BLOG PCDUE - PCDUE Assistenza COMPUTER e NOTEBOOK dal 2001

PCDUE-PARTNER
PCDUE-MICROSOFT-PARTNER
Vai ai contenuti

La sicurezza delle app per videochiamate

PCDUE Assistenza COMPUTER e NOTEBOOK dal 2001
Pubblicato da in Security · 2 Maggio 2020
Tags: smartworkingcallvideoconferenzatelelavoroiorestoacasa
#iorestoacasa non è solo un tag popolare sui social network, ma anche una dura realtà per le aziende costrette dalla pandemia da coronavirus a far lavorare da remoto  la maggior parte del proprio personale. Gli incontri faccia a faccia  sono stati sostituiti dalle videochiamate. Tuttavia, le conferenze  aziendali non servono solo per parlare del tempo, quindi prima di  affidarsi a un’applicazione per videoconferenze,  date un’occhiata ai suoi meccanismi di protezione dei dati. Per essere  chiari, non abbiamo condotto dei test di laboratorio su queste app;  abbiamo consultato fonti disponibili pubblicamente per informazioni su  problemi noti nei software più diffusi.

Google Meet e Google Duo

Google offre due servizi di videochiamata: Meet e Duo.  Il primo è un’applicazione che si integra con gli altri servizi di  Google (G Suite). Se la vostra azienda li utilizza, Hangouts Meet si  adatta bene.

Sicurezza — Google Meet

Tra i vantaggi di Meet, il vendor cita un’infrastruttura di elaborazione dati affidabile, la cifratura (non end-to-end,  però) e una serie di strumenti di protezione, tutti attivi di default.  Come la maggior parte degli altri prodotti aziendali, G Suite (e quindi  anche Google Meet), segue standard di sicurezza avanzati e offre, tra le sue caratteristiche, opzioni di configurazione e di gestione dei diritti di accesso fra le sue impostazioni di sicurezza.

Sicurezza — Google Duo

L’app per cellulari Duo, invece, protegge i dati con la cifratura end-to-end.  Tuttavia, si tratta di un’applicazione pensata per utenti privati, non  per aziende. Le sue videochiamate possono ospitare un massimo di 12  partecipanti.

Vulnerabilità e lati negativi

A parte alcuni messaggi che ricordano a tutti noi che Google raccoglie i dati degli utenti e quindi può essere una minaccia per i segreti commerciali non siamo riusciti a trovare informazioni concrete sulle prestazioni di sicurezza di queste applicazioni di videoconferenza.  Questo non significa che i servizi di Google siano impeccabili, ma sono  supportati da un team di sicurezza molto forte che tende a risolvere i  problemi prima che causino danni.

Slack

Su Slack, è possibile creare più spazi di lavoro in  chat per i team, comodamente visualizzati in un’unica finestra, più  canali all’interno dello spazio di lavoro dedicato ai diversi progetti.  Le conferenze sono limitate a 15 partecipanti.

Sicurezza

Slack rispetta una serie di standard di sicurezza internazionali,  tra cui SOC 2. Il servizio può essere configurato per lavorare con dati  medici e finanziari e permette alle aziende di selezionare una zona per  l’archiviazione dei dati. Inoltre, per entrare a far parte di uno  spazio di lavoro Slack è necessario un invito o un indirizzo e-mail utilizzando il dominio aziendale.
Slack in più offre ai propri clienti strumenti flessibili di gestione  dei rischi, integrazione con soluzioni di Data Loss Prevention (DLP) e  strumenti di controllo di accesso ai dati. Ad esempio, gli  amministratori possono limitare l’uso di Slack da dispositivi personali e la copia di informazioni dai propri canali.

Vulnerabilità e lati negativi

Secondo gli sviluppatori di Slack, solo un numero limitato di aziende ha realmente bisogno di una cifratura end-to-end, e l’implementazione della stessa per la sicurezza nell’applicazione per le videoconferenze può limitare le funzionalità. Pertanto, Slack apparentemente non ha intenzione di aggiungere la cifratura end-to-end.
Slack consente inoltre di integrare applicazioni di terze parti, la cui sicurezza non è di sua competenza.
Per di più, i ricercatori hanno trovato delle vulnerabilità gravi in  Slack. L’azienda ha rilasciato patch per due vulnerabilità: un bug che  permetteva ai cybercriminali di rubare i dati e uno che consentiva l’intercettazione della sessione di un utente.

Teams

Microsoft Teams è integrato in Office 365,  principale vantaggio per un utente aziendale. In risposta alla  crescente richiesta di tool per lavorare da casa, Microsoft offre ora  una prova gratuita di sei mesi di Microsoft Teams, ma gli utenti di prova non potranno configurare le impostazioni e le politiche degli utenti, un potenziale pericolo per la sicurezza.

Sicurezza

Teams rispetta diversi standard internazionali, può essere impostato per lavorare con dati medici riservati  e vanta opzioni di gestione della sicurezza flessibili. Per quanto  riguarda alcuni piani dei servizi, su Teams è possibile integrare  strumenti aggiuntivi, come il DLP o la scansione dei file in uscita. La  nostra soluzione di sicurezza per la protezione di MS Office 365 esegue la scansione dei dati scambiati attraverso Teams per evitare che i malware si diffondano attraverso la rete aziendale.
I dati inviati al server, sia che si tratti di chat che di videochiamate, sono cifrati, ma anche in questo caso non stiamo parlando di cifratura end-to-end. Parlando di immagazzinamento ed elaborazione, le informazioni non lasciano mai la zona in cui opera la vostra azienda.

Vulnerabilità

È una buona idea monitorare le vulnerabilità su Teams. In genere Microsoft le risolve rapidamente, ma si ripresentano di tanto in tanto. Ad esempio, dei ricercatori hanno recentemente scoperto una vulnerabilità (già risolta) che permetteva di prendere il controllo di un account.

Skype for Business

La versione su cloud di Skype for Business (il predecessore di Teams for Office 365) sta gradualmente diventando un ricordo del passato, ma è ancora possibile installarla in locale. Alcuni utenti lo trovano più comoda rispetto a Teams e Microsoft continuerà a fornire supporto per la versione locale di Skype durante i prossimi due anni.

Sicurezza

Skype for Business cifra le informazioni, ma non end-to-end, e la protezione del servizio è configurabile. Questa applicazione per videoconferenze utilizza anche un software per server locali, in modo tale che le videochiamate e altri dati non escano mai dalla rete aziendale, un evidente vantaggio.

Vulnerabilità e lati negativi

Il prodotto non durerà per sempre, per questo sarà vulnerabile ad attacchi come gli spyware commerciali. A meno che Microsoft non modifichi i suoi piani, il supporto per l’applicazione terminerà a luglio 2021 e Skype for Business Server 2019 riceverà supporto esteso fino al 14 ottobre 2025.

WebEx Meetings e WebEx Teams

Cisco WebEx Meetings è un servizio focalizzato esclusivamente sulle videoconferenze e Cisco WebEx Teams è un servizio completo di coworking che, tra le altre cose, supporta le videochiamate. Per quanto riguarda l’argomento di questo post, la differenza è nell’approccio dal punto di vista della cifratura.

Sicurezza

Cisco WebEx Meetings include servizi aziendali e cifratura end-to-end (l’opzione è disattivata di default, ma il provider del servizio può attivarla su  richiesta. In questo modo si limita in qualche modo la funzionalità, ma  se i vostri dipendenti si occupano di informazioni riservate durante le  riunioni, è certamente una buona opzione da prendere in  considerazione). Cisco WebEx Teams fornisce una cifratura end-to-end  solo per i messaggi e i documenti, mentre le chiamate video e audio  vengono decifrate sui server Cisco.

Vulnerabilità e lati negativi

Solo a marzo scorso, il vendor ha rilasciato una patch per due vulnerabilità di WebEx Meetings che minacciavano l’esecuzione da remoto del codice. E all’inizio dello scorso anno, un grave bug è stato individuato nel client WebEx Teams. Ciò ha permesso l’esecuzione di comandi con i diritti propri di un utente. Nonostante ciò, Cisco è noto per la sua serietà in materia di sicurezza e aggiorna i suoi servizi in modo rapido.

WhatsApp

WhatsApp è stato ideato per la comunicazione sociale,  non per il business, ma l’applicazione gratuita può coprire le esigenze  di videoconferenza di piccole aziende o team. Il programma non è adatto  alle grandi aziende; la videoconferenza è disponibile solo per un  massimo di quattro partecipanti alla volta.

Sicurezza

WhatsApp ha l’indiscutibile vantaggio di una vera cifratura end-to-end. Ciò significa che né terzi né i dipendenti di WhatsApp possono vedere le vostre videochiamate.  Ma a differenza delle applicazioni aziendali, WhatsApp non offre quasi  nessuna opzione di gestione della sicurezza per chat e chiamate, ma solo  ciò che è integrato.

Vulnerabilità e lati negativi

Solamente l’anno scorso gli hacker hanno diffuso lo spyware Pegasus attraverso le videochiamate WhatsApp.  Il bug è stato risolto, ma ricordate che l’app non è stata pensata per  offrire una protezione per le aziende, quindi, come minimo, gli utenti  dovrebbero seguire attentamente le notizie sulla sicurezza informatica.

Zoom

Zoom, una piattaforma di videoconferenza su cloud fa notizia fin dall’inizio della pandemia da coronavirus.  Il suo prezzo flessibile (con conferenze gratuite di 40 minuti fino a  100 partecipanti) e la facilità d’uso hanno attirato tantissimi utenti,  ma anche i punti deboli della piattaforma hanno richiamato altrettanta  attenzione. Per questo, vi suggeriamo di seguire questi consigli per la sicurezza su Zoom.

Sicurezza

Il servizio rispetta lo standard internazionale di sicurezza SOC 2, offre un piano di servizio separato conforme all’HIPAA per i fornitori di servizi sanitari  e ha una configurazione flessibile. Gli organizzatori delle sessioni  possono bloccare i partecipanti anche quando il link corretto e la  password, può impedire la registrazione della conferenza e altro ancora.  Se necessario, Zoom può essere impostato in modo tale che il traffico non esca dall’azienda.
Zoom ha affrontato attivamente i problemi di vulnerabilità segnalati, e l’azienda afferma di voler dare priorità alla sicurezza dei prodotti rispetto all’aggiunta di nuove funzionalità.

Vulnerabilità e lati negativi

Zoom sostiene di aver implementato la cifratura end-to-end,  ma la dichiarazione non è del tutto esatta. Con la cifratura  end-to-end, nessuno, a parte il mittente e il destinatario, può leggere i  dati trasmessi, mentre Zoom decifra i dati video sui suoi server e non sempre nemmeno nel paese d’origine della vostra azienda.
Nelle applicazioni Zoom sono state scoperte vulnerabilità di varia entità. I clienti di Windows e macOS che utilizzano Zoom hanno segnalato un bug (già risolto) che permetteva ai cybecriminali di rubare i dati contenuti nel computer. Altri due bug nell’app macOS consentono potenzialmente ai cybercriminali di impossessarsi completamente del dispositivo.
Inoltre, sono emerse numerose segnalazioni di troll su Internet  che entravano nelle conferenze pubbliche non protette da password, per  pubblicare commenti discutibili e condividere schermate con contenuti  osceni. Nel complesso, è possibile risolvere il problema riguardante la  sicurezza configurando correttamente la privacy della vostra conferenza, ma Zoom ha anche aggiunto una protezione con password di default per essere sicuri.
La notizia dei problemi di sicurezza di Zoom ha  portato grandi protagonisti a screditare il servizio. Ma tutti i servizi  hanno delle vulnerabilità e, nel caso di Zoom, l’esplosione di  popolarità ha portato a essere sotto i riflettori.

Scegliete l’app più adatta a voi

Non esiste un’app per videochiamate perfettamente  sicura, o nessuna app di alcun tipo, se è per questo. Scegliete un  servizio i cui aspetti negativi non siano problematici per il vostro  business. E ricordate, la scelta dell’app giusta è solo il primo passo.
  • Prendetevi il tempo necessario per configurare la privacy del servizio. Le impostazioni permissive hanno reso possibile molte fughe di dati;
  • Aggiornate tempestivamente le vostre app per risolvere le vulnerabilità il prima possibile;



2 commenti
Voto medio: 125.0/5
Pepy
2020-05-03 11:17:55
Io uso ancora skipe e mi trovo bene
Franco
2020-05-03 06:00:48
Articolo davvero interessante. Immaginavo differenze, ed ora ho anche capito quali sono.
Powered PCDUE.com Copyright 2020 | 2021
    PARTNER
  • MICROSOFT
  • LENOVO
  • BACKBLAZE
  • SYNOLOGY
  • F-SECURE
  • ZYXEL
      SERVIZI
  • ASSISTENZA PC
  • GDPR
  • CYBERSECURITY
  • NOLEGGIO PC
  • RIMOZIONE VIRUS
  • RECUPERO DATI
      SHOP
  • HARDWARE
  • SOFTWARE
  • NAS
  • PC GAMING
  • WORKSTATION
  • FIREWALL
CAO s.a.s. di Maurizio Oliverio
Sede Legale:
Viale Sondrio, 7
20124 Milano
Tel. ‭0250043624
P.I. 08966930961
Marchi e Loghi dei rispettivi proprietari.
Torna ai contenuti