrebbe quindi infiltrarsi in una lezione scolastica o in una riunione di lavoro.

3) Piattaforme affidabili e inaffidabili sullo stesso computer

Non tutte le famiglie possono permettersi un computer a testa e in tanti casi è stata inevitabile la condivisione del personal o del portatile. A volte il genitore si collegava per il lavoro con una piattaforma che offriva alti standard di sicurezza mentre i figli studiavano con software vulnerabili agli hacker. In altre circostanze è accaduto l’opposto. In entrambi i casi le precauzioni prese da una parte sono state vanificate dalle leggerezze commesse dall’altra.

4) Malware nascosti negli allegati e link di phishing

Non illuderti che i file in formato pdf o i documenti di Microsoft Office che i professori mandano agli allievi o che contengono un progetto o un contratto siano innocui. I documenti di Word ed Excel possono contenere macro, piccoli programmi che a loro volta possono occultare virus trojan che rubano i dati nell’hard disk. Nel testo dei pdf possono essere inseriti link di phishing che paralizzano il computer con un ransomware costringendo la vittima a pagare un vero e proprio riscatto.

Di solito diffidiamo dei file che arrivano da fonti sconosciute e ci guardiamo bene dall’aprirli. Ma tieni presente che un documento contenente un virus può essere trasmesso anche da una persona di nostra fiducia che agisce in buona fede. Pensa ad esempio a un impiegato che riceve quella che gli sembra una fattura e la inoltra alla contabilità. O a un docente che per presentare una lezione si serve di un pdf che ha trovato sul web.

Questi sono i pericoli che possono nascondersi in documenti usati in ambito scolastico o professionale. Ma immagina quali possono essere le conseguenze quando i meeting online diventano lo spazio per scambiarsi link a siti erotici o a videogiochi online, i terreni di caccia preferiti dai cybercriminali.

Un’ultima nota riguarda lo scambio di film e canzoni coperti da diritti d’autore o di video e immagini dal contenuto pedopornografico. Basta il loro possesso per commettere un reato e dichiarare che sono stati ricevuti per gioco o per scherzo non è un’attenuante.

5) Deepfake in tempo reale

La tecnologia deepfake consente di sostituire il proprio volto a quello di altri personaggi reali o di fantasia. Un esempio classico e innocente del suo impiego è quello di youtuber che hanno rimpiazzato i protagonisti in alcune scene di film famosi, filmati poi diventati virali. Un impiego criminale invece è stata la diffusione di video erotici dove i volti degli attori erano sostituiti con quelli di personaggi famosi.

Il live deepfake, o deepfake in tempo reale, è un ulteriore passo avanti che consente di prendere le sembianze della vittima nel momento stesso in cui si presenta sullo schermo, senza che sia necessario un montaggio preliminare.

L’insidia di questo strumento appare ancora più evidente se si pensa che esistono anche software capaci di sintetizzare la voce di una persona dopo averne sentito pronunciare poche frasi.

Credere che queste tecnologie resteranno circoscritte solo ai più alti livelli del cyberterrorismo o della criminalità informatica è un'illusione. Infatti siamo di fronte a un settore in continua evoluzione che presto sarà in grado di offrire applicazioni alla portata di tutti.

Semplici regole per gestire in sicurezza una videoconferenza

1) Installa un antivirus

Mantieni l'antivirus sempre aggiornato e usalo per eseguire scansioni periodiche del PC e controlli mirati di file sospetti. Sembrano consigli scontati ma molti considerano l’uso dell’antivirus solo una perdita di tempo e ignorano le richieste di aggiornamento. Salvo pentirsi se il conto corrente online viene svuotato.

2) Esegui sempre gli aggiornamenti

Aggiorna il sistema operativo, il browser e gli applicativi come quelli di Office. Se anche questi ti sembrano interventi fastidiosi ricordati che i pirati informatici sono sempre a caccia di errori di programmazione e di vulnerabilità nel software attraverso cui compiere i loro attacchi.

3) Affidati a parametri minimi di sicurezza

Scegli piattaforme di videoconferenza che assicurano le seguenti caratteristiche:

• certificazione ISO 27001;
• conformità GDPR;
• protocollo di sicurezza TLS, che attraverso la crittografia end-to-end garantisce che nemmeno i gestori della piattaforma possano spiare le conversazioni degli utenti.

4) Non fidarti della parola gratis

Le piattaforme di videoconferenza gratuite non sono affatto tali, perché paghi l’iscrizione fornendo non solo i tuoi dati personali ma costringendo anche gli altri partecipanti alla riunione a consegnare i propri. Preferisci piuttosto le piattaforme a pagamento che non chiedono informazioni personali. Se paghi in contanti sai quello che ti costa. Se paghi con i tuoi dati non puoi immaginare quanto ti costerà.

5) Evita i wi-fi non sicuri.

Non connetterti usando reti pubbliche come quelle fornite dai centri commerciali o dagli alberghi.

6) Fai attenzione agli infiltrati.

Quando inizia la riunione controlla che il numero degli invitati corrisponda ai presenti. Se i conti non tornano è possibile che qualche estraneo sia riuscito a entrare di nascosto. Se i partecipanti sono numerosi può essere utile fare un appello, proprio come a scuola.

7) Usa una sandbox.

Se sei costretto a ricevere dei programmi o dei documenti con delle macro puoi testarli in sicurezza all’interno di una sandbox, una sorta di camera stagna nel tuo computer dalla quale un potenziale virus non può uscire e fare danni. Esistono diversi programmi che permettono di creare una sandbox e chi utilizza Windows 10 troverà già disponibile questa funzione.

8) Non cliccare subito sui link. Quando ricevi un link o lo trovi in un file puoi esaminarlo passandoci sopra il puntatore. In questo modo potrai verificare se il testo del link combacia davvero con l’indirizzo di destinazione.

9) Controlla l'attendibilità dei domini

La vera identità di un sito è determinata dal secondo livello del suo dominio. Se non sai come riconoscere i livelli tieni presente che il loro ordinamento parte da destra e che sono separati da un punto:

• il primo livello che incontri è l'estensione. Viene usato ad esempio per identificare l’area geografica di appartenenza di un’azienda o di un’organizzazione pubblica (.it per l'Italia, .us per gli Stati Uniti o .uk per il Regno Unito) o la sfera della sua attività (.com per commerciale o .gov per governativa);
• il secondo livello contiene un nome che fornisce l’esatta identità del soggetto, dell’organizzazione o dell’azienda a cui appartiene il sito (ad esempio www.inps.it o www.microsoft.com);
• il terzo livello non ha una funzione identificativa ma può essere usato per dividere in sezioni siti di grandi dimensioni. Spesso contiene la sigla www ma puoi trovare anche faq, per indicare le pagine dedicate alle domande e risposte, o blog.

Non fidarti di quei domini dove il nome di una famosa azienda o di un ente pubblico è inserito nel terzo livello. Per raggiungere i siti che ti servono per il lavoro o lo studio registrane gli indirizzi ufficiali fra i preferiti del tuo browser.

10) Verifica la sicurezza delle pagine web

Se non ti fidi di un link ma vuoi o devi raggiungere lo stesso quella pagina web puoi utilizzare servizi online come URLVoid o VirusTotal che scoprono l’esistenza di minacce in un sito Internet senza che sia necessario aprirlo. Per usare questi strumenti basta incollare l’URL sospetto in un apposito campo.

11) Previeni il deepfake

La possibilità che un impostore si sostituisca al presidente di una multinazionale come al proprietario di una piccola impresa è più concreta di quanto tu possa immaginare. Ma per contrastare il deepfake non è detto che siano necessari strumenti sofisticati. Può essere sufficiente concordare un segnale di riconoscimento o un sistema di parole d’ordine e di controparole da scambiarsi all’inizio della riunione. Questo ti assicurerà sulla vera identità dei partecipanti. Sembrano metodi antiquati ma proprio per questa ragione possono essere più efficaci contro le nuove minacce tecnologiche.

E-Motion Web e la sicurezza delle videoconferenze

Se hai ancora dei dubbi sulla sicurezza delle videoconferenze della tua scuola o della tua azienda puoi rivolgerti a noi di E-Motion Web.

Ti assisteremo nella scelta, nell’installazione e nella gestione dei programmi per le tue lezioni online e riunioni virtuali permettendoti di insegnare e lavorare al riparo dagli hacker e dai pirati informatici.