laRegione
videochat-con-il-buco-zoom-non-e-un-eccezione
È stato usato da casalinghe, lavoratori, ma anche da amministrazioni e governi. Qui il premier britannico Boris Johnson (Keystone)
Tecnologia
01.08.20 - 17:100

Videochat con il buco, 'Zoom non è un'eccezione'

Angelo Consoli, esperto ticinese di sicurezza informatica: 'Oggi si preferisce vendere e poi mettere le pezze'. Sei regole per le videoconferenze sicure

C'è un problema di sicurezza congenito ed endemico nel mondo dell'informatica. Non è di certo nuovo, ma la pandemia di coronavirus lo ha messo in evidenza in maniera chiara: molti sviluppatori di applicazioni e apparecchi elettronici non tengono sufficientemente in considerazione la sicurezza dei sistemi, la nostra privacy e l'affidabilità del prodotto. Semmai vi mettono una pezza dopo, una volta che il problema emerge in tutta la sua gravità.

Un caso recente diventato celebre è quello di Zoom, la piattaforma di videoconferenza che, in pieno lockdown, è stata adottata per le riunioni virtuali da un po' tutti: dalle piccole aziende fino alle multinazionali e ai governi. Tranne poi risultare facilmente hackerabile e finire sui giornali a causa del suo essere un po' troppo impicciona riguardo ai dati personali custoditi sul computer degli utenti. «Non è l'unico strumento per riunioni virtuali ad aver accusato grattacapi di questi tempi», fa notare Angelo Consoli, capo del Gruppo di sicurezza informatica della Supsi e membro di diversi gruppi di lavoro sulla cybersecurity a livello europeo. «Il problema – prosegue Consoli – è che ancora oggi chi sviluppa applicazioni e apparecchi spesso non considera la sicurezza come parte integrante del prodotto. Non applica, insomma, il cosiddetto "security-by-design". E, peraltro, nemmeno la "privacy-by-design". I progetti, insomma, partono senza che ci si prenda il tempo per valutare le eventuali vulnerabilità».

Tempo e costi battono la sicurezza

Si tratta fondamentalmente di una questione di tempistiche e costi, precisa Consoli. «Pensare da subito alla sicurezza e alla privacy significa dover investire risorse in nel validare in modo piú accurato ogni componente e ogni procedura. Ciò impone un numero maggiore di vincoli per gli sviluppatori e maggiori controlli. Di conseguenza i costi aumentano e i tempi si dilatano. Le aziende preferiscono quindi partire con quello che parrebbe essere il percorso più efficiente, e poi mettere eventualmente le pezze in un secondo tempo. Questo garantisce loro un migliore 'time-to-market' (il tempo, possibilmente più ristretto possibile, per mettere il prodotto sul mercato, ndr.)». Si mette, insomma, in primo piano la rapidità. Un approccio che «già da anni costituisce uno dei problemi più seri in questo ambito. Non di rado, come gruppo di sicurezza in Supsi, veniamo contattati per certificare l'affidabilità di soluzioni tecnologiche. A parte il fatto che non siamo un ente certificatore, quando svolgiamo le verifiche necessarie emergono spesso problemi (talvolta anche banali) che avrebbero potuto essere evitati se si fosse considerata la sicurezza dall'inizio del progetto».


Angelo Consoli

Si corre quindi ai ripari, con il rischio di doverci mettere la faccia. Un po' come è successo a Zoom che, di fronte alla clamorosa figuraccia internazionale, ha dovuto metterci una pezza in fretta e furia: l'azienda ha dovuto sospendere per 90 giorni lo sviluppo di nuove funzionalità per concentrare tutte le forze disponibili nel tappare le falle di sicurezza. Non è stata tuttavia l'unica azienda del ramo a doversi scontrare con problemi non indifferenti, fa notare Consoli: «La pandemia ha messo alle corde molte applicazioni di comunicazione a distanza. Zoom è diventato un caso noto, ma anche WebEx di Cisco è stato bucato al mese di maggio, Meet ha avuto problemi a fine aprile, Skype fatica tuttora a gestire grandi numeri di connessioni in contemporanea e Microsoft Teams ha palesato altre difficoltà».

'Il prodotto giusto al momento giusto'

Per finire, molti hanno comunque preferito Zoom alle altre soluzioni: «Zoom aveava il prodotto giusto, al momento giusto: rispetto alla concorrenza, il loro software era più immediato da usare. Non dimentichiamoci che queste soluzioni hanno dovuto essere attivate in pochissimi giorni ed essere utilizzate in contemporanea per incontri del management di multinazionali e per i corsi delle scuole elementari, per citare due casi abbastanza dissimili e che ovviamente utilizzano il sistema con aspettative funzionali e di sicurezza sensibilmente diverse . Le falle? I problemi sono almeno due: da una parte le funzionalità offerte all’utenza: anzitutto si stava chiedendo a un unico prodotto di soddisfare necessità di utenze estremamente diverse (da una parte la facilità di condividere e dall’altra la necessità di riservatezza, per citare un esempio). C’è poi la comodità d'uso che, secondo una teoria che ho coniato da diversi anni, è l'antitesi della sicurezza: tutto ciò che si vuole pratico e comodo comporta delle scelte di compromesso che diminuiscono il grado di protezione», sottolinea ridendo l'esperto. Un bel grattacapo, soprattutto per le piccole e medie imprese. Per questo l’area di sicurezza e cybersecurity della Supsi è coinvolta in un progetto europeo, Redcybersg, che mira a fornire gli elementi per la gestione e la riduzione dei rischi informatici per le Pmi».

Governi presi in contropiede perché non pronti?

Tra coloro che hanno optato per ’l’insicuro’ Zoom ci sono anche amministrazioni pubbliche e governi. Cosa ci dice questo sul grado di analisi dei rischi da parte delle amministrazioni? «Torniamo all'inizio del lockdown: nel giro di una settimana tutti hanno dovuto decidere quali tecnologie utilizzare per il telelavoro. Chi non aveva già una sua strategia ha, anche in questo caso, scelto lo strumento più pratico – rileva Consoli –, magari anche facendosi guidare dalle scelte di altre realtà simili alla propria. Certo, la cosa più saggia per un'amministrazione sarebbe stato valutare la sicurezza degli strumenti da utilizzare, ma un'analisi di due mesi (tanto ci sarebbe probabilmente voluto) sarebbe stata improponibile. Restava quindi l'alternativa: attivare un sistema e tenerlo d'occhio».

Oggi è diverso: dopo l'emergenza, le videoconferenze restano comunque uno degli strumenti abituali di lavoro. «Non ci sarà più un secondo 'effetto sorpresa Covid-19': la pandemia è arrivata d'improvviso e ha creato rapidamente nuove, immediate esigenze. Ora sappiamo gestirle». Certo «molte persone hanno necessitato un po' di tempo per prendere la mano con i nuovi strumenti e le modalità di interazione, ma il passo ormai è fatto».

Le reti hanno retto

Dai grattacapi a quello che invece ha funzionato a dovere, ovvero le reti internet che hanno retto senza troppi problemi un traffico decisamente fuori scala, con consumo accresciuto di tutti i media elettronici (ce ne siamo accorti anche su www.laregione.ch, che ha mostrato una crescita da record). «Oltre agli infermieri, al ramo sanitario e a tutti coloro che sono in prima linea (cui va tutta la nostra gratitudine e ammirazione) – rileva Consoli – bisogna spezzare una lancia anche per chi ha progettato, gestito e supportato le reti digitali e di distribuzione dell’energia elettrica. Reti che non si sono piegate nemmeno di fronte al repentino aumento di utenza e di connessioni simultanee». Più connessioni e più 'pesanti', visto che molte prevedevano anche l'invio o la ricezione di streaming video. «Se le reti non fossero state progettate con delle riserve di capacità, si sarebbe dovuto essere molto meno democratici nel concedere l’uso della banda, limitando le connessioni. Insomma si sarebbe dovuto tagliare fuori chi non ne aveva un bisogno urgente. Un plauso va a tutti coloro che, con picchetti ben gestiti e monitoraggio dei sistemi, hanno reso possibile usufruire delle infrastrutture senza nessun disservizio particolare».

TOP NEWS Tecnologia
Tecnologia
20 ore
'TikTok ha tracciato gli utenti violando la privacy'
Stando al 'Wall Street Journal', l'app ha raccolto i codici identificativi di milioni di smartphone. TikTok: 'Ci impegniamo a garantire la sicurezza'
Tecnologia
1 sett
TikTok aprirà un centro di raccolta dati in Europa
L'app cinese TikTok ha annunciato di prevedere un data centre in Irlanda, che raccoglierà i dati dei suoi utenti europei
Tecnologia
1 sett
TikTok contro Facebook: 'Ci plagia e ci infanga'
A lanciare l'accusa al social network californiano è ByteDance, la compagnia cinese proprietaria della popolare app TikTok
Tecnologia
1 mese
Col coronavirus la tv è tornata in auge
La pandemia ha fatto riguadagnare punti alla televisione, indica un rapporto della Reuters. Cresce il bisogno di accedere ad informazioni affidabili.
Tecnologia
2 mesi
Facebook, metà dei dipendenti a lavoro remoto nel 2030
Mark Zuckerber vuole adottare misure per iniziare ad aprire all'impiego a distanza anche per gli attuali lavoratori
Tecnologia
2 mesi
Spariscono le Sim dei telefoni e arrivano nuovi rischi
Intervista al professor Alessandro Trivilini (Supsi) sul nuovo fenomeno, che ammonisce: attenzione ai furti d'identità nell'internet sommerso
Tecnologia
3 mesi
Meteorologia, senza gli aerei osservazioni in calo
L'emergenza Covid ha messo in ginocchio l'aviazione. Difficile senza questi mezzi il monitoraggio atmosferico e climatico
Tecnologia
3 mesi
Zoom annuncia migliorie alla sicurezza
L'applicazione di teleconferenza era stata al centro dell'attenzione per falle e uso dei dati personali
Tecnologia
4 mesi
Hacker violano Zoom, oltre 500'000 credenziali sul dark web
L'applicazione di videoconferenze è stata presa di mira: dati di mezzo milione di utenti sono in vendita nel lato scuro della rete
Tecnologia
4 mesi
Una tastiera braille sugli smartphone Android
L'ha sviluppata Google, e si può scaricare gratuitamente (per ora, però, funziona solo per l'inglese)
© Regiopress, All rights reserved

Stai guardando la versione del sito mobile su un computer fisso.
Per una migliore esperienza ti consigliamo di passare alla versione ottimizzata per desktop.

Vai alla versione Desktop
rimani sulla versione mobile