Video calling platform Zoom bought a German startup specializing in language translation using Artificial Intelligence.

https://www.entrepreneur.com/article/376378

Apr 09, 2021 Marco Schiaffino In evidenza, News, RSS, Scenario, Vulnerabilità 0

---

La manifestazione quest’anno si è tenuta in Texas. Ecco i risultati della competizione che vede impegnati ricercatori di sicurezza di tutto il mondo.

I migliori “white hat” in circolazione si sono sfidati, come ogni anno, nella compromissione di sistemi operativi e software per dimostrare la loro abilità e contribuire alla messa in sicurezza delle loro “vittime”.

È il Pwn2Own 2021, svoltosi quest’anno ad Austin (Texas) secondo il classico schema che vede i concorrenti cimentarsi in prove pratiche di hacking ai danni dei più disparati prodotti software.

Da un punto di vista statistico, sui 23 tentativi di compromissione andati in scena il tasso di successo è stato decisamente elevato: solo 2 fallimenti e 5 successi “parziali”. I rimanenti 16 attacchi sono andati a buon fine e porteranno, com’è tradizione, a un percorso di responsible disclosure che consentirà di correggere le vulnerabilità individuate.

A fare il colpo grosso nel Pwn2Own 2021 sono stati Daan Keuper e Thijs Alkemade di Computest, che si sono aggiudicati un premio di 200.000 dollari sfruttando una concatenazione di tre bug per creare un exploit in grado di avviare l’esecuzione di codice attraverso il client di Zoom.

Stessa ricompensa per il team DEVCORE, nel cui mirino è finito Exchange Server. I ricercatori sono riusciti a prenderne il controllo sfruttando una tecnica di bypass dell’autenticazione e un bug che ha consentito loro di elevare i privilegi nel sistema.

Tra le altre vittime eccellenti del Pwn2Own, si registra la presenza di Microsoft Teams (esecuzione di codice in remoto) messa a segno dal team OV che ha incassato per la prodezza 200.000 dollari.

Una ricompensa di “soli” 100.000 dollari per Bruno Keith e Niklas Baumstark di Dataflow SecurityG, che hanno messo K.O. Google Chrome utilizzando un bug di tipo “typer mismatch”.

L’elenco completo può essere consultato sul blog Internet dell’evento creato da Trend Micro che, come ogni anno, è corredato da video e approfondimenti.

---

---

---

https://www.securityinfo.it/2021/04/09/zoom-exchange-teams-e-chrome-tutte-le-vittime-del-pwn2own/?utm_source=rss&utm_medium=rss&utm_campaign=zoom-exchange-teams-e-chrome-tutte-le-vittime-del-pwn2own

For Clay Scroggins, preaching on Zoom was never part of the plan. As lead pastor at Buckhead Church in Atlanta, he was accustomed to services in a 3,000-seat auditorium, with live music and a jumbotron for people in the back. But God’s plan is often mysterious, so when the city of Atlanta forced him to shut the church’s doors last spring, Scroggins faithfully moved his ministry online. “Ultimately, we were really informed by Jesus’ calling for us to love our neighbors,” he says, “and the most loving thing we could do was to continue to meet virtually.”

And continue to meet virtually they have. Sunday sermons are broadcast live and posted to the church’s YouTube channel for congregants to watch anytime. Bible study and small group meetings have moved to Zoom. Buckhead has even managed to replicate spontaneous church lobby “bump-ins” with video chat breakout rooms for some events. Donations, which provide all of the church’s operating income, remain the same, they just come via a digital collection plate. At Buckhead Church, virtual worship is going so well that some parts of it might be here for good. But not every congregation has been so blessed.

For places of worship, Covid-19 has upended traditions and emptied sacred spaces. About 45 percent of Americans attend religious services regularly, most of them in Christian churches, like Buckhead Church. Or they did, until last spring. Then shutdowns and stay-at-home orders sent congregations scrambling to move their services online, similar to schoolsand workplaces. Some, like Buckhead, found themselves well prepared, with the resources and technical savvy to keep attendance and alms steady throughout the year. Other churches found themselves in trouble, struggling to reach worshippers virtually while facing budget cuts, layoffs, and the threat of bankruptcy or even permanent closure. Nearly one year into the pandemic, its effects on religious life, like other aspects of American society, appears unevenly distributed, with large, successful churches continuing to do well and struggling churches falling further behind.

“The digital divide in churches reflects the digital divide in American society more generally,” says Mark Chaves, a theologian at Duke University and director of the National Congregation Study, which has surveyed religious groups in the US since 1998. Churches with less of a digital presence tend to be located in rural areas. Their congregations are more likely to be older, lower-income, and Black. Those demographic groups are also less likely to have access to broadband, and they have been disproportionately affected by the pandemic, both in health and economic outcomes. Those realities have factored into church outcomes too. A survey from LifeWay Research, which focuses on Christian ministries, found that white pastors were the most likely to report offerings that were higher than expected in the past year. Black pastors, by contrast, were most likely to report that the pandemic economy was impacting their churches “very negatively.” Churches often run on tight margins, and those impacts can have long-term effects: LifeWay Research found that a small percentage of churches have had to cut down on outreach, suspend Sunday School or small group programs, or lay off staff members. Black pastors were more likely to say they cut staff pay or deleted a church position.

Chaves says that churches that have been slow to adopt technology usually have fewer resources, so they’re more reluctant to spend on things like a live-streaming setup. But the resistance can also be cultural. “Sometimes there’s a tension with institutions that are based on tradition,” says Walle Mafolasire, founder and CEO at Givelify, a digital tithing startup. “It’s like, what do you mean, ‘tap, tap, give,’ when it’s right there in the Bible that you should bring your gifts to the altar?” The pandemic, he adds, has changed the equation: “Well, right now, I’m on Zoom. Zoom is my altar.”

At the start of 2020, about half of American churches used a digital tithing service like Givelify. Platforms like these uncouple giving from church attendance and allow people to set up recurring donations, which can make it easier for a church to predict its income. The pandemic greatly accelerated the pace of adoption: By April, one-third of churches that weren’t using a digital tithing platform had signed up for one, according to LifeWay Research. Givelify says that it has seen an explosion of new users, and that the gross amount of donations to churches on its service has remained steady in the pandemic (although, in recent months, the number of donors has slightly decreased). The company also found that one-third of faith-based organizations reported an increase in donations during the 2020 pandemic—specifically, ones with more of a digital presence. Churches with YouTube channels, Instagram pages, and prominent websites saw 533 percent more donations than those without.

Technology like this can help churches of all kinds, but it has been a lifeline for some smaller and more rural churches, which have been more vulnerable in the pandemic. The First Baptist Church Reeltown, in rural Notasulga, Alabama, has a bare-bones digital presence—a website and a Facebook page—and operates its ministry in an “antiquated way,” says Sarah Jones, the church’s secretary. Last year, it broadcast sermons more regularly on Facebook Live while it was unsafe for its 200 members to meet in person. The church also happened to sign up for another digital tithing service called Pushpay at the end of 2019—a decision that quickly paid off. Despite several months when no one attended First Baptist Church Reeltown in person, giving to the church remained consistent. “Most churches our size experienced decreased giving and really felt the weight of that,” says Jones. “That was not our story this year.”

Pushpay says churches have seen as much as $500,000 in new giving a year after signing up for the service. “This means that half a million dollars was sitting there latent, but people started giving because they can now do it from their phone,” says Troy Pollock, Pushpay’s chief ambassador. The company sees its payments platform as an entry-level product that can introduce churches to its other technological solutions.

That’s what happened at First Baptist Church Reeltown. Although the church is still mostly run on “paper and pen,” Jones says, it’s now looking into new ways to incorporate technology into its services. Last year the church used Pushpay’s additional features to upload sermon notes and prayer cards for members. For churches with larger congregations and more complex needs, Pushpay also offers a “church management system”—modeled after Salesforce software—that keeps data on parishioners. The service can help churches to gently nudge their members to be more active, from attending services on Sundays to volunteering and teaching Bible study classes.

For the faith sector, the acceleration of new technologies could lead to massive changes. Other industries, like media and retail, have been transformed as they progressively moved online; money, influence, and attention now converge in a small pool of winners, often at the expense of smaller outfits. Some believe churches might experience something similar. “You’re going to have the top 40 preachers that everyone listens to, and the regular everyday preacher is not going to be able to compete,” says William Vanderbloemen, a former pastor and founder of the Vanderbloemen Search Group, an executive search firm for churches. That’s not to say more niche markets couldn’t also emerge. “People will still show up to hear a message from a pastor who knows their specific community on a micro-contextual level. Like, here’s what happened in our zip code this week, and here’s how it relates to how we think of our God.”

Mafolasire, the founder of Givelify, calls this the “Amazon-like way of experiencing faith.” People might still be practicing with their local parish, but they’re also looking around more at other churches, and in many cases giving money to them too. In the past year, about 20 percent of Givelify’s donors have given money to multiple faith-based organizations. To Mafolasire, this suggests that churches that get ahead will be the ones that can magnify their online presence, drawing in new people from the internet. Givelify’s data from this year backs that up too. “For those churches who saw their giving increase,” says Mafolasire, “it was coming from their ability to reach a wider audience.”

Chaves, who runs the National Congregation Study, says it’s too soon to know whether this year will have a lasting impact on worship practices, and what that impact would be. “Church attendance has been declining slowly for decades,” he says. “Will we see a shift if online participation stays ubiquitous? Or will it mean that more people are participating?” Some early research suggests that churchgoers are eager to get back to in-person services and worshipping together with their community. While some smaller congregations are unlikely to continue broadcasting their sermons on Facebook Live, other churches may find value in a hybrid model, where some people come into Sunday services and others watch from their computers.

At Buckhead Church, the Sunday services will continue to be online until the congregation can safely reunite en masse. Pastor Scroggins doesn’t love preaching over Zoom, but it reminds him of a Bible verse—2 John, 1:12. “I have much to write to you, but I do not want to use paper and ink. Instead, I hope to visit you and talk with you face to face, so that our joy may be complete.” For Scroggins, it captures the essence of pandemic preaching. “I think what John is saying is that the most complete form of communication is face to face,” he says. “But that’s not always possible.”

This story originally appeared on wired.com.

https://arstechnica.com/?p=1742105

In the not-too-distant future, people may be able to perceive odors from other participants on video calls.

https://www.entrepreneur.com/article/361218

Ott 19, 2020 Marco Schiaffino In evidenza, Keylogger, Malware, Minacce, News, RSS, Trojan 0

---

I pirati sfruttano la popolarità del software di videoconferenza per distribuirlo online. Una volta installato, cerca di rubare le credenziali per i servizi bancari.

Un malware studiato per infiltrarsi nei sistemi Windows sostituendo un file utilizzato da Zoom e rubare così le credenziali di accesso per i servizi di home banking. Vimoz, individuato dai ricercatori IBM Security Trusteer, è una delle minacce più originali comparse nelle ultime settimane.

Da un punto di vista tecnico, Vimoz è un classico trojan, che consente ai suoi autori di controllare in remoto alcune funzionalità del computer infetto. Le caratteristiche più interessanti del malware, però, riguardano la tecnica di diffusione e installazione.

Come spiegano nel report pubblicato su Internet i ricercatori che lo hanno scovato, Vimoz viene infatti diffuso attraverso campagne di spam e phishing, proponendo il file di installazione come un aggiornamento o una nuova versione di Zoom.

Uno stratagemma piuttosto banale, ma che in un periodo caratterizzato dalla pandemia da Covid 19 e dal conseguente utilizzo intensivo di strumenti di videoconferenza può contare su buone probabilità di avere successo.

Una volta che la vittima ha avviato il file di installazione sul computer, Vimoz avvia una complicata catena di attività per installare il suo payload. Per prima cosa installa una serie di file legittimi correlati a Zoom, tra i quali però c’è una DLL malevola (Cmmlib.dll) che viene inserita nella cartella di installazione.

La tecnica adottata dai pirati fa leva su alcune caratteristiche di Windows e, in particolare, sulle procedure che il sistema operativo usa per eseguire le DLL relative a un software. In questo caso, i pirati si assicurano l’esecuzione del codice contenuto al suo interno proprio grazie al fatto che la DLL malevola è memorizzata nella stessa cartella dell’eseguibile (legittimo) di Zoom.

A questo punto, Vizom avvia il download di un secondo payload che viene prelevato da un repository su cloud e che contiene, ancora una volta, un file di installazione di un software assolutamente insospettabile come Vivaldi, un browser freeware multipiattaforma.

Per garantire l’esecuzione del browser, Vizom modifica tutti i collegamenti interni a Windows in modo che, qualunque sia il browser che la vittima intende aprire, venga avviato comunque Vivaldi.

L’utente, però, vedrà comunque aprirsi il browser che ha avviato. Questo, però, verrà eseguito come una dipendenza di Vivaldi. L’obiettivo, infatti, è esclusivamente quello di mantenere attiva la DLL associata a Vivaldi e consentire così ai pirati informatici di monitorare la navigazione della vittima.

Il loro obiettivo, spiegano i ricercatori, è quello di sapere quando si collegano a un servizi odi home banking e sfruttare un classico sistema basato su un overlay a tutto schermo (consentito proprio dalle caratteristiche di Vivaldi) che gli consente di catturare degli screenshot dal computer infetto, mentre un modulo a parte si occupa di registrare tutto ciò che viene digitato sulla tastiera (comprese ovviamente le password) attraverso un keylogger.

Gli attacchi, spiegano i ricercatori, sarebbero per il momento concentrati sul territorio brasiliano. Le particolarissime caratteristiche del malware, però, potrebbero portare i cyber criminali ad allargare il loro campo d’azione o a estendere l’attività fornendone il codice ad altri pirati informatici, secondo la logica (ormai diffusissima) del “malware as a service”.

---

---

---

https://www.securityinfo.it/2020/10/19/si-finge-zoom-e-infetta-il-computer-ecco-il-malware-vizom/?utm_source=rss&utm_medium=rss&utm_campaign=si-finge-zoom-e-infetta-il-computer-ecco-il-malware-vizom

The video conferencing company’s stock soared roughly 23 percent, and its second quarter sales are up 355 percent from last year.

https://www.entrepreneur.com/article/355623

Giu 05, 2020 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

---

Per i due software sono disponibili in queste ore gli update di sicurezza che correggono falle critiche. Zoom propone la crittografia, ma non per tutti.

Aggiornamenti importanti per Firefox e Zoom. Per entrambi le nuove versioni contengono correzioni di bug che mettono a rischio la sicurezza degli utenti.

Per quanto riguarda la versione 77 di Firefox, gli aggiornamenti risolvono, in particolare, alcuni bug che avrebbero permesso l’esecuzione di codice in remoto sulle macchine equipaggiate con il browser di Mozilla.

Le falle di sicurezza in questione sono tre e riguardano la gestione dei JavaScript (CVE-2020-12406) e vari bug che possono portare alla corruzione di memoria identificati come CVE-2020-12410 e CVE-2020-12411.

Le vulnerabilità sono state classificate ad alto rischio e avrebbero consentito l’esecuzione di codice in seguito al semplice caricamento di una pagina Web contenente un eventuale exploit.

Come d’abitudine, l’aggiornamento di Firefox è automatico, pertanto la nuova versione del browser verrà scaricata e installata al momento del primo riavvio.

Diverse le cose per Zoom, per il quale è invece necessario il download e l’esecuzione dell’installer. I dettagli delle vulnerabilità individuate nel software di videoconferenza sono stati pubblicati dai ricercatori di Talos e si tratta di bug di una certa importanza.

Nel dettaglio, gli analisti hanno individuato un bug che avrebbe consentito di avviare l’esecuzione di codice in remoto attraverso l’invio in chat di una GIF animata (CVE-2020-6109) o di un messaggio di testo specifico (CVE-2020-611).

Entrambe le vulnerabilità avrebbero consentito di portare l’attacco a tutti i partecipanti alla conferenza video, consentendo quindi a un eventuale pirata informatico di fare una vera strage di PC in pochissimo tempo.

Qualche polemica, invece, riguarda la scelta degli sviluppatori di Zoom di limitare la protezione crittografica end to end agli utenti che hanno un account a pagamento.

La dichiarazione del CEO di Zoom Eric Yuan secondo cui la scelta punta a consentire alle forze di polizia di poter agire nei confronti di chi usa la piattaforma per scopi illegali fa infatti acqua da tutte le parti. Vista la valanga di critiche piovuta sull’azienda, è possibile che le cose cambino in un prossimo futuro.

---

---

---

https://www.securityinfo.it/2020/06/05/tempo-di-aggiornamenti-per-firefox-e-zoom/?utm_source=rss&utm_medium=rss&utm_campaign=tempo-di-aggiornamenti-per-firefox-e-zoom

A causa della pandemia di COVID-19 è avvenuta un’imponente riconversione nel mondo del lavoro. Al fine di garantire allo stesso tempo la continuità delle funzioni di aziende e pubbliche amministrazioni e il rispetto delle nuove norme di distanziamento sociale, molte entità si sono adoperate per permettere ai propri dipendenti di lavorare in modalità di smart working. Uno dei risultati di tale riconversione è stato l’incremento esponenziale dell’utilizzo di piattaforme di videoconferenza. Tra le piattaforme più popolari attraverso le quali enti pubblici e privati stanno conducendo i propri meeting online si contano Zoom, Cisco Webex, Skype for Business, Microsoft Teams e Google Classroom. Oltre a facilitare la riconversione del mondo del lavoro, l’aumento di traffico su queste piattaforme ha tuttavia inevitabilmente stimolato l’attenzione di hacker e attori malevoli intenzionati a trarre il maggior vantaggio possibile da questo nuovo contesto d’azione.

Nei giorni scorsi la piattaforma Zoom è stata presa ad esempio di questa dualità. Fin da prima dello scoppio della pandemia di COVID-19 la facilità di utilizzo dell’interfaccia della piattaforma aveva notevolmente contribuito al suo diffuso successo. Come molte altre start-up digitali, Zoom ha avuto il merito di mutuare la strategia commerciale introdotta agli inizi degli 2000 da Google: offrire un servizio straordinariamente semplice in grado di comprendere cosa voglia un utente e di fornirglielo immediatamente. Non stupisce quindi che nello scorso trimestre Zoom avesse già registrato una crescita dell’85% del suo fatturato annuo e un allargamento del 67% della sua base di utenti durante lo stesso trimestre[1].

A seguito dell’avanzare della pandemia, la pagina preposta al download del sistema di videoconferenza ha poi visto, nel solo mese di marzo, un incremento del suo traffico giornaliero del 535%[2]. Il potenziale valore della compagnia ha inoltre attirato investimenti sempre crescenti. La notizia circolata a fine marzo circa la sospensione messa in atto dall’ente statunitense preposto alla vigilanza della borsa valori, la U.S. Security and Exchange Commission, del trading di azioni della Zoom Technologies Inc. (ticker: ZOOM) è misura della crescente attrazione di nuovi investimenti da parte della piattaforma. Le vendite azionarie dell’azienda avevano infatti subito un incremento inusuale a causa di un errore degli investitori, intenzionati ad acquistare in realtà le azioni della piattaforma di videoconferenza Zoom Video Communications Inc. (ticker: ZM)[3].

Oltre a un cospicuo numero di investitori, il servizio di videoconferenza ha tuttavia attirato a sé anche l’attenzione di vari attori malevoli. Nello stesso mese di marzo è stato registrato un incremento del 2.000% di file dannosi contenenti “zoom” nel nome. Secondo una ricerca condotta dalla compagnia di cyber security Cyiax, dall’inizio della pandemia sarebbero circa 3.300 i nomi dominio registrati all’interno dei quali era presente la parola “zoom.” Di questi, 2.000 sono stati identificati come domini finalizzati al phishing[4]. Nello specifico, la creazione di tali nomi dominio è legata a campagne di ingegneria sociale attraverso le quali, tramite l’invio di messaggi mail targhettizzati, attori malevoli cercano di sottrarre informazioni personali, in genere di natura finanziaria, fingendosi degli interlocutori credibili. La stessa Cyiax ha inoltre scoperto la creazione di uno strumento, chiamato zWarDial, utilizzato da tali attori, che avrebbe permesso loro di individuare meeting non protetti da password.

Lo zoombooming, nuovo termine coniato da alcuni analisti di sicurezza informatica, è un ulteriore tipo di attacco cibernetico legato alla piattaforma e consiste nell’intrusione di hacker in meeting privati, o comunque di utenti estranei a una conversazione, i quali “bombardano” i partecipanti di messaggi di insulti, immagini pornografiche o altri contenuti indesiderati.

Le problematiche di Zoom non sono tuttavia legate esclusivamente all’ambito della sicurezza. Diverse obiezioni sono state sollevate relativamente al trattamento dei dati personali e alla salvaguardia della privacy messe in atto dalla piattaforma. A tal riguardo, tra le polemiche che hanno più infiammato il dibattito pubblico in queste settimane si conta quella della condivisione di dati con Facebook senza il consenso informato degli utenti, pratica oggi bloccata dalla piattaforma. I dati condivisi da Zoom comprendevano il tipo di dispositivo utilizzato dagli utenti, il sistema operativo, le dimensioni dello schermo e l’operatore mobile, nonché un identificatore univoco che le aziende avrebbero utilizzato per proporre annunci pubblicitari targettizzati.

In aggiunta, il Washington Post ha pubblicato negli scorsi giorni un’inchiesta secondo la quale migliaia di registrazioni di videoconferenze sarebbero state diffuse online, rendendo pubblicamente accessibili dati personali e strettamente confidenziali. Di fatto, alcune videoconferenze registrate tramite l’applicazione sono state posizionate in un archivio cloud, per accedere al quale non veniva richiesta alcuna password, che archiviava tutte le registrazioni sotto il medesimo nome identificativo, permettendo a chiunque cercasse tale identificativo online di accedere a una lista di circa 15.000 registrazioni omonime[5].

Ulteriori problematiche legate al trattamento dei dati da parte di Zoom sono insorte a seguito della pubblicazione di una ricerca dell’Università di Toronto che ha evidenziato come il sito di videoconferenza abbia fatto passare dati dei suoi utenti attraverso due suoi server localizzati in Cina, esponendo le riunioni coinvolte al rischio dello spionaggio da parte di Pechino[6]. Anche in questo caso, Zoom ha annunciato di aver risolto il problema e che l’utilizzo di server in Cina per la gestione delle conversazioni ha coinvolto un numero molto limitato di casi, quantunque l’apprensione circa il rischio di azioni di intelligence straniera a danno dell’azienda sia rimasta alta.

La piattaforma si è vista infine coinvolta in un’inchiesta condotta dal magazine The Intercept circa il mancato utilizzo di cifratura end-to-end, problema anch’esso risolto attraverso un aggiornamento delle policy dell’azienda. In questo contesto, al fine di rassicurare i propri utenti e investitori Zoom ha annunciato una serie di misure tra le quali la creazione dell’opzione “security”, che un host può selezionare in caso di intrusione in una videoconferenza privata di ospiti non riconosciuti; la rimozione del Meeting ID dalla barra degli strumenti dell’applicazione; e l’assunzione del ex CSO di Facebook Alex Stamos come consulente per la sicurezza[7].

Il tortuoso succedersi di notizie che ha visto coinvolto Zoom e la dinamica di rincorsa tra scandali e politiche correttive dimostra come le risorse preposte alla sicurezza cibernetica e al controllo della salvaguardia della privacy degli utenti siano ad oggi ancora largamente insufficienti. In aggiunta, il fatto che nelle ultime settimane la piattaforma sia stata così duramente attaccata lascia intendere non tanto che queste problematiche riguardino solo Zoom, quanto che queste siano insorte perché il sito è diventato un soggetto particolarmente sotto scrutinio. È anzi realistico pensare che, proprio alla luce dei vari scandali che l’hanno vista coinvolta, la piattaforma stia prendendo maggiori misure al fine di salvaguardare sicurezza e privacy di quanto non stiano facendo i suoi competitor.

Più che una caccia all’ “untore” di cattive pratiche, la vicenda che ha visto coinvolta la piattaforma Zoom dovrebbe quindi servire come monito riguardo alle vulnerabilità a cui sono esposti questi sistemi, e alla prontezza e ferocia con cui diversi attori sono disposti a servirsene. Risposte mirate a problemi mirati sono necessarie, ma non sufficienti: una maggiore cyber hygene degli utenti, nonché una risposta concertata a livello internazionale, appaiono dunque più che mai necessarie.

Note

[1] Jon Quast, Can Zoom Stay Focused on Happiness While It Grows Like Gangbusters?, The Motley Fool, 8 gennaio 2020. https://www.fool.com/investing/2020/01/08/can-zoom-stay-focused-on-happiness-while-it-grows.aspx

[2] Davey Winder, Zoom Isn’t Malware But Hackers Are Feeding That Narrative, And How: Zoom-Related Threats Up 2,000%, Forbes, 12 aprile 2020. https://www.forbes.com/sites/daveywinder/2020/04/12/zoom-isnt-malware-but-hackers-are-feeding-that-narrative-and-how-zoom-related-threats-up-2000/#3bce55af1ae5

[3] Jen Wieczner, ‘ZOOM’ stock halted after investors confuse it with Zoom Video stock, Fortune, 26 Marzo 2020. https://fortune.com/2020/03/26/zoom-stock-halt-zm-ticker/

[4] CYJAX INSIGHTS AND RESEARCH. https://www.cyjax.com/category/blog/

[5] Drew Harwell, Thousands of Zoom video calls left exposed on open Web, Washington Post, 3 aprile 2020. https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

[6] Patrizia Licata, Zoom fa mea culpa: “Dati degli utenti inviati per errore in Cina”, CorCom, 6 aprile 2020. https://www.corrierecomunicazioni.it/privacy/zoom-fa-mea-culpa-dati-degli-utenti-spediti-per-errore-in-cina/

[7] Kate O’Flaherty, Zoom Security: Here’s What Zoom Is Doing To Make Its Service Safer, Forbes, 10 aprile 2020. https://www.forbes.com/sites/kateoflahertyuk/2020/04/10/zoom-security-heres-what-zoom-is-doing-to-make-its-service-safer/#720332bc30fc

Articolo a cura di Carolina Polito

https://www.ictsecuritymagazine.com/articoli/smart-working-e-cybersecurity-le-problematicita-di-zoom-e-delle-piattaforme-di-videoconferenza/

Apr 16, 2020 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, Privacy, RSS, Vulnerabilità 0

---

Tra allarmi, bufale e zoombombing, il software di videoconferenza è al centro delle cronache. E spuntano zero-day in vendita per 500.000 dollari.

È passato da 10 a 200 milioni di utenti in un paio di settimane e i problemi di sicurezza non sono mancati. Capire quale sia l’attuale livello di affidabilità di Zoom, però, è difficile anche per gli addetti ai lavori. Proviamo a fare il punto della situazione sulla base di quanto è emerso fino a ora.

Il rispetto della privacy

Gli allarmi per la possibilità che la stessa azienda con sede a San Jose rastrellasse informazioni sensibili attraverso la sua piattaforma, addirittura usando le trascrizioni delle videoconferenze, sono circolate per qualche giorno ma si sono dimostrate infondate.

Come abbiamo spiegato in questo articolo, le condizioni di utilizzo di Zoom prevedono esplicitamente che non sia raccolta alcuna informazione dai dati trasmessi e ricevuti nelle conversazioni. Il riferimento a una raccolta di dati a scopo di marketing si riferivano infatti al sito (e ai soliti cookie) e non alla piattaforma.

Qualche polemica è sorta invece riguardo alla possibilità che alcune connessioni passassero per i datacenter situati in Cina. Un fatto che ha sollevato preoccupazioni soprattutto tra gli utenti che abitano in paesi vicini (Taiwan ha addirittura messo al bando il software) e che temono che i loro dati possano essere intercettati dalle autorità di Pechino.

Dal 18 aprile, l’azienda permetterà ai suoi utenti con licenza a pagamento di impostare il routing dei dati in modo da avere la certezza di evitare “passaggi a rischio” come quelli attraverso i datacenter cinesi.

Zoom, è bene ricordarlo, non utilizza un sistema di crittografia end to end, ma una “semplice” crittografia TLS come quella usata da tutte le connessioni su protocollo HTTPS. La preoccupazione per un’eventuale intercettazione, quindi, non completamente infondata e rende il suo utilizzo sconsigliabile per comunicazioni particolarmente riservate.

Riservatezza e impostazioni

I problemi non sono mancati, invece, nella gestione delle videoconferenze. Soprattutto nelle prime settimane di “boom” nell’utilizzo del software, la sua architettura ha mostrato limiti piuttosto evidenti.

La procedura predefinita per l’avvio di una sessione di Zoom prevedeva infatti la creazione di una URL che consentiva il collegamento a chiunque la conoscesse. Il risultato è stato la nascita del fenomeno del cosiddetto zoombombing, cioè la pratica di fare irruzione in videoconferenze per disturbarle con interventi inappropriati che, nella maggior parte dei casi, hanno avuto carattere goliardico.

A spingere il fenomeno è stato, più che altro, l’utilizzo di Zoom per gestire la didattica a distanza nel periodo di distanziamento sociale. Molti studenti, infatti, hanno pensato di approfittare della situazione per giocare qualche scherzo agli insegnanti, organizzando anche dei veri e propri canali dedicati su Discord per distribuire i collegamenti alle videoconferenze.

Dalle parti di Zoom hanno reagito modificando le impostazioni predefinite, introducendo l’uso di una password come procedura “normale” per la creazione della conferenza e abilitando, allo stesso modo, la funzione della waiting room, che lascia in attesa i partecipanti fino a quando l’host della conferenza non ne approva la partecipazione.

Furto di credenziali

Tra gli allarmi circolati in questi giorni, c’è anche quello che vedrebbe un massiccio attacco hacker che avrebbe portato al furto di 500.000 credenziali di utenti Zoom che sono finite in vendita sul Dark Web.

Se la notizia è stata confermata da numerose società di sicurezza, le conclusioni tratte da alcuni organi di stampa riguardo una presunta vulnerabilità di Zoom sono invece ben poco fondate.

Secondo gli esperti che hanno individuato i database in questione, infatti, si tratterebbe di username e password ottenuti attraverso tecniche di credential stuffing, cioè attraverso l’uso di combinazioni di username e password che gli utenti hanno utilizzato anche in altri servizi e che erano già in circolazione nei bassifondi di Internet.

Il tema della sicurezza, però, è qualcosa con cui dalle parti di Zoom hanno deciso di prendere sul serio. Per farlo, l’azienda si è rivolta ad Alex Stamos, esperto di sicurezza che ha lavorato in passato con Yahoo! (in uno dei periodi meno felici dell’azienda statunitense) e con Facebook.

Il suo intervento potrà consentire qualche correzione relativa ai rischi dell’uso di link all’interno della chat (abbiamo parlato dei rischi in questo articolo) e a una più complessiva revisione dell’architettura del software che sembra ancora piuttosto debole.

Le falle di sicurezza

Tutto bene quindi? No. Perché qualche vulnerabilità “reale” Zoom ce l’ha. Le uniche di cui si conoscono i dettagli (qui il pirotecnico report che le illustra) riguardano la possibilità di un attacco locale su sistemi macOS.

Il vero allarme, però, è arrivato oggi con la notizia riportata da Motherboard riguardante la disponibilità di un exploit zero-day che sfrutterebbe una vulnerabilità critica del client per Windows. Il bug, di cui non si conoscono i dettagli tecnici, consentirebbe di avviare l’esecuzione di codice in remoto. Tradotto: permetterebbe di usare Zoom come vettore per un attacco malware.

Stando a quanto viene riportato nell’articolo, l’exploit sarebbe in vendita al prezzo di 500.000 dollari su quelli che possiamo considerare “mercati informali” del Dark Web. Una quotazione che non stupisce più di tanto, visto che piattaforme “legali” che si occupano di compravendita di exploit come la famigerata Zerodium arrivano a offrire fino a 2,5 milioni di dollari per gli exploit sui sistemi e software più diffusi.

Sempre stando alle fonti contattate da Motherboard, esisterebbe poi un altro exploit, relativo però al client per macOS. Insomma: Alex Stamos e i suoi colleghi si trovano ad affrontare una situazione tutt’altro che facile. Il suggerimento, per il momento, è quello di eseguire regolarmente gli aggiornamenti di Zoom per avere la certezza di utilizzare la versione più sicura del software.

---

---

---

https://www.securityinfo.it/2020/04/16/zoom-il-punto-della-situazione-sulla-sicurezza/?utm_source=rss&utm_medium=rss&utm_campaign=zoom-il-punto-della-situazione-sulla-sicurezza

The US Senate has become the latest organization to tell its members not to use Zoom because of concerns about data security on the video conferencing platform that has boomed in popularity during the coronavirus crisis.

The Senate sergeant at arms has warned all senators against using the service, according to three people briefed on the advice.

One person who had seen the Senate warning said it told each senator’s office to find an alternative platform to use for remote working while many parts of the US remain in lockdown. But the person added it had stopped short of officially banning the company’s products.

Zoom is battling to stem a public and regulatory backlash over lax privacy practices and rising harassment on the platform that has sent its stock plummeting. The company’s shares have fallen more than 25 per cent from highs just two weeks ago, to trade at $118.91.

Zoom was forced to apologize publicly last week for making misleading statements about the strength of its encryption technology, which is intended to stop outside parties from seeing users’ data.

The company also admitted to “mistakenly” routing user data through China over the past month to cope with a dramatic rise in traffic. Zoom has two servers and a 700-strong research and development arm in China. It had stated that users’ meeting information would stay in the country in which it originated.

The revelations triggered complaints from US senators, several of whom urged the Federal Trade Commission to investigate whether the company had broken consumer protection laws. It also prompted the Taiwanese government to ban Zoom for official business.

The FBI warned last month that it had received reports that teleconferences were being hacked by people sharing pornographic messages or using abusive language — a practice that has become known as “Zoombombing.”

A spokesperson for the company said: “Zoom is working around-the-clock to ensure that universities, schools, and other businesses around the world can stay connected and operational during this pandemic, and we take user privacy, security and trust extremely seriously.

“We appreciate the outreach we have received on these issues from various elected officials and look forward to engaging with them.”

However, the US Department of Homeland Security said in a memo to government cyber security officials that the company was actively responding to concerns and understood how grave they were, according to Reuters. The Pentagon told the Financial Times it would continue to allow its personnel to use Zoom.

The Senate move follows similar decisions by companies including Google, which last week decided to stop employees from downloading the app for work.

“Recently, our security team informed employees using Zoom Desktop Client that it will no longer run on corporate computers as it does not meet our security standards for apps used by our employees,” Jose Castaneda, a Google spokesperson, said. However, he added that employees wanting to use Zoom to stay in touch with family and friends on their mobiles or via a web browser could do so.

The Google decision was first reported by BuzzFeed.

Zoom has tried to stem the tide of criticism in recent days. The company said on Wednesday it had hired Alex Stamos, the former Facebook security chief, as an outside security consultant, days after saying it would redirect its engineering resources to tackle security and privacy issues.

© 2020 The Financial Times Ltd. All rights reserved. Not to be redistributed, copied, or modified in any way.

https://arstechnica.com/?p=1667098