Immobili
Veicoli
Depositphotos (AndreyPopov)
ULTIME NOTIZIE ated ICT Ticino
LUGANO
1 gior
Shopify compra Deliverr per 2,1 miliardi di dollari
Si tratta della più grande acquisizione nella storia di Shopify
LUGANO
3 gior
QR Bill: una questione svizzera
La QR-Fattura diventa obbligatoria a partire da ottobre 2022.
LUGANO
6 gior
InformatiCH Sagl presenta l’LPD Day
La prima edizione dell’LPD Day è il prossimo 14 giugno al LAC di Lugano
ATED
1 sett
Claranet chiama AWS
Sono in programma alcuni appuntamenti in Ticino promossi da ated-ICT Ticino in collaborazione con Claranet.
ATED
1 sett
La Cina impedisce l’accesso all’agenzia delle Nazioni Unite WIPO per Wikimedia Svizzera e altri capitoli nazionali
ATED
1 sett
Genuine Way annuncia il primo round da 550'000 euro
Grazie all’investimento la startup potrà integrare nuove funzionalità alla piattaforma con sede anche a Lugano
ATED-ICT TICINO
1 sett
Carpanzano entra nell’Accademia Svizzera delle Scienze Tecniche
Il Professore Emanuele Carpanzano, membro di ated-ICT Ticino, nominato membro dell’Accademia svizzera delle scienze
ATED
2 sett
Miglioriamo su Wikipedia i contenuti sui Musei
In vista Giornata Internazionale dei Musei 2022 (18 maggio), circa 30 Capitoli di Wikimedia uniscono le forze
ATED
2 sett
Una soluzione, numerose possibilità. È Business POS
I moderni sistemi di cassa sono dei multitalenti
ated ICT Ticino
3 sett
Le nanotecnologie entrano nello stadio del Siviglia FC
Alcune tecnologie sanificano le superfici da virus e batteri.
ated ICT Ticino
3 sett
Gli Smilebots trionfano in USA
La squadra ticinese è arrivata 18esima nella finale a Houston della First Lego League.
ATED ICT TICINO
4 sett
Big tech e ambiente
Stripe, Alphabet, Shopify, Meta e McKinsey lanciano un Advance Market Commitment (AMC).
ATED ICT TICINO
1 mese
Nuova LPD: cosa cambia per le aziende?
L’evoluzione tecnologica ha imposto una revisione totale della legge federale sulla protezione dei dati (LPD).
ated ICT Ticino
1 mese
Elon Musk punta al 100% di Twitter
Dopo l'acquisto di oltre il 9%, il patron di Tesla ha dichiarato il suo interesse alla totale acquisizione.
CANTONE
1 mese
Best Computing: tecnologia e informatica per il Ticino
Intervista al CEO Alberto Paioni, per conoscere una delle realtà storiche, associate ated al servizio del territorio.
ated ICT Ticino
1 mese
Telelavoro, smart working o rientro in ufficio?
Le organizzazioni si stanno orientando verso formule di lavoro flessibili per i propri collaboratori.
ATED
1 mese
Digitalizzazione degli archivi cartacei per essere più green
ated-ICT Ticino in collaborazione con Tectel promuove eventi e percorsi per la gestione elettronica documentale.
ARTICOLO SPONSOR
08.04.2020 - 19:450

Il caso Zoom: le videoconferenze sono a rischio?

È di questi giorni la polemica sorta sull’accusa di insicurezza della piattaforma. Proviamo a chiarire la questione

LUGANO - La necessità di dover ricorrere alla misura del telelavoro a causa del COVID-19 ha obbligato diverse società in tutto il mondo a dover scegliere in breve tempo una piattaforma di videoconference aziendale, al fine di poter continuare a svolgere da remoto le normali attività lavorative quali riunioni interne, incontri con fornitori o clienti, lavori in team, ecc.

Tra le possibili opzioni disponibili all’interno del mercato dei prodotti di videoconference, la piattaforma Zoom di Eric Yuan, ex Lead Engineer della divisione WebEx di Cisco, ha osservato un impressionante successo nell’ultimo periodo. Le ultime statistiche parlano chiaro: nel 2020, Zoom ha registrato il nuovo record di 200 milioni di utenti attivi in un giorno, a fronte dei soli 10 milioni del 2019, ed il valore delle azioni della società Zoom Video Communications è letteralmente più che raddoppiato, passando dai 68 dollari del 1 gennaio 2020 ai 164 dollari registrati il 23 marzo.

L’ascesa apparentemente incontrastata della piattaforma, preferita rispetto alla concorrenza per semplicità d’uso, qualità del flusso audio/video e prezzi convenienti, è stata tuttavia messa a dura prova a causa delle pesanti accuse sulla sicurezza del prodotto. Condivisione di informazioni sensibili con Facebook e Cina, livello di cifratura delle trasmissioni sub-ottimale e bug di sicurezza nei client
Windows e MacOS hanno fortemente minato la fiducia riposta da alcune aziende su Zoom, al punto che alcune sono arrivate a bandirne l’uso (tra le più famose, la Città di New York e l’azienda di Elon Musk SpaceX) e lo stesso CEO Eric Yuan, scusandosi per la confusione, ha annunciato uno stop di 90 giorni agli sviluppi del prodotto per concentrarsi completamente sulla revisione della sua sicurezza.

Seppure innegabili le accuse tecniche mosse contro lo strumento da ricercatori di tutto il mondo, la piattaforma Zoom non sta altro che percorrendo un normale ciclo di vita di un prodotto software già descritto nei primi anni 2000 dai “Vulnerability Disclosure Model”, ossia i modelli che correlano la vita di un prodotto con il numero di vulnerabilità rilevate sulla base di molteplici fattori. In particolare, il modello AML, presentato nel 2005 alla conferenza IEEE ISSRE, si presta bene a descrivere le vulnerabilità scoperte di un software rispetto all’attenzione del mercato nei suoi confronti.

In sintesi, sono tre le fasi di un software secondo il modello:

  • Fase 1: il software è lanciato sul mercato. Con il graduale utilizzo ed attenzione sul prodotto, iniziano a rilevarsi le prime vulnerabilità di sicurezza;
  • Fase di Picco: il software raggiunge il massimo market-share. Il numero di vulnerabilità riportate cresce costantemente
  • Fase 2: il software è rimpiazzato da un concorrente e si avvia verso la fine-vita. Complice la minore attenzione verso il prodotto e la sua maggiore maturità, il numero di vulnerabilità riportate si riduce gradualmente, fino a raggiungere un valore nullo.

Di seguito, si riporta il grafico del numero cumulativo di vulnerabilità note (CVE) rilevate su Zoom dalla fondazione della società (2011) ad oggi (il numero per l’anno 2020 è una previsione sulla base dell’attuale trend).

Il medesimo grafico è stato tracciato anche per le vulnerabilità note di altre due famose soluzioni di videoconference, Skype e WebEx.

 

Confrontando i grafici, è possibile affermare come tutti e tre i prodotti stiano attraversando lo stesso ciclo di vita e si trovino semplicemente in fasi differenti della loro maturità.

Zoom, più recente, si posiziona intorno al punto di transizione 1 del modello AML, pertanto il rateo di vulnerabilità riportate per il prodotto tenderà a crescere nel prossimo futuro, al pari con la sua popolarità.

Skype e WebEx, più longevi, hanno già superato la Fase 1 del modello e si trovano nella Fase di Picco. Pertanto, il rateo di vulnerabilità riportate per entrambi si prevede rimarrà pressoché costante nel prossimo futuro.

In conclusione, il caso Zoom conferma ancora una volta come valutare la sicurezza complessiva di un software sulla base della singola notizia della nuova vulnerabilità rischi di essere del tutto fuorviante. Ogni software nell’arco della sua vita è stato oggetto di vulnerabilità di sicurezza, Zoom alla pari delle alternative Skype, WebEx e altre ancora. Seppure assolutamente da non trascurare le problematiche rilevate finora, l’azienda ha risposto ad ognuna di esse e sta lavorando per porre rimedio. 

Ormai dobbiamo imparare a convivere con le vulnerabilità che vengono rilevate se TUTTE le soluzioni e servizi durante il loro ciclo di vita. Le consuete raccomandazioni sul mantenere aggiornati i sistemi operativi delle nostre postazioni, mantenere aggiornati tutti i software utilizzati alle ultime versioni, criptare le postazioni di lavoro, utilizzare password complesse, non scaricare software e non accedere a servizi di dubbia reputazione e utilizzare sistemi di protezione commerciali e non gratuiti, ci consentiranno di operare con serenità.

Andrea Palanca
Senior Cyber Security Advisor
Security Lab SAGL
info@sec-lab.com
www.sec-lab.com

Andrea Palanca
Guarda le 3 immagini

YouTube

Facebook

Instagram

Linkedin

Twitter

TikTok


Copyright © 1997-2022 TicinOnline SA - Tutti i diritti riservati
IMPRESSUM - DISCLAIMER - SEGNALACI - COMPANY PAGES
Disposizioni sulla protezione dei dati  -   Cookie e pubblicità online  -   Diritto all'oblio


Ultimo aggiornamento: 2022-05-19 21:33:13 | 91.208.130.89